El documento discute los aspectos legales y técnicos relacionados con el acceso de los ciudadanos a su historia clínica electrónica. Se debe cumplir con la normativa de protección de datos, informando a los usuarios sobre el tratamiento de sus datos personales y garantizando su acceso, identificación y seguridad a través de métodos como la firma electrónica. También es necesario establecer procedimientos para crear un entorno seguro, registrar los accesos y realizar auditorías periódicas que garanticen la trazabilidad del sistema.
1. El Sistema Sanitario a la SI.
La Salud Electrónica
M. Díaz Rodríguez
Estudiante Programa Telemedicina en UOC
PEC 4
2. PEC 4
Identificar qué aspectos de la normativa debemos tener en cuenta.
1
2
3
Detallar qué requerimientos técnicos habría de incorporar esta
funcionalidad
Identificar qué procedimientos deberíamos diseñar para implantar esta
funcionalidad
3. PEC 4
Protección datos carácter personal
La institución debe informar sobre: (1)
Existencia fichero o tratamiento de datos personales
Finalidad
Destinatario
Derecho acceso, rectificación, cancelación y oposición
Identidad sobre quien recibe o accede a esos datos personales
Se debe tener en cuenta si el usuario es menor o mayor de edad.
¿Qué derechos recogidos en la normativa de protección habríamos de
informar a los ciudadanos?
1.1
4. PEC 4
¿La normativa de historia clínica establece alguna restricción a este
acceso del ciudadano? (3-6)
1.2
5. PEC 4
¿Qué elementos hemos de tener en cuenta en relación a la Ley 11/2007
de Acceso electrónico de los Ciudadanos a los Servicios Públicos? (7)1.3
El usuario puede elegir la manera de comunicarse con las administraciones.
Las administraciones deben permitir a los ciudadanos la identificación e
interacción con las administraciones empleando sistemas de firma
electrónica, siempre y cuando garanticen la autenticidad e integridad de todos
los documentos.
Debe tenerse en cuenta la Ley de Protección de Datos.
El proceso de identificación y autenticación del usuario puede realizarse
mediante:
Documento Nacional de Identidad (DNI)
Sistemas de firma electrónica avanzada: claves de registro
6. PEC 4
¿Cómo garantizamos que únicamente acceda quien tenga derecho a
acceder? (8,9)
2.1
Una manera es a través de la utilización de firma electrónica basadas en la
emisión de certificados generados mediante dispositivos seguros de creación
de firma.
Los certificados electrónicos vinculan unos datos de verificación de firma a un
firmante confirmando su identidad y teniendo la misma validez que la firma
manuscrita.
La utilización del DNI electrónico y la emisión de los certificados digitales
deben vincular a un único usuario y contraseña.
Una manera de garantizar la seguridad es mediante la emisión de
certificados con cierta periodicidad.
La administración sanitaria, debe formar a los profesionales en temas
relacionados con los derechos de los pacientes y concretamente con el
derecho fundamental a la intimidad y a la confidencialidad.
7. PEC 4
¿Qué precauciones deberíamos tener en relación al flujo de esta
información a través de Internet? (9-11)
2.2
El usuario debe asegurarse de que cuando va a emplear sus certificados digitales
esta en un entorno seguro basada en HTTPS (Hypertext Transfer Protocol Secure)
para que los datos estén cifrados o codificados. También se pude incluir
certficados SSL.
Debe comprobar su acceso a historiales a través de una autenticación mediante
usuario y contraseña que será recomendable cambiar periódicamente.
Los organismos o administraciones deben de ser los encargados de proporcionar
al usuario un entorno seguro, así como la capacitación del personal responsable.
Conforme al art. 103 del Reglamento de la LOPD, el responsable del fichero está
obligado a adoptar las medidas de seguridad de nivel alto para los ficheros de
historia clínica, a elaborar y conservar un registro de accesos.
En relación con el acceso a informes estos podrían estar accesibles a través de un
acceso mediante registro con usuario y contraseña.
8. PEC 4
¿Qué información deberíamos registrar de forma sistemática para
garantizar la trazabilidad del sistema según especificación de la
normativa?
2.3
Conforme al Reglamento de la LOPD deben registrarse (9):
Identificación del usuario que accede
Fecha y hora en la que se realizó el acceso
Fichero accedido
Tipo de acceso y si ha sido autorizado o denegado
Incidencias
También seria de utilidad el registro del motivo de acceso, si es con fines
asistenciales, jurídicos, docentes o de investigación.
Sería necesario establecer una serie de auditorias periódicas para garantizar
el buen funcionamiento del sistema.
9. PEC 4
Identificar qué procedimientos deberíamos diseñar para implantar esta
funcionalidad
3
1. Creación de un entorno seguro basado en protocolos de seguridad y
cifrado como por ejemplo HTTPS
2. Cumplimiento en notificación de ficheros a Agencia Española de
Protección de Datos
3. Capacitación del personal y actualización periódica
3. Identificación de usuario a través de una identificación única y vinculante
4. Después de un periodo de inactividad la sesión debería cerrarse
automaticamente.
5. Registro de acceso.
6. Modificación periódica en datos de registro
7. Auditorias periódicas
10. PEC 4
1. Agencia Española de Protección de Datos. Protección de datos. Guia para el
Ciudadano. Disponible en:
http://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/
GUIA_CIUDADANO.pdf
2. Legaz Pérez I, Osuna E, Salmerón MI, Salmerón, Caparrós M. Documentos legales
aplicados a Ciencias Sociales, de la Salud y la investigación biomédica. Tema 7. Historia
Clínica. Universidad de Murcia. Disponible en:
http://ocw.um.es/cc.-de-la-salud/documentos-legales-aplicados-a-ciencias-
sociales/material-de-clase-1/tema7-historia-clinica.pdf
3. Antomás J, Huarte del Barrio S. Confidencialidad e historia clínica.
Consideraciones ético-legales. An. Sist. Sanit. Navar. 2011; 34 (1): 73-82 Disponible
en: http://scielo.isciii.es/pdf/asisna/v34n1/revision2.pdf
4. Aramendia P. Límites del derecho de acceso del paciente a la Historia Clínica. Revista
Corporativa del Colegio de Medicos de Gipuzkoa. Disponible en:
http://medikuenahotsa.com/articulo/76/limites-del-derecho-de-acceso-del-paciente-
a-la-historia-clinica
11. PEC 4
5. Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y
de derechos y obligaciones en materia de información y documentación clínica.
https://www.boe.es/buscar/pdf/2002/BOE-A-2002-22188-consolidado.pdf
6. Sendín García MA. El derecho de acceso a los documentos que contienen datos
personales de los pacientes. Especial referencia a la legislación sobre derechos y
deberes de los pacientes de Castilla y León. Revista jurídica de castilla y león. N.º 8.
Febrero 2006
7. Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios
Públicos. Disponible en: https://www.boe.es/buscar/pdf/2007/BOE-A-2007-12352-
consolidado.pdf
8. Ley 59/2003, de 19 de diciembre, de firma electrónica.
https://www.boe.es/buscar/pdf/2003/BOE-A-2003-23399-consolidado.pdf
9. Gonzalez Garcia l. Derecho de los pacientes a la trazabilidad de los accesos a sus
datos clínicos. vol. 24 extraordinario xxiii congreso 2014 | comunicaciones
12. PEC 4
10. Sarrato Martínez L. El régimen legal de acceso a la historia clínica y sus garantías.
Revista jurídica de castilla y león. N.º 17. Enero 2009. Disponible en:
http://www.svdm.es/svdm/wpcontent/uploads/2015/05/o_04.pdf
11. Sáiz Ramos M, Larios Risco D. El derecho de acceso a la historia clínica por el
paciente: Propuesta para la reserva de anotaciones subjetivas. Servicio de salud de
castilla-la mancha (sescam). Volumen 18, número 1.enero-junio 2009.
Disponible en: https://dialnet.unirioja.es/descarga/articulo/3016224.pdf