RadiologyInfo.org - Para Pacientes

Privacidad del paciente y seguridad de la información médica electrónica

Resumen

Vistazo general

• Los pacientes tienen derecho a determinar la forma en que se comparte su información médica.

• Los radiólogos y otros médicos están trabajando para asegurar que la información médica electrónica se proteja adecuadamente.

• Los pacientes que creen que su información médica ha sido mal utilizada deberían contactar a sus respectivos médicos o al personal administrativo de la oficina del médico.

Se está incrementando el interés en la seguridad de la información médica electrónica (o información médica del paciente) que se almacena en forma digital. Algunas veces los médicos necesitan acceder a esta información para poder tomar las mejores decisiones sobre el tratamiento del paciente. Los pacientes tienen el derecho a determinar cómo y cuándo se va a compartir la información médica de ellos.

Los radiólogos están a la vanguardia tratando de proteger la información médica confidencial de que sea utilizada inadecuadamente. Varias organizaciones radiológicas están actualmente trabajando para desarrollar normas y estándares relacionados con la protección de la información médica, como así también para mejorar las tecnologías para asegurar que esta información se encuentre resguardada.

Los médicos tienen responsabilidades cuando se trata de proteger la información médica electrónica. Los radiólogos y otros médicos deben documentar todo uso de la información del paciente, compartir con sus pacientes las normas sobre privacidad y seguridad, y reportar cualquier pérdida de información. Los pacientes deberían contactar inmediatamente a sus médicos o a la oficina administrativa de sus médicos si sospechan que se ha utilizado inadecuadamente su información médica electrónica.

Para información más detallada sobre privacidad del paciente y seguridad de la información médica electrónica, siga leyendo.

En qué consiste la seguridad de la información médica electrónica

Las imágenes biológicas, los resultados de pruebas de laboratorio, los medicamentos, las alergias, y otros tipos de información clínica se almacenan y visualizan en computadoras cada vez más frecuentemente. La responsabilidad que los médicos tienen de proteger a sus pacientes para que no sufran daños se extiende a la protección de la información, privacidad y confidencialidad del paciente. La seguridad de la información del paciente incluye los pasos que los prestadores de servicios médicos deben seguir para proteger la “información médica protegida” (comúnmente conocida como PHI) del acceso no autorizado o de las brechas a la privacidad o confidencialidad. La seguridad también se refiere al mantenimiento de la integridad de la información médica electrónica, y a asegurar la disponibilidad para aquellos que necesitan acceder y están autorizados a ver dicha información clínica (incluyendo imágenes) para propósitos relacionados con el cuidado del paciente. El gobierno federal requiere el manejo seguro de los medios electrónicos y de la PHI con los estándares descritos en la Ley de transferencia y seguridad de los seguros médicos (Health Insurance Portability and Accountability Act or HIPAA en inglés) de 1996.

La investigación y las actividades educativas no están exentas de los requerimientos de privacidad y seguridad para la PHI. Normas institucionales protegen la privacidad de la información médica que puede ser individualizada, mientras que permite el acceso razonable a la información médica por parte de los investigadores, educadores o personal bajo entrenamiento.

En qué consiste la privacidad del paciente

La privacidad del paciente se refiere al derecho que tienen los pacientes de determinar cuándo, cómo y hasta donde se puede compartir la información médica del paciente con otras personas. Incluye el mantener la confidencialidad y el compartir datos identificatorios, conocidos como información médica protegida (PHI), solamente con proveedores de servicios médicos y profesionales relacionados que la necesiten para poder tratar a los pacientes.

Por qué son importantes la seguridad y la privacidad del paciente?

El manejo seguro de la información médica electrónica podría tener un impacto en la calidad del tratamiento del paciente, en los derechos del paciente, y en los profesionales de la salud y sus prácticas laborales y responsabilidades legales actuales. Los médicos pueden tomar las mejores decisiones respecto a los cuidados médicos si tienen acceso a toda la información relevante en la historia médica de sus pacientes. La incapacidad para acceder a la información podría retrasar el manejo de las decisiones clínicas e impactar adversamente el tratamiento del paciente. Los pacientes tienen el derecho a mantener la privacidad y confidencialidad de sus PHI. Los métodos de protección deben incluir consideraciones con respecto al acceso fácil y a tiempo de la información clínica por parte de profesionales de la salud que están autorizados.

Que están haciendo los profesionales radiólogos para proteger las imágenes médicas y la información del paciente

Los radiólogos han estado a la vanguardia en el uso de imágenes médicas digitales e información médica electrónica. Ellos han reconocido los múltiples beneficios y están trabajando para eliminar los riesgos. A través de organizaciones como la American College of Radiology (Escuela Americana de Radiología o ACR, por sus siglas en inglés), la Radiological Society of North America (Sociedad Radiológica de Norte América o RSNA, por sus siglas en inglés) y la Society for Imaging Informatics in Medicine (Sociedad para las Imágenes Informáticas en Medicina o SIIM, por sus siglas en inglés), los profesionales de la salud han trabajado con científicos, la industria y los líderes en normativas sanitarias para desarrollar estándares, crear normas y procedimientos, adaptar tecnologías, educar a otros médicos y profesionales de la salud, y experimentar con nuevas prometedoras metodologías para proporcionar cuidados médicos de alta calidad a los pacientes en un entorno sano y seguro.

Cuáles son las responsabilidades del radiólogo y del paciente

Los radiólogos son médicos y como tales son responsables de proteger la información, privacidad y confidencialidad del paciente, y de resguardar los datos del paciente para que no se pierdan o corrompan. Los médicos deben documentar sus normas de privacidad y seguridad, y comunicar esta información a sus pacientes. Todos los empleados deben estar entrenados con respecto a las normas de seguridad. Deben haber previsiones para copias de seguridad de todos los sistemas de computación, almacenamiento y retención adecuada de todos los datos electrónicos, mantenimiento de computadoras, procedimientos de tiempo de inactividad del sistema y planes de recuperación, reporte de incidentes y resolución de problemas de seguridad. El incumplimiento de las normas federales y estatales de la información médica electrónica protegida (ePHI) podría resultar en sanciones de índole financiera y/o criminal.

Es un derecho del paciente el poder comunicarse con los prestadores de servicios médicos con confianza y el tener todos los PHI protegidos. El paciente es responsable de autorizar cualquier divulgación de la PHI, excepto cuando es requerido por la ley.

Qué debería hacer si piensa que se ha accedido de forma inadecuada a su información médica

Si usted cree que su PHI ha sido accedida o utilizada en forma inadecuada, reporte inmediatamente sus sospechas a su médico o al personal administrativo del consultorio de su médico o del hospital. Las reglas federales creadas para hacer cumplir la legislación HIPAA especifica los pasos que los prestadores de servicios médicos y sus asociados deben seguir para investigar, reportar y responder a cualquier adquisición, acceso, uso o divulgación no autorizada de la PHI que comprometa la seguridad o privacidad de la información. Se requiere que los prestadores de servicios médicos proporcionen una descripción del incidente a todos los individuos afectados por cualquiera de estas brechas, incluyendo información sobre qué pasos se deberían tomar para protegerse y qué pasos deberá tomar el prestador de servicios médicos para recuperar la pérdida y evitar futuras brechas. El reporte debe incluir información para contactar a un individuo asignado para responder preguntas de las personas afectadas por la brecha.

Cómo se mantiene la información médica en forma segura y privada

Los resguardos físicos, técnicos y administrativos existen para proteger la privacidad, seguridad e integridad de la información almacenada del paciente, mientras que al mismo tiempo permiten el acceso adecuado de los prestadores de servicios médicos para el tratamiento y manejo de los pacientes. Los resguardos físicos incluyen el aislamiento de los aparatos (permitiendo el acceso físico directo solamente a personal autorizado), las copias de seguridad de datos y el mantenimiento de las copias, los protocolos de contingencia para emergencias, y el desecho adecuado de los aparatos. Los resguardos técnicos incluyen cortafuegos (firewalls en inglés) y modos seguros de transmisión para la comunicación tales como redes privadas virtuales (VPN, siglas en inglés) o capas de conexión segura (SSL, por sus siglas en inglés), y técnicas de cifrado (encryption en inglés).

Los resguardos administrativos incluyen requerimientos para la documentación departamental de las normas de seguridad, el entrenamiento del personal sobre estas normas, el mantenimiento de registros de auditoría de todos los archivos de registro según identificación de usuario y actividad, haciendo cumplir las normas para el almacenamiento y retención de datos electrónicos y copias de seguridad de todos los sistemas, adhiriendo a métodos específicos para el reporte de incidentes y la resolución de problemas de seguridad, y documentando claramente las responsabilidades, sanciones y acciones disciplinarias debidas a la violación de regulaciones y procedimientos.

Los archivos médicos electrónicos (EMR, por sus siglas en inglés) deben incorporar los siguientes componentes dentro de las normas de seguridad y procedimientos de sus sistemas: autorización, autentificación, disponibilidad, confidencialidad, integridad de los datos y el no repudio. Los métodos disponibles para la autorización o control de accesos incluyen bases de datos de registro simple o listas asignando derechos y privilegios de usuarios para acceder a ciertos recursos, finalización automática de sesión luego de un período especificado de inactividad para prevenir el acceso de usuarios no válidos, y controles de acceso físico.

La autentificación es el proceso de verificación de la identidad de un usuario para un sistema de computación y se puede lograr usando una clave de acceso, certificados digitales, cartas inteligentes y biometría. La autentificación solamente verifica la identidad de un individuo. No define sus derechos de acceso (autorización).

Los EMRs deben estar disponibles continuamente y los administradores del sistema deben defender contra varias amenazas proveyendo tolerancia a fallos para sus sistemas (equipos duplicados, archivos de datos, sistemas de potencia y redes), proporcionar seguridad física de los servidores, e incorporar la detección preventiva de virus e intrusiones.

Para mantener la confidencialidad se debe evitar que los terceros no autorizados puedan acceder y ver información médica. Esto se puede lograr previniendo el acceso físico a la información utilizando tecnologías tales como commutadores (switched networks), y mediante el cifrado de datos de manera tal que aunque los obtengan físicamente no se puedan leer.

Es esencial que se mantenga la integridad de los datos cuando se está transfiriendo información, para verificar que la información llegué de la forma que fue enviada y que no haya sido modificado de ninguna manera. Los métodos para mantener la integridad de los datos incluyen la detección de intrusiones tales como tripwire y la digestión de mensajes o el uso de la función hash (hashing) en mensajes para detectar cualquier alteración de los datos.

El no repudio asegura que un mensaje transmitido haya sido enviado y recibido por las partes interesadas que dicen que han enviado y recibido el mensaje, proporcionando una prueba de la transacción. Las firmas digitales y los sistemas de registros de auditoría de todas las actividades de los usuarios son métodos de no repudio.

Esta página fue repasada en 2010-02-09

Patrocinado por

Por favor note que

RadiologyInfo.org no es un centro médico. Por favor contacte a su médico si tiene preguntas específicamente médicas o para obtener referencias de un radiólogo u otro médico. Para encontrar un servicio de imágenes médicas o de oncología radioterápica en su comunidad, puede buscar en la base de datos de servicios acreditados por el ACR (American College of Radiology).

Esta página web no brinda información sobre precios. El costo de los exámenes médicos por imágenes, tratamientos y procedimientos específicos puede variar de acuerdo a la región geográfica. Hable con su médico, con los empleados del centro médico y/o con su compañía de seguro médico sobre los costos asociados con el procedimiento prescrito para entender mejor los posibles gastos en los que incurrirá.

Proceso de revisión de página web: Este procedimiento es revisado por un médico con experiencia en el área presentada, y luego es revisado otra vez por comités de la American College of Radiology (ACR) y de la Radiological Society of North America (RSNA), organismos compuestos por médicos expertos en diversas especialidades de radiología.

Enlaces exteriores: RadiologyInfo.org proporciona enlaces a sitios web relevantes para comodidad de nuestros usuarios. RadiologyInfo.org, ACR, y RSNA no son responsables por el contenido de las páginas web encontradas mediante estos enlaces.