JORNADA “FUNCIONALIDAD, PRIVACIDAD Y SEGURIDAD EN EL ENTORNO SANITARIO”
El pasado 2 de Octubre APISA estuvo presente en la Jornada “Funcionalidad, Privacidad y Seguridad en el Entorno Sanitario” en el palacio de la Colomina de Valencia, organizada por las ISACA, APEP y AVISA.
Tuve el gran placer de ser invitado por Juan Miguel Signes, Presidente de ISACA-Valencia a participar en la Mesa de debate “Seguridad en el Entorno Sanitario”.
Moderó la mesa Javier Peris, Vocal de ISACA Valencia y estuve acompañado por Mª José Hernández, CIO del Departamento de Salud Clínico de la Malvarrosa y miembro de la junta directiva de AVISA, Robert Soriano, Vicepresidente de ISACA Valencia y Javier Cao, Director técnico del área de seguridad de la información de Firma-e y miembro de APEP.
Javier Peris, como moderador, comenzó el debate lanzando una serie de preguntas a los ponentes que fuero objeto de debate durante una hora y que sin duda despertaron el interés de los presentes. Asistentes del sector de la privacidad y el derecho y profesionales de las Tecnologías de Información Sanitarias. Aquí os presento un resumen de las preguntas y mis respuestas.
¿Qué preocupa a los profesionales sanitarios respecto de las Tecnologías de la Información de la Salud (TIS) en cuanto a seguridad?
Desde la publicación del libro “Errar es Humano” en 1999 el colectivo sanitario está cada vez más preocupado y concienciado con la seguridad del paciente. En EE.UU. entre 44.000 y 98.000 pacientes mueren al año debido a errores médicos.
En la misma línea, la asociación de Unión de Consumidores de los EE.UU. publicó en 2009 “Errar es Humano, Retrasarse mortal, diez años más tarde, un millón de vidas perdidas y un billón de dólares malgastados” que afirma que cada año mueren 99.000 norteamericanos debido a infecciones adquiridas en los hospitales, lo que equivale a que un jumbo se estrellara cada día.
Según la OMS, se calcula que en los países desarrollados 1 de cada 10 pacientes sufre algún tipo de daño innecesario durante su estancia en un hospital.
En España, en la misma línea nos habla el “Estudio Nacional sobre los Efectos Adversos ligados a la Hospitalización. ENEAS 2005”, el 10% de los pacientes que acuden a un hospital sufren un evento adverso siendo el 50% evitables.
O el “Estudio APEAS, Estudio sobre la seguridad de los pacientes en atención primaria de salud. 2008” que afirma que 7 de cada 10 ciudadanos sufren un evento adverso, siendo el 70% evitables.
Lo que realmente preocupa a los profesionales sanitarios es la seguridad del paciente.
¿Puede afectar a la salud del paciente la falta de seguridad de información en las TIS?
Si bien sólo un porcentaje de estos eventos están relacionados con las TIS, estudios recientes demuestran que hay una elevada casuística de eventos adversos que tienen su origen en las mismas, por ejemplo, un estudio publicado en 2011 basado en el registro de eventos adversos de la FDA de los EE.UU. estableció 36 categorías diferentes de errores de las TIS que provocaron eventos adversos en el paciente.
El estudio encontró que entre Enero de 2008 y Julio de 2010 se produjeron 436 eventos relacionados con las TIS, de éstos 46 eventos ocasionaron daño al paciente y 4 de ellos le ocasionaron la muerte. Hay que tener en cuenta que los registros de eventos adversos sufren de una gran subnotificación, y además, el personal sanitario en general no tiene conciencia de una relación entre las TIS y los eventos de seguridad del paciente de forma que no se notifican estos eventos como tales, de forma que el número de eventos podría crecer significativamente.
¿Cuáles son los principales problemas de seguridad de las TIS que pueden afectar a la salud del paciente?
En un estudio que estamos realizando en el HURS actualmente ya sabemos que los errores de identificación el paciente suponen algo más del 23% del total de eventos registrados desde 2009, en 2012 este porcentaje era del 21%. La OMS cataloga como prioridad 1 corregir este tipo de problemas en las organizaciones sanitarias. Una mala identificación puede conllevar actuaciones que no estaban destinadas al paciente, la consecuencia más común es una cirugía indebida o realizada en el lugar equivocado.
Otros problemas relacionados con las TIS detectados por el estudio ENEAS ya en 2005 fueron el retraso en el diagnóstico debido a la falta de las pruebas pertinentes, Errores en las etiquetas identificativas, transmisión incorrecta de resultados de analíticas o información deficiente sobre el tratamiento después del alta.
Algunos otros ejemplos son las HH.CC. duplicadas y la mezcla de documentos, tanto en la H.C. en papel como digital.
¿Cuál es el origen de estos problemas?
El origen de estos problemas es variado; errores humanos, mal diseño de las interfaces hombre-máquina, flujos informáticos que no se adaptan a los flujos reales de trabajo, mal funcionamiento de los sistemas de interoperabilidad y por supuesto errores en el software y fallos hardware, pero también las políticas organizativas y procedimientos internos que condicionan las variables anteriores, y por supuesto las normativas nacionales.
También nos encontramos con problemas relacionados con la gestión de cambios; actualizaciones, mejoras y configuraciones y las dependencias ocultas entre unos sistemas y otros.
¿Tienen en cuenta diseñadores, desarrolladores e implantadores y responsables de soporte los problemas de seguridad de la información que afectan a la seguridad del paciente?
Creo que cuando se implanta un Sistema TIS se piensa en infraestructuras, soporte, gestión de proyectos… como debe de ser, pero se piensa poco en la seguridad del paciente. El “cómo” sustituye al “qué”, la herramienta al contenido. No debemos olvidar que el software médico es considerado como producto sanitario activo no implantable y como cualquier otro producto sanitario debería estar sometido a las mismas exigencias de calidad y seguridad.
El papel de los desarrolladores de los EHR (tanto internos como externos) es muy relevante si queremos que los sistemas TIS sean seguros para el paciente. Se hace imprescindible una estrecha colaboración entre las organizaciones usuarias de las TIS y sus desarrolladores.
Los desarrolladores de EHR de los EE.UU., representados por la Asociación de Historia Clínica Electrónica (EHRA), reconocen su responsabilidad para garantizar la seguridad del paciente con sus productos y, en junio de 2013, se emitió el Código de Conducta del desarrollador EHR, en el que por un lado se describen sus responsabilidades sobre la seguridad del paciente y por otro expone lo que las organizaciones de salud deben esperar y exigir a los desarrolladores de los EHR.
Sobre esto me gusta especialmente una reflexión del Sr. Thomas Davenport en el 2000;
“Imaginen un mundo obsesionado con la fontanería. En este extraño lugar, centenares de libros y revistas, e incluso algunos canales de televisión, cubren extensamente la actualidad del sector de la fontanería, celebrando los últimos avances en válvulas, soldaduras y cañerías. Las conversaciones de café están dominadas por el tema de si una marca de desagües vacía más rápido que otra. Los magnates del equipamiento para fontaneros aparecen en las portadas de las revistas de negocios, incluso de las publicaciones de interés general, y se convierten en las personas más ricas del mundo. Las compañías pagan millones y billones para conectar todos sus artefactos y asegurar que las cañerías lleguen a los lugares más remotos.
Solamente hay un tema que en este mundo tan extraño se pasa por alto: ¡el agua! ¿Es limpia y fresca? ¿Es agua lo que los consumidores quieren beber? ¿Tienen sed?”.
Esta visión también es aplicable internamente a las organizaciones sanitarias.
¿De qué forma se pueden abordar estos problemas desde la función de la seguridad de la información?
Muy recientemente ha habido diversas aproximaciones para analizar el problema.
Un estudio publicado en septiembre de 2011 realizado sobre casi 900.000 informes de eventos adversos identificó y categorizó 36 tipos diferentes de errores provocados por las TIS.
Hay que mencionar también el nuevo modelo socio-técnico para el estudio de la tecnología de la información en los sistemas sanitarios. Este modelo analiza los eventos adversos desde 8 dimensiones distintas que interaccionan entre sí, buscando la causa raíz de cada evento para determinar si su origen estuvo en las TIS y cual fue con objeto de poder abordarlo y corregirlo. Considera las siguientes 8 dimensiones:
- Infraestructura Hardware y Software.
- El contenido clínico (datos).
- Interfaz hombre-máquina.
- Las personas.
- Los flujos de trabajo y comunicación.
- Las políticas de la organización interna, procedimientos y la cultura organizativa.
- Reglas, regulaciones y presiones externas.
- Sistemas de medición y monitorización
¿Quiénes deben intervenir en materia de seguridad de la información para la seguridad del paciente?
El reto para las organizaciones sanitarias consiste en identificar los problemas de las TIS relacionados con la seguridad del paciente antes de la implantación, pero también deben estar preparadas para detectar estos problemas una vez puestos en explotación tan pronto como sea posible y adoptar las medidas necesarias para corregirlos antes de que se ocasione un daño al paciente.
El enfoque de las organizaciones sanitarias respecto de la seguridad de las TIS debe apoyarse en una orientación colectiva multidisciplinar tanto de expertos internos como externos y que comprende a todos los implicados, desde diseñadores hasta usuarios de los sistemas TIS.
- Profesionales Sanitarios; notificando eventos adversos, quasi-incidentes y condiciones inseguras
- Autoridades sanitarias; con la elaboración de guías, procedimientos, agregación de datos en entornos confidenciales, actuando como CATALIZADOR entre todos los actores.
- Profesionales TIS: Desarrolladores, directores y gestores de proyectos, profesionales TIS internos, expertos en seguridad de la información.
- Profesionales de la seguridad del paciente y calidad; para el análisis de incidentes, formación, concienciación y retroalimentación.
¿Cómo podemos abordar los desafíos de seguridad de la información planteados por las TIS?
Apoyándose en estos estudios desde la ONC , Oficina del Coordinador Nacional para la Tecnología de la Información de la Salud de los EE.UU se ha promovido el desarrollo de las guías SAFER, una metodología para que las organizaciones sanitarias puedan auto-evaluar la seguridad y eficacia de sus EHR, identificar áreas específicas de vulnerabilidad, y crear soluciones y un cambio de cultura para mitigar los riesgos. Las guías permiten evaluar 9 áreas;
- Prácticas de alta prioridad (procesos de alto riesgo)
- petición electrónica con apoyo a la decisión
- procesos implicados en la entrega de pruebas
- Procesos implicados en la comunicación clínica
- Procesos relacionados con la identificación de pacientes
- Planes de contingencias
- Procesos implicados en la configuración de los sistemas TIS.
- Interfaces
- Responsabilidades de la organización
¿Qué podemos hacer para mejorar la seguridad y la eficacia de los Registros Electrónicos de Salud?
Es necesario poner en marcha mecanismos de registro globales que puedan compartirse entre todos los actores de forma confidencial que permitan analizar los eventos por todas las partes para adoptar las medidas necesarias. Son los Servicios Sanitarios quienes deben actuar como catalizadores para poner en marcha estos mecanismos y las sociedades científicas tanto médicas como tecnológicas quienes deben respaldarlas.
¿Qué pueden aportar ISACA e ISACA Valencia a las OS y profesionales del sector sanitario?
Orientación tanto a los servicios de salud (públicos y privados) como a los profesionales. Indicando el camino a seguir en base a la evidencia científica. Promoción de la investigación relacionada con la implicación de las TIS en la seguridad del paciente y la aplicación de las metodologías de la seguridad de la información como herramientas para identificar y ayudar en las soluciones. Colaboración con los servicios de formación (vg EASP) para incluir en los programas de formación temas específicos sobre seguridad de la información en las TIS que ayude en la concienciación de los profesionales y en la formación de los mismos para la identificación de los incidentes de seguridad del paciente derivados de las TIS.
En definitiva ayudar a orientar a las Organizaciones Sanitarias y los profesionales en la aplicación práctica de la seguridad de la información a la seguridad del paciente.