Auditorías de accesos a Historia Clínica Informatizada

Anuncio
originales
Auditorías de accesos a Historia Clínica
Informatizada
Visus Eraso A.M. (1)
Vicente Arbelaiz M.J. (2)
Garijo Laraña A.C. (3)
Les Santesteban S. (3)
Tarragona Francés R. (3)
Ortiz Ribes A. (3)
(1) Jefe de Sección
(2) Jefe de Unidad
(3) Codificadoras
Hospital de Navarra, Codificación y Documentación
Clínica.
Autor responsable de la correspondencia:
RESUMEN
La posibilidad, legislada para los pacientes, de
solicitar los accesos realizados por los profesionales del Servicio Navarro de Salud-Osasunbidea, identificó la necesidad de establecer
un sistema de control de dichos accesos a la
Historia Clínica Informatizada (HCI) y se creó
el Comité de Auditorías de la HCI. El Comité
marcó sus objetivos, estableció protocolos con
criterios de legitimidad de accesos y evaluó los
accesos seleccionados a tres tipos de pacientes:
elegidos al azar, con renombre social y peticiones directas realizadas en los Servicios de
Atención al Paciente. Se identificaron los accesos presuntamente ilegítimos y se solicitaron
aclaraciones a todos los profesionales implicados. Las respuestas de algunos de ellos fueron
sorprendentes, llamando poderosamente la
atención algunas de ellas que reproducimos
eliminando los datos que puedan identificar a
los implicados. El Comité identificó diecisiete
accesos presuntamente ilegítimos que dieron
lugar a la apertura de los correspondientes
expedientes informativos de procedimiento
interno. Se propuso la participación en cursos
de utilización de la HCI a todos los profesionales identificados con accesos presuntamente
ilegítimos a ella. Los resultados de la auditoria
indicaron la necesidad de mantener la educación permanente a profesionales en la utilización de la HCI y han alertado al resto de profesionales, generando una inquietud positiva
para su adecuada utilización.
Visus Eraso, Ángel Manuel,
Hospital de Navarra.
Codificación y Documentación Clínica.
C/Irunlarrea, 3.
31008 Pamplona.
Correo electrónico: avisuser@navarra.es
Nota:
Una versión de este trabajo se presentó en el IX
Congreso Nacional de Documentación Clínica, celebrado
en Madrid en junio de 2009, obteniendo el premio a la
mejor comunicación oral.
Palabras clave:
Auditorias, confidencialidad, accesibilidad
papeles médicos 2010; VOL. 19 Núm. 2
11
originales
Audits access to medical records
RESUMEN
The possibility legislated for the patients, of
requesting the accesses realized by the professionals of Navarre Health Service-Osasunbidea, identified the need to establish a system
of control of the above mentioned accesses to
the Clinical Computerized History (CCH)
and there was created the Committee of Audits of the CCH. The Committee marked his
aims, established protocols with criteria of legitimacy of accesses and evaluated the accesses selected to three types of patients: chosen
at random, with social renown and direct requests realized in the Services of Attention to
the Patient. The allegedly illegitimate accesses
were identified and explanations were requested all the implied professionals. The answers
of some of them were surprising, being calling
powerfully the attention some of them that we
reproduce eliminating the information that
could identify the implied ones. The Committee identified seventeen allegedly illegitimate
accesses that gave place to the opening of the
corresponding informative processes of internal procedure. One proposed the participation in courses of utilization of the CCH to
all the professionals identified with allegedly
illegitimate accesses to her. The results of the
audit indicated the need to support the lifelong education to professionals in the utilization of the CCH and they have alerted the rest
of professionals, generating a positive worry
for his suitable utilization.
Palabras clave:
Audits, confidentiality, accesses
papeles médicos 2010; VOL. 19 Núm. 2
12
originales
INTRODUCCIÓN
La legislación actual del Servicio Navarro de
Salud-Osasunbidea (SNS-O) posibilita que
los pacientes puedan solicitar los accesos realizados por profesionales sanitarios a su Historia Clínica Informatizada, tanto de Atención
Especializada como de Atención Primaria.
Las solicitudes se canalizan a través de los Servicios de Atención al Paciente de cada centro
sanitario del SNS-O.
Como consecuencia de ello el SNS-O consideró necesario establecer un sistema de control
de accesos a la Historia Clínica Informatizada
creando el Comité de Auditorías de la Historia Clínica Informatizada.
Las funciones de dicho Comité son:
1) Realizar las auditorías de accesos a la Historia Clínica Informatizada de acuerdo con
el Procedimiento de Auditorías en vigor.
Será el encargado de evaluar los accesos
habidos en las historias clínicas informatizadas del SNS-O, decidiendo si los accesos
son presuntamente legítimos o no.
2) Junto con el Responsable de Seguridad
del SNS-O, elevar al Director Gerente del
SNS-O un informe por cada auditoría,
indicando las presuntas irregularidades
encontradas en los accesos habidos a la información clínica de los pacientes.
3) Proponer al Director Gerente del SNS-O
cambios y mejoras en la política de auditorías y en el procedimiento de auditorías
a aplicar en el ámbito de la Historia Clínica Informatizada.
Objetivos:
Los objetivos del presente trabajo son:
• Supervisar y auditar los accesos a las Historias Clínicas Informatizadas.
• Formar y educar a los profesionales sanitarios
en el uso de la Historia Clínica Informatizada.
• Establecer el tratamiento de los accesos inadecuados.
Metodología
Teniendo en cuenta la novedad que supuso
para los integrantes del Comité enfrentarse
a un cometido incierto y muy delicado, que
papeles médicos 2010; VOL. 19 Núm. 2
implicaba la toma de decisiones sobre actuaciones de profesionales con los que estaban
trabajando diariamente, se comenzó por la
protocolización del funcionamiento del Comité, definiendo, entre otros temas, un conjunto
mínimo de criterios estables que permitieran
identificar el tipo de accesos a evaluar.
Además, se valoraron las medidas de avisos de
la propia Historia Clínica Informatizada que
señalan la obligación del secreto profesional,
la prohibición del uso indebido de la información y recuerdan que los accesos quedan
identificados y registrados en la aplicación de
la Historia Clínica Informatizada.
Por otra parte, se reforzaron los cursos monográficos de formación destinados a los profesionales que entran en contacto por primera
vez con la base de datos de la Historia Clínica
Informatizada incluyendo una sesión didáctica sobre la legislación actual de accesos a la
Historia Clínica Informatizada, facilitada por
el Responsable de Seguridad del SNS-O.
1. Protocolizar el funcionamiento del Comité:
algunos criterios para identificar accesos “legítimos” a Historia Clínica Informatizada:
• Quedan excluidos de comprobación los facultativos pertenecientes al mismo Servicio en
el que fue atendido el paciente.
• Igual consideración se aplicará para los facultativos de los Servicios que le hayan realizado
pruebas complementarias.
• El Servicio de Urgencias se considera compuesto por todos los componentes del turno
de guardia o que trabajen específicamente en
Urgencias.
• En el caso del personal de enfermería autorizado a entrar en la Historia Clínica Informatizada se valoran los accesos de forma similar a
los puntos anteriores, considerando la Planta
de hospitalización igual al Servicio médico.
• Los administrativos de una Planta de hospitalización pueden acceder a todos los pacientes ingresados en dicha Planta.
• Los administrativos de Servicio pueden acceder a todos los pacientes ingresados en dicho
Servicio.
• Los administrativos de “pool” pueden acceder a todos los pacientes relacionados con las
tareas del “pool”.
13
originales
• Servicios con privilegios especiales:
- Medicina Preventiva y Gestión de la Calidad: tienen justificados sus accesos para
pacientes ingresados, Urgencias, Hospitales de Día y pacientes que han pasado por
el quirófano.
- Codificación y Documentación Clínica:
tienen justificados sus accesos para pacientes ingresados, Urgencias, pacientes
que han pasado por quirófano, pacientes
judiciales y pacientes incluidos en procesos de facturación con varios hospitales.
- Grupo de Soporte de la Historia Clínica
Informatizada: tienen justificados sus accesos a todos los pacientes.
- Atención al Paciente: tiene justificados
todos los accesos a pacientes que han contactado con dicho Servicio y están registrados en la base de datos del Sistema de
Información de los Servicios de Atención
al Paciente.
- Direcciones de cada Hospital: tienen justificados todos los accesos a pacientes que
han planteado temas clínicos con dichas
Direcciones.
2. Selección de historias clínicas informatizadas para auditar. Se optó por tres modalidades
de historias de pacientes:
• Pacientes elegidos al azar, la selección se realiza después de comunicar, a través de la propia Historia Clínica Informatizada, el periodo
de tiempo en el que se seleccionaran este tipo
de pacientes.
• Pacientes de renombre social/“famosos”,
elegidos directamente por los profesionales
del Comité.
• Pacientes que han solicitado los accesos a su
Historia Clínica Informatizada a través de los
Servicios de Atención al Paciente del SNS-O.
3. Valoración de los accesos a las Historias Clínicas Informatizadas seleccionadas. Se valoran
todos los accesos de cada profesional registrado e identificado en cada una de las Historias
Clínicas Informatizadas seleccionadas, siguiendo las líneas marcadas por el protocolo.
4. Clasificación de accesos: se distribuyeron
los accesos en tres grupos:
• Presuntamente Legítimos
• Presuntamente Ilegítimos.
papeles médicos 2010; VOL. 19 Núm. 2
• Dudosos, sobre los que el Comité no se puede pronunciar.
5. Contactar con los accesos presuntamente
ilegítimos: se contacta con los profesionales
afectados enviándoles una carta en la que se
les explica la situación y se les pide que justifiquen el acceso irregular detectado. La explicación se tiene que realizar, también, por
escrito.
6. Valoración de todas las respuestas obtenidas y decisión final asignando el acceso en uno
de los grupos (legítimos/ilegítimos/dudosos).
Resultados
En todo este proceso llama poderosamente la
atención algunas de las respuestas obtenidas a
las explicaciones sobre los accesos identificados inicialmente como presuntamente ilegítimos y que reproducimos eliminando los datos
que puedan identificar a los implicados.
Respuesta 1:
Aquella mañana estuve comentando con una compañera sobre el accidente que había tenido…
Poco después accedí a su historia clínica sin
más.
Por aquel entonces desconocía la imposibilidad de acceder a las historias clínicas.
Esta es la razón por la que pido disculpas ante
el atrevimiento de acceder a su historia clínica.
Respuesta 2:
Con respecto al acceso a la historia clínica
de…que realicé, tengo que comunicarle que el
paciente amigo y compañero médico del que
conocía personalmente su enfermedad antigua ingresó aquellos días para una intervención quirúrgica.
Mi interés fue médico y personal sin ningún
tipo de interés o morbosidad.
Respuesta 3:
He de reconocer el acceso sin más explicaciones que mi curiosidad ante un paciente politraumatizado ingresado en el servicio de Urgencias donde trabajo.
He de reconocer el total desconocimiento de la persona a la que yo accedía debido a mi desinterés político y mi escaso tiempo de trabajo en el centro.
14
originales
Con la sola avidez de saber qué lesiones padecía dicho paciente, juro mi completo cumplimiento del secreto profesional ante ésta y
otras incursiones que haya podido realizar en
la historia clínica informatizada.
Considero que mi acceso fue indebido ya que
no guardaba relación con mi puesto de trabajo.
Me pongo a su disposición para esclarecer lo
necesario y espero su respuesta y medidas disciplinarias.
Respuesta 4:
Admito mi acceso a la historia clínica de…No
puedo exponer otra justificación que la reacción a la noticia que se me daba de su fallecimiento por la amistad que me unía.
Busqué en ese momento la confirmación de la
noticia a través del historial, sin estar movida
por ningún otro interés que el de disponer de
información objetiva.
Téngase en cuenta que mi trabajo diario tiene
como base las historias clínicas, lo cual en ese
momento fue para mí el recurso más lógico.
Espero que esta explicación pueda justificar de
alguna manera esta falta que admito.
Respuesta 5:
Le confirmo que es cierto que en esa fecha entré en la historia clínica de … y creo, no estoy
seguro, si pude hacerlo algún día más.
Soy afiliado del…miembro del comité local y
del comité regional del partido…
El trato era constante y puedo decir que me
unía una amistad personal, estuve viéndole en
el hospital con su familia y por ello consideré
que teniendo acceso a la historia clínica debía
interesarme por su salud en aquel momento.
Respuesta 6:
Decir en relación a los hechos acontecidos que
dada la novedad que supuso tener acceso a las
historias clínicas, cometí el error de acceder al
de… y ver hasta donde llegaba la confidencialidad en un personaje público elegido al azar.
En aquel momento estaba de plena actualidad
el personaje citado, mi único interés al acceder
al historial fue con la intención de curiosear.
Respuesta 7:
Soy médico de Urgencias y el acceso que indican no lo recuerdo.
Para entrar en la historia clínica informatizada
papeles médicos 2010; VOL. 19 Núm. 2
hay que introducir una clave de acceso personal y hay múltiples ocasiones en la urgencia en
las que dejamos la historia clínica informatizada abierta durante un tiempo indeterminado
de forma que la aplicación queda accesible al
uso ajeno a mi persona.
Propongo instalar un temporizador que provoque la salida automática de la historia clínica informatizada para evitar estas situaciones.
Respuesta 8:
Contestando a su escrito sobre el acceso al
historial de…les comunico que el pasado día
atendí en la consulta de…a un hermano del
paciente…y a su pareja.
Para contrastar antecedentes de la pareja entré en
la historia clínica informatizada del paciente…
Deseo que esta carta aclare las dudas suscitadas.
Respuesta 9:
Enterado por los medios de comunicación de
la gravedad y hospitalización de…y siendo
imposible ponerme en contacto con la persona citada, estando de guardia en el centro de
salud, cuando tuve un descanso en mi dietario
consideré el preocuparme por su estado, siempre bajo las señas de identidad que por mi
profesión me permite el secreto de profesión.
El que haya dos entradas el mismo día es debido a que me llamaron para atender a un paciente y se me bloqueó la página.
Debido a la amistad que nos unía, coincidíamos
en fiestas, en actos políticos y culturales, consideré un deber el preocuparme por su estado.
Conclusiones
• El Comité identificó 17 accesos presuntamente ilegítimos que dieron lugar a la apertura de los correspondientes expedientes informativos de procedimiento interno.
• El Comité propuso la participación en cursos de utilización de la Historia Clínica Informatizada a todos los profesionales identificados con accesos presuntamente ilegítimos a la
Historia Clínica Informatizada.
• Los resultados de la auditoria indican la necesidad de mantener la educación permanente
a profesionales en la utilización de la Historia
Clínica Informatizada.
• Los resultados han alertado al resto de profesionales y han generado una inquietud posi-
15
originales
tiva para la adecuada utilización de la Historia
Clínica Informatizada.
Bibliografía
- Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de Carácter Personal
BOE 298 (14 Diciembre 1999).
- Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de
derechos y obligaciones en materia de información y documentación clínica, BOE 274 (15
Noviembre 2002).
- Real Decreto 994/1999 de 11 de junio, por el
que se aprueba el Reglamento de medidas de
seguridad de los ficheros automatizados que
contengan datos de carácter personal, BOE
151 (25 Junio 1999).
- Real Decreto 1720/2007 de 21 de diciembre
por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de
diciembre, de protección de datos de carácter
personal, BOE 17 (19 Enero 2008).
- Grupo de Expertos en Información y Documentación Clínica. Informe Final. Colección
de Normas y Textos Jurídicos. Subsecretaría
de Sanidad y Consumo. Ministerio de Sanidad y Consumo, Madrid, 1998.
- Ley Foral de Navarra, de 25 de abril de 2002,
sobre los derechos del paciente a las voluntades anticipadas, a la información y a la documentación clínica. BON 58 (13 Mayo
2002).
papeles médicos 2010; VOL. 19 Núm. 2
16
Descargar