FUENTE: Revistaesalud.com
Jose Luis Fernández Alemán
Departamento de Informática y Sistemas. Universidad de Murcia
Pedro Angel Oliver Lozoya
Alumno del Master IMACI (Informática y Matemáticas Aplicadas en Ciencias e Ingeniería) de la Universidad de Murcia
Resumen/Abstract
Este trabajo presenta una revisión de la literatura relacionada con las herramientas que implementan sistemas de Historiales Clínicos Electrónicos (HCEs) e incluyen aspectos de seguridad y privacidad de la información. Tras la descripción de las propuestas seleccionadas, se discuten algunos problemas identificados y se plantean brevemente los principales retos y soluciones en este campo.
This paper presents a review of the literature related with the systems than implement Electronic Health Records (EHRs) and include information security and privacy issues. After describing the proposals selected, some identified problems are discussed and the main challenges and solutions in this field are briefly raised.
1. Introducción
El historial clínico es el conjunto de documentos que contienen los datos, valoraciones e informaciones de la situación y evolución médica de un paciente a lo largo del proceso asistencial. Puede contener cualquier tipo de material relacionado con la actividad sanitaria generada con motivo de la atención a los pacientes. Como consecuencia de tratar de automatizar la gestión de esta información surgen los HCEs. Según un estudio realizado en [15] existen cuatro grandes obstáculos que limitan la implantación de los HCEs: financieros, tecnológicos, de actitud ante los HCEs, y organizativos.
Este trabajo se centra en los aspectos tecnológicos, particularmente, la adopción de estándares y herramientas para la seguridad, privacidad y calidad de los sistemas de HCEs.
Los HCEs se utilizan en la atención primaria, secundaria, terciaria y cuaternaria, por parte de diferentes grupos de profesionales del cuidado de la salud: personal de secretaría, enfermeros, médicos, e incluso pacientes. Los HCEs pueden contener un amplio espectro de documentos: anotaciones diarias, evaluación física, notas de enfermería de admisión, plan de cuidado de enfermería, síntomas y enfermedad actual, historial médico pasado, estilo de vida, examen físico, diagnósticos, procedimientos, tratamientos, rehabilitaciones, etc.
Aunque la calidad de la información es particularmente importante en la atención del paciente, los HCEs también proporcionan información valiosa para otros propósitos como la planificación de políticas de salud [18].
Para cubrir convenientemente las necesidades y requisitos de todos los usuarios de los HCEs es necesario definir la estructura que los HCEs deben tener y la terminología que se debe emplear. La convivencia de los diferentes tipos de sistemas de HCEs, donde se satisfagan las necesidades tanto de los profesionales de la salud como de los pacientes, es un desafío aún sin resolver, fundamentalmente debido a la dificultad que entraña la interoperabilidad de sistemas heterogéneos. Un paso más allá es el uso de una terminología internacional común para lograr la ansiada interoperabilidad semántica [18].
En estos últimos años, la comunidad internacional y en particular la Unión Europea ha realizado un considerable esfuerzo para desarrollar estándares para la representación y el intercambio de información de los sistemas de HCEs [21], válido tanto en la medicina convencional como en la alternativa [27]. Para este fin, el Comité de Normalización Europea ha desarrollado el estándar CEN 13606, aprobado por la Organización Internacional de Estandarización (ISO) [8]. El estándar 13606 se encuentra estructurado en 5 partes: (1) Modelo de referencia (representa la estructura y semántica mínima de la información); (2) Modelo de arquetipos (permite representar el conocimiento del dominio); (3) Lista de términos; (4) Seguridad; y (5) Especificación de interfaces. Por tanto, el estándar 13606 se encarga de marcar las pautas que se deben seguir a la hora del desarrollo de sistemas de HCEs. Como ejemplo podemos citar el desarrollo, prueba e implantación de un servidor de HCEs [23] de acuerdo al estándar europeo revisado prEN13606:2005. En el dominio de las ciencias de la salud existen otros estándares bien conocidos como HL7 [6], OpenEHR [7] y SNOMED [29]. Estos estándares se complementan (HL7 es adecuado para el intercambio, integración, compartición y recuperación de los datos, OpenEHR describe la administración y almacenamiento de información sanitaria en HCEs y SNOMED es un gran diccionario clínico). Sin embargo, algunos de estos estándares también se solapan y pueden conducir a diferentes desarrollos.
Este trabajo se organiza en las siguientes secciones: la Sección 2 identifica las normas y los estándares que hacen referencia a la cuestiones de seguridad y privacidad de la información en HCEs. La Sección 3 describe el diseño de la revisión, para inmediatamente después, presentar el procedimiento seguido para la selección de los estudios. A continuación, en la Sección 4 se resumen las principales aportaciones de los trabajos seleccionados. En la Sección 6 se realiza una discusión sobre los estudios revisados y se identifican los principales retos y soluciones en el diseño de sistemas de HCEs desde el punto de vista de la seguridad y privacidad de los datos. Finalmente, la Sección 7 expone las conclusiones de la revisión.
2. Normas y Estándares de Seguridad y privacidad de HCEs
Sin duda alguna, uno de los aspectos importantes en los HCEs es la seguridad y la privacidad [24] [26] [28] [31]. Es crucial garantizar la protección adecuada de la confidencialidad e integridad de la información del paciente. En [28] se identifican requisitos de los HCEs respecto a la seguridad de la información de la salud que deberían ser correctamente abordados.
El estándar europeo 13606 define un framework básico que puede ser usado como especificación mínima de políticas de acceso a los HCEs, que complementa la arquitectura global definida en la Parte 1 del estándar (Modelo de referencia). Hay que tener en cuenta que el estándar no recomienda las reglas de acceso en sí mismas, es decir, no especifica quién debería acceder a qué y a través de qué medios. Las comunidades de usuarios, las guías nacionales y la legislación vigente deben concretar la norma general. En el estándar también se hace referencia al consentimiento informado y a la seguridad en las comunicaciones de los HCEs.
El enfoque de OpenEHR para la seguridad se sustenta fundamentalmente en dos premisas: (1) consentimiento informado: los profesionales de la salud no deben utilizar, ni comunicar, sin el consentimiento de los pacientes, los datos sanitarios personales durante la atención sanitaria; (2) relevancia de acceso:los profesionales de la salud solo deben tener acceso a los historiales clínicos de sus pacientes.
La OCDE [5] y la Unión Europea [1] también han establecido diferentes principios y directrices para diseñar sistemas de control de acceso seguros, de manera que se proteja la privacidad de los datos personales. La Unión Europea ha desarrollado un estándar oficial de confidencialidad y privacidad en la asistencia sanitaria a través del proyecto EuroSOCAP [2], que proporciona a los profesionales de la salud ciertas orientaciones éticas sobre la confidencialidad y privacidad, y a las instituciones sanitarias una serie de buenas prácticas éticas.
Como afirman Stell et al. [30], existen numerosos trabajos dedicados a modelar los requisitos de seguridad en los HCEs [10] [11] [12], pero muy pocos han sido implementados en un sistema real. Nuestro estudio tiene como objetivo identificar qué sistemas de HCEs implementados en los últimos años han considerado los aspectos de seguridad y privacidad de la información.
3. Diseño de la revisión
En esta sección se describe el procedimiento seguido para realizar la revisión.
3.1. Formulación de la pregunta
En esta revisión se pretende responder a la siguiente pregunta:
1. ¿Qué herramientas han implementado aspectos de seguridad, privacidad y confidencialidad de la información en sistemas de HCEs?
3.2. Identificación de las fuentes de información
Para acceder a la bibliografía relacionada con la pregunta formulada se utilizaron fuentes de información digitales procedentes de subscripciones institucionales de la Universidad de Murcia: MedLine, IEEE Digital Library, ACM Digital Library, Science@Direct, Wiley InterScience y MetaPress. Para realizar la búsqueda de la bibliografía relevante se utilizó la siguiente cadena de palabras clave: “electronic health record” and “audit” and “tool”.
4. Selección de los Estudios
4.1. Criterios de inclusión
1. CI1. Se incluyeron publicaciones de revistas y congresos internacionales escritos en inglés. Se excluyeron trabajos publicados en otra lengua, o que carecen de ISSN o ISBN.
2. CI2. Se incluyeron las publicaciones que presentan herramientas que tratan algún aspecto sobre la seguridad, privacidad y confidencialidad de la información en sistemas de HCEs. Se excluyeron aquellos trabajos que sólo tratan los estándares de seguridad en sistemas de HCEs.
3. CI3. En el caso de trabajos muy similares o en la misma línea de investigación, se estudiaron todos los que aportan algo novedoso frente al resto.
El procedimiento de selección de estudios consiste en la identificación de la revista o actas de congreso en el que se encuentra publicado el trabajo. Posteriormente, si la publicación tiene ISSN o ISBN, se procede a la lectura del título y del resumen. Si cumple los criterios CI1, CI2 y CI3, se completa el proceso de selección mediante la lectura completa de cada trabajo seleccionado, con el fin de extraer la información necesaria para completar su plantilla de descripción.
5. Descripción de los Resultados
En esta sección se realiza una descripción de los trabajos seleccionados de acuerdo a las aportaciones más relevantes de cada herramienta. Chen et al. [14] presenta el diseño e implementación en AspectJ de un sistema de control de acceso adaptable para sistemas de HCEs basados en la web, siguiendo un enfoque orientado a aspectos. En la propuesta, la lógica de control de acceso está disociada del núcleo de la aplicación de HCEs y recoge en módulos separados aspectos que son automáticamente sintetizados a partir de las reglas de control de acceso en formato XML y plantillas de diseño de aspectos correctas. Los módulos generados son a continuación compilados e integrados en la aplicación subyacente de HCEs usando herramientas de aspectos estándar. En tiempo de ejecución, estos módulos de aspectos binarios se ejecutarán para hacer cumplir el control de acceso requerido. La principal aportación de este trabajo es que la Programación Orientada a Aspectos permite que futuros cambios de las reglas de control de acceso puedan hacerse efectivos a través de estos mecanismos sin necesidad de programar.
Dekker y Etalle [16] desarrollan Audit Logic, un lenguaje y un framework para el control de accesos a posteriori, es decir, escenarios donde las decisiones sobre la seguridad ante acciones ilegales no se pueden tomar inmediatamente, y muestra cómo se puede utilizar en un escenario práctico como es un sistema de HCEs. Concretamente, en Audit Logic el control de accesos a priori se reduce a una simple autenticación de usuarios y objetos, y sus autorizaciones básicas. A través de un mecanismo de auditoría a posteriori, se realizan verificaciones más complejas sobre la seguridad en el sistema. Los autores esbozan toda la arquitectura necesaria para el control de acceso basado en la auditoría y discuten los requisitos y limitaciones de este enfoque sobre la infraestructura subyacente y sus usuarios. El lenguaje empleado en Audit Logic está basado en la lógica de primer orden.
Becker y Sewell [9] presentan Cassandra, un sistema junto con un lenguaje para expresar políticas de seguridad para sistemas de HCEs, y lo ilustra con los resultados de un caso de estudio del Servicio de Salud Nacional del Reino Unido. Las políticas de Cassandra se expresan en un lenguaje basado en Datalog con restricciones. La expresividad del lenguaje (y su complejidad computacional) se puede ajustar eligiendo un dominio de restricciones apropiadas.
Cassandra está basado en roles; soporta control de acceso basado en credenciales (por ejemplo entre dominios administrativos); y las normas pueden referirse a políticas de control remoto (para la recuperación automática de credenciales y negociación de confianza). Un prototipo de Cassandra se ha implementado en OCaml.
Otros trabajos proponen soluciones de compromiso para evitar la necesidad de un único estándar esquemático. Este es el caso de Stell et al. [30] que presentan el sistema VANGUARD (Virtual ANonymisation Grid for Unified Access of Remote Data). Este sistema está basado en una vinculación adaptativa orientada a la seguridad de conjuntos de datos clínicos distribuidos para soportar distintos HCEs virtuales. VANGUARD ha sido diseñado pensando en la seguridad y soporta claramente la definición de roles para el uso y vinculación de los datos.
En [13], Brokel y Harrison presentan la implementación de un sistema de HCEs que tenía, entre otros objetivos, identificar y abordar los problemas de seguridad, así como mejorar la comunicación y relaciones entre roles clínicos en las entidades asociadas al Trinity Health, un gran sistema integrado de prestaciones de salud en Estados Unidos. Después de varios años de planificación, se construyeron dos versiones de la implementación del sistema en 2001 y 2003. Tras un proceso de mejora, a finales de 2008, 13 de las 17 principales organizaciones del cuidado de la salud de Trinity Health adoptaron el nuevo sistema de HCEs.
Mandl et al. [22] presenta Indivo, una versión actualizada del sistema PING [25]. Indivo es una aplicación abierta que permite a los pacientes almacenar, mantener y gestionar una copia segura de sus datos clínicos. Esta aplicación permite la integración de información médica procedente de diversas fuentes a través de protocolos de comunicación que cumplen diferentes estándares. Indivo pone especial atención en la privacidad del paciente y en la propiedad de su historial.
6. Discusión
6.1. Síntesis de resultados
La seguridad se puede controlar de varias maneras [28]: (1) autenticación: identificar a la persona que usa el servicio por medio de usuario/contraseña, tarjetas inteligentes, huella dactilar o reconocimiento de retina; (2) autorización: comprobar que la persona identificada está autorizada para usar los servicios solicitados, a través de una lista de usuarios registrados y sus derechos de acceso; y (3) privacidad: encriptar el mensaje con fórmulas matemáticas para evitar que un tercero pueda acceder a los mensajes que circulan por la red.
Audit Logic [16] y Cassandra [9] utilizan un lenguaje de políticas de seguridad basado en lógica formal. En estos lenguajes una solicitud de autorización o una credencial de autenticación es una fórmula lógica, mientras que la autorización o decisión de autenticación corresponde con una demostración de una fórmula.
Por tanto, la lógica formal impregna de rigor todo el sistema de seguridad de los HCEs, y garantiza en gran medida la corrección y eficacia del mismo.
Ningún trabajo hace mención a los estándares internacionales que ofrecen recomendaciones sobre seguridad de los sistemas de HCEs y sólo un trabajo [14] tiene en cuenta un estándar local para el control de accesos, concretamente la Plantilla de Registros Médicos Electrónicos de Taiwan [20], desarrollado por la Asociación para la Informática Médica de Taiwan.
Sin embargo encontramos dos enfoques flexibles: (1) VANGUARD [30], un sistema escalable, diseñado especialmente para facilitar la adopción de estándares de datos que puedan aparecer en el futuro; e (2) Indivo [22], una implementación de HCEs que permite a las instituciones crear y administrar una infraestructura que cubra ampliamente requisitos como los que imponen las Reglas de Seguridad y Privacidad del HIPAA (Health Insurance Portability and Accountability Act). HIPAA es una ley promulgada en 1996 en Estados Unidos, que tiene como principal objetivo defender los derechos de privacidad sobre los datos clínicos de sus ciudadanos.
Diversos autores en la literatura científica [30] confirman esta desconexión entre los estándares y las implementaciones de los sistemas de HCEs implantados en los diversos centros sanitarios. Además, el esfuerzo económico que supone la adopción estándares es una barrera que, en la mayoría de los casos, sólo puede ser superada por el sector privado.
Finalmente, merece la pena mencionar que grandes multinacionales como Microsoft y Google se han posicionado en el mercado con sendas herramientas, Google Health [3] y Microsoft HealthVault [4], que proporcionan soporte para HCEs, aunque actualmente aún se encuentran poco desarrolladas.
6.2. Retos y soluciones
En [17], Falcao et al. presenta una solución técnica basada en estándares de seguridad en la web. Los pacientes pueden monitorear y controlar qué entidades tienen acceso a sus HCEs, teniendo así conocimiento de qué parte de su historial médico es conocido y por quién. Los autores afirman que es necesario crear protocolos estándares de acceso a datos, mecanismos y políticas para proteger los derechos de privacidad y además, permitir a los pacientes realizar un seguimiento automático de sus datos personales y su información en el contexto de sistemas de información de la salud. Esta solución debe ser funcional y, sobre todo, fácil de usar y la interfaz debería tomar en consideración algunas heurísticas de usabilidad. El autor presenta los actuales estándares oficiales de privacidad y confidencialidad en el cuidado de la salud que actualmente están siendo desarrollados en la Unión Europea.
También se ofrece una visión del estado del arte sobre los estándares de seguridad web, que pueden ser usados para diseñar sistemas de información de la salud compatibles con estas políticas de protección de la privacidad de los pacientes.
Janczewski [19], a partir de un análisis del estándar AS/NZCS 4444 y diversos estudios de organizaciones de atención sanitaria que recogen, procesan, almacenan y transmiten HCEs en Nueva Zelanda, propone un nuevo conjunto de referencias en seguridad de la información para construir un modelo de seguridad de la información para las organizaciones sanitarias.
7. Conclusiones
En este trabajo se ha presentado una revisión de la literatura científica en relación con los sistemas de HCEs que cuentan con un sistema de seguridad y control de acceso a la información.
Se ha confirmado que la mayoría de las aplicaciones encontradas presentan una importante carencia en lo relativo a la adopción de estándares de seguridad, lo que impide la interoperabilidad del sistema y puede reflejar cierta laxitud en la privacidad de la información. El esquema de control de acceso de los sistemas de HCEs en cada institución sanitaria debería estar en sintonía con los derechos de privacidad del paciente. El propietario del historial, esto es, el paciente debería tener derecho a decidir quién tiene permiso y conocer con qué propósito se accederá a su HCE. De esta manera, el paciente recupera el control sobre el destino de su historia clínica, algo que nunca debería haber perdido.
Bibliografía
- European Commission. Data Protection: Directive 95/46/EC on the protection of personal data.
- European Commission. EuroSOCAP. European Standards on Confidentiality and Privacy in Healthcare.
- Google Health. http://www.google.com/health.
- Microsoft Healthvault. http://www.healthvault.com.
- OECD. Organization for Economic Co-operation and Development. OECD Guidelines on the Protection of Privacy and Trans-border Flows of Personal.
- HL7 EHR System Functional Model and Standard - Draft Standard for Trial Use, 2004.
- The OpenEHR foundation. IOS Press, 0926-9630, regional health economies and ict services: The picnic experience, 2005, p153-173.
- Norma iso/cen 13606, Accedido 1/6/2010, 2010.
- M. Y. Becker and P. Sewell. Cassandra: Flexible trust management, applied to electronic health records. Computer Security Foundations Workshop, IEEE, 0:139, 2004.
- B. Blobel. Advanced tool kits for epr security. Int J Med Inform, 60(2):169–175, Nov 2000.
- B. Blobel. Authorisation and access control for electronic health record systems. Int J Med Inform, 73(3):251–257, Mar 2004.
- B. Blobel, R. Nordberg, J. M. Davis, and P. Pharow. Modelling privilege management and access control. Int J Med Inform,75(8):597–623, Aug 2006.
- J. M. Brokel and M. I. Harrison. Redesigning care processes using an electronic health record: a system’s experience. Jt Comm J Qual Patient Saf, 35(2):82–92, Feb 2009.
- K. Chen, Y.-C. Chang, and D.-W. Wang. Aspect-oriented design and implementation of adaptable access control for electronic medical records. International Journal of Medical Informatics, 79(3):181 – 203, 2010.
- B. S. de Abajo, I. de la Torre Díez, P. B. González, E. G. Salcines, F. J. D. Pernas, J. F. D. Higuera, M. L. Coronado, and C. de Castro Lozano Correoa. Evolución, beneficios y obstáculos en la implantación del historial clínico electrónico en el sistema sanitario. E-salud, 6(22), 2010.
- M. Dekker and S. Etalle. Audit-based access control for electronic health records. Electronic Notes in Theoretical Computer Science, 168:221 – 236, 2007. Proceedings of the Second International Workshop on Views on Designing Complex Architectures (VODCA 2006).
- F. Falcão-Reis, A. Costa-Pereira, and M. E. Correia. Access and privacy rights using web security standards to increase patient empowerment. Stud Health Technol Inform, 137:275–285, 2008.
- K. Häyrinen, K. Saranto, and P. Nykänen. Definition, structure, content, use and impacts of electronic health records: A review of the research literature. International Journal of Medical Informatics, 77(5):291 – 304, 2008.
- L. Janczewski and F. X. Shi. Development of information security baselines for healthcare information systems in new zealand. Computers & Security, 21(2):172 – 192, 2002.
- W. S. Jian, C. Y. Hsu, T. H. Hao, H. C. Wen, M. H. Hsu, Y. L. Lee, Y. C. Li, and P. Chang. Building a portable data and information interoperability infrastructure-framework for a standard taiwan electronic medical record template. Comput Methods Programs Biomed, 88(2):102–111, Nov 2007.
- D. Kalra. Electronic health record standards. Yearb Med Inform, pages 136–144, 2006.
- K. D. Mandl, W. W. Simons, W. C. R. Crawford, and J. M. Abbett. Indivo: a personally controlled health record for health information exchange and communication. BMC Med Inform Decis Mak, 7:25, 2007.
- A. Muñoz, R. Somolinos, M. Pascual, J. A. Fragua, M. A. González, J. L. Monteagudo, and C. H. Salvador. Proofof-concept design and development of an en13606-based electronic health care record service. Journal of the American Medical Informatics Association, 14(1):118 – 129, 2007.
- I. Paun, D. Sauciuc, N. Iosif, O. Stan, A. Perse, C. Dehelean, and L. Miclea. Local ehr management based on openehr and en13606. Journal of Medical Systems, pages–, 2009.
- W. W. Simons, K. D. Mandl, and I. S. Kohane. The PING personally controlled electronic medical record system: technical architecture. J Am Med Inform Assoc, 12(1):47–54, 2005.
- E. Smith and J. Eloff. Security in healthcare information systems–current trends. International Journal of Medical Informatics, 54(1):39 – 54, 1999.
- K. Smith and D. Kalra. Electronic health records in complementary and alternative medicine. Int J Med Inform, 77(9):576–588, Sep 2008.
- G. Sridhar, A. A. Rao, M. Muraleedharan, R. J. Kumar, and V. Yarabati. Electronic medical records and hospital management systems for management of diabetes. Diabetes and Metabolic Syndrome: Clinical Research and Reviews, 3(1):55 –59, 2009.
- M. Q. Stearns, C. Price, K. A. Spackman, and A. Y. Wang. Snomed clinical terms: overview of the development process and project status. Proc AMIA Symp, pages 662–666, 2001.
- A. Stell, R. Sinnott, O. Ajayi, and J. Jiang. Designing privacy for scalable electronic healthcare linkage. Computational Science and Engineering, IEEE International Conference on, 3:330–336, 2009.
- K. T. Win and W. Susilo. Information security and privacy of health data. International Journal of Healthcare Technology and Management, 7(6):492–505, July 2006.
No hay comentarios:
Publicar un comentario