La HCE ante el reto de la protección de datos

No sólo la tecnología, sino formar a los usuarios en buenas prácticas, es fundamental para cumplir la normativa

El camino hacia la Historia Clínica Electrónica (HCE) es ineludible en el mundo de la sanidad por las claras ventajas que conlleva para este sector y para los pacientes en general. Eso sí, esta transición tiene que llevar aparejados fuertes requisitos de seguridad, pues una información tan sensible como la generada en este entorno debe cumplir a la perfección toda la legislación existente al respecto, entre la que destaca la Ley Orgánica de Protección de Datos (LOPD).

Ningún profesional del mundo de la sanidad duda ya de la prioridad de ir hacia una Historia Clínica Electrónica (HCE) en la que estén informatizados e integrados los documentos que contienen datos, valoraciones, e informaciones de cualquier índole sobre la situación y la evolución clínica de un paciente a lo largo del proceso asistencial. Las ventajas de ir hacia la HCE son claras. Como reza un informe de la Sociedad Española de Informática de la Salud (SEIS), las historias clínicas tradicionales plantean dificultades como el desorden y la falta de uniformidad en los documentos, así como la inclusión de información muchas veces ilegible e inalterable y con una disponibilidad cuestionable. Por otro lado, no es infrecuente que en estas historias tradicionales se produzcan errores de archivado parciales de modo que su garantía de confidencialidad es dudosa. Además, el deterioro del soporte documental que experimentan es obvio, así como la dificultad para separar los datos de filiación de los clínicos. Frente a estos aspectos, la HCE se presenta como una panacea. Además de solventar los problemas citados, entre ellos el de seguridad, permitirá no sólo integrar la información clínica sino también revisar la organización y los servicios de los profesionales sanitarios.

Cumplir la regulación
Eso sí, para ello es imprescindible que la HCE cumpla a rajatabla las normas de legislación sanitaria y de protección de datos. En este último sentido es importante la Ley Orgánica de Protección de Datos (LOPD), vigente desde 1999. Así lo explica Mar Martínez, directora de desarrollo de negocio del segmento de sanidad, dentro del área de sector público del Grupo SIA. Martínez, que fue durante once años subdirectora general del Registro General de Protección de Datos, órgano de la Agencia Española de Protección de Datos y miembro del grupo encargado de la redacción del borrador del proyecto de Real Decreto 994/1999, por el que se aprobó el reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, asegura: “El cumplimiento de la LOPD no sólo conlleva realizar cuestiones de carácter técnico para mejorar la seguridad, sino, en especial, controlar aspectos como el comportamiento de los usuarios que manejan estos datos y establecer buenas prácticas en el uso de los sistemas de la información. Así, por ejemplo, cuando un usuario ha accedido y/o modificado una historia clínica, debe quedar registrado. Además, se debe tener un documento de seguridad en el que figuren estos procedimientos”.
Martínez indica también que es conveniente que los datos de salud estén cifrados: “Así lo estipula el reglamento, aunque no explicita cómo. Las organizaciones elegirán qué tecnología es más conveniente”.
Lo que es evidente es que la confidencialidad y la seguridad exigen que a esta información sólo acceda quien esté autorizado. Así, son importantes las tecnologías que permiten procesos de identificación, de autorización y asignación de perfiles y roles. Según SEIS, para la identificación se requieren certificados digitales y, para la autorización y asignación de perfiles y roles, medidas organizativas. También es importante asegurar que la información se mantenga íntegra en su almacenamiento o transporte, para lo que es relevante el uso de la firma digital. “Tanto el hardware como las bases de datos e incluso el software que se utiliza para almacenar los datos de una HCE deben ser seguros”.

Hacia la estandarización
Además de abogar por una tecnología adecuada, para garantizar la seguridad en las HCE es importante seguir los estándares de la industria, especialmente los que propone el Comité Técnico TC251 del Comité Europeo de Normalización (CEN), centrado en la estandarización en informática y telemática para la salud. Este organismo ya publicó en 1995 el pre-estándar ENV12265, “Arquitectura de Historia Clínica Electrónica”, hoy estándar de referencia histórica que define los principios básicos en los que se deben basar las HCE. En 1999, el CEN publicó el pre-estándar ENV13606 “Comunicación de la HCE”, que especifica la arquitectura de información requerida para las comunicaciones interoperables entre sistemas y servicios que proveen o necesitan datos de la HCE. Como señala José Miguel Muñoz, director comercial de sanidad en HP, “disponer de estándares de intercambio de información simplifica que la información entre diferentes sistemas que conforman una organización sanitaria pueda ‘moverse’ y ‘ser entendida’ por todos. Si esto no es así nunca podremos decir que disponemos de la Historia Completa”.


Acceso seguro en movilidad
----------------------------------------
La sanidad del futuro pasa por proporcionar a sus profesionales el acceso a la Historia Clínica Electrónica (HCE) desde cualquier lugar, mediante dispositivos que permiten la movilidad, como son los Tablets PCs o las PDAs. Eso sí, esto se debe llevar a cabo con la máxima seguridad. Así lo hace uno de los centros hospitalarios más innovadores en España, el hospital mallorquín Son Llatzer. Miguel Cabrer, su CIO, nos revela que hace tres meses han comenzado su proyecto “hospitalización a domicilio”, que consiste en que los médicos y las enfermeras se desplacen al hogar de los pacientes que no puedan acudir al centro. “Una vez allí –explica Cabrer– los profesionales sanitarios pueden acceder a la HCE del paciente desde un Tablet PC, tecnología que hemos elegido frente a los PDAs por su mayor seguridad”. Cabrer explica que han securizado tanto la conexión como el propio dispositivo. Para ello utilizan herramientas de validación tipo token: “El usuario introduce el token en su Tablet PC y una clave. El token está encriptado en el disco duro, así que sin él no se puede arrancar el dispositivo”. Por otra parte, la conexión está también encriptada con el token. Estos mecanismos permiten al usuario acceder a las aplicaciones con una conexión VPN segura.

Viñeta publicada el 20 de febrero de 1870 en La Flaca n.º 35 Tendencias

ny2 ACTUALIDAD

ny2 Sociedad de la información

Día de la Movilidad y el BYOD Coffee Break