Si usan Word, Excel, Google Form o cualquier herramienta digital (sin cifrado de datos o encriptación) para el registro de expedientes… Entonces, presta mucha atención porque ¡Debes conocer lo que la Secretaría de Salud establece en la NOM-024-SSA3-2012!
Esta NOM regula los sistemas de información de registro electrónico para la salud, el intercambio de información en salud y parte de la privacidad del dato que todo expediente en medios electrónicos debe tener.
De acuerdo al apartado 6.6 sobre las Consideraciones Universales de Manejo y Seguridad de la Información, la NOM en su apartado 6.6.5, se establece qué “Con fines de intercambio de información entre Prestadores de Servicios de Salud los SIRES (Sistemas de Información de Registro Electrónico para la Salud), deben implementar mecanismos de autenticación, de cifrado y de firma electrónica avanzada de acuerdo a las disposiciones jurídicas, Guías y Formatos aplicables”.
«Con fines de intercambio de información entre Prestadores de Servicios de Salud los SIRES deben implementar mecanismos de autenticación, de cifrado.»
De acuerdo al apartado 6.6 sobre las Consideraciones Universales de Manejo y Seguridad de la Información, la NOM en su apartado 6.6.5, se establece qué “Con fines de intercambio de información entre Prestadores de Servicios de Salud los SIRES (Sistemas de Información de Registro Electrónico para la Salud), deben implementar mecanismos de autenticación, de cifrado y de firma electrónica avanzada de acuerdo a las disposiciones jurídicas, Guías y Formatos aplicables”.
¿Y pensarás que al usar un documento en Word, Excel, Google Form, etc. No están utilizando un SIRES?
Desde el momento en el que el dato está digitalizado, cualquier herramienta que utilicen, legalmente podría ser considerado un SIRES; es decir, están usando un medio electrónico que permite digitalizar el dato. Por lo tanto, al no ser un expediente en físico, el registro electrónico debe acatar la NOM-024 y simplemente está fuera de cumplimiento.
Por otra parte, la privacidad de la información en México es regida por la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP). Al ser una Ley Federal, tiene obligatoriedad de cumplimiento.
Las multas por el mal resguardo o mal uso de los datos personales, de acuerdo a la LFPDPPP, van desde 100 a 320,000 VSM o prisión.
Formas de incumplir la NOM-024 con Word, Excel en computadora o formatos compartidos en la nube:
- Datos no cifrados (encriptados). La encriptación es una forma de codificar el texto de manera que si alguien entra a un expediente no pueda leer la información, a menos que tenga las llaves de seguridad (contraseñas).
- No tener una contraseña de acceso a los expedientes. Las computadoras pueden tener una contraseña de acceso, pero ésta no es una contraseña de acceso al sistema usado para acceder a los expedientes.
- La información compartida no está encriptada. La información enviada por correo o WhatsApp sobre un paciente no está encriptada en sí misma; es decir, se debe encriptar antes de compartirla, de forma que el destinatario debe ingresar una contraseña para acceder a la información.
«Las sanciones por el mal resguardo/uso de los datos personales, van desde 100 a 320 VSM o prisión.»
La NOM-024 aplica sólo para la gestión electrónica de datos de pacientes, no tiene ninguna relación con los expedientes clínicos en papel. Así que si usan Expediente Clínico en físico, esta NOM no aplica en tu proceso.
Si en tu empresa/consultorio existe un equipo de soporte de TI (Tecnologías de la Información), probablemente ellos sean los “custodios” de la información y al ser los administradores de servidores, entonces podrían acceder a la información médica de los pacientes (en nube o servidor interno)… ¡Cuidado!
¿Cómo proteger los datos de los pacientes de acuerdo a la NOM-024-SSA3-2012?
Se debe establecer el marco legal para la protección de los datos personales y la seguridad de los mismos. Es decir, definir: quién, cómo, cuándo y para qué pueden ser recolectados, almacenados, transferidos o utilizados los datos personales.
Los médicos deben cumplir con la NOM para proteger la información de sus pacientes. Esto significa que deben cumplir con los siguientes puntos:
- Recolectar los datos personales de forma adecuada, clara y veraz.
- Almacenar los datos de forma segura para evitar el robo, la pérdida, la destrucción, la modificación, la divulgación o el uso indebido.
- Transferir los datos personales sólo a destinatarios autorizados.
- Utilizar los datos personales sólo para los fines autorizados.
- Garantizar la confidencialidad, integridad y disponibilidad de los datos personales.
Además, tanto el equipo de salud, como empresas, deben asegurarse de que los datos personales sean encriptados antes de ser enviados o almacenados
Si llegaste hasta aquí es porque este tema tiene relevancia en tu empresa/consultorio y la buena noticia es qué, ¡Hay tecnología que te permite estar en cumplimiento!
Existen sistemas de Expedientes Clínicos Electrónicos que te permiten estar en cumplimiento de la NOM-024.
No dejes pasar por alto la oportunidad de estar en cumplimiento ya que una sanción por el mal resguardo de los datos de pacientes no sólo podría «incluir» multa, prisión y retiro de licencias para el personal de salud, sino que también representaría una pérdida de la reputación de tu empresa, al no haber tomado las precauciones pertinentes para garantizar el resguardo de los datos más sensibles de las personas, sus datos de salud.
Si deseas conocer ¿Cómo implementar un Expediente Clínico Electrónico que cumpla con los requerimientos de ley?
¡Escríbenos por Whats App y con gusto coordinamos una llamada! En Medipraxi te orientaremos al respecto.
#ExpedienteClinicoElectronico #ECE #SaludDigital #NOM024 #SoftwareMedico
