Carlos Hdez. Salvador Unidad de Investigación en Telemedicina y e-Salud

SGSAFI-ISCIII

III Congreso de Bioética. Madrid 20 noviembre 2015. “Aspectos éticos del acceso a los datos de salud”

Control de acceso y Anonimización

basados en normas

Mesa: Retos que plantea el acceso a la Historia Clínica con fines de investigación

ISO 215

CEN

TC251 HISPP

ANSI EBES

EBES-M9

ONU

EWOS

OTROS

ORGANISMOS NACIONALES

AENOR AEN-CTN139 openEHR

Normas (Estándares....): Organizaciones

HL7

CIMI

eHealth Standardization Focus Group (2004)

AENOR AEN-CTN139

Normas en TIC para la salud

• CEN TC 251 • ISO TC 215 • IEC • ITU • IEEE • EICTA • DICOM • HL7 • OASIS • W3C • UNCEFACT • Interoperability Summit

• IHE • OMG/CORBA • ANSI • ASTM • ERIS • EUROFOUND • EFSA • EMEA • EMCDDA • Scientific

organizations such as IMIA, EFMI

Normas en TIC para seguridad en HCE

• UNE-EN-ISO 13606:2013. Comunicación de la historia clínica electrónica. (ISO 13606:2008)

Parte 1: Modelo de Referencia Parte 2: Modelo de Arquetipos Parte 3: Vocabulario y Arquetipos de Referencia Parte 4: Seguridad Parte 5: Interfaces

Comunicar (acceder, transferir, modificar o añadir) datos de HCE vía mensajes electrónicos o como objetos distribuidos.

• ISO TS 22600. Privilege Management and Access Control (PMAC)

UNE-EN-ISO 13606: Comunicación HCE Objetivos principales de la norma:

• Transferencia de la HCE o de una parte manteniendo la interoperabilidad semántica (CEN/TC 251).

• Facilitar requerimientos de seguridad: Auditoría Control de acceso Información anónima Integridad No repudio

Implica poder transferir la información y su contexto sin que haya pérdidas y manteniendo el significado que se le dio en origen.

UNE-EN-ISO 13606: Comunicación HCE

Sigue los paradigmas del diseño actual de normas:

• Norma = Modelo (separación de responsabilidades)

• Trata de los datos manejados, independientemente de la tecnología o de los actores involucrados (separación de puntos de vista).

• Representación del conocimiento del dominio (separación de información y conocimiento) Es una norma solo para la comunicación, del nivel de información e implementa una estrategia de doble modelo: de referencia y de arquetipos

Separación de puntos de vista

EMPRESA Reglas de negocio

INGENIERÍA

INFORMACIÓN

TÉCNICO

COMPUTACIÓN

SALUD Dirección

Organización Procesos Personas

GESTIÓN DEL CONOCIMIENTO

Terminologías Ontologías Arquetipos

TIC Comunicación

Tecnología

INTEROPERABILIDAD

SEMÁNTICA

INTEROPERABILIDAD

ORGANIZATIVA

INTEROPERABILIDAD

TÉCNICA Y

SINTÁCTICA

(ISO RM/ODP) ITU-T Rec. X.901-X.904 and ISO/IEC 10746):

Personal Técnico

Expertos en

semántica y agentes sanitarios

Agentes sanitarios

EN 13940

13606:1 13606:2

XML SOA

…

Codificación en la HCE No bastan las terminologías….

Juan Español refiere una posible reacción adversa al paracetamol por unos síntomas gastrointestinales tras su ingestión, hace un año. Dr. Mengano. Hospital Central. Fecha: 2011/06/30

UNA NOTA DE ALERTA

Terminologías

Estructura de datos (reacción adversa)

Contexto Con permiso de: Pablo Serrano Hospital de Fuenlabrada

ISO 13606 Doble modelo: Soluciones Representación:

Vocabulario común para codificar términos:

TERMINOLOGÍAS

ARQUETIPOS

MODELO DE REFERENCIA

Mecanismo para representar las estructuras de datos:

Mecanismo para representar el contexto:

UNE-EN-ISO 13606: Modelo de referencia

Composiciones

Carpetas

Secciones

Agrupaciones

Elementos

Entradas

HCE (Extractos)

UNE-EN-ISO 13606: Estructura HCE Extracto (EHR_EXTRACT)

Composición (COMPOSITION) V 1.0

Composición (COMPOSITION) V 1.0 Composición (COMPOSITION) V 2.0

Entrada (ENTRY)

Sección (SECTION)

Entrada(ENTRY)

Elem. (ELEMENT)

Elem. (ELEMENT)

Elem. (ELEMENT) Grupo (CLUSTER)

Elem. (ELEMENT)

Elem. (ELEMENT)

Carpeta (FOLDER)

Fólder (FOLDER)

Composición

Composición

Composición

UNE-EN-ISO 13606: Comunicación HCE

• Identificación del sujeto de atención (el paciente)

• Identificación del registro

• Identificación del agente clínico que autoriza la extracción

• Cuándo se creó el extracto

• El criterio de selección empleado

Se transfieren extractos:

ISO 13606: Escenario de comunicación

Parte A Solicitante EHR

solicitud EHR_EXTRACT

reconocimiento petición

{OR}

Parte C Servidor EHR

Parte B Proveedor EHR

Receptor EHR

provee EHR_EXTRACT

deniega EHR_EXTRACT

reconocimiento dat/deneg

Revisor Audit Log

solicitud audit log view

provee audit log view

deniega audit log view

reconocimiento dat/deneg

{OR}

Audit Log

tomar decisión sobre acceso filtrar si es necesario

crear entrada audit log (*) no incluido en la norma

extraer audit log filtrar si es necesario

Políticas de acceso

UNE-EN-ISO 13606: Seguridad de la Inform

• Identificación única del componente • Significado clínico del componente • Soporte de las políticas de acceso • Sensibilidad del contenido

• Todas las modificaciones hechas en una composición quedan registradas.

• También se guarda información de quién cuándo y por qué ha cambiado la composición

• Los atestados se incluyen en dicha composición

• La información demográfica está separada

Seguridad en información clínica

Control de acceso

ISO 13606: Control de Acceso

RECORD_COMPONENT

name: TEXT [1] archetype_id: II [0..1] rc_id: II [1] meaning: CV [0..1] synthesised: Boolean [1] = FALSE policy_ids: SET<II> [0..1] sensitivity: Integer [0..1] orig_parent_ref: II [0..1]

• La norma no fija políticas, proporciona herramientas. • Múltiples políticas de acceso (establecidas por entidades):

Políticas nacionales. Políticas profesionales Políticas de la organización Políticas de la aplicación

• Se definen 2 niveles de control de acceso

- Por concordancia entre rol funcional y sensibilidad - Por políticas de acceso

ISO 13606: Control de Acceso - Bases Se siguen los modelos de ISO TS 22600. Privilege Management and Access Control (PMAC):

Principal

SR_Policy

Structural_Role

Role_Hierarchy

1..*

1

FR_Policy

Functional_Role0..*0..* 0..*0..*

User_Assignment1..*1

Process_PolicySession1..*

0..*

1..*

0..*

User_Session

1

1..*

1

1..*

Session_Role

1..* 1

Target_Policy

Target_Component0..*0..* 0..*0..*

Permission_Assignment1..*

1

1..*

1

1 1..*

1..* 1

1

1..*

Dos tipos de roles: estructurales y funcionales

Bases de actuación, ej. Org. Sanit.

Entidad

Rol

Participación

Actividad

~1500-2000 Plantilla

~250 Roles estructurales

~7 Roles funcionales

~5 Niveles sensibilidad

Habilidad para especificar políticas de acceso particulares a: Personas y grupos para clases e instancias de datos

Base para definir políticas de control de acceso a componentes de EHR

13606: Método de Control de Acceso 1 Sensibilidad: Atributo en TODOS los componentes

5 grados: 5. Atención personal 4. Atención privilegiada 3. Atención clínica 2. Gestión clínica 1. Gestión del cuidado

Roles funcionales: 7. Sujeto de atención 6. Agente del sujeto de atención 5. Profesional sanitario personal 4. Profesional sanitario privilegiado 3. Profesional sanitario 2. Profesional relacionado atención 1. Administrativo

Valores atributo RC.sensibilidad 5: “(Atención) Personal” = Solamente accesible al paciente y una o dos personas de su máxima confianza (por on-off autorizaciones)

4: “(Atención) Privilegiada” = acceso restringido a un pequeño grupo de personas que atienden de forma íntima al paciente, o un grupo de atención urgente (el área clínica privilegiada necesita ser especificada, p.ej. salud mental)

3: “(Atención) Clínica” = el acceso normal en la asistencia clínica (por defecto, la mayoría de la HCE)

2: “Gestión clínica” = datos (elementos) menos sensibles; accesibles por un amplio abanico de personal, no implicado directa y activamente en la atención al paciente (p.ej. Radiología, Laboratorios)

1: “Gestión asistencial” = datos (elementos) accesibles por personal administrativo para gestionar el acceso de los pacientes a los servicios sanitarios.

Roles Funcionales 7. Sujeto de atención (normalmente el paciente)

6. Agente del sujeto de atención (padre, tutor, cuidador, u otro representante legal)

5. Profesional sanitario personal (el profesional con la relación mas cercana al paciente, a menudo su médico de AP)

4. Profesional sanitario privilegiado - nominado por el sujeto de atención

- nominado por la organización asistencial (por regulación, práctica, emergencia, etc.)

3. Profesional sanitario (implicado directamente en la provisión de la asistencia)

2. Profesional relacionado con la asistencia (indirectamente implicado en la atención, docencia, investigación, etc.)

1. Administrativo (incluyendo cualquier parte que soporte la provisión de servicios al paciente)

13606: Método de Control de Acceso 1 Sensibilidad Rol Funcional

Gestión asistencial

Gestión clínica

Atención clínica

Atención privilegiada

Atención personal

Sujeto de atención X X X X X Agente del sujeto de atención

X X X X X

Profesional personal

X X X X X

Profesional privilegiado

X X X X* X**

Profesional clínico X X X

Profesional relacionado

X X

Administrativo X

* Acceso si el solicitante pertenece al mismo servicio que quien generó la información ** Acceso concedido por mandato en casos muy particulares (p. ej. en algunos países, por intervención militar)

13606: CA– Ejemplo 1

Contacto Asma

Arquetipo = Visita Primaria

ID = 1230

Sensibilidad:

Atención clínica [3]

Depresión

Arquetipo = Consulta externa

ID = 1231

Sensibilidad:

At. privilegiada [4]

(Gr: Salud mental)

Infección Clamidia

Arquetipo = Test Lab

ID = 1232

Sensibilidad:

At. privilegiada [4]

(Gr: Salud sexual)

Test VIH

Arquetipo = Test Lab

ID = 1233

Sensibilidad:

At. privilegiada [4]

(Gr: Salud sexual)

EHR id = Juana Española

Rol: Agente (madre) Excluir: - Arquetipo = “Test Lab”

Excluir: - “Juan74”

María: Médico AP “Profesional Sanitario

Personal” [5]

13606: CA– Ejemplo 2

Contacto Asma

Arquetipo = Visita Primaria

ID = 1230

Sensibilidad:

Atención clínica [3]

Depresión

Arquetipo = Consulta externa

ID = 1231

Sensibilidad:

At. privilegiada [4]

(Gr: Salud mental)

Infección Clamidia

Arquetipo = Test Lab

ID = 1232

Sensibilidad:

At. privilegiada [4]

(Gr: Salud sexual)

Test VIH

Arquetipo = Test Lab

ID = 1233

Sensibilidad:

At. privilegiada [4]

(Gr: Salud sexual)

EHR id = Juana Española

Rol: Agente (madre) Excluir: - Arquetipo = “Test Lab”

Excluir: - “Juan74”

Pedro: ENF “Profesional Sanitario” [3]

13606: CA– Ejemplo 3

Contacto Asma

Arquetipo = Visita Primaria

ID = 1230

Sensibilidad:

Atención clínica [3]

Depresión

Arquetipo = Consulta externa

ID = 1231

Sensibilidad:

At. privilegiada [4]

(Gr: Salud mental)

Infección Clamidia

Arquetipo = Test Lab

ID = 1232

Sensibilidad:

At. privilegiada [4]

(Gr: Salud sexual)

Test VIH

Arquetipo = Test Lab

ID = 1233

Sensibilidad:

At. privilegiada [4]

(Gr: Salud sexual)

EHR id = Juana Española

Rol: Agente (madre) Excluir: - Arquetipo = “Test Lab”

Excluir: - “Juan74”

Ana: ENF (Salud sexual) “Profesional Sanitario

Privilegiado” [4]

13606: CA– Ejemplo 4

Contacto Asma

Arquetipo = Visita Primaria

ID = 1230

Sensibilidad:

Atención clínica [3]

Depresión

Arquetipo = Consulta externa

ID = 1231

Sensibilidad:

At. privilegiada [4]

(Gr: Salud mental)

Infección Clamidia

Arquetipo = Test Lab

ID = 1232

Sensibilidad:

At. privilegiada [4]

(Gr: Salud sexual)

Test VIH

Arquetipo = Test Lab

ID = 1233

Sensibilidad:

At. privilegiada [4]

(Gr: Salud sexual)

EHR id = Juana Española

Rol: Agente (madre) Excluir: - Arquetipo = “Test Lab”

Excluir: - “Juan74”

Juan74: ENF (Salud Sexual) “Profesional Sanitario

Privilegiado” [4]

13606: CA– Ejemplo 5

Contacto Asma

Arquetipo = Visita Primaria

ID = 1230

Sensibilidad:

Atención clínica [3]

Depresión

Arquetipo = Consulta externa

ID = 1231

Sensibilidad:

At. privilegiada [4]

(Gr: Salud mental)

Infección Clamidia

Arquetipo = Test Lab

ID = 1232

Sensibilidad:

At. privilegiada [4]

(Gr: Salud sexual)

Test VIH

Arquetipo = Test Lab

ID = 1233

Sensibilidad:

At. privilegiada [4]

(Gr: Salud sexual)

EHR id = Juana Española

Rol: Agente (madre) Excluir: - Arquetipo = “Test Lab”

Excluir: - “Juan74”

Eva: Madre de Juana “Agente del Sujeto

de Atención” [5]

13606: Método de Control de Acceso 2 Políticas de acceso: • Viajan en el extracto, como composiciones (una por política), en una carpeta propia.

• La norma las modela por medio de un arquetipo. Se pueden enviar y compartir

Composición: Política de acceso

Sección: Componentes del registro a los que se refiere la política

Sección: Reglas de acceso

Sección: Información de la solicitud

Sección: Auditoría de la política

Seguridad en información clínica

Información anónima

13606: Información Anónima

La información demográfica está separada

Se hace referencia a las entidades con un identificador

13606: Modelo demográfico

-id en el extracto -conjunto de id’s IDENTIFIED_ENTITY:

Clase principal del paquete demográfico. Agrupa todos los tipos de entidades demográficas. Tipo II (Instancia Identifier): Dos objetos II se consideran iguales si, y sólo si, sus valores para los campos de la raíz y de extensión son los mismos

Ej. Sistema Anonimizador basado en 13606

• Se instala en el sistema emisor

• Dos módulos: Anonimizador y Servidor demográfico

• La información demográfica nunca sale de su sistema de origen.

Servicio de la Plataforma PITES: Somolinos R, et al. Service for the Pseudonymization of Electronic Healthcare Records Based on ISO/EN 13606 for the Secondary Use of Information. IEEE J Biomed Health Inform. 2015;19(6):1937-44.

Ej. Sistema Anonimizador basado en 13606

• Lugar de residencia: a) Suprimido, b) País, c) Estado, d) Ciudad, e) Código postal, y f) Todo incluido.

• K-Anonymity

• Sexo: a) Suprimido b) Incluido

• Fecha de nacimiento: a) Suprimida b) Grupos de 10 años c) Grupos de 5 años d) Año e) Mes f) Día.

l-Diversity

t-Closeness

m-Invariance

ε-Diferential privacy

Conclusión

Está disponible una norma, la UNE-EN-ISO 13606, que permite comunicar HCEs (acceder, transferir, modificar o añadir):

• Manteniendo la interoperabilidad semántica. • Facilitando la seguridad: Auditoría Control de acceso Información anónima Integridad No repudio

Proyectos Nacionales

NHS. National Clinical Content Repository (NCCR). http://www.connectingforhealth.nhs. uk/systemsandservices/clinrecords/nccr/index_html Accessed May 2015.

The Swedish e-Health approach. http://www.cehis.se/images/uploads/dokumentarkiv/Lund_ 101102_Swedish_eHealth_approach_KH_Lundell_101110.pdf Accessed May 2015.

Spanish Ministry of Health. Recursos de modelado clinico (arquetipos). https://www.msssi.gob.es/profesionales/hcdsns/areaRecursosSem/Rec_mod_clinico_arquetipos.htm Accessed May 2015.

Base de Registro Eletronico em Saude do estado de Minas Gerais (Brasil). http://sres.saude.mg.gov.br Accessed May 2015.

Proyectos Nacionales From: openEHR-technical [mailto:openehr-technical-bounces@lists.openehr.org] On Behalf Of Shinji KOBAYASHI Sent: den 8 oktober 2015 14:20 To: For openEHR clinical discussions; For openEHR technical discussions; For openEHR implementation discussions Subject: Nation wide EHR project by openEHR/ISO13606 got fund in Japan.

Dear openEHR colleagues,

We are happy to announce that Japan Medical Network Association (JMNA) was designated to implement nation wide EHR with openEHR/ISO 13606 information models in competitive bid by Japan agency for medical research and development.

To the next March, JMNA will implement EHR system with vendors in Japan by this budget, about 5 million USD.

We, openEHR Japan, will contribute to make models for this EHR project.

Para saber más…

http://publicaciones.isciii.es/ Herramientas:

LinkEHR. http://linkehr.com/

Página de openEHR con listado de herramientas: http://www.openehr.org/es/downloads/modellingtools

III Congreso de Bioética. Madrid 20 noviembre 2015. “Aspectos éticos del acceso a los datos de salud”

Carlos H. Salvador Director de la Unidad 918222101 677921080 chsalvador@isciii.es

Unidad de Investigación en Telemedicina y e-Salud. SGSAFI - ISCIII