Adaptación del Hospital Universitario Reina Sofía a la LOPD

Bien, pues sin más preámbulo, aqui os dejo el texto publicado. Espero que sea de vuestro agrado.

En 2008 el Hospital Universitario Reina Sofía se sometió a una auditoría externa sobre protección de datos. Como resultado de la misma se elaboró, en colaboración con la Unidad de Gestión de Riesgos Digitales del SAS, un plan de acción para la adecuación del Centro a la LOPD.

El pasado abril de 2010 pusimos en marcha el plan de adecuación del centro, en el que se han ido sucediendo varios hitos que van constituyendo los pilares para la adecuación a la LOPD del Hospital.

La Dirección del Centro comenzó nombrando al Responsable de Seguridad de la Información, que atendiendo al Artículo 10 “La seguridad como función diferenciada”, del Esquema Nacional de Seguridad, se diferencia al Responsable de Seguridad de otros responsables relacionados con las tecnologías de la información, no compartiendo funciones ni responsabilidades al respecto.

El paso siguiente ha consistido en la constitución de la Comisión de Seguridad de la Información (CSI). Dependiente de la Comisión de Dirección e integrada por profesionales de todos los ámbitos de gestión del centro, Dirección Médica, Dirección  Económico Administrativa, Dirección de Servicios Generales, Dirección Gerencia y servicios como el Servicio de Calidad, Archivo y Documentación Clínica y Tecnologías de la Información. La CSI es la encargada de velar por el cumplimiento normativo y tomar las decisiones oportunas respecto de la seguridad de la información. Se constituye como un órgano asesor a la Dirección Gerencia. Aunque es el responsable del fichero del centro quien aprueba las decisiones finales oportunas.

La primera decisión de la CSI fue aprobar el plan de adecuación del centro y dar el banderazo de salida para su puesta en marcha.

Entre los aspectos más importantes del plan se encuentra el diseño y la implantación de los procedimientos exigidos en el Documento de Seguridad, siendo los profesionales directamente implicados en el cumplimiento de dichos procedimientos los encargados de diseñarlos asesorados por el Responsable de Seguridad.

La idea es sencilla, consiste en aprovechar varias corrientes de trabajo, alinearlas y sumar esfuerzos

Por un lado, desde la Subidrección de Tecnologías de la Información del Servicio Andaluz de Salud, y a través de la Unidad de Gestión de Riesgos Digitales se puso en marcha en 2008 un plan de concienciación sobre protección de datos para todo el personal del SAS (unos 90.000 empleados). El plan se realiza a cuatro años (2008-2011) y difunde entre los profesionales, a través de casos prácticos, buenas prácticas respecto del tratamiento de datos, acceso a la historia clínica, uso del correo electrónico y los sistemas de información, tratamiento y destrucción del papel,…..

Al mismo tiempo, en este mismo nivel, la Unidad de Gestión de Riesgos Digitales trabaja en las políticas, normas y procedimientos de seguridad corporativos que serán de aplicación en todos los centros del Servicio Andaluz de Salud.

Desde el Hospital Universitario Reina Sofía, alineados con las políticas corporativas, se adaptan y personalizan los procedimientos corporativos. Pero no nos hemos conformado con eso.

Desde el Servicio de Calidad del Hospital, encargado de asesorar en la consecución de objetivos de los servicios clínicos y de facilitar la acreditación de las Unidades de Gestión Clínica por la Agencia Andaluza de Calidad, se pone en marcha un sistema de auditoría en LOPD y Medidas de Seguridad a los Servicios Clínicos.

La necesidad surge a partir del Estándar ES 5 09 del Programa de Acreditación de Unidades de Gestión Clínica, “Sistemas y Tecnologías de la Información”

Concretamente, el Estándar ES 5 09.08_01 que se define como :

“Establecer los mecanismos necesarios para adecuarse a los principios establecidos sobre la protección de datos de carácter personal, garantizando y protegiendo el honor e intimidad de las personas, evitando situaciones que puedan afectar a la intimidad y confidencialidad”

Que establece los siguientes elementos evaluables:

Formación: La Unidad promueve de manera activa la adhesión de sus profesionales a la normativa vigente de protección de datos mediante formación acreditada y formalización de compromisos explícitos de confidencialidad

Concienciación : La Unidad informa a las personas de las medidas implantadas para garantizar el cumplimiento de la normativa vigente de protección de datos

Cumplimiento: Los ficheros con información de carácter personal son tratados conforme a la normativa vigente en cuanto a su gestión, inscripción, mantenimiento, etc

Documento de Seguridad: Existe un Documento de Seguridad de aplicación para la Unidad, está disponible, y es conocido por los Profesionales de la Unidad

Auditorías: Se realizan las revisiones y auditorías periódicas establecidas por la normativa vigente, y se aplican las medidas correctoras a las incidencias detectadas

Se ha desarrollado un método de auditoría adaptado para las Unidades de Gestión Clínica para cumplir con el doble objetivo de facilitar la acreditación de las Unidades y de adaptar el Centro a la LOPD. El centro contribuye en la acreditación de las Unidades, y éstas contribuyen a una adaptación real del Centro a la LOPD.

La auditoría comprende dos aspectos. Por un lado el cumplimiento de la LOPD, y por otro el cumplimiento de las Medidas de Seguridad exigidas en el Real Decreto 1720/2007 que la regula. Se realiza mediante entrevistas con los profesionales y aunque a los profesionales no se les hacen más que unas 50 preguntas, se realizan unos 300 chequeos en total que cubren todos los aspectos contemplados en la ley y el Real Decreto.

La auditoría se realiza desde el punto de vista de la Unidad de Gestión Clínica como entidad, de manera que el informe de auditoría y las medidas correctoras propuestas van dirigidas a la misma. Siempre tratando de marcar una frontera entre las responsabilidades correspondientes a las Unidades y las del propio centro. Pero inevitablemente, los datos obtenidos a través de las Unidades de Gestión Clínica, no sólo mejoran la adaptación de las propias unidades, sino que a su vez alimentan de forma progresiva el Documento de Seguridad del Centro, manteniéndolo actualizado y más cercano a la realidad.

Otra línea que estamos trabajando es la formación. Como complemento al plan de concienciación del SAS hemos comenzado a desarrollar cursos sobre Protección de Datos, Medidas de Seguridad, Procedimientos, el Documento de Seguridad,….. específicos y destinados a colectivos profesionales concretos.

Se están desarrollando cursos en formato presencial y On-Line aprovechando la plataforma de formación onlíne que ya está disponible en el Hospital.

Concretamente, para el 2011 se diseñarán e impartirán cursos específicos dirigidos a los colectivos profesionales del Servicio de Atención al Ciudadano, Archivo e Historias Clínicas, Cargos Directivos e Intermedios y Personal de Tecnologías de la Información.

Gracias a todas estas iniciativas llevadas a cabo conjuntamente, esperamos andar el camino hacia una adecuación progresiva y con un impacto leve sobre el trabajo diario de los profesionales.

Confiamos en que las auditorías que llevaremos a cabo en las Unidades de Gestión Clínica nos conduzcan a una actualización continua del Documento de Seguridad del Centro. Pretendemos obtener información de primera mano que nos permita la actualización del Inventario de activos, la identificación de posibles Encargados de Tratamiento que pueden ser desconocidos hasta el momento, la identificación de nuevos flujos de información tanto en papel como automatizados y tanto hacia dentro como hacia fuera de la organización, Identificación de nuevos perfiles y usuarios, …

Por otro lado, y ya que andamos este camino, aprovechamos para difundir la LOPD entre los profesionales sanitarios de una forma más directa, obtener mayor compromiso de los profesionales en el tratamiento de datos, reducir las deficiencias en el cumplimiento de la LOPD en los Servicios y las Unidades de Gestión Clínica, y por tanto del Hospital y un incremento en la implantación y cumplimiento de las Medidas de Seguridad a través de la difusión de los procedimientos del Documento de Seguridad y de buenas prácticas en el uso de la información.

En más de una ocasión he escuchado decir a algún profesional eso de “Esto de la LOPD es imposible!, muy dificil de llevar a cabo!!!”, a lo que suelo contestar “Difícil es hacer un transplante de corazón y lo hacéis, eso si que es dificil!”.

Manuel Jimber

Responsable de Seguridad de la Información

Hospital Reina Sofía

Córdoba