Analizar las medidas implantadas en las unidades clínicas para garantizar la confidencialidad de la información sanitaria de los ciudadanos y que han sido validadas como adecuadas por un equipo de evaluadores de la Agencia de Calidad Sanitaria de Andalucía.
Material y métodosEstudio descriptivo retrospectivo de 272 unidades clínicas en proceso de acreditación por la Agencia de Calidad Sanitaria de Andalucía evaluadas entre enero de 2003 y diciembre de 2010. Se han analizado las medidas evaluadas adecuadas para garantizar la confidencialidad, estableciendo categorías tras análisis de los registros de la aplicación que da soporte a los procesos de certificación (ME_joraC).
ResultadosSe identificaron espacios de mejora en cuanto a la custodia de los registros clínicos (64,1%) y al control interno de la aplicación de las medidas de seguridad de la información (19,6%). Principalmente, las soluciones implantadas en las unidades clínicas han sido de carácter tecnológico (28,5%). Se aportaron también con frecuencia soluciones relacionadas con la implantación (17,9%) y difusión (22,3%) de protocolos de uso de la historia clínica.
ConclusionesLos procesos de certificación facilitan la identificación de espacios de mejora y la implantación de medidas de garantía de la confidencialidad. Las soluciones tecnológicas que dan respuesta a las necesidades planteadas por la digitalización de los registros clínicos, así como la implantación efectiva de protocolos y la monitorización de la adherencia a estos protocolos mediante autoevaluaciones concentran la mayoría de los esfuerzos por garantizar la confidencialidad. Además, se fomenta la implicación y responsabilidad de los profesionales sobre este tema.
To analyse the measures introduced by Health Care Units to ensure the confidentiality of health information on patients that been validated as adequate by an assessment team of the Agency for Healthcare Quality in Andalusia (Spain).
Material and methodsA retrospective study was conducted on Health Care Units accredited by the Agency for Healthcare Quality in Andalusia. A total of 272 Health Care Units were evaluated between January 2003 and December 2010. We analysed the measures that were assessed as adequate to ensure the confidentiality of data by this team, establishing categories after analysing records of the application that supports the certification process (ME_joraC).
ResultsUsing on- site surveys, areas of improvement were found in the safeguarding of medical records (64.1%) and the internal control of implementing the information security measure (19.6%). The measures introduced into the Health Care Services were mainly technological actions (28.5%), which were related to the increasing presence of electronic history. It also frequently provided solutions related to implementation (17.9%) and dissemination (22.3%) protocols for use of medical records.
ConclusionsAccreditation processes help to identify areas for improvement and the introduction of procedures for ensure confidentiality of data in the healthcare system. Technological solutions that respond to the needs created by the computerisation of medical records, and the effective implementation of protocols and monitoring the adherence to these protocols using self-assessment, strengthen the efforts to ensure confidentiality. Furthermore, it promotes the involvement and responsibility of the professionals on this topic.
El papel que ha jugado la persona en su relación con los servicios sanitarios ha ido cambiando a lo largo de la historia en la medida en que cambiaba la concepción del propio sistema sanitario. El concepto tradicional que otorgaba un papel pasivo al ciudadano como beneficiario de la asistencia sanitaria buscando su bien ha dado lugar a una asistencia prestada a personas que tienen un papel activo en la toma de decisiones sobre su salud1. Desde hace un tiempo, el ciudadano ha ocupado un papel central, haciendo que todas las políticas y estrategias en materia sanitaria se orienten a satisfacer sus necesidades, cumplir con sus expectativas y garantizar el respeto a sus derechos. Dentro de este último ámbito, el de los derechos de la persona, se inscribe el derecho a la confidencialidad y privacidad.
La confidencialidad en el ámbito sanitario debemos entenderla como el derecho de la persona que recibe atención sanitaria a que todos sus datos de carácter personal utilizados en el marco de dicha atención queden restringidos a las personas y usos relacionados con tal fin2,3. Este derecho se recoge en múltiples referencias tanto en el plano ético como en el legal4. En base a estos preceptos éticos, legales y deontológicos5 deben orientarse los esfuerzos a garantizar este derecho. Pero hablar de confidencialidad en la asistencia sanitaria es hablar de un concepto con múltiples dimensiones dependiendo de dónde pongamos el foco de atención (ética, deontología, legalidad, economía, sociología, etc.) o quién sea el actor implicado que se acerque a poner el foco (pacientes, profesionales sanitarios, gestores documentales, gestores sanitarios). Cada uno de estos colectivos tiene una visión del problema de acuerdo a sus necesidades, sus experiencias y su sistema de ideas y conocimiento.
Todos los conceptos, visiones y actores anteriormente citados entran dentro de la esfera de la calidad sanitaria, ámbito también complejo en el que entran en juego dimensiones, visiones y actores diferentes en la misma medida en que lo hacen en la confidencialidad6. De hecho, la confidencialidad es un aspecto fundamental de la calidad de la relación profesional sanitario-persona, y por extensión de la calidad sanitaria.
¿Qué se ha hecho en los centros sanitarios para garantizar la confidencialidad de la información sanitaria? Esta es la pregunta que sirvió de punto de partida al estudio. Se realizó un análisis de las soluciones que se aportan desde las unidades clínicas en el marco de la acreditación sanitaria aprovechando la visión completa del fenómeno que se obtiene durante estos procesos, ya que la acreditación de la calidad sanitaria pone de manifiesto de qué manera las organizaciones sanitarias y sus profesionales se ajustan a los estándares de calidad de un modelo determinado7. Los procesos de acreditación se basan en información obtenida en los centros y unidades sanitarias, información que se somete a la valoración crítica de evaluadores que son expertos en la materia, convirtiéndose así en una excelente fuente de conocimiento para compartir. La confidencialidad es un aspecto que se contempla en la mayor parte de los principales sistemas de acreditación8 lo que significa que el ámbito de la acreditación permite obtener y analizar información sobre cómo se trabaja este aspecto en los centros y unidades asistenciales.
No existen demasiadas referencias sobre la realización de estudios sobre soluciones en confidencialidad. Podríamos destacar algunas experiencias particulares como la desarrollada por el Hospital Virgen del Camino de Pamplona9 y estudios desde el punto de vista de los diferentes actores implicados10–12.
En este estudio se analizaron las soluciones aportadas por las unidades clínicas y que sirvieron para responder a los requisitos de los estándares relacionados con la garantía de la confidencialidad, lo que supone realizar una descripción de soluciones validadas por un equipo de expertos en calidad, los evaluadores de la Agencia de Calidad Sanitaria de Andalucía.
Material y métodosLa Agencia de Calidad Sanitaria de Andalucía es una fundación pública adscrita a la Consejería de Salud de la Junta de Andalucía cuya finalidad es el impulso y la promoción del Modelo Andaluz de Calidad. Para conseguir esta finalidad, la Agencia de Calidad Sanitaria de Andalucía ha puesto en marcha programas de certificación de centros sanitarios y unidades clínicas, de competencias profesionales, de formación continuada y de páginas web de contenido sanitario, buscando siempre la excelencia en la atención sanitaria y favoreciendo una cultura de la mejora continua en el Sistema Sanitario Andaluz.
Para este trabajo, nos centramos en el Manual de Acreditación de Unidades de Gestión Clínica (unidades clínicas), en su versión 313, concretamente centrándonos en los estándares específicos de confidencialidad y sus respectivos criterios de cumplimiento (tabla 1).
Estándares del Manual de Acreditación de Unidades de Gestión Clínica de la Agencia de Calidad Sanitaria de Andalucía y sus requisitos de cumplimiento relacionados con la confidencialidad de la información
ES 5 03.06_00: La Unidad de Gestión Clínica garantizará la confidencialidad y custodia de la información clínica y personal permanentemente |
Requisitos de cumplimiento:- Existencia de medios estructurales y tecnológicos para garantizar el acceso restringido a las HH. CC. y documentos de asistencia al paciente (documentos no accesibles a personas no autorizadas, claves de acceso a sistemas informáticos que contengan información clínica, etc.)- Están definidas las actuaciones para la solicitud/acceso de la H.a por parte de los usuarios |
ES 5 09.08_00: Se facilitan datos o información para bases de datos del centro y/o externas, con arreglo a procedimientos internos, y a la ley y normativa |
Requisitos de cumplimiento:- Los profesionales de las distintas áreas de tratamiento y envío de datos conocen las actuaciones para asegurar que la transmisión de datos se realiza de acuerdo a la normativa vigente- Las transmisiones de datos se realizan en un entorno de seguridad- Los profesionales de la unidad han recibido formación e información sobre la comunicación de datos personales a terceros |
ES 5 09.09_00: Se garantiza al ciudadano la adherencia absoluta a la ley en vigor sobre protección de datos personales |
Requisitos de cumplimiento:- Existen actividades formativas sobre la difusión del contenido de la Ley de Protección de Datos (LOPD)- La Unidad dispone de mecanismos (p. ej. carteles, información en portales web, información en guías de usuarios, consentimientos informados, etc.), dirigidos a los ciudadanos para informar sobre sus derechos referidos a la LOPD. (Destino, finalidad, acceso, cancelación, modificación, oposición)- No se identifican situaciones que vulneren el cumplimiento de la LOPD en el ámbito de actuación de la Unidad- Se han implantado mejoras tras el análisis de los resultados de la última auditoría interna de LOPD |
Durante la fase de autoevaluación, las unidades clínicas aportan una serie de evidencias positivas con actuaciones y medidas implantadas que responden al propósito del estándar. A su vez, fruto de ese ejercicio de reflexión y análisis, identifican una serie de áreas de mejora y establecen una planificación para su consecución. Toda esta información se vuelca en una aplicación online llamada ME_jora C, y constituyó la fuente principal de información para el presente estudio. La evaluación externa de estas unidades clínicas, realizada por evaluadores de la Agencia de Calidad Sanitaria de Andalucía en base a unos requisitos establecidos en una guía de evaluación, nos proporcionó información sobre cómo las medidas desarrolladas e implantadas durante la autoevaluación en cuanto a la confidencialidad de la información clínica respondían a dichos requisitos de cumplimiento de los estándares del Manual.
Los registros que sirvieron de base al estudio están basados en la información obtenida durante las visitas de evaluación. Para el desarrollo de estas visitas de evaluación se realiza un muestreo por lotes, con un tamaño de muestra de instalaciones de la unidad clínica a visitar determinado por el tipo de unidad a evaluar, y un nivel de tolerancia a productos defectuosos igual a 0, entendiendo como productos defectuosos aquellas medidas que no cumplían los estándares de confidencialidad.
Se diseñó un estudio descriptivo retrospectivo utilizando los registros de autoevaluación y evaluación externa en la aplicación ME_jora C. Se analizaron las evidencias positivas y las áreas de mejora aportadas por las unidades clínicas evaluadas entre 2003 y diciembre de 2010, y que daban respuesta a los 3 estándares relacionados con la confidencialidad del Manual de Acreditación. Con estos resultados pudimos realizar un inventario de soluciones implantadas antes de la visita de los evaluadores de la Agencia de Calidad Sanitaria de Andalucía en las unidades clínicas para garantizar la confidencialidad.
Posteriormente se realizó una revisión de los registros de las evaluaciones externas sobre la adecuación y suficiencia de las medidas aportadas en la autoevaluación para discriminar aquellas que se consideraron como no válidas para cumplir los estándares de confidencialidad, pudiendo finalmente analizar solamente las medidas consideradas válidas, y que son el objetivo del presente estudio.
ResultadosDurante el periodo 2003-2010 se evaluaron en Andalucía 272 unidades clínicas. El número de evidencias positivas (medidas) aportadas por las unidades clínicas fue de 2074, mientras que el número de áreas de mejora implantadas tras su identificación durante el proceso fue de 208. En total 2.282 soluciones implantadas para garantizar la confidencialidad, lo que supone una media de más de 8 soluciones por proyecto.
Tras la realización de la evaluación externa por parte de evaluadores de la Agencia de Calidad Sanitaria de Andalucía, se identificó que la mayoría de estas medidas eran adecuadas para garantizar la confidencialidad, situándose el cumplimiento medio de los estándares de confidencialidad en primera evaluación en torno al 80% (tabla 2). Sin embargo, se observó una mayor necesidad de implantar nuevas medidas en determinados aspectos como custodia de información clínica específica como consentimientos informados, informes de pruebas diagnósticas o de episodios en urgencias. También se observó un espacio de mejora en cuanto a la difusión e implantación efectiva de protocolos y medidas de protección de datos tales como realización de autoevaluaciones para la identificación sistemática de fallos de seguridad, uso correcto de contraseñas de acceso a los sistemas de información o mecanismos de difusión de estos derechos y su garantía tanto a profesionales como a usuarios (tabla 3).
Principales áreas de mejora a implantar en los estándares de confidencialidad evaluados
Causa | Unidades que presentan la necesidad de mejora como prioritaria |
Deficiencias en la custodia de la información clínica | 174 (63,9%) |
Deficiencias en la aplicación o implantación de procedimientos de garantía de la confidencialidad | 53 (19,4%) |
Falta de difusión de los procedimientos y protocolos de acceso y manejo de la historia clínica a los profesionales | 44 (16,1%) |
Las unidades clínicas aportaron nuevas medidas para cumplir con estos estándares, de carácter obligatorio para obtener la acreditación, uniéndose así a las consideradas válidas anteriormente, y constituyendo el objeto de este estudio.
Medidas de garantía de la confidencialidadConsiderando las medidas validadas por los evaluadores externos de la Agencia de Calidad Sanitaria de Andalucía, observamos que la mayoría de las soluciones se articulaban en torno a 3 temáticas (tabla 4).
Principales medidas implantadas en las unidades clínicas para garantizar la confidencialidad de los datos
Total de medidas implantadas (N): 2.282 | |
Mejoras tecnológicas: 1.126 | |
Claves de acceso | 524 (46,53%) |
Copias de seguridad | 228 (20,24%) |
Mantenimiento bases de datos | 214 (19%) |
Cifrado de datos | 160 (14,23%) |
Formación e información: 758 | |
Información a profesionales | 501 (66,20%) |
Actividades formativas | 257 (33,80%) |
Procedimientos: 359 | |
Procedimientos de acceso | 184 (51,25%) |
Destrucción de registros | 138 (38,45%) |
Acceso externo a la historia clínica | 37 (10,30%) |
Los aspectos tecnológicos constituyen el principal grupo de soluciones de confidencialidad. En este grupo se incluyen aspectos como la gestión de claves individuales de acceso a los sistemas de información de las unidades clínicas, el mantenimiento de la seguridad de las bases de datos así como su cifrado.
La formación y la información a los profesionales y a los usuarios constituyeron un importante grupo de medidas de garantía de la confidencialidad, casi una cuarta parte de las mismas (22,3%), incidiendo sobre todo en informar a los profesionales sobre las medidas que debían adoptar para salvaguardar la privacidad de la información clínica que manejaban.
También observamos que fueron frecuentes el establecimiento o la revisión de protocolos de manejo de la historia clínica con el fin de unificar la forma de actuar de los profesionales sanitarios de las unidades clínicas, tanto a la hora de utilizar la historia clínica (un 51% de las medidas de este grupo) y procedimientos de destrucción de registros clínicos en desuso, tanto en papel como electrónicos (38,4% de las medidas de este grupo).
Por último, identificamos una serie de iniciativas desarrolladas por las unidades clínicas y que constituyen un grupo heterogéneo de medidas complementarias a las comentadas anteriormente, y que van desde el desarrollo de auditorías internas sobre diversos aspectos de la confidencialidad a publicación de carteles informativos para los usuarios, entre otras.
DiscusiónNuestro estudio pretende presentar una visión general del abordaje que se está realizando en las unidades clínicas para buscar garantizar la confidencialidad de los datos que se manejan en ellas. Aunque el estudio está basado en datos obtenidos en la Comunidad Autónoma de Andalucía, lo que podría suponer una limitación si hubiéramos pretendido extrapolar los resultados y sacar conclusiones para el resto del sistema sanitario, no es ese el ánimo que ha movido a la realización del presente trabajo, sino más bien colaborar a la creación de una base de conocimiento que pueda ser utilizado por centros y unidades clínicas de cualquier parte.
La primera reflexión tiene que ver con el papel que la acreditación de la calidad tiene como motor de cambio en la organización sanitaria al permitir contrastar la visión interna con una visión externa técnica y objetiva. Las adaptaciones y cambios que tuvieron que realizar las unidades clínicas acreditadas para cumplir con los requisitos de calidad, en este caso concreto de confidencialidad, permitieron abandonar medidas ineficaces, identificar y solucionar situaciones que ponían en riesgo la confidencialidad de los registros sanitarios y concienciar a los profesionales sobre su responsabilidad respecto al tema.
A la luz de los resultados la historia clínica digital, que supone un avance importante en cuanto a la accesibilidad y gestión de la información, plantea retos de seguridad tanto por la facilidad de acceso a los datos como por la magnitud de los datos a los que se puede acceder14,15. Por ello, era previsible que el mayor grupo de soluciones aportadas por las unidades clínicas giraran en torno a establecer las medidas tecnológicas necesarias para garantizar un acceso restringido a la información, así como la seguridad e integridad de las bases de datos donde está recogida esta información. Observamos que también se trabaja en cuanto a la formación y concienciación de los profesionales, actores que son en última instancia los que deben llevar a la práctica las medidas de salvaguardia de la confidencialidad de los datos, y evitar aquellas actitudes que ponen en riesgo, voluntaria o involuntariamente, este derecho fundamental16. En este aspecto es fundamental la existencia de estrategias corporativas que impulsen las medidas de concienciación y por tanto el cambio cultural necesario en todos los profesionales del sistema sanitario.
Contribuciones de autoríaJosé Antonio Carrasco Peralta.
Concepción y diseño del estudio, análisis e interpretación de los datos
Diego Núñez García
Concepción del estudio, revisión crítica y aportaciones sobre la estructura y contenido del artículo, aprobación de la versión final.
María del Mar Castellano-Zurera
Diseño del estudio, análisis de resultados y colaboración en la discusión.
Antonio Torres Olivera.
Concepción del estudio, aprobación de la versión final.
Conflicto de interesesLos autores declaran no tener ningún conflicto de intereses.