Introducción a las Medidas de Segurida (XXI): Copia y Reproducción de Documentos

Foto: Scatola dei ricordi by Diego Menna
Foto: Scatola dei ricordi by Diego Menna

Si se hace una gestión adecuada de soportes y documentos llegaremos a una conclusión de lógica aplastante.

Puesto que los documentos sólo pueden ser accedidos por personal autorizado,

Las copias o reproducción de documentos y soportes sólo podrá ser realizada por personal autorizado.

Es de cajón! El problema parece ser articular las políticas y procedimientos adecuados para cumplir con está exigencia de la ley.

La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad.

¿Podéis imaginar un centro sanitario con 5000 trabajadores que pueda controlar quien hace las fotocopias de las historias clínicas?

Parece que una vez más tendremos que confiar en los profesionales. Articular los mecanismos para controlar quien hace las copias es mas sencillo de lo que aparenta.

Lógicamente plantearnos disponer de listas de personal autorizado parece una locura, además de algo bastante inútil.

Sin embargo, mantener una política que diga, por ejemplo, – el personal administrativo destinado en el archivo de historias clínicas está autorizado a realizar copias de la historia clínica – o – el personal administrativo con funciones de secretaría esta autorizado a realizar copias de la documentación clínica –

Teniendo en cuenta que la historia clínica siempre debe estar custodiada por unos u otros profesionales con acceso autorizado, estaremos cumpliendo con lo establecido en el reglamento, y esto no parece tan difícil.

Bastará con incluir estás políticas en el Documento de Seguridad y difundirlas adecuadamente, y por supuesto, confiar en nuestros profesionales. Para ello, la herramienta de nuevo es la concienciación y la formación.

Seguramente, no estará muy lejos de la realidad decir que tecnológicamente es posible “rastrear” el papel, de forma que podríamos saber, donde está y quien lo tiene. Pero no se trata de llegar a estos extremos. Cada cual es responsable de sus actos, y reproducir documentación con datos de salud sin autorización podría conllevar sanciones disciplinarias. Y si se siguen adecuadamente los procedimientos para la gestión de documentos, no serán necesarias otras medidas adicionales, pues la historia clínica estará permanentemente bajo el control de un profesional autorizado.

Por otro lado, muchas veces las copias se realizan para hacer un uso temporal y luego desecharlas. No son raras las noticias de prensa denunciando la aparición de historiales clínicos en contenedores de basura en la vía pública. Afortunadamente este tipo de noticias han causado un efecto de sensibilización y empieza a ser raro encontrar papel en los contenedores de los centros sanitarios.

En cualquier caso, una vez que las copias se consideren inservibles deben ser destruidas de forma que sea imposible el acceso a su contenido, y por supuesto, imposible su “reconstrucción”.

Romper el papel en cuatro pedazos no es destruirlo

En algunos centros se utilizan destructoras de papel repartidas por las estancias del centro. Pero una destructora en condiciones es cara, hay que enchufarla, en ocasiones se atrancan si se desechan plásticos o pegatinas que se quedan adheridas a las cuchillas (por supuesto dependerá de la calidad de la destructora). Sin embargo, para centros de pequeño tamaño pueden ser la mejor opción.

Para los centros de gran tamaño, puede considerarse la contratación de servicios de destrucción del papel de forma confidencial. Se distribuyen contenedores por todo el centro. Los contenedores son casi cajas fuertes con una ranura, a modo de buzón, en los que se puede introducir el papel para desechar pero no se puede introducir una mano para sacarlo.

Un servicio de recogida periódico se encarga de ir sustituyendo los contenedores por otros vacíos y llevar el papel, de forma segura, hasta una planta de destrucción en la que se certifica que la destrucción se ha llevado a cabo de forma confidencial.

He tenido ocasión de ver como funcionan estos servicios y en el proceso, en el que se traspasan los papeles de los contenedores a los camiones de recogida no se pierde un solo papel. Una vez en la planta, los hace literalmente “cuadritos” de menos de 1×1 cm

 

Introducción a las Medidas de Seguridad (XX): El Responsable de Seguridad

Foto: Fotones by xava du
Foto: Fotones by xava du

El responsable de seguridad es la figura encargada de verificar y controlar las medidas de seguridad definidas en el Documento de seguridad.

Debe ser designado por el Responsable del Fichero, que si bien delega ciertas funciones relacionadas con la seguridad de la información sobre el Responsable de Seguridad, no delegará en ningún momento su responsabilidad.
El Responsable del fichero podrá nombrar uno o más Responsables de Seguridad. por ejemplo podría nombrarse un Responsable de Seguridad para los Ficheros Automatizados y otro para los Ficheros No Automatizados, aunque ambos deberán estar perfectamente coordinados para obtener resultados.
Es tradicional nombrar como Responsable de Seguridad de la Información a los Responsables de Informática, y aunque ni  la LOPD ni el Reglamento de Medidas de Seguridad establecen el perfil profesional del responsable de seguridad, si que podemos encontrar alguna referencia más clara en el Esquema Nacional de Seguridad que dice :

La seguridad como función diferenciada.

En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio y el responsable de la seguridad.

El responsable de la información determinará los requisitos de la información tratada; el responsable del servicio determinará los requisitos de los servicios prestados; y el responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios.

La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.

El principio de “Separación de Roles” aparece como fundamental para una adecuada gestión de la seguridad.
Por otro lado, respecto de la cualificación profesional del Responsable de Seguridad de la Información el Esquema Nacional de Seguridad establece que:

La seguridad de los sistemas estará atendida, revisada y auditada por personal cualificado, dedicado e instruido en todas las fases de su ciclo de vida: instalación, mantenimiento, gestión de incidencias y desmantelamiento.

Aunque el Esquema Nacional de Seguridad sólo es aplicable a los centros dependientes de la Administración Pública, esta visión recogida en el Esquema Nacional de Seguridad también se recoge en otros estándares internacionales sobre seguridad de la información como la norma ISO 27001.
Entre las funciones del Responsable de Seguridad podemos encontrar:
  • Revisión de los informes de auditoría
  • Revisión del Registro de Incidencias 
  • Propuesta de medias preventivas, detectivas y correctivas tanto de carácter organizativo como técnico 
  • Control sobre los registros de accesos 
  • Revisión y actualización permanente del Documento de Seguridad 
  • Autorización para la instalación de actualizaciones en los Sistemas Informáticos. 
  • Revisiones periódicas de los registros de accesos
Por otro lado, en aquellos centros sanitarios de cierto tamaño es muy recomendable la creación de una Comisión de Seguridad de la Información como órgano consultivo al responsable del fichero. En esta Comisión de Seguridad deberían participar representantes de todas las áreas de centro. (médica, enfermería, Servicios Generales, Recursos Humanos, Económica y Administrativa ,….)

Introducción a las Medidas de Seguridad (XIX): Custodia de Soportes

Foto: Gen. George B. McClellan by dbking
Foto: Gen. George B. McClellan by dbking

La custodia no es sólo una medida de seguridad es también un derecho del paciente.

La principal finalidad de la Historia Clínica, como es obvio es prestar una asistencia sanitaria al paciente, y para ello es necesario comunicar la información que contiene a los profesionales adecuados en cada momento.

Los profesionales que acceden a la historia clínica están sometidos al deber de secreto, pero ¿es suficiente?

Cuando el archivo de historias clínicas traslada una historia a un profesional, también le traslada la responsabilidad de la misma y la obligación de custodiar activamente dicha documentación frente a accesos no autorizados.

No sólo el reglamento de medidas de seguridad establece el concepto de custodia como una medida de seguridad básica, sino que la ley de Autonomía del Paciente establece la custodia activa como un derecho del paciente.

Son los centros sanitarios los responsables de establecer los mecanismos de custodia adecuados a los que están obligados todos los profesionales.

El principio de custodia consiste sencillamente en impedir accesos no autorizados por parte de terceros. No se está cumpliendo con dicho principio cada vez que encontramos a nuestro alcance una historia clínica a la que no deberíamos tener acceso.

Historias en mostradores, Historias a la espera de ser recogidas o transportadas, Historias abiertas sobre una mesa, Historias almacenadas temporalmente en pasillos,…..

Afortunadamente, estas prácticas están cada vez menos extendidas y las Historias Clínicas se tratan con el respeto que merecen. ¿Pero sucede lo mismo con otros documentos que no forman parte de la Historia Clínica que contienen datos de salud?

Los centros sanitarios tramitan ingentes cantidades de documentación que habitualmente contiene datos de salud. Estos documentos están igualmente afectados por la ley y por tanto deben tratarse con el mismo respeto que una Historia Clínica.

¿Qué sucede si desaparece un A-Z con las citas pendientes de una consulta médica? Probablemente, la información sea recuperable porque se mantenga en los sistemas de información automatizados, ¿Pero podríamos permitirnos que apareciera esa información en un contenedor de basura?

De nuevo, la seguridad está en manos de los profesionales, y de nuevo son ellos los que tienen mayor capacidad para garantizar los derechos los pacientes y facilitar la adaptación de los centros a la ley, y una vez más, la herramienta para conseguirlo es la concienciación.