23 Sep Webinar Telemedicina y receta médica privada electrónica. Marco regulatorio.
Hace unos pocos días tuve la suerte de participar en un panel de expertos organizado por Barcelona Health Hub https://barcelonahealthhub.com/ para hablar de telemedicina y como la homologación de soluciones software relacionadas con la receta médica privada electrónica son absolutamente necesarias.
Auditor receta médica privada electrónica
Como primer y principal auditor de España de soluciones relacionadas con la homologación de receta médica privada electrónica promovido por la OMC (Organización médico colegial) veo fundamental que las intervenciones telemáticas entre médico y paciente se apoyen en medidas que esta homologación aporta. Resumiendo algunos de ellos:
- En términos de identificación y validación del médico colegiado tanto médicos, podólogos y dentistas con sus respectivos colegios. Una validación que asegura que quien me atiende a cientos de km a través del smartphone es quien es y además está habilitado para el ejercicio.
- Identificación del paciente, es decir, es quien dice ser.
- Trazabilidad de las prescripciones.
- Dispensación en farmacia de forma casi automática y controlada en todo momento por el prescriptor (médico)
En el terreno de las medidas de seguridad informática estas herramientas no solo tienen que cumplir con la protección de datos, cifrado de extremo a extremo, encriptación de comunicaciones y datos sensibles, así como retención de la información por al menos 5 años de recetas, sino que se deben cumplir una serie de medidas que garantizan parte de la ISO27001 que me gustaría hacer un pequeño resumen a continuación:
| Capítulo | Medida de seguridad |
| Auditorías | Realizar auditorías periódicas de seguridad de los sistemas (evaluación de las medidas de seguridad, test de penetración, etc.) |
| Comunicaciones | Implementar controles para garantizar la seguridad de la información en las redes y la protección de servicios conectados frente a accesos no autorizados (firewall, filtrado IP, IDS, etc.). |
| Comunicaciones | Encriptar los contenidos relativos a datos que se consideren críticos o sensibles que transmitidos mediante redes de comunicaciones para salvaguardar la confidencialidad e integridad de los datos. |
| Comunicaciones | Verificar periódicamente la seguridad del sistema de encriptación empleado, para garantizar su efectividad respecto a nuevas amenazas |
| Continuidad de negocio | Establecer mecanismos que aseguren la recuperación y disponibilidad del servicio |
| Control de accesos físico | Garantizar, mediante controles de entrada adecuados (PIN, tarjetas identificativas, huella, etc.), que únicamente se permite el acceso al centro de procesamiento de datos (en adelante, “CPD”) a personal autorizado |
| Control de accesos físico | Aprobar y/o supervisar los accesos al CPD y registrar la fecha y hora de entrada y salida. Cumplimentar un libro de registro (físico o digital) de todos los accesos. |
| Control de accesos físico | Revisar de forma periódica el registro de accesos al CPD, para comprobar su correcta cumplimentación. La periodicidad de la revisión debe fijarse en función de la sensibilidad de la
información contenida en el CPD |
| Control de accesos físico | Almacenar el registro de accesos durante un periodo de tiempo estipulado, que permita depurar responsabilidades en caso de accesos indebidos (se recomienda un plazo mínimo de 5 años). |
| Control de accesos lógicos | Establecer y documentar una política de control de acceso lógico a los datos, de acuerdo con las funciones asignadas a cada usuario y atendiendo a los requisitos operativos y de seguridad de la información, y elaborar y mantener permanentemente actualizado un listado de los
usuarios con acceso autorizado a los datos, de acuerdo con las funciones asignadas a cada usuario y atendiendo a los requisitos de negocio y de seguridad de la información |
| Control de accesos lógicos | Determinar las reglas apropiadas para categorizar perfiles de acceso a los datos, identificando los derechos y las restricciones de acceso para los diferentes roles, de acuerdo con las funciones asignadas a cada perfil de usuarios y atendiendo a los requisitos de negocio y de seguridad de la información. |
…Entre otras medidas. Podeís ver la ponencia en el siguiente enlace:
https://www.youtube.com/watch?v=qhEA8Y_lUP0&feature=youtu.be
Conclusión
Como auditor de receta médica privada, master en ciberseguridad por Deloitte, perito judicial, auditor CISA por ISACA, auditor ISO27001 por SGS y auditor ISO27017 por BSI, entre otros, quisiera subrayar que la telemedicina ha llegado para evolucionar pero siempre debe estar apoyada en herramientas que garanticen a la sociedad medidas de seguridad de la información que entre médico, paciente y farmacéutico es intercambiada.
Luis Vilanova Blanco. Auditor receta médica privada electrónica.
606954593
#digitalhealth #recetamedica #yopacientedigital