Práctica 4 de la asignatura "El sistema sanitario a la SI. La salud electrónica". Máster Telemedicina, UOC.

1. PEC 4 – Caso Práctico 2 –
El sistema Sanitario a la SI. La Salud
electrónica
GRUPO 5: Rubén Andújar, Sara Giménez, Esther Parra, Lourdes Salinero y María José Vidal

2. Qué aspectos de la normativa de Protección de Datos debemos
tener en cuenta
 Derecho de acceso del titular de los datos
 Derecho a la cancelación o rectificación de datos erróneos o
no pertinentes.
 Derecho a la rectificación si los datos no son veraces y
exactos.
 Derecho de oposición al tratamiento de datos.
2

3. Restricción en el acceso al ciudadano en la normativa de
Historia Clínica
Restricciones de acceso al ciudadano según el art. 18 de la Ley 41/2002, de14 de
noviembre, reguladora de la Autonomía del paciente y de Derechos y
obligaciones en materia de documentación clínica:
 No comprende los datos confidenciales de terceras personas
 No comprende las denominadas anotaciones subjetivas.
 No comprende a información que pudiera perjudicar
gravemente su salud por estado de necesidad terapéutica.
3

4. Ley 11/2007 de Acceso electrónico de los Ciudadanos a los
Servicios Públicos
 El ciudadano tiene derecho de acceder electrónicamente a las
Administraciones Públicas.
 Deben preservarse todas las garantías de la privacidad.
 La administración debe promover un régimen de identificación,
autenticación, contenido mínimo, protección jurídica, accesibilidad,
disponibilidad y responsabilidad.
 La Ley debe partir del principio de libertad de los ciudadanos en la elección
de la vía o canal por el que quieren comunicarse con la Administración
 La Administración debe recabar los datos que custodia y facilitarlos con
respeto a los derechos de la LOPD.
4

5. Qué requerimientos técnicos habría de incorporar esta funcionalidad
 Ya que la ley permite el uso de la firma electrónica, como modo
de identificación seguro y confiable, siempre y cuando cumpla
con la Ley 59/2003, de 19 de diciembre de Firma Electrónica, se
debería impulsar el uso de DNI electrónico como medio de
identificación.
 Establecer como alternativa al DNI electrónico, la utilización de
un usuario y contraseña propios de cada persona
 Emitir certificados de cliente para las personas que puedan
acceder a sus datos
¿Cómo garantizamos que sólo acceda quién tenga derecho?
5

6. Qué precauciones deberíamos tener en relación al flujo de esta
información a través de Internet (I)
 Tal y como se dicta en la ley 11/2007(1), cada administración pública será la
responsable de crear la sede electrónica de la cual se va a extraer dicha información,
y que debe cumplir con requisitos mínimos de identificación, autenticación, contenido
mínimo, protección jurídica, accesibilidad, disponibilidad y responsabilidad.
 Para facilitar descargas desde app/web o envíos por mail/mensajes push/etc, formar
al personal para sensibilizarlos sobre la seguridad de la información y la
vulnerabilidad de exponerla en internet aunque sea de manera no intencionada
 Para evitar posibles ataques externos, debemos tener los sistemas actualizados, con
la última versión de software y antivirus. Con esto, un ataque no es imposible, pero sí
más difícil.
6

7. En el caso de intercambio de información via e-mail, existe un peligro a tener en
cuenta puesto que se puede interceptar la información, enviarla a un destinatario
equivocado, etc. Puesto que la comunicación paciente-profesional sanitario es
cada vez más fluida por email, se debería poner especial interés en cubrir todos
los aspectos que garanticen su seguridad como por ejemplo la encriptación de los
mensajes
En este sentido adoptar medidas para no adjuntar ningún documento a un
mensaje que no esté convenientemente encriptado/cifrado mediante certificado
digital o similar, proporcionar/solicitar la contraseña al paciente receptor de la
información que deba introducir en el momento de la apertura del documento
(certificado digital, DNI electrónico,…)
También se puede, en vez de adjuntar informes a mail etc, proporcionar un link
seguro que caduque en un período corto de tiempo convenientemente cifrado de
acceso a la documentación vía certificado digital o similar.
Qué precauciones deberíamos tener en relación al flujo de esta
información a través de Internet (II)7

8. Qué información se debería registrar de forma sistemática para
garantizar la trazabilidad del sistema según la especificación de la
normativa
 Para datos de nivel alto, debería registrarse en un log: el usuario, hora,
fichero, tipo acceso y dato accedido
 Para datos de nivel bajo, medio y alto, en caso de incidencia con los datos,
se debería registrar: tipo de incidencia, fecha/hora que ha ocurrido, usuario
comunicador, usuario receptor de incidencia y efectos colaterales
producidos
 Para datos de nivel medio y alto, en caso de incidencias con los datos,
debería registrarse: procesos de recuperación de datos realizados, usuario
realizador de la recuperación, datos afectados por la incidencia, datos
restaurados manualmente
 Para datos de nivel medio y alto, debería realizarse registro de entrada y
salida de soportes informáticos que contengan información de este nivel.
8

9. Qué procedimientos deberíamos diseñar para implantar esta
funcionalidad (I)
 Creación de un número de historia unívoco para cada paciente.
 Creación de un entorno web seguro:
 Diseño y elaboración de una base de datos:
Base de datos que cumpla con las normativas de Protección de Datos
en los Servicios Sanitarios. (Ej.: mySQL)
 Diseño y elaboración del software:
Prestando especial atención a la Protección de Datos.
Entorno seguro: Cifrado.
9

10. Qué procedimientos deberíamos diseñar para implantar esta
funcionalidad (II)
 Creación de un entorno web seguro:
 Protocolo de tratamiento de datos:
Alta o Registro, Rectificación, Eliminación, Búsqueda de datos.
Los pacientes deberían entregar firmado: Solicitud de acceso a la HCE y
Consentimiento informado para la cesión de datos.
 Protocolo de Seguridad:
Nivel alto de seguridad (art. 88, R.D. 1720/2007).
Identificación de usuarios con DNI de forma presencial.
Cifrado de datos, transmisión cifrada, copia de respaldo y procedimientos
de recuperación
Registro de accesos (usuario, fecha, hora, tipo de acceso, información a
la que accede)
10

11. Qué procedimientos deberíamos diseñar para implantar esta
funcionalidad (III)
 Pruebas de software:
 Probar el entorno web con un grupo numeroso de probadores.
 Análisis crítico.
 Feedback de sugerencias de mejora y errores detectados.
 Corrección de errores del entorno web.
 Prueba con usuarios (Proyecto Piloto):
 Inicio con un pequeño número de usuarios.
 Feedback de sugerencias de mejora y errores detectados.
 Corrección de errores.
 Escalabilidad y mantenimiento:
 Ampliación del acceso a todo el sistema sanitario.
 Feedback continuado de usuarios.
 Mantenimiento del sistema con posibilidad de mejorar, ampliar y adaptarse a
nuevas normativas.
11

12. Web
• Diseño entorno web seguro
• Creación con nivel de seguridad alto
• Identificación de usuarios con DNI
• Cifrado de datos y transmisión de datos
• Registro de accesos
Pruebas
• Pruebas de software
• Proyecto piloto con pacientes
• Feedback y corrección de errores
Mantenimiento
• Escalabilidad
• Feedback y mantenimiento
• Posibles modificaciones futuras
Qué procedimientos deberíamos diseñar para implantar esta
funcionalidad (IV)12

13. Bibliografía (I)
 Fernández-Alemán JL, Sánchez-Henarejos A, Toval A, Sánchez-García AB, Hernández-Hernández I,
Fernandez-Luque L. Analysis of health professional security behaviors in a real clinical setting: an
empirical study . International Journal of Medical Informatics. 2015 Jun; 84(6):454-67. DOI:
10.1016/j.ijmedinf.2015.01.010
 Manual de legislación europea en materia de la protección de datos:
http://www.echr.coe.int/Documents/Handbook_data_protection_SPA.pdf
 Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Título II.
 García Ortega, Césareo, et al. La autonomía del paciente y los derechos en materia de información y
documentación clínica en el contexto de la Ley 41/2002. Rev. Esp. Salud Pública 2004; 78: 469-479.
 R.F. Alban, D. Feldmar, J. Gabbay, A.T. Lefor. Internet security and privacy protection for the health care
professional, Curr. Surg. 62 (1) (2005) 106–110.
 Rego, S. (2016, Oct 03). La falta de trazabilidad lastra la digitalización. Diario Médico. Octubre 2016.
[Disponible en: http://0-search.proquest.com.cataleg.uoc.edu/docview/1825155884?accountid=15299]
 De Lorenzo y Montero R, Escudero González M, Palacios González P. Guía básica para el cumplimiento
de la Ley Orgánica de Protección de Datos en el sector sanitario. Star Ibérica, S.A. Madrid. 2007.
http://www.delorenzoabogados.es/docs/guia_sec_san.pdf
13

14. Bibliografía (II)
 REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de
la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
http://www.boe.es/boe/dias/2008/01/19/pdfs/A04103-04136.pdf
 Fernández Luque L, Sánchez Parrado JM, Almudevar Arnal N, García Martínez A. Responsabilidad y
aspectos legales de la protección de datos personales en los sistemas de información sanitarios. Máster
Universitario en Telemedicina. UOC. 2016. PID_00230638.
 Imagen diapo 10 extraida de: http://blog.ethosdata.com/dataroom-espanol/bid/295819/Encriptaci-n-de-
datos-desde-la-perspectiva-de-un-Data-Room
 Imagen diapo 11 extraida de: http://www.freepik.com/free-vector/business-feedback-concept_765210.htm
14

15. ¡GRACIAS!
15