1. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
Manejo de Información de Salud
de las personas
"Seguridad, integridad y confidencialidad
en el manejo de la información de pacientes“
Dr. Ricardo Herrero - Lic Jorge Guerra

2. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
CALIDAD DE ATENCION DE SALUD
Resultado de la evolución de la metodología para
mejorar la calidad de la atención de salud:
• Enorme experiencia práctica que se ha ganado
(Varios países – diferentes áreas y especialidades)
• Mayor complejidad de la prestación de atención de salud
(eficiente y eficaz en función de los costos)
• Mayores expectativas de la población
• Avances en nuestros conocimientos sobre mejoramiento,
administración y práctica clínica
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 2

3. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
PRINCIPIOS DEL MEJORAMIENTO DE LA CALIDAD
• Enfoque en el cliente: satisfacer sus necesidades
• Comprensión del trabajo como Procesos y Sistemas
• Trabajo en Equipo: componentes interdisciplinarios
• Prueba de cambios en los procesos y sistemas mediante el uso de
datos: los datos se usan para analizar los procesos, identificar los
problemas y determinar si los cambios han producido mejoras
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 3

4. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
ESTRUCTURA INSUMOS-PROCESOS-RESULTADOS
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 4

5. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
GESTION DE LA INFORMACION
DE LOS SERVICIOS DE SALUD
• Los datos relativos a la salud de las personas han tenido siempre un
carácter estrictamente confidencial
• La información clínica debe estar protegida y disponible
(Ley 26.529 – Derechos del Paciente)
• La información está expuesta a nuevos y numerosos riesgos
• La información se ha convertido uno de los principales activos
estratégicos de las organizaciones:
(requiere una adecuada gestión en cuanto a su seguridad)
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 5

6. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
SEGURIDAD DE LA INFORMACION
CONCEPTOS BASICOS
• DISPONIBILIDAD
• INTEGRIDAD
• CONFIDENCIALIDAD
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 6

7. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
SEGURIDAD DE LA INFORMACION
REQUISITOS REÑIDOS ENTRE SI
Disponibilidad vs Confidencialidad
Necesidad de acceder Su acceso requiere de la
a los datos registrados en autorización del
su HC paciente
Las TIC han Las TIC crearon
potenciado la mecanismos
disponibilidad p/salvaguardar la
disponibilidad
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 7

8. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
SEGURIDAD DE LA INFORMACION
¿Dónde reside el verdadero nudo del problema?
EN EL PUNTO DE VISTA ORGANIZATIVO
• Definir una Estrategia Corporativa de Seguridad
• Compromiso entre Disponibilidad y Confidencialidad
• Formación y Concientización: profesionales y pacientes
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 8

9. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
HISTORIA CLINICA Y OTRAS FUENTES DE INFORMACION
• La historia clínica es la fuente de información más importante de los
servicios de salud.
Para garantizar su seguridad:
• Principio de calidad de la información basado en la unicidad los datos
• Autorización y autenticación para su acceso
• Acuerdos de Confidencialidad
• La historia administrativa es otra fuente de información
• Ejemplo: el número de habitación o el consultorio en que se
atiende un paciente permite deducir el servicio médico y a través
de éste especular sobre la enfermedad que sufre el paciente
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 9

10. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
MARCO LEGAL Y MEJORES PRACTICAS
Ley 25.326/2000 sobre Protección de Datos Personales
• Dirección Nacional de Protección de Datos Personales
(www.jus.gov.ar/datos-personales.aspx )
• Registrar las Bases de Datos
• Disponer del Documento de Seguridad de Datos personales
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 10

11. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
MARCO LEGAL Y MEJORES PRACTICAS
Ley 26.529/2009 sobre Derechos del Paciente
en su relación con los Profesionales e Instituciones de Salud
• Artículo 2 inciso d): Confidencialidad
• Artículo 14: Titularidad
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 11

12. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
MARCO LEGAL Y MEJORES PRACTICAS
Programa Nacional de Garantía de la Calidad de Atención Médica
http://www.msal.gov.ar/pngcam
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 12

13. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
MARCO LEGAL Y MEJORES PRACTICAS
Familia ISO 27000
• ISO 27001 y 2
• ISO 27799 (específica de Salud)
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 13

14. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
ACTUALIDAD
El Empleado, protagonista de los ataques (http://www.redusers.com/expandit)
• Los riesgos a la seguridad de la información de una empresa son más altos
a nivel interno:
• “El 80% de los casos de incidencias a la información se realiza desde el
interior de la organización”
• “Además, el 82% de estos casos son efectuados por empleados con
dolo, es decir, con conocimiento de que están causando un daño a la
empresa”
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 14

15. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
ACTUALIDAD
El Empleado, protagonista de los ataques (http://www.redusers.com/expandit)
Recomendaciones:
• Definir los perfiles de acceso a la información;
• Automatizar los procesos de desvinculaciones de los empleados de la org.;
• Determinar password “duros”;
• Obligar la renovación de contraseñas periódicamente;
• Auditar las políticas aplicadas y los accesos permitidos a cada usuario;
• Dejar pistas de auditoría de las acciones tomadas por el usuario;
• Tratar de evitar o limitar al mínimo el uso de discos de almacenamiento
local en las PCs;
• Utilizar back-up encriptadas;
• y almacenar los back-up en forma replicada externamente.
• Firmar acuerdos de confidencialidad
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 15

16. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
PROYECTO DE CERTIFICACION DEL MANEJO DE
LA INFORMACION DE SALUD DE LAS PERSONAS
No existe un organismo que certifique Sistemas de Información en Salud
Misión
Elaboración de un Modelo Integrado por instrumentos y
metodologías para que las instituciones de salud garanticen a sus
pacientes Confidencialidad, Disponibilidad e Integridad de sus
datos.
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 16

17. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
Objetivos
Elaborar un manual que contenga elementos objetivos y medibles
para que las Instituciones optimicen la forma en que manejan la
información de salud de las personas. El cumplimiento podría
desembocar en un proceso de certificación, pero el objetivo
primario es lograr una herramienta útil para los establecimientos y
para las personas que allí se asisten.
Beneficiarios
Las personas objetos de la atención propietaria de los datos y las
entidades depositarias de los mismos.
Resultados esperados
Disminuir los riesgos para la pérdida de confidencialidad,
integridad y disponibilidad de información de salud.
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 17

18. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
Estructura del manual
• Tipo de estándares
• Niveles de cumplimiento y madurez
• Estándares
• Metodología de evaluación
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 18

19. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
Tipo de estándares
Críticos
Son estándares que de no cumplirse total o parcialmente, pueden causar
perjuicios severos a las personas o al establecimiento.
EJEMPLO: el establecimiento tiene resuelto qué otras personas, además del paciente, estén
autorizadas a dar el consentimiento informado.
Centrales o nucleares
Son estándares importantes para la atención del paciente. Su cumplimiento
parcial no genera perjuicios severos a las personas o al establecimiento.
EJEMPLO: el establecimiento. ha desarrollado e implementado un listado de procedimientos para los
que se requiere indefectiblemente el consentimiento informado.
Extendidos
Son estándares complejos para implementar, que requieren un cambio
cultural y en general se vinculan al proceso de mejora continua.
EJEMPLO: existe el consentimiento informado firmado por el paciente para la participación en trabajos
de investigación y está suscripto por dos testigos.
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 19

20. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
Modelo de madurez
La evaluación establece el cumplimiento o el no cumplimiento
de los estándares y define el grado de madurez respecto al no
cumplimiento.
De este punto surgen las recomendaciones para la mejora.
Este concepto posibilita que un establecimiento a través de una
autoevaluación pueda definir el camino a seguir para lograr el
cumplimiento de los estándares y en base a la clasificación
anterior pueda elaborar una estrategia.
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 20

21. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
Estándares
Capítulo 1 Seguridad de la información
• Política de seguridad de la información
• Organización
• Gestión de activos
• Seguridad ligada con los recursos humanos
• Seguridad física y del entorno
• Gestión de comunicaciones y operaciones
• Control de accesos
• Adquisición, desarrollo y mantenimiento de sistemas
• Gestión de incidentes
• Gestión de la continuidad de negocio
• Conformidad
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 21

22. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
Estándares
Capítulo 2 Datos personales
• Política de privacidad
• Bancos de datos inscriptos ante la DNDP
• Calidad de los datos
• Recolección de los datos
• Cesión de datos
• Confidencialidad
• Actividades de publicidad directa
• Transferencia entre regiones
• Tratamiento de datos por cuenta de terceros
• Derechos del titular del dato
• Capacitación
• Acatamiento de las disposiciones de la DNDP
• investigaciones clínicas, farmacológicas y fármaco genéticas
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 22

23. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
Estándares
Capítulo 3 Manejo de la información de salud
• Política
• Utilización de códigos estandarizados de diagnóstico, códigos de
procedimiento, símbolos, abreviaturas,
• Definición de métodos para agregar comentarios / adiciones.
• Los procesos de gestión de la información satisfacen las necesidades de
información interna y externa.
• Se recopila información sobre la enfermedad del paciente o la condición
clínica y los cambios durante todo el proceso de cuidado.
• Se comparte información sobre la enfermedad del paciente o condición a
través de todo el continuo de la atención a cualquier miembro que sea
pertinente del personal.
• Se inicia, mantiene y pone a disposición un registro de salud de cada
paciente.
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 23

24. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
Estándares
Capitulo 4 Comunicación y transición asistencial
• Política de comunicación
• Definiciones de interoperabilidad
• Modalidad de transferencia de información entres sectores
• Comunicación verbal
• Metodología de transmisión de información en las transiciones
asistenciales
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 24

25. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
Metodología de evaluación
• A través de cuestionarios
• Los diferentes controles, en muchos casos son aplicables, en forma
indistinta a procedimientos automatizados o no automatizados para el
manejo de información
• En caso de sistemas informáticos u otros recursos relacionados con
TICs, muchos de los controles se dan por cumplidos si el
establecimiento posee certificaciones que incluyan algunos o varios
estándares.
• Otros estándares pueden interpretarse como cumplidos si el
establecimiento posee certificación de cumplimiento de la ley de
datos personales (DNDP).
• Para la certificación se requiere el cumplimiento del total de los
controles, de lo contrario el dictamen genera un documento donde se
específica el grado de madurez y las recomendaciones para la mejora
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 25

26. 12 SYMPOSIUM DE
INFORMATICA EN SALUD
Manejo de Información de Salud
de las personas
"Seguridad, integridad y confidencialidad
en el manejo de la información de pacientes“
as ?
P regunt
Setiembre 2012 Ricardo Herrero - Jorge A. Guerra 26