Tras mencionar los principios básicos de comportamiento de las organizaciones que tratan con datos médicos en Inglaterra, el informe Caldicott continúa con una generosa (y vaga) lista de recomendaciones que esas organizaciones deben seguir.
1. Todos los flujos de datos, actuales o futuros, deberán ser probados contra principios básicos de buenas prácticas. Los flujos que sigan en uso deben ser re-probados regularmente.
2. Se debe instaurar un programa de trabajo para reforzar la concienciación de la confidencialidad y seguridad de datos para todo el personal de la NHS (Seguridad Social).
3. Un empleado senior, peferiblemente un profesional del sector médico, será nominado en cada organización para que actúe como guardián, y sea responsable de asegurar la confidencialidad de la información de paciente. (nota: este es el Caldicott Guardian al que nos referíamos en el anterior post)
4. Se debe dar claras directrices a las personas u organismos responsables de aprobar usos para la información identificable de paciente.
5. Se deben desarrollar protocolos para proteger el intercambio de información identificable de paciente entre la NHS (Seguridad Social) y otras organizaciones.
6. Se debe comunicar claramente la identidad de las personas responsables de monitorizar la compartición y transferencia de información mediante protocolos locales acordados.
7. Un sistema de acreditación que reconozca las organizaciones que siguen buenas prácticas en lo que respecta a confidencialidad deberá ser considerado.
8. El número de la seguridad social (NHS number) debe sustituar a cualquier otro método de identificación siempre que sea posible, teniendo en cuenta las consecuencias de los errores y los requerimientos particulares de otros identificadores.
9. Se deben establecer protocolos estrictos que definan quién está autorizado a acceder a la identidad del paciente cuando el número de la seguridad social (NHS number) u otro identificador codificado se está utilizando.
10. Donde se esté transfiriendo información especialmente sensible, se deberían utilizar tecnologías que potencian la privacidad (por ejemplo, encriptar identificadores o “información que identifique a pacientes”).
11. Las personas involucradas en el desarrollo de sistemas de información de la salud deben asegurar que los principios de mejores prácticas se incorporan en la etapa de diseño.
12. Donde sea aplicable, la estructura interna y la administración de bases de datos que contengan información identificable de paciente deben reflejar los principios identificados en este informe.
13. El número de la Seguridad Social (NHS Number) debe sustituir al nombre del paciente en los formularios de petición de pago de servicio (Items of Service Claims) que envían los médicos de familia (General Practitioners) tan pronto como sea posible.
14. El diseño de nuevos sistemas para la transferencia de datos de prescripción deberán incorporar los principios desarrollados en este informe.
15. Negociaciones futuras sobre pagos y condiciones para los médicos de familia (GP’s) deberán, siempre que sea posible, evitar sistemas de pago que requieran la transmisión de detalles identificadores de paciente.
16. Se deben considerar procedimientos para que las peticiones de pago de servicio realizadas por el médico de cabecera (GP) que no requieran la transferencia de información identificadora de paciente, y se deben hacer pruebas piloto al respecto.
¿Verdad que algunas cosas suenan francamente mal y otras suenan a equipo de aficionados? ¿Verdad que parece que si Versvs, Félix Haro y yo nos fuéramos de cañas y garabateásemos nuestras ideas en una servilleta grasienta el resultado sería más profesional?
En el próximo post informaremos de lo que NO se ha estado haciendo desde el año en que este informe se creó, y qué SÍ se está haciendo desde apenas principios de este año.
Continuará…
