La homologación de receta médica como arma comercial

receta medica

La homologación de receta médica como arma comercial

La homologación de software de receta médica privada electrónica está regulada desde el 21 de enero de 2013, según lo establecido en el Real Decreto 1718/2010 sobre receta médica y órdenes de dispensación obligando a incorporar ciertas medidas de seguridad que garantizan su autenticidad, identidad del prescriptor y su habilitación para el ejercicio profesional.

Hablando con uno de mis clientes donde estamos homologando su solución de receta médica privada me decía que diferentes potenciales clientes (clínicas, aseguradoras) están comparando las ofertas de estos proveedores de software teniendo en cuenta ya si la empresa de desarrollo se encuentra en proceso de homologación, quedando fuera aquellas que ni siquiera estén en proceso de auditoría.

Es obvio que dentro de los procesos de transformación digital las clínicas y aseguradoras quieren que sus prescriptores utilicen herramientas que garanticen tanto la seguridad de la información como estén en cumplimiento de la legislación aplicable. Además con la homologación se garantiza lo que en auditoria denominamos CDI:

Confidencialidad. La información de prescripción y dispensación es confidencial y cumple con los requerimientos de protección de datos RGPD entre otros.

Disponibilidad. El sistema está disponible para prescriptores y oficinas de dispensación, aunque en este caso se utilice NODOFARMA como nexo de comunicación.

Integridad. La información es confiable, no ha sido alterada y guardamos la cadena de custodia de la prueba, muy utilizado en peritaje informático o cuando hay un conflicto legal.

Como Auditor CISA (Certified Information System Auditor) por ISACA he sido el primer auditor de España en presentar ante la OMC (organización médico colegial) la primera auditoria de certificación del sistema de receta médica privada electrónica. Es importante subrayar que como requisito indispensable que se exige al auditor para poder realizar este tipo de auditoria es ser Auditor CISA.

En una primera fase comprobamos que, en rasgos generales y siempre siguiendo los criterios de la OMC, que el software cumple con una serie de requisitos establecidos. En una segunda fase se realizara la auditoria final, tomando evidencias de todos los puntos de control y requisitos que marca esta certificación.

La empresa que obtiene este certificado puede afirmar que su solución ha sido diseñada incluyendo las mejores prácticas de recetas electrónicas tanto nacionales como internacionales. Medidas que se auditan y realizan de todos los controles que nos marca el REAL DECRETO 1718/2010, haciendo posible que desde el sistema se puedan definir políticas específicas para prescripción, reembolso y financiación, incorporadas por aseguradoras y mutualidades.

Una vez certificado está habilitado para la emisión de órdenes de prescripción y tratamiento de medicamentos en el ámbito privado, y su dispensación desde las oficinas de farmacia. Es decir estaremos ante un sistema que permite la comunicación entre el médico, el farmacéutico y el ciudadano de manera eficiente, segura e interoperable. La auditoría tiene dos fases.

FASE 1:

El objetivo de la fase 1 de la auditoría es proporcionar información para planificar la fase 2 a través de la obtención de la comprensión de la estructura y extensión de los servicios auditados de la entidad evaluada. La fase 1 de la auditoría deberá incluir, pero no restringirse a, una revisión documental.

Otros elementos que pueden ser incluidos en esta fase 1 son: verificación de los registros relativos a las personas jurídicas; acuerdos que cubran la responsabilidad; relaciones contractuales entre la entidad evaluada y los posibles contratistas que operan o que suministran servicios de subcomponentes; auditorías o certificaciones, internas/externas, revisión de la gestión, y más investigaciones relativas a la auditoría preliminar de los cumplimientos parciales y no cumplimientos auto declarados.

Los resultados de la fase 1 de la auditoría deberán ser documentados en un informe escrito que incluya todas las recomendaciones relativas a la planificación para llevar a cabo la fase 2.

Las conclusiones de la fase 1, incluyendo la identificación de cualquier aspecto preocupante que pudiera ser clasificado como una no conformidad durante la fase 2 de la auditoría, deberán ser  comunicadas a la entidad evaluada.

Fase 2.

Deberá ser llevada a cabo siempre en las instalaciones de la entidad evaluada. A partir de las observaciones documentadas en la fase 1 de la auditoría, los auditores deberán esbozar un plan de auditoría para llevar a cabo la fase 2, cuyos objetivos sean:

  1. Confirmar que la entidad evaluada cumple sus propias políticas, objetivos y procedimientos; y,
  2. Confirmar que los servicios de confianza implementados se adecuan a los requisitos de los criterios de auditoría aplicables y que son seguidos por las políticas, objetivos y procedimientos.

Para ello, la auditoría deberá centrarse en la recopilación de evidencias de los servicios de confianza que tengan relación con:

  1. La implementación de los criterios de auditoría del sistema de receta médica privada electrónica;
  2. Los procesos y procedimientos organizativos del sistema de receta médica privada electrónica;
  3. Los procesos y procedimientos técnicos del sistema de receta médica privada electrónica;
  4. Las medidas implementadas para la seguridad de la información del sistema de receta médica privada electrónica;
  5. La seguridad física de las instalaciones relevantes de la entidad evaluada.

Luis Vilanova Blanco. Primer auditor en España de homologación de receta médica privada.

recetamedica@luisvilanova.es

606954593