Políticas de seguridad en el manejo de la historia clínica
Qué es la seguridad
Seguridad es una característica de un sistema (sea informático o no) por la cual podemos decir que el sistema está libre de peligro, daño o riesgo y que es, de alguna manera, infalible. Si centramos la definición de este concepto en el ámbito informático, podemos decir que seguridad sería la característica de un sistema que lo hace ser capaz de proteger sus datos frente a la destrucción, interceptación o modificación no deseadas.
Para lograr un proceso seguro en la administración de la información, debemos preguntarnos lo siguiente: ¿qué deseamos proteger? ¿De qué deseamos protegerlo?
¿Qué proteger?
Dentro de un sistema informático, los 3 elementos que debemos proteger son el hardware, el software y los datos.
Por hardware, entendemos a los elementos físicos que conforman el sistema, como el procesador, los discos, las cintas, los cableados, los elementos de comunicaciones, etc. Por software, entendemos al conjunto de programas lógicos que hacen funcionar al hardware, tanto sistemas operativos como aplicaciones.
Finalmente, como datos entendemos al conjunto de información lógica que manejan el hardware y el software; las entradas que se encuentran en una base de datos o los paquetes que viajan por una red son ejemplos de datos. Habitualmente, lo que debemos proteger son los datos, ya que tanto el hardware como el software son fácilmente recuperables.
¿De qué protegerlo?
Los tres elementos mencionados previamente deben ser protegidos de diversos factores que podrían dañarlos:
- a) Personas
La mayoría de las amenazas provienen, en última instancia, de personas. Además, se suele afirmar con toda razón que los elementos más débiles de nuestros sistemas informáticos son las personas.
Sus actuaciones pueden ser tanto intencionadas como no intencionadas, por lo cual será necesario arbitrar las medidas necesarias para protegerse de todo tipo de personas: personal, ex-empleados, hackers, crackers, phreakers, etc. Es este punto, conviene recordar que la mayor amenaza para nuestros sistemas proviene del personal que trabaja o ha trabajado con ellos.
- b) Amenazas lógicas
Son programas que pueden dañar nuestros sistemas. Al igual que hemos mencionado para la categoría anterior, estos programas pueden haber sido creados específicamente para producir el daño o pueden producir efectos perjudiciales por error.
En este punto, debe distinguirse entre: software incorrecto (bugs y los programas que se aprovechan de ellos, llamados exploits), puertas traseras, herramientas de seguridad, bombas lógicas, virus (gusanos, caballos de troya…), bacterias, técnicas salami, etc.
- c) Problemas físicos
En este apartado, se incluyen los factores que debemos tener en cuenta para proteger el hardware:
- – Sobrecargas eléctricas e interrupciones de alimentación: estos problemas pueden ser solucionados normalmente con redundancia en elementos críticos, como las fuentes de alimentación, las líneas que proporcionan la corriente eléctrica, con SAI y grupos electrógenos.
- – Temperaturas extremas, humedad, polvo: estos factores pueden ser solucionados en las salas de equipos críticos (servidores, armarios de red) y con elementos como climatizadores, deshumidificadores o extractores que controlen las condiciones medioambientales.
- d) Catástrofes
Es necesario asegurarse razonablemente de eventos catastróficos inesperados buscando un equilibrio entre las medidas de protección adoptadas y el coste de dichas medidas. Es muy importante ser consciente de que, aunque nuestra empresa sea muy segura ante ataques externos (hackers, virus, etc.), la seguridad será nula si no se ha previsto cómo combatir un incendio.
Alto en el camino. Séptima parada
Para intercambiar ideas
Como vemos, el manejo de la información médica es un aspecto muy importante, a la vez que sensible, en las instituciones sanitarias.
1) Reflexione: ¿Qué cambios introduciría Ud. en su espacio de trabajo, para mejorar la seguridad en el manejo de la información médica? Si no trabaja en un servicio de salud tome como referencia una institución sanitaria conocida.
2) Comparta su respuesta e intercambie ideas con sus compañeros en el mural colaborativo habilitado a tal fin.
Sistema de ingreso de usuarios al sistema
En todo proceso que implique manipulación de la información, intervienen personas que poseen acceso a la información según las tareas que lleven a cabo. Una secretaria en un servicio de salud, por ejemplo, debería poder acceder solo a una parte de una historia clínica, al igual que el personal de mantenimiento y maestranza, y otras personas que trabajan en centros de salud. En la realidad, los sistemas no funcionan así y pueden acceder a informes médicos personas que no deberían.
El proceso de solicitud de una historia clínica en un hospital es el siguiente:
- 1) El paciente solicita su historia clínica.
- 2) Más tarde, la historia clínica es llevada por personal de maestranza al servicio que la pidió. Estos puntos del recorrido son posibles momentos de filtración de la información.
El procesamiento de la información por parte de sistemas informáticos evita el traslado innecesario de información médica hacia el exterior de los centros de salud. Además, en caso de hacerlo, solo la persona autorizada por el paciente, quien en definitiva es el dueño de esa información, podrá verla.
El control del acceso a un sistema informático debe ser planteado sobre la base de las actividades que realiza cada persona interviniente en el proceso de la salud. Así, una secretaria solo podrá ingresar a ver datos para los cuales posea autorización y no a aquellos para los cuales tenga restricciones.
El control de accesos por usuarios debe ser el punto más importante en el ingreso de las distintas personas que intervienen, cada una con un nombre de usuario y contraseña. Este método permite la realización de auditorías de movimientos. Según este concepto, cada movimiento debe quedar registrado en el sistema con nombre de usuario, contraseña, fecha y hora, lo cual facilita el control del sistema por parte de los auditores. Un sistema de manejo de información sin controles de auditoría también es susceptible a alteraciones.
Establecer pautas mínimas de seguridad en los procesos informáticos, por lo tanto, es indispensable para garantizar la seguridad de la información médica de los pacientes.
Esquema de un sistema de autorizaciones online
A través de este sistema, la entidad puede realizar auditorías en línea y en tiempo real, lo cual permite una fiscalización y racionalización del gasto.
Como siempre en tecnología, lo simple se basa en lo complejo. El sistema envía la información a la obra social y verifica la pertinencia entre el diagnóstico y la prescripción con los protocolos médicos, tanto para en el orden de lo farmacológico como en lo relativo a análisis, imágenes, internaciones, etc. La obra social autoriza de acuerdo a estos protocolos. De la misma forma, si se prescribe menos de lo indicado para la patología diagnosticada, el protocolo debería también señalarlo, puesto que lo que busca es la excelencia, no la subprestación.
Si a una persona con una determinada patología se le prescriben fármacos o prácticas especializadas que no están de acuerdo con los protocolos, el sistema no autoriza -o emite una alarma- , lo que significa que la obra social no otorgará cobertura por esa prestación. Esto quiere decir que existe una auditoría online, antes de la realización de la prestación, en lugar de tener una auditoría posprestación, con engorrosa papelería y gastos innecesarios tanto para el prestador como para la obra social.
De esta forma, la obra social ahorra horas profesionales en áreas burocráticas, lo que le permite tener más médicos aplicados a lo que realmente importa: el cuidado de la salud del afiliado. Con este sistema, también se beneficia el prestador porque se simplifica su gestión administrativa y, a través de la auditoria en línea y en tiempo real, puede saber con certeza que su práctica será autorizada en el momento que la realiza y no podrá estar sujeta a débitos posteriores.
Ud. puede acceder aquí a un esquema comparativo del proceso de autorización de prestaciones en sistemas no informatizados y en sistemas informatizados. Luego, puede realizar la última actividad de nuestro recorrido, de caracter integrador.
¿Qué vamos a hacer? Actividad Nº 5
Luego de haber recorrido todo el material, le solicitamos que realice la Actividad Nº 5, integradora de unidades 4 y 5. Encontrará las consignas en el aula virtual.
