autorización y auditoría. Dentro de la autorización está la tarea de asignación de perfiles y roles. Antes de implantar un sistema de información clínico se debe definir quién puede acceder a qué contenidos de la información y qué acciones se pueden llevar a cabo sobre ella. El sistema de información asignará a los usuarios los roles y limitará a cada usuario a que solo ejerza los privilegios asociados a su perfil, impidiendo que se efectúe cualquier otra acción indebida. Con independencia de con qué perfil se acceda y las acciones que se lleven a cabo, se registra dejando un rastro de todas las operaciones que se ha hecho, tanto de acceso como de modificación. En definitiva, se registra la información necesaria para que luego se puedan hacer auditorías, en las que se determine si el acceso a la información estaba o no justificado. [2,3]
Las auditorías son procesos que se realizan para examinar si los accesos y tratamientos de las historias clínicas electrónicas fueron adecuados o no. Gracias a los sistemas informáticos se queda grabada mucha información acerca de los accesos realizados: se puede conocer las fechas y horas en las que se realizaron estos accesos, listados detallados de lo que se ve, por cuánto tiempo, y por quién; y los registros de todas las modificaciones a los registros electrónicos de salud. También se puede saber los informes que se imprimieron, el número de capturas de pantalla tomadas o la ubicación exacta y el equipo utilizado en dichos accesos. Por medio de alertas se puede conocer si existe alguna actividad sospechosa o inusual, como la revisión de la información en un solo paciente o intentar acceder a información no está autorizado para ver. También, los administradores tienen la capacidad de obtener informes sobre usuarios específicos o grupos de usuarios para poder revisar su actividad en el sistema. Las compañías informáticas están desarrollando programas que automatizan este proceso. Los usuarios finales deben ser conscientes de que, a diferencia de la actividad de registro en papel, toda actividad que se realice en las historias clínicas electrónicas, se puede remontar en base a las credenciales de inicio de sesión. Las auditorías no impiden los accesos fraudulentos o la divulgación de información, pero pueden ser utilizadas como un elemento de disuasión para evitar posibles infractores [2].
- Estándares de seguridad
Para que la historia clínica electrónica sea segura, lo recomendable es que cumpla unos estándares de seguridad. Los estándares son conjuntos de normas para los diferentes componentes del sistema:
- Estándares de contenidos y estructura (arquitectura).
- Representación de datos clínicos (codificación).
- Estándares de comunicación (formatos de mensajes).
- Seguridad de datos, confidencialidad y autentificación.[3]
Los estándares que a nosotros nos interesan son los de este último punto. ISO (International Organization for Standardization) es una federación mundial de organismos nacionales de normalización que son miembros de ISO. El trabajo de preparación de las Normas Internacionales se realiza a través de Comités Técnicos ISO.
El comité específico para el desarrollo de los estándares de la historia clínica electrónica es el Comité Técnico Internacional 215. En España, el organismo encargado de esta normalización es la agencia AENOR y su Comité Técnico Nacional AEN-CTN 139 es el encargado de los trabajos de normalización en Tecnologías de la Información y las Comunicaciones para la Salud, actuando como el espejo del CEN TC251, del Comité Europeo de Normalización [3].
El AEN CTN 139 es también el corresponsal del ISO TC215. A través de ella se coordinan todas las actividades que consisten, fundamentalmente, en el seguimiento del proceso de adopción de las normas CEN e ISO así como su traducción. Los trabajos del CTN 139 se desarrollan a través de 5 subcomités, de los cuales, el encargado en seguridad y confidencialidad en el subcomité 6 [3].
Dentro de las normas técnicas internacionales creadas por estos organismos destaca la ISO/IEC 27001:2005. Esta norma fue diseñada para la gestión de la seguridad de la información, siendo a la vez flexible para adaptarse a cualquier ámbito profesional y a las características particulares de una organización en concreto. Esto resulta muy útil si se tienen en cuenta las características de los servicios de salud, como su gran dimensión, la complejidad de la actividad asistencial que llevan a cabo y el carácter altamente sensible de la información contenida en las historias clínicas de los pacientes [11]
- Cumplimiento controles de seguridad en los servicios sanitarios
En una revisión sistemática realizada en 2013, se observaba que a pesar de que la mayoría de los artículos definían las herramientas de seguridad para las historias clínicas electrónicas, pocas eran empleadas en la práctica real. En esta misma revisión indicaban que más del 30% de los hospitales públicos, en España, no tienen medidas para prevenir accesos no autorizados a los datos de los pacientes mientras están siendo transportados y el número de hospitales del estado que no llevan a cabo una auditoría de seguridad en sus registros es tan alta como 66% [12].
A pesar de existir un amplio consenso en la importancia de la seguridad de los datos sanitarios, los estudios realizados hasta la fecha han detectado importantes deficiencias en el cumplimiento de la normativa de protección de datos en los servicios de salud [11].
La Agencia Española de Protección de Datos (AEPD) ha observado un incremento del número de procedimientos tramitados por la Agencia vinculados a la vulneración de los deberes de seguridad y secreto por parte de centros sanitarios. Por ello se elaboró en 2010 un informe de cumplimiento de la Ley Orgánica de Protección de Datos en los hospitales. Dentro de este informe los datos que conciernen al tema que se tratan en este trabajo fueron:
- La identificación de los usuarios mediante una clave de acceso y una contraseña está implantada en el 96,9% de los hospitales.
- La realización de la auditoría bienal de seguridad del fichero de Historias Clínicas es uno de los aspectos que tienen un menor nivel de cumplimiento de la normativa de protección de datos: un 32,5% de centros no la llevan a cabo y en un 85,6% de los centros que realizan la auditoría, se han detectado en ella deficiencias de seguridad.
- El porcentaje de hospitales que dispone de un registro de accesos a toda la información es del 74,6%.
- El porcentaje de hospitales en los que se guarda la información de cada acceso realizado exigida por el reglamento(identificación del usuario, fecha y hora del acceso, fichero accedidos, tipo de acceso e indicación de acceso autorizado o denegado) es del 70,5%.
- Un 31% de los centros no almacena el registro de acceso durante el periodo mínimo preceptivo de dos años. En el caso de los hospitales privados el 85,6% mantiene un registro de todos los accesos a la información, aunque solamente el 79% almacena este registro por un periodo mínimo de dos años, y el 65% audita que los accesos han sido realizados por personal autorizado que los ha utilizado para la finalidad que justificó su