13 Mai Receta médica privada electrónica CGCOM – Algunas dudas clave
Como ya he comentado en algunas ocasiones desde el 21 de enero de 2013, según lo establecido en el Real Decreto 1718/2010 sobre receta médica y órdenes de dispensación, las recetas médicas privadas, tanto en soporte papel como electrónico, incorporan medidas de seguridad que garantizan su autenticidad, identidad del prescriptor y su habilitación para el ejercicio profesional.
En concreto en las recetas electrónicas generadas por software especializado para consultas médicas privadas se delega la responsabilidad de homologación de los sistemas de prescripción electrónica a los Consejos Generales de la profesiones Prescriptoras, Médicos, Dentistas y Podólogos publicando una serie de documentación con los requisitos para la certificación de plataformas de Prescripción Electrónica Privada en formato pdf.
Requisitos para la auditoría de certificación del sistema de receta médica privada electrónica
Requisitos de procedimiento de certificación de sistemas de receta médica privada electrónica
Requisitos para organismos de certificación de sistemas de receta médica privada electrónica
Auditor experto Receta médica privada electrónica
En la actualidad me encuentro realizando 3 auditorías para diferentes empresas, una de ellas para una de las entidades más importantes de salud de España y otras dos para dos empresas de desarrollo software, donde las 3 quieren obtener la certificación para sus soluciones informáticas de receta médica privada.
Una de ellas me planteaba algunas dudas y he visto interesante publicarlo para poder ayudar a otras empresas que se encuentren en su misma situación. Algunos puntos que me solicitaban asesoramiento:
Procedimiento de destrucción de recetas antiguas.
[SC04] Controles de custodia y conservación segura
Descripción detallada del control:
En este control se revisa el cumplimiento de la obligación establecida en el artículo 18.1 del RD 1718/2010, en virtud de la cual “el prescriptor se responsabilizará […] del acceso y utilización de datos para la prescripción electrónica. Las instituciones en las que los prescriptores presten sus servicios pondrán los medios necesarios para que puedan cumplirse estas obligaciones”.
Estaríamos en el plano del Modelo de seguridad de la aplicación de prescripción donde entre otros describimos los procedimientos de custodia y conservación de recetas electrónicas.
Debemos describir el de procedimientos de borrado seguro de datos y recetas, transcurrido el plazo legal de conservación, así como de transferencia a la historia clínica del paciente.
Una propuesta es que el sistema no elimine información físicamente sino que la marque como eliminada, cumpliendo así las 3 formas normales de las BD estructuradas.
Planes de continuidad de negocio y plan ante desastre.
Un ejemplo de puntos a abordar seria el siguiente:
- PLAN DE CONTINUIDAD DEL NEGOCIO
En este punto debemos hablar de la importancia que as empresas deben estar preparadas para prevenir, protegerse, y reaccionar ante incidentes de seguridad que afecten a la disponibilidad y continuidad de los sistemas informáticos, en este caso receta médica privada, con el objetivo de definir tareas, medidas, etc. que ayuden a aumentar la disponibilidad de los servicios prestados, confidencialidad de la información e integridad de los datos.
La continuidad del negocio no hace referencia exclusivamente a aspectos relacionados con las tecnologías de la información sino a procesos y acciones a llevar a cabo en caso de desastre desde infraestructura TIC, RRHH, activos mobiliarios, comunicación, logística, operaciones, etc. pudiendo profundizar en las acciones a realizar, en función de los riesgos y su impacto tras materialización, así como su probabilidad de ocurrencia.
- ALCANCE
En este punto detallamos el alcance de nuestro plan de continuidad y anti desastre.
- PLAN DE CONTINUIDAD DEL NEGOCIO Y OPERACIONES
Describir los procesos principales cubierto por estos planes de continuidad.
1.2.1. ANALISIS DE LOS PROCESOS CRITICOS
Analizar impacto y criticidad ante caída de algún proceso crítico (login, prescripción, dispensación, etc.)
1.2.2. ESTRATEGIA DE CONTINUIDAD
De los procesos detectados anteriormente determinar cómo se procedería en función de cada riesgo para resolver su materialización.
- ORGANIZACIÓN DEL COMITÉ DE CRISIS
Definir todos los miembros, roles, nombre de la organización y datos de contacto (incluido horario) para poder atender una crisis del sistema.
- PLAN DE COMUNICACIÓN DE INCIDENTES O CRISIS
Definir el workflow (escalado, tiene relación con ITIL) en el caso que se detecte un incidente en el sistema.
- PLAN DE RECUPERACIÓN ANTE DESASTRES Y CONTINGENCIAS
Determinar según la caída de los componentes que puedan afectar al servicio crítico del sistema, los riesgos, impacto y tiempos de atención y resolución de los mismos.
Por ejemplo se corrompe la base de datos del sistema.
- INDISPONIBILIDAD POR CAUSAS EXTERNAS AL SERVICIO DE HOSTING
Por ejemplo incidencias relacionadas con fallos en el código fuente de la aplicación, el ataque de un tercero, etc.
1.5.2. INDISPONIBILIDAD POR INCIDENCIA DEBIDA A LA PROVISION DEL SERVICIO DE APLICACIONES DEL HOSTING
1.5.4. INDISPONIBILIDAD POR DESASTRE EN EL CENTRO DE DATOS
IN01 – Normas de interconexión de sistemas de receta médica electrónica privada.
Fundamentalmente estamos hablando de los servicios web de integración bidireccionales entre el software de receta médica privada y los sistemas externos.
Descripción detallada del control:
En este control se revisa el cumplimiento de las normas de interconexión de sistemas de receta médica electrónica privada entre los diferentes agentes funcionales (prescriptor, dispensador, etc.)
Documentación acreditativa a presentar en la justificación del cumplimiento:
Descripción del funcional de la aplicación referido a la prescripción.
Fundamentalmente descripción de estos tres servicios:
IDENTIFICACIÓN DEL CIUDADANO, permitirá la identificación en sistema de receta médica privada de un ciudadano obteniendo sus datos básicos identificativos…
CONSULTA DEL TRATAMIENTO DEL PACIENTE, permitirá consultar para un ciudadano determinado, su tratamiento activo o histórico…
CONSULTA DETALLADA DE UNA PRESCRIPCIÓN. Esta operación facilita la consulta de la información detalle de una prescripción del paciente…
Incluido una descripción técnica completa de los servicios web, XML, etc., ejemplos de llamadas, seguridad, etc…
IN06 – Modelo de integración de las recetas en la historia clínica del paciente: Este control se refiere a la posibilidad por parte del paciente de solicitar todo su historial para poder llevárselo y volcar su historia en el sistema EHR de otra clínica. Luis me pasa ejemplos.
Este punto es opcional. Modelos de instrumentos (vocabularios XSD) para el intercambio de informaciones de receta electrónica entre las aplicaciones de prescripción e historia clínica de terceros.
Debemos incluir un Test arquitectura SOA con llamadas y respuestas a los servicios explicados en el punto anterior IN01.
Ejemplos reales de instrumentos de XML correspondientes a recetas intercambiadas.
Revisión documental: Los vocabularios XSD están correctamente documentados e implementados en los procedimientos de intercambio.
Revisión técnica: Verificar la consistencia entre recetas reales en XML y el correspondiente vocabulario.
…continuará
Conclusión
Aunque los documentos realizados por la CGCOM en pdf que describen toda la información para certificar una solución software de receta médica privada electrónica son muy completos, en ocasiones no describen el detalle del « cómo ». Estos detalles son fundamentales para la certificación. En mi posición, como el primer auditor de receta medica privada electrónica de España, puedo ayudar a las empresas que quieren obtener esta certificación de forma práctica y pragmática, aportando opciones validas de implementación de los controles requeridos.
Luis Vilanova Blanco. Primer auditor receta médica privada electrónica en España.
luis@luisvilanova.es
606954593