Cómo ocultar datos en los historiales médicos

La privacidad de los datos en la sanidad se ha convertido en un tema candente en las noticias últimamente. Especialmente con empresas como Facebook sometidas a un escrutinio cada vez mayor tras el escándalo de Cambridge Analytica. ¿Sabía que los pacientes o sus representantes legales tienen derecho a solicitar el acceso a su historia clínica? Hoy en día se sabe que cuando los pacientes, sus representantes u otras terceras partes solicitan acceso a sus historiales médicos, una parte de esa información debe redactarse utilizando un programa de redacción de documentos. Esto es especialmente cierto cuando se trata de información relacionada con terceros o cuya divulgación podría causar un daño considerable a las partes implicadas.

Legislación sobre datos sanitarios

La FOIA (Freedom of Information Act) es esencial para los profesionales de la salud pública. Esto se debe a tres factores clave: su capacidad para fomentar la defensa de la salud pública, su efecto sobre la rendición de cuentas y la apertura del gobierno, y su capacidad para apoyar la práctica de la salud pública y la formulación de políticas. Muchos estados también han aprobado leyes que restringen el acceso abierto a los registros gubernamentales, muchas de ellas con requisitos similares a los de la FOIA federal.

La Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) es una ley que establece normas y reglamentos sobre la utilización adecuada de la información confidencial de los pacientes. Determinar qué tipo de información de terceros merece esta norma no es tarea sencilla. De hecho, en el Reino Unido se exige que los pacientes tengan pleno acceso a sus historiales electrónicos antes de abril de 2020.

De hecho, el Comisario de Información señaló que desde que el GDPR entró en vigor en mayo del año pasado, las prácticas médicas han registrado un aumento sustancial de las solicitudes de acceso de los sujetos (SAR) y han proporcionado algunos consejos prácticos en respuesta. Entre estos consejos se incluye disponer de acceso en línea a los expedientes cuando proceda, o de un duplicado electrónico cifrado exhaustivo de los mismos. El Comisario de Información señala que las actividades deben explicar qué detalles pueden satisfacer el SAR y facturarán las copias adicionales de los documentos.

El crecimiento de la HIPAA y las estrategias de defensa contra el ROI involuntario

Ahora que la ley ha avanzado, se está produciendo un crecimiento significativo en el cumplimiento de la HIPAA y la aplicación de las infracciones se está produciendo a un ritmo más rápido. Este crecimiento ha empujado a los ejecutivos del sector sanitario a acelerar los presupuestos de TI para incorporar programas como PDF y software de redacción de documentos que protejan mejor la información sanitaria de sus pacientes.

Construido para proteger la confidencialidad y la protección de los registros sanitarios, el cumplimiento de la HIPAA ha sido deficiente hasta este punto principalmente porque se ha visto limitado por los fondos federales para ayudarlo.

Sin embargo, en 2011, el HHS adjudicó a KPMG un contrato de 9,2 millones de dólares para poner en marcha el programa de auditoría exigido por la Ley HITECH. La Ley HITECH promueve una prevención más proactiva de las infracciones de la HIPAA, lo que significa que es más probable que las organizaciones sanitarias la auditen con mayor frecuencia.

La Ley HITECH y la revitalizada legislación HIPAA ponen en manos de las instituciones sanitarias la gran responsabilidad de la seguridad de los datos de los pacientes. Como tal, se ha convertido en una necesidad creciente en el sector contar con herramientas que ofrezcan capacidades de redacción de vídeo y que automaticen la redacción rápida y sencilla de la PHI. Esta tecnología también se integra con la tecnología existente, como los historiales médicos electrónicos, para buscar y facilitar la eliminación rápida de cualquier información protegida.

Qué información debe redactarse de los historiales médicos?

1. Información que puede causar daños significativos

El GDPR defiende la importancia de considerar qué información puede publicarse y cuál no. Existen normas específicas bien establecidas cuando se trata de la HIPAA o de proporcionar a los pacientes acceso electrónico completo a sus historiales médicos. Por ejemplo, si el acceso es “susceptible de causar un daño significativo a la salud física o mental o al estado de salud del interesado o de cualquier otra persona”, el acceso podría restringirse o denegarse a menos que se trate de información ya conocida por el paciente.

Sin embargo, es poco probable que esto ocurra con regularidad. En estos casos, el médico responsable del tratamiento sanitario de la persona debe hacer primero una evaluación. Es necesario tener constancia de esa evaluación. Tenga en cuenta que no se puede omitir el conocimiento porque piense que puede ser perjudicial para su trabajo, o simplemente porque crea que puede molestar al paciente.

2. Información de terceros

Las disposiciones del GDPR proporcionan otra excepción para la cobertura de la información de terceros. Los médicos generalistas (GP) tienen dudas sobre qué redactar de los registros de los pacientes antes de cumplir con el RGPD en la experiencia de MDU. El punto de partida general es que se puede redactar parte del expediente utilizando un programa de redacción de documentos o mantener documentos únicos relativos a terceros, a menos que se reciba permiso de la persona designada.

Algunos ejemplos son la revelación confidencial de información de un familiar de un paciente, que es esencial para el tratamiento clínico de ese paciente, sin que el paciente esté presente.

El código de buenas prácticas de acceso del ICO, capítulo 7, trata de cómo gestionar las solicitudes de acceso del sujeto cuando parte de la información se refiere a personas distintas del sujeto. Si bien la versión actualmente disponible en el sitio web de la OIC aún no se ha modificado para reflejar la Ley de Protección de Datos de 2018 que se convierte en ley, esto se hará pronto. Cada caso de redacción por parte de un tercero debe ser considerado individualmente. A continuación, analizaremos cuestiones concretas planteadas por miembros de la MDU en relación con la edición de información de terceros en informes médicos.

3. Adelantarse a los requisitos de la HIPAA

La Norma de Privacidad de la HIPAA define directrices para proteger los historiales médicos y otros datos personales de los pacientes. Se refiere a planes de seguros, centros de intercambio de información sanitaria y empresas que realizan otras transacciones sanitarias electrónicas. La norma también exige protecciones para proteger la privacidad de la información sanitaria personal de los pacientes y prohíbe la divulgación de información sin el permiso del paciente. La Norma de Privacidad prevé dos métodos de redacción. La decisión formal de un experto profesional o la eliminación de detalles específicos de la identidad individual; así como la ausencia de información específica que pueda utilizarse para identificar a una persona en concreto.

“Ambos enfoques, aunque se apliquen correctamente, producen datos desidentificados que conservan cierto riesgo de identificación. Aunque la probabilidad es muy baja, no es nula, y existe la probabilidad de que los datos desidentificados puedan conectarse de nuevo con la identidad del paciente al que corresponden”, afirma el HHS. Eliminan campos de datos de la historia clínica, como nombres de pacientes, fechas de servicios, listas de recetas y otra información general. Estos sistemas ayudan a ahorrar tiempo y dinero a los sistemas sanitarios y garantizan el cumplimiento de la HIPAA durante el retorno de la inversión. Aunque existen soluciones para la redacción automática de la PHI protegida, la mayoría de las organizaciones procesan los registros manualmente. Incluso a medida que los sistemas sanitarios de otras áreas migran a sistemas electrónicos.

Control eficaz del ciclo de OIR mediante la redacción automática

La mayoría de las organizaciones sanitarias se esfuerzan por encontrar nuevas formas de mantener seguros los historiales médicos de los pacientes. Los proveedores sanitarios tendrán que adaptarse a los cambios en el gasto en tecnología de seguridad para reducir las infracciones de la HIPAA. Dado que la implantación de sistemas como las HCE dará lugar a procesos de atención más ágiles y eficaces, lo mismo puede decirse de la redacción automatizada.

Estas soluciones garantizan la seguridad en todo el proceso de retorno de la inversión y proporcionan una protección adicional contra las filtraciones. La mayoría de las organizaciones sanitarias siguen utilizando el procesamiento manual. Esto supone una desventaja, ya que el margen de error manual es mayor. Las soluciones de redacción automática reducen la posibilidad de error y la necesidad de revisar manualmente los registros de forma continua, lo que agiliza el proceso global. La redacción automática permite procesar electrónicamente los formularios de ROI, ya que la tecnología puede escanear formularios y documentos, buscar campos y datos específicos y eliminar información sensible de la historia clínica.

El uso de la redacción en los flujos de trabajo actuales disminuye la complejidad manual y mejora la protección y la tranquilidad de los gestores del proceso. Dado que existe un mayor escrutinio y regulación federal por parte de la HIPAA -y más temor a las auditorías y sanciones de los responsables sanitarios-, a quienes intentan mantenerse a la vanguardia de la emergente Ley de Privacidad HIPAA puede resultarles útil disponer de un software de redacción fácil de usar para redactar datos sanitarios personales.

Conclusión

Los trabajadores de la salud pública de los organismos gubernamentales que entienden la intención de la FOIA y las leyes estatales conexas pueden ayudar a promover la transparencia y la rendición de cuentas en el gobierno. Respondiendo a las solicitudes FOIA cuando se reciben y comprendiendo adecuadamente las exenciones aplicables, y cuándo y cómo deben aplicarse, especialmente en lo que respecta al mantenimiento de la privacidad mediante software de redacción de vídeo y audio. Un software de redacción fácil de usar puede contribuir en gran medida a mantener la precaria línea entre la libertad de información prevista en la FOIA y la privacidad que propugna el GDPR. Junto con otras leyes relacionadas, como el GDPR y la HIPAA, la FOIA contribuirá a garantizar la transparencia pública de la información sensible y ayudará a los partidarios de todos los orígenes y puntos de vista a participar en la toma de decisiones políticas.

La eficacia de la FOIA depende en última instancia tanto de la actitud y la dedicación con que las organizaciones, los organismos y sus funcionarios la apliquen como de la voluntad del público de que la ley se aplique de forma que cumpla su objetivo esencial.