22 Juil Receta médica privada electrónica – Conservación, login y firma.
En este post quiero hablar de la cadena de conservación de la Receta médica privada electrónicas, en concreto de los plazos obligatorios y de otros temas relacionados con la RGPD y la homologación de receta médica privada electrónica. El pasado viernes comentando con un nuevo cliente que necesita homologar su solución de tele asistencia médica en esta homologación salieron a colación varias cuestiones, algunas de ellas de carácter técnico sobre la firma de recetas, identificación del médico y otras cuestiones, así como otras relacionadas con la RGPD.
Receta médica privada electrónica
Aunque mi labor como auditor de receta médica electrónica privada y como auditor CISA (Certified Information System Auditor por ISACA) tiene una componente más técnica y digital, y mi dominio de las leyes que rodean la receta médica en su aspecto legal más amplio no son los de un profesional dedicado a esta materia, si es cierto que algunas de ellas necesito conocerlas, para poder homologar estas soluciones.
En concreto el artículo 17.1 de la Ley 41/2002, de 14 de noviembre (BOE nº 274/02, de 15 de noviembre), dice literalmente lo siguiente:
Artículo 17. La conservación de la documentación clínica
- Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial.
No obstante, los datos de la historia clínica relacionados con el nacimiento del paciente, incluidos los resultados de las pruebas biométricas, médicas o analíticas que en su caso resulten necesarias para determinar el vínculo de filiación con la madre, no se destruirán, trasladándose una vez conocido el fallecimiento del paciente, a los archivos definitivos de la Administración correspondiente, donde se conservarán con las debidas medidas de seguridad a los efectos de la legislación de protección de datos.
- La documentación clínica también se conservará a efectos judiciales de conformidad con la legislación vigente. Se conservará, asimismo, cuando existan razones epidemiológicas, de investigación o de organización y funcionamiento del Sistema Nacional de Salud. Su tratamiento se hará de forma que se evite en lo posible la identificación de las personas afectadas.
Sin perjuicio del derecho al que se refiere el artículo siguiente, los datos de la historia clínica relacionados con las pruebas biométricas, médicas o analíticas que resulten necesarias para determinar el vínculo de filiación con la madre del recién nacido, sólo podrán ser comunicados a petición judicial, dentro del correspondiente proceso penal o en caso de reclamación o impugnación judicial de la filiación materna. Más aquí
En este sentido este potencial cliente me planteaba si podría no borrar la información (de por vida) en el sistema de recetas médicas electrónicas privadas y si el paciente, mediante el amparo de la RGPD, podría solicitar su borrado. Algunas consideraciones a tener en cuenta:
- La RGPD, de obligado cumplimiento para esta homologación de receta médica privada electrónica, no está por encima, desde mi punto de vista, de otras leyes que obligan a la conservación de esta información.
- Por otro lado la mayoría de software que estoy homologando nunca eliminan información sino que marca como eliminado el registro así como y/o anonimizan la información de la prescripción.
En el plano informático y puesto que la receta médica privada electrónica se plantea siempre entorno a una base de datos relacional, tenemos que tener en cuenta que en muchas ocasiones las formas normales de una base de datos y en concreto las relativas a la entidad relación entre tablas restringen este borrado ya que, partiendo de las tablas de información del paciente y de la receta como centro, toda la información que se genera a partir de ahí, como por ejemplo el historial, la dispensación, etc. depende de ella y por tanto borrarlo supondría un complejo proceso de deshacer o desvincular toda la información relacionada. Es por ello que la anonimidad de la información es una posibilidad muy útil que nos permite, incluso poder explotar esta información a nivel estadístico sin tener la relación univoca con un DNI o identificación de un paciente.
Login del medico
Por otro lado y en la misma conversación tratamos el tema de como realiza en login el médico o prescriptor, como firma la receta electrónica privada y sus implicaciones. Tengamos en cuenta que el médico no posee siempre, en todas las clínicas que visita un lector de su DNI electrónico, lo que hace inviable basarse solo en su DNI electrónico. Esto nos lleva a un sistema que asegure dos cuestiones:
- Identificación. Asegura que quien realiza login y firma de recetas es quien es.
- No alterabilidad. La información que genera el sistema debe permanecer inalterable en el tiempo o bien detectar o imposibilitar cualquier manipulación por un tercero.
En este sentido y en base a mi experiencia hay caminos viables alternativos que me han servido para presentar y certificar otras soluciones.
Observaciones
Si se encuentra en la necesidad de homologar una solución de receta médica privada electrónica o incluir en su sistema de atención médica la prescripción y por tanto está en su hoja de ruta esta homologación cada día más demandada para entrar, incluso, en aseguradoras, clínicas etc. contacte conmigo. Mi experiencia de llevar actualmente varias de ellas y haber sido el primer auditor de España en homologar una solución le serán de mucha utilidad. Más aquí.
Luis Vilanova Blanco. Auditor de receta médica privada electrónica.
606954593