Presentacion GIBBA en ExpoMedical 2012

  • 2,908 views
Uploaded on

Manejo de Información de Salud de las personas: "Seguridad, integridad y confidencialidad en el manejo de la información de pacientes“

Manejo de Información de Salud de las personas: "Seguridad, integridad y confidencialidad en el manejo de la información de pacientes“

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
2,908
On Slideshare
0
From Embeds
0
Number of Embeds
12

Actions

Shares
Downloads
15
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. 12 SYMPOSIUM DE INFORMATICA EN SALUD Manejo de Información de Salud de las personas "Seguridad, integridad y confidencialidaden el manejo de la información de pacientes“ Dr. Ricardo Herrero - Lic Jorge Guerra
  • 2. 12 SYMPOSIUM DE INFORMATICA EN SALUD CALIDAD DE ATENCION DE SALUD Resultado de la evolución de la metodología para mejorar la calidad de la atención de salud: • Enorme experiencia práctica que se ha ganado (Varios países – diferentes áreas y especialidades) • Mayor complejidad de la prestación de atención de salud (eficiente y eficaz en función de los costos) • Mayores expectativas de la población • Avances en nuestros conocimientos sobre mejoramiento, administración y práctica clínicaSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 2
  • 3. 12 SYMPOSIUM DE INFORMATICA EN SALUD PRINCIPIOS DEL MEJORAMIENTO DE LA CALIDAD • Enfoque en el cliente: satisfacer sus necesidades • Comprensión del trabajo como Procesos y Sistemas • Trabajo en Equipo: componentes interdisciplinarios • Prueba de cambios en los procesos y sistemas mediante el uso de datos: los datos se usan para analizar los procesos, identificar los problemas y determinar si los cambios han producido mejorasSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 3
  • 4. 12 SYMPOSIUM DE INFORMATICA EN SALUD ESTRUCTURA INSUMOS-PROCESOS-RESULTADOSSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 4
  • 5. 12 SYMPOSIUM DE INFORMATICA EN SALUD GESTION DE LA INFORMACION DE LOS SERVICIOS DE SALUD • Los datos relativos a la salud de las personas han tenido siempre un carácter estrictamente confidencial • La información clínica debe estar protegida y disponible (Ley 26.529 – Derechos del Paciente) • La información está expuesta a nuevos y numerosos riesgos • La información se ha convertido uno de los principales activos estratégicos de las organizaciones: (requiere una adecuada gestión en cuanto a su seguridad)Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 5
  • 6. 12 SYMPOSIUM DE INFORMATICA EN SALUD SEGURIDAD DE LA INFORMACION CONCEPTOS BASICOS • DISPONIBILIDAD • INTEGRIDAD • CONFIDENCIALIDADSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 6
  • 7. 12 SYMPOSIUM DE INFORMATICA EN SALUD SEGURIDAD DE LA INFORMACION REQUISITOS REÑIDOS ENTRE SI Disponibilidad vs Confidencialidad Necesidad de acceder Su acceso requiere de la a los datos registrados en autorización del su HC paciente Las TIC han Las TIC crearon potenciado la mecanismos disponibilidad p/salvaguardar la disponibilidadSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 7
  • 8. 12 SYMPOSIUM DE INFORMATICA EN SALUD SEGURIDAD DE LA INFORMACION ¿Dónde reside el verdadero nudo del problema? EN EL PUNTO DE VISTA ORGANIZATIVO • Definir una Estrategia Corporativa de Seguridad • Compromiso entre Disponibilidad y Confidencialidad • Formación y Concientización: profesionales y pacientesSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 8
  • 9. 12 SYMPOSIUM DE INFORMATICA EN SALUD HISTORIA CLINICA Y OTRAS FUENTES DE INFORMACION • La historia clínica es la fuente de información más importante de los servicios de salud. Para garantizar su seguridad: • Principio de calidad de la información basado en la unicidad los datos • Autorización y autenticación para su acceso • Acuerdos de Confidencialidad • La historia administrativa es otra fuente de información • Ejemplo: el número de habitación o el consultorio en que se atiende un paciente permite deducir el servicio médico y a través de éste especular sobre la enfermedad que sufre el pacienteSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 9
  • 10. 12 SYMPOSIUM DE INFORMATICA EN SALUD MARCO LEGAL Y MEJORES PRACTICAS Ley 25.326/2000 sobre Protección de Datos Personales • Dirección Nacional de Protección de Datos Personales (www.jus.gov.ar/datos-personales.aspx ) • Registrar las Bases de Datos • Disponer del Documento de Seguridad de Datos personalesSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 10
  • 11. 12 SYMPOSIUM DE INFORMATICA EN SALUD MARCO LEGAL Y MEJORES PRACTICAS Ley 26.529/2009 sobre Derechos del Paciente en su relación con los Profesionales e Instituciones de Salud • Artículo 2 inciso d): Confidencialidad • Artículo 14: TitularidadSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 11
  • 12. 12 SYMPOSIUM DE INFORMATICA EN SALUD MARCO LEGAL Y MEJORES PRACTICAS Programa Nacional de Garantía de la Calidad de Atención Médica http://www.msal.gov.ar/pngcamSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 12
  • 13. 12 SYMPOSIUM DE INFORMATICA EN SALUD MARCO LEGAL Y MEJORES PRACTICAS Familia ISO 27000 • ISO 27001 y 2 • ISO 27799 (específica de Salud)Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 13
  • 14. 12 SYMPOSIUM DE INFORMATICA EN SALUD ACTUALIDAD El Empleado, protagonista de los ataques (http://www.redusers.com/expandit) • Los riesgos a la seguridad de la información de una empresa son más altos a nivel interno: • “El 80% de los casos de incidencias a la información se realiza desde el interior de la organización” • “Además, el 82% de estos casos son efectuados por empleados con dolo, es decir, con conocimiento de que están causando un daño a la empresa”Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 14
  • 15. 12 SYMPOSIUM DE INFORMATICA EN SALUD ACTUALIDAD El Empleado, protagonista de los ataques (http://www.redusers.com/expandit) Recomendaciones: • Definir los perfiles de acceso a la información; • Automatizar los procesos de desvinculaciones de los empleados de la org.; • Determinar password “duros”; • Obligar la renovación de contraseñas periódicamente; • Auditar las políticas aplicadas y los accesos permitidos a cada usuario; • Dejar pistas de auditoría de las acciones tomadas por el usuario; • Tratar de evitar o limitar al mínimo el uso de discos de almacenamiento local en las PCs; • Utilizar back-up encriptadas; • y almacenar los back-up en forma replicada externamente. • Firmar acuerdos de confidencialidadSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 15
  • 16. 12 SYMPOSIUM DE INFORMATICA EN SALUD PROYECTO DE CERTIFICACION DEL MANEJO DE LA INFORMACION DE SALUD DE LAS PERSONAS No existe un organismo que certifique Sistemas de Información en Salud Misión Elaboración de un Modelo Integrado por instrumentos y metodologías para que las instituciones de salud garanticen a sus pacientes Confidencialidad, Disponibilidad e Integridad de sus datos.Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 16
  • 17. 12 SYMPOSIUM DE INFORMATICA EN SALUD Objetivos Elaborar un manual que contenga elementos objetivos y medibles para que las Instituciones optimicen la forma en que manejan la información de salud de las personas. El cumplimiento podría desembocar en un proceso de certificación, pero el objetivo primario es lograr una herramienta útil para los establecimientos y para las personas que allí se asisten. Beneficiarios Las personas objetos de la atención propietaria de los datos y las entidades depositarias de los mismos. Resultados esperados Disminuir los riesgos para la pérdida de confidencialidad, integridad y disponibilidad de información de salud.Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 17
  • 18. 12 SYMPOSIUM DE INFORMATICA EN SALUD Estructura del manual • Tipo de estándares • Niveles de cumplimiento y madurez • Estándares • Metodología de evaluaciónSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 18
  • 19. 12 SYMPOSIUM DE INFORMATICA EN SALUD Tipo de estándares Críticos Son estándares que de no cumplirse total o parcialmente, pueden causar perjuicios severos a las personas o al establecimiento. EJEMPLO: el establecimiento tiene resuelto qué otras personas, además del paciente, estén autorizadas a dar el consentimiento informado. Centrales o nucleares Son estándares importantes para la atención del paciente. Su cumplimiento parcial no genera perjuicios severos a las personas o al establecimiento. EJEMPLO: el establecimiento. ha desarrollado e implementado un listado de procedimientos para los que se requiere indefectiblemente el consentimiento informado. Extendidos Son estándares complejos para implementar, que requieren un cambio cultural y en general se vinculan al proceso de mejora continua. EJEMPLO: existe el consentimiento informado firmado por el paciente para la participación en trabajos de investigación y está suscripto por dos testigos.Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 19
  • 20. 12 SYMPOSIUM DE INFORMATICA EN SALUD Modelo de madurez La evaluación establece el cumplimiento o el no cumplimiento de los estándares y define el grado de madurez respecto al no cumplimiento. De este punto surgen las recomendaciones para la mejora. Este concepto posibilita que un establecimiento a través de una autoevaluación pueda definir el camino a seguir para lograr el cumplimiento de los estándares y en base a la clasificación anterior pueda elaborar una estrategia.Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 20
  • 21. 12 SYMPOSIUM DE INFORMATICA EN SALUD Estándares Capítulo 1 Seguridad de la información • Política de seguridad de la información • Organización • Gestión de activos • Seguridad ligada con los recursos humanos • Seguridad física y del entorno • Gestión de comunicaciones y operaciones • Control de accesos • Adquisición, desarrollo y mantenimiento de sistemas • Gestión de incidentes • Gestión de la continuidad de negocio • ConformidadSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 21
  • 22. 12 SYMPOSIUM DE INFORMATICA EN SALUD Estándares Capítulo 2 Datos personales • Política de privacidad • Bancos de datos inscriptos ante la DNDP • Calidad de los datos • Recolección de los datos • Cesión de datos • Confidencialidad • Actividades de publicidad directa • Transferencia entre regiones • Tratamiento de datos por cuenta de terceros • Derechos del titular del dato • Capacitación • Acatamiento de las disposiciones de la DNDP • investigaciones clínicas, farmacológicas y fármaco genéticasSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 22
  • 23. 12 SYMPOSIUM DE INFORMATICA EN SALUD Estándares Capítulo 3 Manejo de la información de salud • Política • Utilización de códigos estandarizados de diagnóstico, códigos de procedimiento, símbolos, abreviaturas, • Definición de métodos para agregar comentarios / adiciones. • Los procesos de gestión de la información satisfacen las necesidades de información interna y externa. • Se recopila información sobre la enfermedad del paciente o la condición clínica y los cambios durante todo el proceso de cuidado. • Se comparte información sobre la enfermedad del paciente o condición a través de todo el continuo de la atención a cualquier miembro que sea pertinente del personal. • Se inicia, mantiene y pone a disposición un registro de salud de cada paciente.Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 23
  • 24. 12 SYMPOSIUM DE INFORMATICA EN SALUD Estándares Capitulo 4 Comunicación y transición asistencial • Política de comunicación • Definiciones de interoperabilidad • Modalidad de transferencia de información entres sectores • Comunicación verbal • Metodología de transmisión de información en las transiciones asistencialesSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 24
  • 25. 12 SYMPOSIUM DE INFORMATICA EN SALUD Metodología de evaluación • A través de cuestionarios • Los diferentes controles, en muchos casos son aplicables, en forma indistinta a procedimientos automatizados o no automatizados para el manejo de información • En caso de sistemas informáticos u otros recursos relacionados con TICs, muchos de los controles se dan por cumplidos si el establecimiento posee certificaciones que incluyan algunos o varios estándares. • Otros estándares pueden interpretarse como cumplidos si el establecimiento posee certificación de cumplimiento de la ley de datos personales (DNDP). • Para la certificación se requiere el cumplimiento del total de los controles, de lo contrario el dictamen genera un documento donde se específica el grado de madurez y las recomendaciones para la mejoraSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 25
  • 26. 12 SYMPOSIUM DE INFORMATICA EN SALUD Manejo de Información de Salud de las personas "Seguridad, integridad y confidencialidad en el manejo de la información de pacientes“ as ? P reguntSetiembre 2012 Ricardo Herrero - Jorge A. Guerra 26