Norma Legal Oficial del día 23 de marzo del año 2017 (23/03/2017)
Si dese vizualizar el documento entero como pdf click aqui.
TEXTO DE LA PÁGINA 38
38
NORMAS LEGALES
Jueves 23 de marzo de 2017 /
El Peruano
lo señalado, tienen la obligación de implementar la NTP-ISO/IEC 27001:2014, conforme a lo dispuesto mediante Resolución Ministerial N° 004-2016-PCM o en las normas que hagan sus veces. b) Los procesos del ciclo de vida de software según lo establecido en la NTP ISO/IEC 12207, y su normatividad vigente. c) Mecanismos de autenticación, de cifrado y de firma digital conforme a lo establecido en el presente Reglamento y en conformidad con la Ley N° 27269, Ley de Firmas y Certificados Digitales, su Reglamento aprobado mediante Decreto Supremo N° 052-2008-PCM y sus modificatorias. d) Estrictos controles para proteger la información a la que acceden los profesionales de la salud a través de sus sistemas de información de historias clínicas electrónicas. e) El acceso exclusivo para el uso de personas explícitamente autorizadas para ello, con el soporte de firmas y certificados digitales, según lo establecido en el presente Reglamento y en conformidad con la Ley N° 27269 -- Ley de Firmas y Certificados Digitales, aprobado mediante Decreto Supremo N° 052-2008-PCM y sus modificatorias. f) Un registro histórico informático de todas las transacciones ocurridas o bloqueadas, lo que posibilitará al Ministerio de Salud tener la trazabilidad de cada registro, pudiéndose evidenciar éstas de manera detallada e indubitable, a través de auditorías a todas las actividades realizadas y por todas las personas intervinientes en la gestión de la información accedida a través del RENHICE. g) Otras señaladas en las normas complementarias que el Ministerio de Salud apruebe. Artículo 32.- De la trazabilidad de las modificaciones o actualizaciones El sistema de información de historias clínicas electrónicas del establecimiento de salud o servicio de apoyo debe permitir registrar y auditar de manera detallada e indubitable todas las modificaciones, actualizaciones, correcciones o tachados realizadas en la historia clínica electrónica, así como la información relativa a la fecha y hora en que se realizó el acceso, al establecimiento de salud o servicio médico de apoyo desde el que se realizó cada acceso, al profesional de salud que accedió a la información clínica, clínica sensible y clínica básica, según sea el caso y a las características de la información clínica accedida. Artículo 33.- Condiciones específicas sobre la confidencialidad Las personas autorizadas a acceder al RENHICE deben hacerlo respetando las medidas establecidas para la gestión de la seguridad y confidencialidad de la información, de conformidad con lo que se establezca en la Ley y el presente Reglamento y en otras normas complementarias que apruebe el Ministerio de Salud. Todas las medidas de confidencialidad establecidas están dirigidas a prestar y garantizar la adecuada atención de salud a los pacientes o usuarios de salud, facilitar a los pacientes o usuarios de salud la información sobre cualquier actuación en el ámbito de su salud, respetar las decisiones adoptadas libre y voluntariamente por el paciente o usuario de salud dentro de los límites permitidos por la legislación peruana, y gestionar y custodiar la información clínica que guarden los sistemas de información de historias clínicas electrónicas. Todo el personal que interviene directa o indirectamente en el funcionamiento del sistema de información del RENHICE, y en los sistemas de información de historias clínicas electrónicas de cada establecimiento de salud y servicio médico de apoyo, está obligado a guardar cumplimiento de lo dispuesto en la Ley, el presente Reglamento y demás normas complementarias, bajo responsabilidad señalada en el literal b) de la séptima disposición complementaria final de la Ley. Artículo 34.- Documento de seguridad de la información Los establecimientos de salud y servicios médicos de apoyo deberán establecer un documento maestro de seguridad de la información que incluya el sistema de
información de historias clínicas electrónicas, así como desarrollar y mantener actualizado un documento de compromiso de confidencialidad en el tratamiento de datos personales aplicable al personal relacionado con el tratamiento de dichos datos, conforme a lo señalado en la Ley N° 29733, Ley de protección de Datos Personales, su norma reglamentaria aprobado mediante Decreto Supremo N° 003-2013-JUS y su directiva de seguridad aprobada por Resolución Directoral N° 019-2013-JUSDGPDP. CAPÍTULO V DE LA INTEROPERABILIDAD DE LOS SISTEMAS DE INFORMACIÓN Artículo 35.- De los requerimientos para la interoperabilidad El Ministerio de Salud aprueba la norma complementaria a la que deben sujetarse los sistemas de información de historias clínicas electrónicas de los establecimientos de salud y servicios médicos de apoyo, a fin de garantizar el intercambio, procesamiento, interpretación y seguridad de la información contenida en dichos sistemas. Los establecimientos de salud y servicios médicos de apoyo deben implementar como mínimo: a. Las interfaces de intercambio y protocolos de información, las cuales deberán observar la compatibilidad para su interacción con el RENHICE de acuerdo a lo especificado en la norma del Ministerio de Salud y normatividad vigente.. b. El equipamiento informático necesario para acceder al Sistema de información de historias clínicas electrónicas, cuando se realice la atención y se requiera consultar la información clínica autorizada por el paciente o usuario de salud en un establecimiento de salud o servicio médico de apoyo distinto al que le brinda dicha atención. c. La infraestructura tecnológica que permita conservar y mantener en condiciones adecuadas de operación su sistema de información de historias clínicas electrónicas, para asegurar la integridad, autenticidad y disponibilidad de los datos e información contenidos en el mismo a través del tiempo, así como para el acceso al RENHICE. d. Los protocolos de interoperabilidad que el Ministerio de Salud apruebe en las normas complementarias respectivas en coordinación con la ONGEI-PCM. e. La seguridad física y lógica para proteger todo componente que interviene en el tratamiento de los datos de filiación y la información clínica del paciente o usuario de salud contenidas en las historias clínicas electrónicas desde su registro. f. La interconexión a través de redes privadas virtuales u otros canales seguros para acceder al RENHICE y a la PIDE. Para el caso de Sistemas de Información de Historia Clínicas Electrónicas (SIHCE) compartidos por varios establecimientos de salud o servicios médicos de apoyo, bastará la interconexión vía red privada virtual u otros canales seguros desde el punto donde se centraliza la información. g. Otras señaladas en las normas complementarias que el Ministerio de Salud apruebe. Artículo 36.- De la interoperabilidad en el RENHICE El Ministerio de Salud en coordinación con la ONGEI determina los requisitos técnicos o tecnológicos que faciliten las disposiciones de intercambio de información, estándares técnicos probados, elaboración de guías, formatos que orientan a los establecimientos de salud y servicios médicos de apoyo para lograr la interoperabilidad semántica e interoperabilidad técnica en escenarios concretos de intercambio de información entre los sistemas de información de historias clínicas electrónicas, a efectos de procurar la compatibilización entre estos con los sistemas de gestión de la seguridad de la información en el ámbito del RENHICE, los cuales serán desarrolladas en una norma complementaria que el Ministerio de Salud apruebe.