jueves, 28 de septiembre de 2017

Hospitales públicos y protección de datos


La Agencia de Protección de Datos ha publicado un informe sobre el cumplimiento de la normativa de confidencialidad en los hospitales públicos. Entre todas las conclusiones hay unas cuantas que queremos destacar:

Petición del DNI, NIE o pasaporte junto a la tarjeta sanitaria. 
Tal y como señala el informe, "se debe solicitar un documento oficial de identidad junto con la tarjeta sanitaria que permita identificar correctamente al paciente". En el caso de atención urgente (a personas sin documentación), el informe propone que en el centro "se aplicará un protocolo, que deberá establecerse previamente,  encaminado a la acreditación posterior de la identidad del paciente que permita la correcta incorporación de los datos de la asistencia en la HC correspondiente".

La petición de un documento de identificación junto con la tarjeta sanitaria no es una práctica habitual, y como indica el informe, puede generar situaciones que pongan en riesgo la seguridad del paciente.

Documentación administrativa con datos asistenciales.
En el caso de expedientes administrativos que contengan información sobre el estado de salud del paciente (facturación a terceros, lista de espera, derivaciones, etc), una vez dicha información haya sido utilizada, deberá ser eliminada del expediente administrativo (siempre que conste en la historia clínica). En este caso es muy habitual que dichos expedientes administrativos tengan un soporte documental en papel, siendo conveniente establecer un protocolo interno de revisión y eliminación de la información asistencial que ya no sea necesaria.

Tickets anonimizados para consultas.
El informe valora positivamente el uso de este tipo de tickets para preservar la identidad del paciente. Pero encuentra varias áreas de mejora:
- Cuando el paciente no acude a la llamada por el código asignado se le llama por megafonía utilizando su nombre y apellidos.
- En algunos casos el sistema de tickets anonimizado es utilizado o no a criterio del facultativo que llama al paciente (debe ser obligatorio).
- Pese a que en las inspecciones no se encontró ningún caso, el informe recuerda la prohibición de fijar en la puerta el listado de pacientes de cada día (práctica habitual hasta hace unos años).

Solicitud de acceso a la historia clínica.
El informe recuerda que el acceso a la información clínica es gratuito, por lo que no puede cobrarse el gasto del correo certificado ni el de la grabación de imágenes médicas en soportes.

Control de acceso a datos.
La Agencia recomienda que se establezcan alertas en la aplicación informática de historia clínica cuando los profesionales accedan a los datos de pacientes que no tienen asignados. Incluso plantean que el profesional tenga que justificar el motivo del acceso (siempre que sea factible).

No a los usuarios genéricos.
En el caso de ordenadores que permiten el acceso a equipamiento de laboratorio, imagen diagnóstica, etc. es habitual el uso de usuarios genéricos no asignados a ninguna persona concreta. De hecho, incluso suele verse el usuario y contraseña de dicho equipo pegado en un papel en la pantalla. Este tipo de acceso no está recomendado, ni tampoco el uso de papeles para recordar contraseñas.

Copias de seguridad.
Indica el informe que "No todos los hospitales auditados disponen de una copia completa en segunda ubicación de todos los datos de nivel alto". 

Cifrado de comunicaciones.
La inspección ha detectado tres problemas muy graves: uso de email no cifrado para enviar información con datos confidenciales, uso interno de WIFI para aplicaciones asistenciales con un nivel de seguridad muy bajo y... chantatachan... ¡uso de fax para remitir datos de salud!

Problemas con HC en papel.
Hay un párrafo del informe que resume muy bien el problema principal:
"Se pudo comprobar que en un servicio de especialidad, que se encontraba con la puerta abierta y sin personal, las HC se hallaban depositadas en estanterías al alcance de la mano. La existencia de un cartel que solicitaba “¡POR FAVOR! PONER LAS HISTORIAS DEL DÍA SOBRE LA MESA. (GRACIAS)” da a entender que lo habitual es que el departamento en cuestión se encuentra desatendido cuando se distribuyen las HC."

El reparto de las HC en papel supone un riesgo en términos de confidencialidad. La Agencia hace algunas propuestas: reparto en sobres cerrados sin datos en el exterior, custodia ininterrumpida por parte del personal de reparto o uso de carros cerrados.

Papeles en el mostrador.
Las mesas deben estar despejadas, así como los mostradores de atención al paciente, los controles de enfermería, las salas de sesiones, etc. No pueden permanecer a la vista documentos con datos confidenciales ya que cualquier persona puede leerlos.

Las islas de información o setas.
El hecho de que los centros sanitarios sean organizaciones grandes y complejas provoca que en ocasiones los propios profesionales o empresas adjudicatarias de algún servicio creen sus propias aplicaciones informáticas, "instalados sin conocimiento del departamento de informática, o aplicaciones de las cuales este departamento no ha tenido conocimiento
hasta la ocurrencia de alguna incidencia con relación a los mismos". Estas aplicaciones se denominan setas.

Toda aplicación informática debe estar instalada, gestionada y supervisada por el departamento de informática. Es la única forma de proteger adecuadamente su información y de garantizar la calidad y consistencia de la información.

Además de hacer un análisis de los problemas generados por la información y los datos en el marco de la investigación clínica, el informe incorpora un decálogo con los puntos esenciales a recordar:

1. Trata los datos de los pacientes como querrías que tratasen los tuyos.2. ¿Estás seguro de que tienes que acceder a esa historia clínica? Piénsalo. Sólo debes hacerlo si es necesario para los fines de tu trabajo.3. Recuerda: tus accesos a la documentación clínica quedan registrados en el sistema. Se sabe en qué momento y a qué información has accedido. Los accesos son auditados posteriormente.4. Evita informar a terceros sobre la salud de tus pacientes salvo que estos lo hayan consentido o tengas una justificación lícita.5. Cuando salgas del despacho, asegúrate de cerrar la sesión abierta en tu ordenador. No facilites a nadie tu clave y contraseña; si necesitas un acceso urgente contacta con el servicio de informática.6. No envíes información con datos de salud por correo electrónico o por cualquier red pública o inalámbrica de comunicación electrónica; si tienes que hacerlo, no olvides cifrar los datos.7. No tires documentos con datos personales a la papelera; destrúyelos tú mismo o sigue el procedimiento implantado en tu centro.8. Cuando termines de pasar consulta, cierra con llave los armarios o archivadores que contengan documentación clínica.9. No dejes las historias clínicas a la vista sin supervisión.10. No crees por tu cuenta ficheros con datos personales de pacientes; consulta siempre antes con el departamento de informática.

No hay comentarios:

Publicar un comentario