Seis principios y dieciséis recomendaciones que se resumen en:
- Acceder o transmitir información identificable de paciente solo cuando sea indispensable, y hacerlo de manera que se garantice la confidencialidad de esa información.
- Documentar y auditar regularmente el acceso y transmisión de información identificable de paciente.
- En cada organización que utilice información identificable de paciente, nombrar a una persona responsable de que se cumplan 1, 2 y “la legislación vigente”.
En este informe hay algunos «gaps» fenomenales, por ejemplo, una definición unívoca de lo que es «información identificable de paciente». El resto de cosas se pueden completar. Por ejemplo, por «legislación vigente», si cuentas con un abogado a tu lado, puedes averiguar que las leyes que rigen en este aspecto del tratamiento de datos médicos son:
- Common Law Duty of Confidentiality
- Access to Health Records Act 1990
- Computer Misuse Act 1990
- The Data Protection Act (DPA) 1998
- Data Protection (Processing of Sensitive Personal Data) Order 2000
- The Electronic Communications Act 2000
- The Freedom of Inofrmation Act 2000
- The Privacy and Electronic Communications Directive 2003
Si alguien tiene insomnio y se quiere leer todas estas leyes, están incluídas (¡hay más!) en este documento de la NHS (fichero PDF, 267 Kb).
En la próxima entrega de esta fascinante saga, hablaremos de Caldicott 1.0 y Caldicott 2.0.