Laboratorios y Estudios de Imagen _20240418_065616_0000.pdf
Tecnologías para garantizar autoría no adulteración y privacidad de los archivos médicos dr humberto mandirola
1. Tecnologías para garantizar
autoría, no adulteración y
privacidad de los archivos
médicos.
Dr. Humberto Fernán Mandirola Brieux
Email: hmandirola@biocom.com
Médico del Hospital Belgrano Director de la Carrera
de post grado de Medicina Interna de la UBA
(Universidad de Buenos Aires Argentina),
Director de BIOCOM Argentina
http://www.biocom.com ,
Miembro de la comisión directiva de HL7 Argentina
http://www.hl7.org.ar ,
19/10/13 http://www.biocom.com
1
2. Estándares
ISO
(políticas,
normas , roles y procedimientos)
Marco
legal
IT
◦ Firma Electrónica y Firma Digital
◦ Que firmar? Modelo de datos
◦ Procedimiento para Firmar
SGSI
19/10/13
http://www.biocom.com
2
4.
La seguridad de la información consiste en procesos y
controles diseñados para proteger información de su
divulgación no autorizada, transferencia, modificación o
destrucción, a los efectos de:
◦ – asegurar la continuidad
◦ – minimizar posibles daños
◦ – maximizar oportunidades
La información es un activo que como otros activos
importantes tiene valor y requiere en consecuencia una
protección adecuada. La información puede estar:
Impresa o escrita en papel.
Almacenada electrónicamente.
Trasmitida por correo o medios electrónicos
Microfilmada.
Hablada en conversación o grabada.
Seguridad de la Información
19/10/13
http://www.biocom.com
4
5. ISO/IEC
27000 es un conjunto de estándares
desarrollados por:
◦ ISO (International Organization for Standardization) y
◦ IEC (International Electrotechnical Commission),
◦ proporcionan un marco de gestión de la seguridad de la
información utilizable por cualquier tipo de organización,
pública o privada, grande o pequeña.
IRAM-ISO
27799 Tecnología de la información.
Informática en salud. Gestión de seguridad de la
información en salud utilizando la IRAM-ISO-IEC
27002
Sistemas de Gestión de la Seguridad de
la Información (SGSI)
Nomas ISO 27000
19/10/13
http://www.biocom.com
5
6.
ISO 27000: Contiene la descripción general y vocabulario a ser empleado
en toda la serie 27000. Se puede utilizar para tener un entendimiento más
claro de la serie y la relación entre los diferentes documentos que la
conforman.
ISO 27002: Guía de buenas prácticas que describe los objetivos de
control y controles recomendables en cuanto a seguridad de la
información con 11 dominios, 39 objetivos de control y 133 controles.
ISO 27003: Guía de implementación de SGSI e información acerca del
uso del modelo PDCA y de los requisitos de sus diferentes fases.
ISO 27004: Especifica las técnicas de medida aplicables para determinar
la eficiencia y eficacia de la implantación de un SGSI y de los controles
relacionados.
ISO 27005: Consiste en una guía para la gestión del riesgo de la
seguridad de la información y sirve, por tanto, de apoyo a la ISO 27001 y
a la implantación de un SGSI. Incluye partes de la ISO 13335.
ISO 27006: Especifica los requisitos para acreditación de entidades de
auditoría y certificación de sistemas de gestión de seguridad de la
información.
La Serie 27000
19/10/13
http://www.biocom.com
6
8. Súbanse al Tren 27000 vagón
IRAM-ISO 27799
Pueden venir cuantos quieran, que serán tratados bien. Los que estén en
el camino, bienvenidos al tren!
19/10/13 http://www.biocom.com
Charlie García
8
9. Ley 25.326,
de Protección de Datos
Personales
Se deben inscribir en el Registro Nacional de Bases de Datos a los
responsables que administren bases, archivos que contengan datos
personales.
Esto alcanza a las instituciones de Salud que usen sistemas en los que
contengan información sobre sus pacientes.
La disposición fue dictada por la Dirección Nacional de Protección de Datos
Personales (DNPDP) como autoridad de aplicación de la ley de Hábeas Data.
En caso de no cumplir con esta normativa, se aplicarán multas que van
desde $ 1.000 hasta $50.000 y hasta se puede determinar la clausura de la
base.
B.O. 07/09/05 Disposición 6/2005 - DNPDP -isologotipo que identificará a los
responsables de bases de datos personales inscriptos en el mencionado
Registro.
DNPDP
◦ http://www.jus.gov.ar/dnpdp/
◦ Email: infodnpdp@jus.gov.ar
◦ TE 4328-7138. (Sarmiento 329, 4° piso, Anexo).
10. Pedir
el consentimiento al paciente para registrar
sus datos e informarlo de sus derechos sobre los
mismos
Preservar la privacidad de los datos.
Política de datos, se debe informar al paciente
que:
◦ De conformidad con lo establecido en la legislación
vigente, le informamos que sus datos personales serán
incluidos en un fichero.
◦ Usted tiene legalmente establecido el derecho a acceder a
la información recopilada, y rectificarla y / o cancelarla.
Para ello debe solicitarlo por medio fehaciente o enviarnos
su solicitud por Correo ordinario- electrónico"
Ley 25.326, de Protección de datos
Personales
Habeas Data
11. A
favor Ley de Firma digital Ley
25.506
En contra la Ley general de ejercicio
de la medicina (ley N° 17132) que
en su artículo 19 inciso 7°, dice: "
Las prescripciones y las recetas
deberán ser manuscritas,
formuladas en castellano, fechadas y
firmadas...“
Ley general de ejercicio de la
medicina (ley N° 17132)
19/10/13
11
12.
Ley 25.506: Cap. I (Consid. Grales.) - art. 2
Se entiende por FIRMA DIGITAL al resultado de aplicar a un
documento digital un procedimiento matemático que requiere
información de exclusivo conocimiento del firmante,
encontrándose ésta bajo su absoluto control.
La FIRMA DIGITAL debe ser susceptible de verificación por
terceras partes, tal que dicha verificación simultáneamente
permita identificar al firmante y detectar cualquier alteración
del documento digital posterior a su firma. Para ello, se
requiere la presencia de un Certificado Digital emitido por un
Certificador Licenciado.
Licenciado
Si alguno de los requisitos legales no se cumple (por
ejemplo, no se dispone del Certificado Digital emitido
por un Certificador Licenciado), la ley contempla la figura
de Firma Electrónica, que a diferencia de la Firma Digital, se
Electrónica
invierte el peso de la prueba correspondiendo a quien la invoca
acreditar su validez.
Ley de Firma Digital
13. ¿Cuál es el instrumento de IT
que garantiza la HCE?
LA FIRMA DIGITAL puede ser usada para:
• La autoría ( no repudio) y la integridad de la
información
•Privacidad: Mediante otra propiedad permite que
cifrando los datos podamos decidir quien lee esa
información.
•Temporalidad: por medio del Time Stamping
podemos garantizar cuándo se generó esa
información
19/10/13
http://www.biocom.com
13
14. Características que deben
preservarse de los documentos
médicos informatizados o no
1.
2.
3.
4.
5.
6.
7.
8.
Inviolabilidad: Que la información no pueda ser adulterada.
Inviolabilidad
Autoría: Identificación del responsable que la generó
Autoría
Reserva: “Confidencialidad”: No puede difundirse libremente, tiene que
Reserva
tener control de quienes tienen acceso
Secuencialidad: Debe seguir el orden en que fue escrita.
Secuencialidad
Disponibilidad: Debe garantizar la posibilidad de consulta cuando el
Disponibilidad
paciente y los profesionales lo necesiten en tiempo y forma.
Integridad: “Total y Completa”: Los que están justificadamente
Integridad
habilitados deben poder acceder a toda la información que se requiera
para el acto médico, así como para la auditoria, estadísticas,
epidemiología, planes de prevención y peritajes legales.
Temporalidad precisa: Fecha y hora en que se generó.( debe relfejar lo
precisa
que el Médico actuó y pensó en un momento dado)
Durabilidad: Debe permanecer inalterable en el tiempo para que su
Durabilidad
información pueda ser consultada.
19/10/13
http://www.biocom.com
14
15. LA HCE Y LA FD
Es el medio para
garantizar su
privacidad, para
que sus datos no
puedan ser vistos
por cualquier
persona no
autorizada.
Puede recibir y emitir
información
segura.
La privacidad se logra
mediante atributos
de la firma digital
por medio de las
técnicas
criptográficas
asimétricas,
encriptando el
texto con la clave
publica del
receptor de la
información el cual
solo va poder ver
la misma con su
clave privada.
Las técnicas de Fechado o time Stamping, son las que
permiten saber cuando fue firmado el documento,
generalmente provee el servicio la entidad certificante
quien es la que debe validar permanentemente la vigencia
de los certificados
19/10/13
http://www.biocom.com
15
16. ¿ Como
obtengo mi certificado?
Que conviene?
1.Me dirijo a una empresa o entidad que tenga el carácter de
Prestador de Servicios de Certificación y solicito de ellos el par de
claves y el certificado digital correspondiente a las mismas.
2.Genero mi propia unidad Servicios de Certificación dentro de mi
empresa
Los Servicios de Certificación comprobarán mi identidad, bien
directamente o por medio de entidades colaboradoras
Los Servicios de Certificación crean con los dispositivos técnicos
adecuados el par de claves pública y privada y genera el certificado
digital correspondiente a esas claves
Los Servicios de Certificación permiten que genere mi certificado,
ya sea en un medio magnético (Tarjeta Magnética, Token, Etc.) o
Directamente en formato de archivo (.PFX).
19/10/13
http://www.biocom.com
16
17. Como se obtiene un certificado para utilizar
la Firma Digital o Electrónica
El
Prestador de Servicios de Certificación que
provee el certificado digital.
◦ Debe comprobar la identidad, bien directamente o por medio
de entidades colaboradoras
◦ Con los dispositivos técnicos adecuados el par de claves
pública y privada ( certificado digital).
Montar
una entidad certificante ( esto es de utilidad
para las empresas, sanatorios,etc..
Obtener el certificado por Internet
◦ (http://www.pki.gov.ar
◦ http://www.certisur.com
◦ http://www.verisign.com )
19/10/13
http://www.biocom.com
17
20. Registración
Planilla de registro:
•Datos
generales y/o
datos específicos
segun actividad.
•Challenge
Phrase:
frase protectora del
certificado
( password del
certificado)
19/10/13
http://www.biocom.com
20
21. Registración
En este momento
un soft es
instalado en la
maquina. Con el
cual Se generaran
tanto las claves
publicas como
privadas.
19/10/13
http://www.biocom.com
21
24. Instalación
Finalmente se le es
entregado el
certificado
habilitado.
Este puede ser
directamente
instalado en su
sistema o bien
guardado en
formato de archivo
para su utilización.
* Este último paso
depende del tipo de
certificado y de la
entidad certificante
19/10/13
http://www.biocom.com
24
25. El Certificado Ya Instalado
El certificado ya instalado en el
sistema al abrirlo se pueden ver
sus datos generales, validez,
tipo, entidad emisora, etc.
Segun el tipo de certificado ya
estará disponible para firmar
sus aplicaciones.
19/10/13
http://www.biocom.com
25
26. Certificado
Para ello emiten un certificado
que contiene los datos
identificatorios del firmante y la
clave pública. Dicho Certificado
debe acompañar siempre al
documento firmado.
19/10/13
http://www.biocom.com
26
27. Su dispositivo de Identidad digital
19/10/13
http://www.biocom.com
27
28. Medios de almacenamiento de la
Firma Digital
Si bien la Ley Argentina no
especifica el medio de
almacenamiento, es
importante considerar la
seguridad del resguardo de la
Clave Privada
El E-Token no es solo un
medio de almacenamiento,
tiene la ventaja de usar la
conexion USB standar
Smartcard
19/10/13
http://www.biocom.com
28
29. Como es el Dispositivo para
poder Firmar Digitalmente
Presentación
en Formato USB.
Fácil implementación en su PC.
Portable, del tamaño de la llave de nuestra casa.
Seguro
No menos de 10 años de Uso!!!!
19/10/13
http://www.biocom.com
29
30. Elementos a considerar en la
implemenztación de la firma digital
dentro de un sistema
Librerías
Certificado
Administración
de certificados y
dispositivos
Generación de un documento de salida
para firmar
Administración del evento de firma
dentro del sistema.
Administración del proceso de
verificación de los datos firmados
19/10/13
http://www.biocom.com
30
31. LIBRERIAS PARA FIRMAR
CAPICOM sirven para firmar datos y
código digitalmente, comprobar
firmas digitales, proteger la privacidad
de datos, hacer hash de datos y cifrar y
descifrar datos, entre otras
aplicaciones. Son gratuitas y pueden
bajarse del sitio de Microsoft.
Librerías de terceros proveedores para
administrar dispositivos de
almacenamiento de certificados tipo
eTocx
19/10/13
http://www.biocom.com
31
33. Llamado a las librerías desde
el código
Function fdDatosCert(ByRef Certificado As String, ByRef
Version As String, _
ByRef FDesde As Date, FHasta As Date, _
ByRef Thumb As String, ByRef Mail As String, _
Ubicacion As String, Pass As String, cer As String)
As fdErrorCert
Dim cert As Certificate
Dim MiStoreEnMemoria As New Store
Dim Error As fdErrorCert
MiStoreEnMemoria.Open CAPICOM_MEMORY_STORE,
"memory", CAPICOM_STORE_OPEN_READ_WRITE
Set cert = New Certificate
'/////////////////////
'Cargo el certificado
'/////////////////////
On Error Resume Next
cert.Load Ubicacion, Pass
If Err.Number <> 0 Then
Select Case Err.Number
Case -2147024810:
Error = fdcertpasserror
Case -2147024894
Error = fdCertNoEncontrado
Case Else
Error = fdErrorGral
End Select
Else
'///////////////////////////////////////////
'Establezco el certificado para el firmante
' /////////////////////////////////////////
Certificado =
cert.GetInfo(CAPICOM_CERT_INFO_ISSUER_DNS_
NAME)
Version = cert.Version
Thumb = cert.Thumbprint
Mail =
cert.GetInfo(CAPICOM_CERT_INFO_SUBJECT_EMA
IL_NAME)
cer = cert.Export(CAPICOM_ENCODE_BASE64)
FDesde = cert.ValidFromDate
FHasta = cert.ValidToDate
End If
Set cert = Nothing
fdDatosCert = Error
End Function
19/10/13
http://www.biocom.com
33
34. Implementaci ón T é cnica de la FIRMA DIGITAL
¿Qué Puedo
Firmar
Digitalmente?
El límite no está
en el
contenido,sino
en Conseguir una
Aplicación
Adaptada
Tecnológica-mente
para FIRMAR.
19/10/13
http://www.biocom.com
34
35. Implementaci ón T é cnica de la FIRMA DIGITAL
En una aplicación de Correo Electrónico
Texto Plano (leible desde el bloc de notas por ej).
19/10/13
http://www.biocom.com
35
38. 3.¿Qué es lo que se Firma?
En un Informe de Laboratorio
Texto Plano (leible desde el bloc de notas por ej).
Hemograma
www.
19/10/13
http://www.biocom.com
.com
38
39. 4.¿Qué es lo que se Firma?
En un Informe de Laboratorio
Texto Plano (leible desde el bloc de notas por ej).
Acido-Base
19/10/13
http://www.biocom.com
39
40. Síntesis FIRMA DIGITAL
Informe de
Laboratorio
Maestro
de
Pacientes
Autoanalizador
Resultados
de las
Gramas
TimeStamp (Fecha y Hora
Certificadas)
Maestro
de
Medicos
Firma Unica
del Informe
Texto Plano
19/10/13
http://www.biocom.com
40
41. Generación de un documento de
salida para firmar
CDA
(Arquitectura de documentos
clínicos) es un estandar HL7.
Es un documento AMSI markup estándar,
con estructura y semántica diseñada
para el intercambio de documentos
clínicos
Estos documentos de salida son una
estructura ideal para elegir un medio
estándar para firmar datos clínicos.
19/10/13
http://www.biocom.com
41
42. Características de los CDA
Es una documentación de las observaciones y otros servicios
que tiene las siguientes características:
•Persistencia
•Tiene Potencial para la autenticación
•Contexto
•Es un documento completo es si mismo
•Permite ser leido por un humano
•Bajo costo
CDA es un objeto de salida completo de información y puede
incluir texto, imágenes, sonido y otros 19/10/13 http://www.biocom.com
contenidos multimedia.
42
43. Características de los CDA
•CDA
viene del HL7's modelo referencial de datos
(Reference Information Model) (RIM)
• la diferencia sustancial es que el RMI es un modelo
de datos y el CDA es un objeto que permite el
intercambio, interoperabilidad y reutilización de los
datos.
19/10/13
http://www.biocom.com
43
44. Componentes de los CDA
<ClinicalDocument>
...
<structuredBody>
<section>
Bloque Narrativo
<text>...</text>
<observation>...</observation>
<substanceAdministration>
E
<supply>...</supply>
S
N
</substanceAdministration>
T
E
R
<observation>
C
A
<externalObservation>
C
D
Referencias
...
I
A
externas
S
O
</externalObservation>
N
</observation>
E
</section>
S
<section>
<section>...</section>
</section>
19/10/13 http://www.biocom.com
</structuredBody>
</ClinicalDocument>
Header
D
O
C
U
M
E
N
T
O
C
U
E
R
P
O
44
45. Modelo CDA R2 encabezado y conexión con el cuerpo del documento.
Organization
ClinicalDocument
classCode*: <= ORG
determ inerCode*: <= INSTANCE
id: SET<II> [0..*]
name: SET<ON> [0..*]
telecom: SET<TEL> [0..*]
addr: SET<AD> [0..*]
standardIndustryClassCode: CE CWE [0..1]
<= OrganizationIndustryClass
classCode*: <= DOCCLIN
m oodCode*: <= EVN
id*: II [1..1]
code: CE CWE [1..1] <= DocumentType
title: ST [0..1]
effectiveTime: TS [1..1]
confidentialityCode: CE CWE [1..1]
<= x_BasicConfidentialityKind
languageCode: CS CNE [0..1] <= HumanLanguage
0..1 representedOrganization
AssignedEntity
classCode*: <= ASSIGNED
id: SET<II> [1..*]
code: CE CWE [0..1] <= RoleCode
addr: SET<AD> [0..*]
telecom: SET<TEL> [0..*]
ParentDocument
0..* parentDocument
relatedDocument
typeCode*: <= x_ActRelationshipDocument
classCode*: <= DOCCLIN
m oodCode*: <= EVN
id*: SET<II> [1..*]
code: CD CWE [0..1] <= DocumentType
text: ED [0..1]
setId: II [0..1]
versionNumber: INT [0..1]
bodyChoice
1..* assignedEntity
author
NonXMLBody
typeCode*: <= AUT
functionCode: CE CWE [0..1] <= ParticipationFunction
contextControlCode*: CS CNE [1..1] <= "OP"
time*: TS [1..1]
classCode*: <= DOCBODY
m oodCode*: <= EVN
text: ED [1..1]
confidentialityCode: CE CWE [0..1]
<= x_BasicConfidentialityKind
languageCode: CS CNE [0..1] <=
HumanLanguage
0..1 assignedEntity
legalAuthenticator
typeCode*: <= LA
contextControlCode*: CS CNE [1..1] <= "OP"
time*: TS [1..1]
signatureCode*: CS CNE [1..1] <= ParticipationSignature
StructuredBody
1..1 bodyChoice
component
classCode*: <= DOCBODY
m oodCode*: <= EVN
confidentialityCode: CE CWE [0..1]
<= x_BasicConfidentialityKind
languageCode: CS CNE [0..1] <=
HumanLanguage
typeCode*: <= COMP
contextConductionInd*: BL [1..1] "true"
0..1 assignedPerson
Person
classCode*: <= PSN
determ inerCode*: <= INSTANCE
name: SET<PN> [0..*]
component
typeCode*: <= COMP
contextConductionInd*: BL [1..1] "true"
1..* section
Section
1..* assignedAuthor
author
19/10/13
classCode*: <= DOCSECT
m oodCode*: <= EVN
id: II [0..1]
code: CE CWE [0..1] <= DocumentSectionType
title: ST [0..1]
text*: ED [0..1]
confidentialityCode: CE CWE [0..1] <=
x_BasicConfidentialityKind
languageCode: CS CNE [0..1] <= HumanLanguage
http://www.biocom.com
45
48. Método
Hay tres métodos contemplados en el CDA para firmar
1.Detached: en donde la firma va por fuera del
documento
2.Enveloped : en donde la firma forma parte del
documento
3.Enveloping: en donde la firma incluye el documento
19/10/13
http://www.biocom.com
48
49. Firma y verificación
LA FIRMA DE DOCUMENTOS
ES UN ACTO Y NO UNA
INSTANCIA DEL SISTEMA
Administración del evento de
firma dentro del sistema.
Administración del proceso de
verificación de los datos firmados
19/10/13
http://www.biocom.com
49
50. Firma y verificación
Firmar
Verificar
Guardar
Documento
Documento
Documento
Hash
Hash
Clave Pública
Clave Privada
Programa
Programa
Firma Digital
Firma Digital
Firma Digital
C/ C. Privada
C/ C. Privada
Para firmar un documento digital se
emplea un PROGRAMA en la
computadora que, a partir del
documento y de la clave privada,
privada
genera un número que llamaremos
FIRMA DIGITAL de ese documento.
Firma Digital
C/ C. Pública
=
NO
SI
Para verificar un Documento Digital, el
receptor emplea un PROGRAMA en su
computadora que, a partir del documento, la
firma digital y la clave pública del firmante,
aplica un cálculo matemático y determina si
estos tres elementos concuerdan.
19/10/13
http://www.biocom.com
50
51. Informar al usuario del acto
antes de proceder a firmar
Texto = Texto + "Para poder firmar los documentos" + Chr(13)
Texto = Texto + "tiene que gestionar" + Chr(13)
Texto = Texto + "un certificado de firma digital " + Chr(13)
Texto = Texto + "certificante autorizada" + Chr(13)
Texto = Texto + "RECUERDE QUE: " + Chr(13)
Texto = Texto + "El procedimiento permite que va ejecutar firmar digitalmente su prescripción" + Chr(13)
Texto = Texto + "con el mismo valor legal que la firma" + Chr(13)
Texto = Texto + "convencional " + Chr(13)
MsgBox Texto, vbInformation
UbicacionFirma = fdFirmar(fdHistorias_Clinicas, IDMaestro, Texto, TimeStamping, _
TimeServer, TimeMachine, USUARIOACTIVO%, True, CertPass, errorf)
19/10/13
http://www.biocom.com
51
52. Gracias por su
atención
光顧
guāng gù
Cualquier consulta pueden enviarla por mail al foro
http://groups.yahoo.com/group/biocom/
http://groups.google.com.ar/group/historia-clinica
http://groups.yahoo.com/group/FD_Salud
Dr. Humberto Fernán Mandirola Brieux
Email hmandirola@biocom.com
19/10/13
http://www.biocom.com
52
Notas del editor
{"46":"Describe the “Clinical Statement” model, and involvement by other committees.\n","43":"Discuss the consensus that has gone in to the RIM\n"}