Norma Legal Oficial del día 17 de diciembre del año 2015 (17/12/2015)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 32
568706
NORMAS LEGALES
Jueves 17 de diciembre de 2015 /
El Peruano
Los establecimientos de salud o servicios médicos de apoyo, públicos, privados o mixtos, que cuenten con historias clínicas manuscritas deberán de implementar en forma progresiva la historia clínica electrónica, de acuerdo a su disponibilidad presupuestal, y su implementación debe seguir los estándares para la acreditación de su sistema de información de historias clínicas electrónicas ante el RENHICE. CAPÍTULO IV CRITERIOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Artículo 27.- Del Ministerio de Salud El Ministerio de Salud, a través de la Oficina General de Estadística e Informática, o la que haga sus veces, establece los requisitos técnicos respecto a las medidas de seguridad necesarias para proteger y salvaguardar la información contenida en los sistemas de información de historias clínicas electrónicas, en cumplimiento del marco normativo de la seguridad de la información. Artículo 28.- De los establecimientos de salud y servicios médicos de apoyo Con el objeto de proteger la información clínica accedida a través del RENHICE, los establecimientos de salud y servicios médicos de apoyo establecerán en sus sistemas de información, las medidas necesarias que garanticen la seguridad de los mismos para evitar su alteración, pérdida, intercambio y acceso no autorizado, bajo responsabilidad señalada en el literal b) de la séptima disposición complementaria final de la Ley. Asimismo, cumplirán con las medidas de seguridad exigidas en la Ley N° 29733, Ley de Protección de Datos Personales, su Reglamento aprobado mediante Decreto Supremo N° 003-2013-JUS, su directiva de seguridad de la información aprobada por Resolución Directoral N° 019-2013-JUS-DGPDP y demás normas complementarias que el Ministerio de Salud apruebe. Artículo 29.- Registro y resguardo de la prestación de servicios de salud Los sistemas de información de historias clínicas electrónicas deberán de registrar y resguardar la información derivada de la prestación de servicios de salud en forma de documentos electrónicos estructurados e inalterables de acuerdo a la directiva de acreditación de los sistemas de información de historias clínicas electrónicas que apruebe el Ministerio de Salud. Artículo 30.- De la seguridad en el RENHICE En relación a los aspectos de seguridad, el RENHICE administrado por el Ministerio de Salud debe implementar para el funcionamiento de los diversos sistemas de información de los establecimientos de salud y servicios médicos de apoyo como mínimo: a. Redes privadas virtuales y esquemas de autenticación de la identidad de los profesionales de la salud emitidos por una Entidad de Certificación conforme a lo establecido en la Ley de Firmas y Certificados Digitales, su Reglamento aprobado por el Decreto Supremo N°0522008-PCM y sus modificatorias. b. Mecanismos físicos y tecnológicos necesarios para mitigar los riesgos de pérdida, modificación y/o alteración de la información durante todo el registro y/o acceso a los datos de filiación e información clínica, garantizando la confidencialidad, integridad y disponibilidad de la información. c. Guías y formatos técnicos para la implementación del Sistema de Gestión de Seguridad de la Información en los establecimientos de salud y servicios médicos de apoyo, quienes deberán basarse en estos documentos para su implementación. d. Otras señaladas en las normas complementarias que el Ministerio de Salud apruebe. En relación a los establecimientos de salud y servicios médicos de apoyo se debe implementar como mínimo: a) Un Sistema de Gestión de Seguridad de la Información de acuerdo a la familia ISO/IEC 27000 adoptadas como Normas Técnicas Peruanas vigentes considerando además las normas en materia de protección de datos personales conforme a lo señalado en la Ley N° 29733, Ley de Protección de Datos
Personales, su Reglamento aprobado mediante Decreto Supremo N° 003-2013-JUS y su directiva de seguridad aprobada por Resolución Directoral N° 019-2013-JUSDGPDP. Asimismo, deberán considerar los estándares en materia de seguridad de la información, que aseguren la confidencialidad, integridad, disponibilidad, trazabilidad, autenticidad y no repudio de la información clínica contenida en las historias clínicas electrónicas. Para el caso de los establecimientos de salud y servicios médicos de apoyo públicos, sin perjuicio de lo señalado, tienen la obligatoriedad de implementar la NTP-ISO/IEC 27001, según lo dispuesto mediante Resolución Ministerial N° 129-2012-PCM o en las normas que hagan sus veces. b) Mecanismos de autenticación, de cifrado y de firma digital conforme a lo establecido en el presente Reglamento y en conformidad con la Ley N° 27269, Ley de Firmas y Certificados Digitales, su Reglamento aprobado mediante Decreto Supremo N° 052-2008-PCM y sus modificatorias. c) Estrictos controles para proteger la información a la que acceden los profesionales de la salud a través de sus sistemas de información de historias clínicas electrónicas. d) El acceso exclusivo para el uso de personas explícitamente autorizadas para ello, con el soporte de firmas y certificados digitales, según lo establecido en el presente Reglamento y en conformidad con la Ley N° 27269 -- Ley de Firmas y Certificados Digitales, aprobado mediante Decreto Supremo N° 052-2008-PCM y sus modificatorias. e) Un registro histórico informático de todas las transacciones ocurridas o bloqueadas, lo que posibilitará al Ministerio de Salud tener la trazabilidad de cada registro, pudiéndose evidenciar éstas de manera detallada e indubitable, a través de auditorías a todas las actividades realizadas y por todas las personas intervinientes en la gestión de la información accedida a través del RENHICE. f) Otras señaladas en las normas complementarias que el Ministerio de Salud apruebe. Artículo 31.- De la trazabilidad de las modificaciones o actualizaciones El sistema de información de historias clínicas electrónicas del establecimiento de salud o servicio de apoyo debe permitir registrar y auditar de manera detallada e indubitable todas las modificaciones, actualizaciones, correcciones o tachados realizadas en la historia clínica electrónica, así como la información relativa a la fecha y hora en que se realizó el acceso, al establecimiento de salud o servicio médico de apoyo desde el que se realizó cada acceso, al profesional de salud que accedió a la información clínica, clínica sensible y clínica básica, según sea el caso y a las características de la información clínica accedida. Artículo 32.- Condiciones específicas sobre la confidencialidad Las personas autorizadas a acceder al RENHICE deben hacerlo respetando las medidas establecidas para la gestión de la seguridad y confidencialidad de la información, de conformidad con lo que se establezca en la Ley y el presente Reglamento y en otras normas complementarias que apruebe el Ministerio de Salud. Todas las medidas de confidencialidad establecidas están dirigidas a prestar y garantizar la adecuada atención de salud a los pacientes o usuarios de salud, facilitar a los pacientes o usuarios de salud la información sobre cualquier actuación en el ámbito de su salud, respetar las decisiones adoptadas libre y voluntariamente por el paciente o usuario de salud dentro de los límites permitidos por la legislación peruana, y gestionar y custodiar la información clínica que guarden los sistemas de información de historias clínicas electrónicas. Todo el personal que interviene directa o indirectamente en el funcionamiento del sistema de información del RENHICE, y en los sistemas de información de historias clínicas electrónicas de cada establecimiento de salud y servicio médico de apoyo, está obligado a guardar cumplimiento de lo dispuesto en la Ley, el presente Reglamento y demás normas complementarias, bajo responsabilidad señalada en el literal b) de la séptima disposición complementaria final de la Ley. Artículo 33.- Documento de seguridad de la información Los establecimientos de salud y servicios médicos de apoyo deberán establecer un documento maestro de