● Un fichero es un documento en el que se recogen y organizan datos que puede tener diversos órdenes y orígenes. Es obligatorio comunicar a la Agencia Española de Protección de Datos que procedemos a su apertura con datos de carácter personal, según establece la LOPD en su artículo 26.1.

● Los ciudadanos tienen que ser informados de su:● -. Derecho a ser informado expresa e inequívocamente, en el momento de recogida de sus

datos personales, de la existencia de un fichero, de la finalidad de la recogida, etc. El titular del derecho a la información es el ciudadano, pudiendo también recaer en algún familiar o persona autorizada por él.

● -. Derecho de consulta al Registro General de Protección de Datos. Para poder conocer la existencia de tratamientos de datos de carácter personal, sus finalidades y la identidad del responsable del tratamiento.

● -. Derecho de acceso a sus datos personales, sometidos a tratamiento, para conocer su origen y las comunicaciones realizadas.

● -. Derecho de rectificación de los datos personales que sean erróneos, inexactos o incompletos.

● -. Derecho de cancelación de aquellos datos que sean erróneos, inexactos e incompletos. No se procederá a la cancelación cuando ello suponga lesiones a interés de terceras personas o cuando exista obligación de conservar dichos datos.

● -. Derecho de oposición para que no se lleve a cabo el tratamiento de sus datos personales o el cese en el mismo.

● -. Derecho de indemnización. En aquello casos en los que el incumplimiento de la Ley de origen a lesiones, en sus bienes o derechos, por parte de los que manejan los datos.

1-.¿Qué derechos recogidos en la normativa de protección de datos deberíamos de informar a los ciudadanos?.

● Los centros sanitarios están obligados a garantizar la protección de los datos personales y la confidencialidad de la historia clínica, salvo en casos concretos.

● Fernández-Alemán et al, en el libro recomendado, hacen un estudio sobre los comportamientos

en seguridad de los profesionales de un hospital público. Llegando a la conclusión de que se incumplen, frecuentemente, las medidas de seguridad. Así: usando contraseñas fácilmente vulnerables, dejando la pantalla a la vista de personas ajenas, etc. Sólo mediante una adecuada formación en seguridad y protección de datos personales se podrá llegar a conseguir una máxima confidencialidad y privacidad de la información personal.

● La información recogida en la historia clínica es privativa del paciente y está protegida por la

LOPD. Los datos personales en ella contenidos sólo podrán ser pedidos o cedidos por/para:

● -. Interés general. El acceso a los datos puede verse limitado por necesidades terapéuticas. El profesional lo deberá anotar en la historia clínica. Así: en casos de prevención o protección de la salud en situaciones de riesgo inminente para la salud de las personas o de urgencias. Está cesión no requiere consentimiento previo de los interesados y puede ser puntual y extraordinaria.

● -. Para fines epidemiológicos o por otras motivaciones de salud pública, podrá ser utilizada por los profesionales y mediante petición por las administraciones que la soliciten. En todos los casos hay que mantener el secreto de la misma.

2-.¿La normativa de historia clínica establece alguna restricción a este acceso del ciudadano? SI.

● -. No puede ejecutarse el derecho del ciudadano en perjuicio del derecho de terceras personas a la confidencialidad de datos de la historia clínica. Ni en perjuicio de los profesionales que los elaboraron (que pueden oponer al derecho de acceso del paciente, el de reserva de sus anotaciones clínicas).

● -. Por parte del personal sanitario y con finalidades distintas a las asistenciales. Así para inspección evaluación, planificación, etc.

● -. Para la gestión de servicios sanitarios. Sólo para datos relacionados con ese fin y con la búsqueda de la eficacia y eficiencia de los sistemas sanitarios.

● -. Por terceras personas y con otras finalidades: investigación, docencia, etc. Siendo obligatorio preservar los datos identificativos del ciudadano, excepto en el caso de una investigación judicial.

2-.¿La normativa de historia clínica establece alguna restricción a este acceso del ciudadano? SI.

● Según el Artículo 35 de la Ley 30/1992 de 26 de noviembre todo ciudadano tiene derecho a relacionarse con las Administraciones Públicas por medios electrónicos.

● En la Ley 11/2007 publicada el 23/06/2007 se reconoce:

● -. El derecho e los ciudadanos o relacionarse con las Administraciones Públicas a través de medios electrónicos. Se regula, también, el uso de las Tic en la administración y su uso por el ciudadano.

● -. Las Administraciones Públicas garantizarán la disponibilidad, el acceso, la integridad, la confidencialidad y la conservación de los datos e informes que se le encarguen.

● -. El marco de aplicación serán: los ciudadanos y sus relaciones con las Administraciones Públicas.

3-. ¿Qué elementos hemos de tener en cuenta en relación al Acceso electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007).

● Por medio de la mencionada Ley lo que se pretende es:

● -.Hacer posible que los ciudadanos ejerzan sus derechos y cumplan con sus deberes utilizando las nuevas tecnologías.

● -. Acercar al ciudadano a la información y al procedimiento administrativo a través del empleo de medios electrónicos. La accesibilidad a la información y a los servicios públicos debe ser segura y comprensible.

● -. Establecer las medidas de seguridad necesarias para garantizar la intimidad y la protección de datos personales (según la Ley Orgánica 15/1999).

● -. Mantener el principio de igualdad en la petición de servicios públicos entre los que utilicen medios electrónicos y los que no lo hacen.

● -. Mantenimiento de las garantías jurídicas que regulan las relaciones entre ciudadanos y administraciones (Ley 30/1992).

● _. Acercar la administración al ciudadano.● -. Contribuir a mejorar el funcionamiento de las administraciones mediante el uso

de los medios electrónicos. Para conseguir unas administraciones más simples, simplificación administrativa, que empleen menos tiempo en los procesos, que sean más eficaces, eficientes y trasparentes.

● -. El empleo de las nuevas tecnologías electrónicas deberá ayudar a lograr un mayor uso de dichos medios en la relación ciudadanos administraciones. El acceso a los servicios electrónicos se podrá realizar: en oficinas de atención personal, en puntos de acceso electrónico y por medio de servicios de telefonía.

3-. ¿Qué elementos hemos de tener en cuenta en relación al Acceso electrónico de los Ciudadanos a los Servicios Públicos (Ley 11/2007).

4-. Identificación de requerimientos técnicos – Principios generales Ley 11/2007

● Dentro de la ley 11/2007 en su artículo 4 se establecen unos principios generales de los que luego se derivarán unos requerimientos técnicos para su implantación.

● Cumplimiento de la ley 15/1999 de protección de datos (LOPD)● Garantizar el principio de igualdad evitando que el uso de medios electrónicos signifique una

restricción o discriminación.● Garantizar la accesibilidad a la información● Mantenimiento de la integridad de las garantías jurídicas establecidas en al ley 30/1992● Establecer la cooperación en la utilización de medios electrónicos por las Administraciones

Públicas al objeto de garantizar la interoperabilidad entre sistemas.● Principio de proporcionalidad, exigiendo las garantías y medidas de seguridad adecuadas a la

naturaleza y circunstancias de los distintos trámites y actuaciones.● Principio de responsabilidad y calidad en la veracidad y autenticidad de las informaciones y

servicios.● Principio de neutralidad tecnológica y de adaptabilidad al progreso de las técnicas y sistemas de

comunicaciones.● Principio de simplificación administrativa.● Principio de transparencia y publicidad del procedimiento.

5-. Identificación de requerimientos técnicos - Seguridad

● Firma digital, conexiones SSL con autenticación y validación de certificados.● Confidencialidad utilizando protocolos seguros como SSL HTTPS…● Integridad en la información, mediante el uso de firma electrónica evitaremos repudio,

garantizamos trazabilidad detectar modificaciones de datos● Disponibilidad Utilización de sistemas redundantes, protección contra ataques DoS,

troyanos…. ● Establecer análisis de riesgos.● Protección de soportes de datos – Política de copias de seguridad.● Auditoria y control de la seguridad – GESTION DEL RIESGO.● Control de acceso a través de aplicaciones móviles – Utilización sello de seguridad

tipo distintivo AppSaludable.

ConfidencialidadAutenticidad Integridad Disponibilidad

6-. Identificación de requerimientos técnicos – Transmisión de datos entre las distintas administraciones.

● Norma CEN/ISO EN13606 cuyo objetivo es lograr la interoperabilidad semántica entre sistemas de Historia Clínica Electrónica● Modelo de referencia (orientación a objetos y UML)● Especificación de intercambio de arquetipos● Arquetipos de referencia● Características de seguridad● Modelos de intercambio para dar soporte a las comunicaciones basadas en mensajes o en

servicios.

● Estándares utilizados● UCUM (Unified Code for Units o Measures )● HL7 (Health Level 7)● SNOMED (Systemated Nomenclature o Medicine-Clinical Terms )● WSDL (Web Service Description Language )

7-. Identificación de requerimientos técnicos – HCR y Establecimiento de canales o medios para la prestación

● Previo a la utilización del canal Definición de HCR, ● Proyecto epSOS recuperación de datos a demanda

● Establecer el terreno para alcanzar una seguridad y privacidad exitosas de todos los datos médicos intercambiados.

● Conectar los distintos sistemas sin poner en riesgo la privacidad y la integridad de los datos ya existentes.

● Ser lo suficientemente flexible como para manejar las diferentes maneras de identificación, autenticación y autorización, permitiendo adaptarse a las distintas regulaciones legales a las que ha de enfrentarse.

● Portales de salud ● Ofrecen posibilidad de acceso.● Adecuadamente administrados garantizan la Confidencialidad, Autenticidad, Integridad y

Disponibilidad.

● PROBLEMA – Cada comunidad tiene su propio portal. ● A nivel nacional integración con EN 13606● A nivel europeo proyecto epSOS

7-. Identificación de requerimientos técnicos – Política de estándares para el SNS

● En el aspecto puramente técnico se recomienda seguimiento de los estándares siguientes:

● Formato de intercambio de datos XML● Formato de documentos a intercambiar PDF● Formato de intercambio de imagen DICOM● Códigos de CCAA, provincias municipios.. Tablas del INE● Identificación de paciente mediante número de Tarjeta Sanitaria preferiblemente● Identificación de profesionales mediante DNI● Utilización de certificados de seguridad● Intercambio de información clínica HL7 CDA nivel 1

● No es ESTANDAR pero es NECESARIO.● Definir conjunto de datos para Historia Clínica Resumida

● Demográficos del paciente, Médico, centro sanitario, datos clínicos…..● Definir conjunto de datos para Receta Electrónica

● Datos comunes● Datos de prescripción● Datos de dispensación

8- Identificar qué procedimientos deberíamos diseñar para implantar esta funcionalidad.

● Inicialmente debemos de identificar quién aportará la información clínica. Al tratarse de un centro público debemos de hacer inventario de los ficheros físicos, decidir cuales se han de notificar y desarrollar una disposición general que publicaremos en el boletín oficial. Será el responsable del fichero ( en este caso nuestra entidad pública) la que notifique a la agencia de protección de datos.

● El ciudadano que quiera acceder a sus datos personales lo hará mediante certificado digital a través del portal de salud del centro sanitario

● En el momento de acceso, deberá de firmar un consentimiento informado, para que sus datos pasen a un fichero al que pueda acceder para consultar sus datos de salud relevantes. En este consentimiento informado indicaremos claramente a que datos tendrá acceso el ciudadano.

● El ciudadano podrá consultar el historial de acceso a su HCE, para garantizar su legitimidad

8- Identificar qué procedimientos deberíamos diseñar para implantar esta funcionalidad.

● A que tendrá acceso el ciudadano?

● Historia clínica resumida (alergias, patologías activas y patologías resultas relevantes). Consideramos importante el acceso a ésta por parte del paciente porque funciona como registro de todos los contactos de salud.

● Tratamientos activos. Evitar consultas innecesarias para obtener la copia de su receta en formato electrónico.

● Historial de tratamientos.Para conocer qué profesional ha recetado el tratamiento y en relación a qué episodio.

● Resultados de pruebas de laboratorio, imagen o otras pruebas. Evitar duplicidades de pruebas así como copias innecesarias y permitir segundas opiniones.

● Informes de alta de Servicio de urgèncias hospitalario y atención continuada. Para revisar tratamientos en relación a episodios o aportar información a profesionales de la salud que no tienen acceso al sistema público.

● Informes clínicos de atención primaria y especializada. Lo anteriormente expuesto.● Informes de cuidados de infermeria. Registros de peso, talla, adminsitración de

medicación o como realizar curas. También se pueden incluir consejos higienico-dietéticos.

8- Identificar qué procedimientos deberíamos diseñar para implantar esta funcionalidad.

● Definición de estándares ● Utilizaremos un formato PDF encriptado para compartir todos los informes a

los que tendrá acceso el paciente y garantizar su facilidad para la consulta así como evitar su modificación (elemento de consulta).

● Tiene un facil manejo● Puede ser utilizable a nivel de aplicación móvil● Se necesitará la clave de acceso del certificado digital para poder

acceder a él● También codificaremos en DICOM las pruebas de imagen y diagnósticas,

por si el paciente quiere utilizarlas. ● Todos los documentos estarán debidamente codificados con el número de

identificación personal del paciente así como su NIE.● Asimismo en todos se podrá consultar el número de colegiado de todos los

profesionales que han participado en la asistencia.

8- Identificar qué procedimientos deberíamos diseñar para implementar esta funcionalidad.

● Seguridad

● La propia institución designará un servidor donde almacenar toda la información.

● El acceso se realitzarà mediante certificado digital siguiendo protocolos seguros como SSL HTTPS. El portal de salud solo serà accesible desde la pròpia web de nuestra institución.

● Con cada contacto de salud, se generará un archivo PDF encriptado en relación a un número de identificación personal con enlace al portal de salud, solo accesible mediante certificado digital del NIE asociado a ese número. Igualmente sucederá con las pruebas de imagen y laboratorio así como la historia clínica resumida.

● Para evitar ataques Utilizaremos sistemas redundantes.

● Se realizará una auditoría de Seguridad de manera periòdica para garantizar la confidencialidad.

● En el caso de desarrollar una aplicación móvil para el acceso realizaremos controles exhaustivos así como utilizaremos un sello de calidad de App saludable y solicitaremos el HONcode.

8- Identificar qué procedimientos deberíamos diseñar para implementar esta funcionalidad.

● En el caso que nuestro sistema de salud forme parte de un sistema público interconectado en el que se comparta información clínica por parte de los profesionales deberemos de definir también:

● El acceso de los profesionales se realizará mediante certificado de seguridad digital (DNI) para quedar constancia del acceso y ser rastreable

● Sólo se podrá acceder a historias de los ciudadanos en el caso que sea necesario realizar una prestación de salud.

● Si existe información que se considera sólo de utilidad para un profesional y se considera que no es necesario compartir para otro tipo de prestación, el profesional podrá ocultarla al registro pero quedará indicado que ha codificado esa información (en relación a su número de colegiado).

● Deberemos de establecer formatos de intercambio de ficheros y datos, utilizando: formato de intercambio de datos XML, formato de documentos a intercambiar PDF y formato de intercambio de imagen DICOM.

● Identificamos al paciente mediante DNI y número de tarjeta sanitaria con la codificación de las comunidades autónomas incluida.

BIBLIOGRAFIA● Fernández Alemán, JL, et al. “Analysis of health profesional security

behaviors in a real clinical setting: an empirical study”. 2015. Int J Med Inform 84 (6), 454-467. 2015 Jan 23

● Ley de Acceso Electrónico de los Ciudadanos a los Servicios Públicos. BOE nº 150 de 23/06/2007. Disponible en: https://www.boe.es/boe/dias/2007/06/23/pdfs/A27150-27166.pdf

● Ley Orgánica de Protección de datos Personales de 15/1999. Disponible en: BOE nº 298 de 14 de diciembre de 1999. https://www.boe.es/boe/dias/1999/12/14/pdfs/A4382-43099 pdf

● Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal. Disponible en BOE nº 17 de 19 de enero de 2008. www.boe.es/boe/dias/2008/01/19/pdfs/A04103-4136 pdf

● Real Decreto 38/2012 de 17 de marzo, publicado en BOPV nº 65 de 29 de marzo de 2012. Disponible en noticias.juridicas.com/base_datos/CCAA/pv-d38-2012 html

BIBLIOGRAFIA●Guía de Seguridad de Datos de la AEPD https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/Guias/GUIA_SEGURIDAD_2010.pdf

●Saigí, F y Rovira, M. “Gestión de la información clínica: la historia clínica electrónica”. UOC. Barcelona 2007

●Insitituto de información sanitaria, agencia de calidad del SNS. “El sistema de historia clíncia digital. https://www.msssi.gob.es/organizacion/sns/planCalidadSNS/docs/HCDSNS_Castellano.pdf.