Norma Legal Oficial del día 13 de febrero del año 2016 (13/02/2016)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 32
578002
NORMAS LEGALES
Sábado 13 de febrero de 2016 /
El Peruano
Artículo 30.- De la seguridad en el RENHICE En relación a los aspectos de seguridad, el RENHICE administrado por el Ministerio de Salud debe implementar para el funcionamiento de los diversos sistemas de información de los establecimientos de salud y servicios médicos de apoyo como mínimo: a. Redes privadas virtuales y esquemas de autenticación de la identidad de los profesionales de la salud emitidos por una Entidad de Certificación conforme a lo establecido en la Ley de Firmas y Certificados Digitales, su Reglamento aprobado por el Decreto Supremo Nº0522008-PCM y sus modificatorias. b. Mecanismos físicos y tecnológicos necesarios para mitigar los riesgos de pérdida, modificación y/o alteración de la información durante todo el registro y/o acceso a los datos de filiación e información clínica, garantizando la confidencialidad, integridad y disponibilidad de la información. c. Guías y formatos técnicos para la implementación del Sistema de Gestión de Seguridad de la Información en los establecimientos de salud y servicios médicos de apoyo, quienes deberán basarse en estos documentos para su implementación. d. Otras señaladas en las normas complementarias que el Ministerio de Salud apruebe. En relación a los establecimientos de salud y servicios médicos de apoyo se debe implementar como mínimo: a) Un Sistema de Gestión de Seguridad de la Información de acuerdo a la familia ISO/IEC 27000 adoptadas como Normas Técnicas Peruanas vigentes considerando además las normas en materia de protección de datos personales conforme a lo señalado en la Ley Nº 29733, Ley de Protección de Datos Personales, su Reglamento aprobado mediante Decreto Supremo Nº 003-2013-JUS y su directiva de seguridad aprobada por Resolución Directoral Nº 019-2013-JUS-DGPDP. Asimismo, deberán considerar los estándares en materia de seguridad de la información, que aseguren la confidencialidad, integridad, disponibilidad, trazabilidad, autenticidad y no repudio de la información clínica contenida en las historias clínicas electrónicas. Para el caso de los establecimientos de salud y servicios médicos de apoyo públicos, sin perjuicio de lo señalado, tienen la obligatoriedad de implementar la NTP-ISO/IEC 27001, según lo dispuesto mediante Resolución Ministerial Nº 129-2012PCM o en las normas que hagan sus veces. b) Mecanismos de autenticación, de cifrado y de firma digital conforme a lo establecido en el presente Reglamento y en conformidad con la Ley Nº 27269, Ley de Firmas y Certificados Digitales, su Reglamento aprobado mediante Decreto Supremo Nº 052-2008-PCM y sus modificatorias. c) Estrictos controles para proteger la información a la que acceden los profesionales de la salud a través de sus sistemas de información de historias clínicas electrónicas. d) El acceso exclusivo para el uso de personas explícitamente autorizadas para ello, con el soporte de firmas y certificados digitales, según lo establecido en el presente Reglamento y en conformidad con la Ley Nº 27269 -- Ley de Firmas y Certificados Digitales, aprobado mediante Decreto Supremo Nº 052-2008-PCM y sus modificatorias. e) Un registro histórico informático de todas las transacciones ocurridas o bloqueadas, lo que posibilitará al Ministerio de Salud tener la trazabilidad de cada registro, pudiéndose evidenciar éstas de manera detallada e indubitable, a través de auditorías a todas las actividades realizadas y por todas las personas intervinientes en la gestión de la información accedida a través del RENHICE. f) Otras señaladas en las normas complementarias que el Ministerio de Salud apruebe. Artículo 31.- De la trazabilidad de las modificaciones o actualizaciones El sistema de información de historias clínicas electrónicas del establecimiento de salud o servicio de apoyo debe permitir registrar y auditar de manera detallada e indubitable todas las modificaciones, actualizaciones, correcciones o tachados realizadas en la historia clínica electrónica, así como la información relativa a la fecha y hora en que se realizó el acceso, al establecimiento de salud o servicio médico de apoyo desde el que se realizó cada acceso, al profesional de salud que accedió a la información clínica, clínica sensible y clínica básica, según sea el caso y a las características de la información clínica accedida.
Artículo 32.- Condiciones específicas sobre la confidencialidad Las personas autorizadas a acceder al RENHICE deben hacerlo respetando las medidas establecidas para la gestión de la seguridad y confidencialidad de la información, de conformidad con lo que se establezca en la Ley y el presente Reglamento y en otras normas complementarias que apruebe el Ministerio de Salud. Todas las medidas de confidencialidad establecidas están dirigidas a prestar y garantizar la adecuada atención de salud a los pacientes o usuarios de salud, facilitar a los pacientes o usuarios de salud la información sobre cualquier actuación en el ámbito de su salud, respetar las decisiones adoptadas libre y voluntariamente por el paciente o usuario de salud dentro de los límites permitidos por la legislación peruana, y gestionar y custodiar la información clínica que guarden los sistemas de información de historias clínicas electrónicas. Todo el personal que interviene directa o indirectamente en el funcionamiento del sistema de información del RENHICE, y en los sistemas de información de historias clínicas electrónicas de cada establecimiento de salud y servicio médico de apoyo, está obligado a guardar cumplimiento de lo dispuesto en la Ley, el presente Reglamento y demás normas complementarias, bajo responsabilidad señalada en el literal b) de la séptima disposición complementaria final de la Ley. Artículo 33.- Documento de seguridad de la información Los establecimientos de salud y servicios médicos de apoyo deberán establecer un documento maestro de seguridad de la información del sistema de información de historias clínicas electrónicas, así como desarrollar y mantener actualizado un documento de compromiso de confidencialidad en el tratamiento de datos personales aplicable al personal relacionado con el tratamiento de dichos datos, conforme a lo señalado en la Ley Nº 29733, Ley de protección de Datos Personales, su norma reglamentaria aprobado mediante Decreto Supremo Nº 003-2013-JUS y su directiva de seguridad aprobada por Resolución Directoral Nº 019-2013-JUS-DGPDP. CAPÍTULO V DE LA INTEROPERABILIDAD DE LOS SISTEMAS DE INFORMACIÓN Artículo 34.- De los requerimientos para la interoperabilidad El Ministerio de Salud aprueba la norma complementaria a la que deben sujetarse los sistemas de información de historias clínicas electrónicas de los establecimientos de salud y servicios médicos de apoyo, a fin de garantizar el intercambio, procesamiento, interpretación y seguridad de la información contenida en dichos sistemas. Los establecimientos de salud y servicios médicos de apoyo deben implementar como mínimo: a. Las interfaces de intercambio y protocolos de información, las cuales deberán observar la compatibilidad para su interacción con el RENHICE de acuerdo a lo especificado en la norma complementaria que el Ministerio de Salud apruebe. b. El equipamiento informático necesario para acceder al Sistema de información de historias clínicas electrónicas, cuando se realice la atención y se requiera consultar la información clínica autorizada por el paciente o usuario de salud en un establecimiento de salud o servicio médico de apoyo distinto al que le brinda dicha atención. c. La infraestructura tecnológica que permita conservar y mantener en condiciones adecuadas de operación su sistema de información de historias clínicas electrónicas, para asegurar la integridad, autenticidad y disponibilidad de los datos e información contenidos en el mismo a través del tiempo, así como para el acceso al RENHICE. d. Los protocolos de interoperabilidad que el Ministerio de Salud apruebe en las normas complementarias respectivas. e. La seguridad física y lógica para proteger todo componente que interviene en el tratamiento de los datos de filiación y la información clínica del paciente o usuario de salud contenidas en las historias clínicas electrónicas desde su registro. f. La interconexión a través de redes privadas virtuales para acceder al RENHICE y a la PIDE.