Entro en LinkedIn y veo una actualización del status de un amigo. Ahora es asesor de una compañía desconocida. Busco la empresa y aparentemente es un portal que mantiene una historia clínica en modalidad ASP. No hay referencias, poca información y cláusulas un tanto abusivas. Para acabarlo de arreglar, en las condiciones de privacidad mencionan a Google AdWords. ¡Apaga y vámonos!
Anoto mentalmente que nunca iré a consulta con ningún médico ni centro que tenga esta HCI. No me merecen confianza. No me la merece ningún centro que no respete la normativa vigente, por mucha excelencia clínica que me vendan.
Este es el desencadenante de esta reflexión.
Todos, más o menos, en diferentes foros, hemos manifestado nuestra preocupación por la avalancha de apps de salud. Y todos en algún momento, hemos manifestado nuestro convencimiento de la necesidad de la regulación, acreditación, certificación u homologación de las mismas.
Pero nunca, ninguno -con la honrosa excepción de Julio Mayol- ha planteado la necesidad de certificar u homologar el sistema de información sanitario que se implanta en una consulta, en un centro sanitario, en un hospital... en una Comunidad Autónoma.
¿Y por qué? Se supone que con el cumplimiento de la normativa reguladora básica debiera ser suficiente. LOPD y autonomía del paciente, entre otras. ¿Exigimos un certificado que acredite que es cierto lo que manifiesta el proveedor? De hecho, fuera de la presentación de normas ISO, y cumplimiento de estándares como CMMI, en España pocas veces se exige. Aparte del pequeñísimo detalle que no existe una autoridad de certificación como tal ni una normativa que detalle los mínimos exigibles para un sistema de información sanitario.
En otros países es diferente. En Estados Unidos o México, por poner dos ejemplos, existe una normativa donde detalla qué requisitos debe cumplir una HCI, cuáles son los planes de prueba que debe pasar para poder homologarla y cuáles son los organismos que pueden expedir el certificado.
¿Y cuál es el riesgo y el porqué de este post? Porque aunque las grandes organizaciones sanitarias a priori disponen de equipos humanos de Sistemas que se encargan de verificar la veracidad de las afirmaciones de cada uno de los vendors, existe un nicho de mercado, el de las consultas privadas, que casi siempre por desconocimiento, pueden llegar a usar sistemas que no cumplirían la legislación tanto de protección de datos como la relativa a Sanidad.
Así pues, la definición de los tiempos de respuesta a incidentes (SLA), qué pasa si me quiero ir de tu HCI a otro HCI, costes de mantenimiento y qué incluyen, quién es el responsable de los datos, las medidas de seguridad, el documento de seguridad, los cambios evolutivos obligados por legislación a cargo de quién van, entro otras, tienen que ser las preguntas que deberían poder contestar cualquier empresa proveedora, así como, si es modalidad ASP, dónde residen los datos, entre otros. Y si es cloud, dónde está situado dicho cloud y si está homologado por las autoridades de protección de datos.
Pero nunca, ninguno -con la honrosa excepción de Julio Mayol- ha planteado la necesidad de certificar u homologar el sistema de información sanitario que se implanta en una consulta, en un centro sanitario, en un hospital... en una Comunidad Autónoma.
¿Y por qué? Se supone que con el cumplimiento de la normativa reguladora básica debiera ser suficiente. LOPD y autonomía del paciente, entre otras. ¿Exigimos un certificado que acredite que es cierto lo que manifiesta el proveedor? De hecho, fuera de la presentación de normas ISO, y cumplimiento de estándares como CMMI, en España pocas veces se exige. Aparte del pequeñísimo detalle que no existe una autoridad de certificación como tal ni una normativa que detalle los mínimos exigibles para un sistema de información sanitario.
En otros países es diferente. En Estados Unidos o México, por poner dos ejemplos, existe una normativa donde detalla qué requisitos debe cumplir una HCI, cuáles son los planes de prueba que debe pasar para poder homologarla y cuáles son los organismos que pueden expedir el certificado.
¿Y cuál es el riesgo y el porqué de este post? Porque aunque las grandes organizaciones sanitarias a priori disponen de equipos humanos de Sistemas que se encargan de verificar la veracidad de las afirmaciones de cada uno de los vendors, existe un nicho de mercado, el de las consultas privadas, que casi siempre por desconocimiento, pueden llegar a usar sistemas que no cumplirían la legislación tanto de protección de datos como la relativa a Sanidad.
Así pues, la definición de los tiempos de respuesta a incidentes (SLA), qué pasa si me quiero ir de tu HCI a otro HCI, costes de mantenimiento y qué incluyen, quién es el responsable de los datos, las medidas de seguridad, el documento de seguridad, los cambios evolutivos obligados por legislación a cargo de quién van, entro otras, tienen que ser las preguntas que deberían poder contestar cualquier empresa proveedora, así como, si es modalidad ASP, dónde residen los datos, entre otros. Y si es cloud, dónde está situado dicho cloud y si está homologado por las autoridades de protección de datos.
Un detalle: a día de la publicación de este post, el único proveedor de cloud que está expresamente autorizado por la Agencia Española de Protección de Datos es Microsoft con su plataforma Azure, quedando expresamente recogida en la resolución los "datos especialmente protegidos".
Para que nos hagamos una idea, la actividad sanitaria privada, según datos publicados en marzo de 2015 por la Fundación IDIS, supone el 28% de la asistencia sanitaria de nuestro país.
Garantizar la seguridad de los datos de los ciudadanos que libremente escogen la medicina privada debería ser también una prioridad.
Garantizar la seguridad de los datos de los ciudadanos que libremente escogen la medicina privada debería ser también una prioridad.
