Expediente Clínico del Hospital - Secretaría de Salud

Anuncio
0/0/2013
Día/Mes/Año
DOCUMENTO DE SEGURIDAD SECRETARIA DE SALUD DEL DISTRITO FEDERAL
Nombre del Sistema de
Datos Personales:
Nivel de seguridad:
"EXPEDIENTE CLÍNICO DEL HOSPITAL"
ALTO
Responsable del Sistema de Datos Personales
Área de Adscripción:
Nombre:
Cargo:
Responsable de Seguridad
Área de Adscripción:
Nombre:
Cargo:
Encargado de Sistema
Área de Adscripción:
Nombre:
Cargo:
Ámbito de
aplicación
Constitución Política de los Estados Unidos Mexicanos (Última reforma publicada en el DOF: 30 de noviembre de
2012), Artículos 2 apartado B, fracciones III y VIII, 4, 6 y 16; Ley General de Salud (Última reforma publicada en el
DOF: 25 de enero de 2013), Artículos 13, Apartado B, fracción I, 27 y 77 Bis 1, 77 Bis 2; 77 Bis 3, 77 Bis 4; Estatuto de
Gobierno del Distrito Federal (GODF: Última reforma publicada en el DOF: 28 de enero de 2011), Artículo 87; Ley
Orgánica de la Administración Pública del Distrito Federal (GODF: 29 de enero de 2013), Artículo 29 fracciones I, III,
V, IX, X y XI; Ley de Salud del Distrito Federal (Última actualización en la GODF: 23 de agosto de 2012), Artículo 11
fracción XVI; Ley de Protección de Datos Personales para el Distrito Federal (GODF: 03 de octubre de 2008),
Artículos 7, 8, 9, 13, 14, 15 y 18; Ley de Transparencia y Acceso a la Información Pública del Distrito Federal (GODF:
29 de agosto de 2011), Artículos 4 fracción II, 8 segundo párrafo, 10, 36 primer párrafo, 38 fracciones I y IV y 43; Ley
de Archivos del Distrito Federal (GODF: 08 de octubre de 2008), Artículos 3 fracción IX, 30 fracciones VI y VII, 31, 32,
33, 34, 35 fracciones VII y VIII; Reglamento de la Ley General de Salud en Materia de Protección Social en Salud
(DOF: 08 de junio de 2011), Artículo 67; Reglamento de la Ley General de Salud en Materia de Prestación de
Servicios de Atención Médica (DOF: 04 de diciembre de 2009), Artículo 81; Reglamento de la Ley de Salud del
Distrito Federal (GODF: 07 de julio de 2011), Artículos 62 y 330; Reglamento de la Ley que establece el Derecho al
Acceso Gratuito a los Servicios Médicos y Medicamentos a las Personas Residentes en el Distrito Federal que
carecen de Seguridad Social Laboral (GODF 04 de diciembre de 2006) Artículos 9 fracciones I, II y IV, y 26;
Reglamento de La Ley General de Salud en Materia de Prestación de Servicios de Atención Médica (DOF:
04/12/2009), Artículos 32, 80, 81, 82, 134, y 248; Reglamento de la Ley de Desarrollo Social para el Distrito Federal
(GODF: 24 de marzo de 2009), Artículos 56 al 59; Reglamento de la Ley de Transparencia y Acceso a la Información
Pública del Distrito Federal (GODF: 25 de noviembre 2011), Artículos 30 y 31; Lineamientos para la Protección de
Datos Personales en el Distrito Federal (GODF: 22 de marzo 2010), Numerales 5, 10, 11 y 12; Norma Oficial
Mexicana NOM-004-SSA3-2012 “Del Expediente Clínico” (DOF: 15 de octubre de 2012), Puntos 5 y 6; Norma Oficial
Mexicana NOM-24-SSA3-2010 “Del Expediente Clínico/Electrónico” (DOF: 08 de septiembre de 2010), Punto 5.
Documento Escrito, gráfico, imagenologico, digital o de cualquier índole en los
cuales el personal de salud realiza registros, anotaciones y certificaciones
correspondientes a su intervención con apego a las disposiciones sanitarias.
Descripción del
sistema:
Estructura del sistema.
Especificación detallada de la categoría de datos personales contenidos en el Sistema.
Categoría
Datos
especialmente
protegidos
*sensibles
Tipo de
datos
Relacionados
con la salud
Origen
Documento
s propios
del
expediente
clínico de
cada
paciente
Funciones
y
obligaciones
del
personal que intervenga
en el tratamiento de los
sistemas
de
datos
personales
Colectivo de personas
de las que se obtienen
los datos
Pacientes y/o
Familiares
Forma de
recolección
Físico
(Formatos)
Medio de
actualización
5 años
Tratamiento
Confidencial
Función del Responsable del Sistema: El servidor público adscrito al
Hospital __________________________________ al que pertenece el
sistema de datos personales, tomando en consideración que este fue
designado por el Director General de Servicios Médicos y Urgencias,
quien tiene la capacidad y competencia para decidir sobre el tratamiento
de datos personales, así como el contenido y finalidad del Sistema de
Datos Personales denominado
"Expediente Clínico del Hospital
__________________________________________".
Función del Responsable de Seguridad: es el Encargado del Archivo
Clínico del Hospital _______________________________________, ésta
deberá de tener el cuidado necesario para el óptimo resguardo de los
"Expedientes Clínicos" que conforman el Sistema, siguiendo un
procedimiento de control de préstamo y reguardo el cual sólo puede ser
consultado
por
____________________________________________________________
y en su caso por autoridad competente.
Medidas,
normas,
procedimientos
y
criterios enfocados a
garantizar el nivel de
seguridad exigido por el
artículo 14 de la Ley y
en el numeral 16 de los
Lineamientos.
Tipos de seguridad:
Física: Se refiere a toda medida orientada a la protección de instalaciones,
equipos, soportes o sistemas de datos para la prevención de riesgos por caso
fortuito, o causas de fuerza mayor.
Los expedientes clínicos son reguardados en la Unidad Administrativa de
Archivo Clínico del Hospital _______________________________________,
siendo un espacio restringido al cual sólo tienen acceso el personal que
labora en dicha área. Éstos son ordenados de acuerdo al método de archivo
digito terminal.
Los procedimientos de notificación gestión y respuesta ante incidencias
contarán necesariamente con un registro en el que se haga constar el tipo
de incidencia, el momento en que se ha producido, la persona que realiza
la notificación, a quién se le comunica, los efectos que se hubieran
derivado de la misma y las acciones implementadas.
Procedimientos
de
registro,
notificación,
gestión y respuesta
ante incidencias
Gestión de soportes.
Procedimientos para la
realización de copias de
respaldo y recuperación
de los datos, para los
sistemas
de
datos
personales
automatizados
Se realizará acta administrativa y/o ante Ministerio Público, con la
finalidad de dejar constancia de los hechos ocurridos y delegar
responsabilidades ante el Órgano de Control Interno o bien Autoridad
Jurisdiccional competente; el responsable de notificar el siniestro es el
_________________________________________. La medidas que se
toman ante cualquier incidencia (inundaciones, incendios, sismos,
derrumbes, roedores, sustracción): se cuenta con un Programa de
Mantenimiento preventivo, fumigación y desratización; extintores;
supervisión interna de las área físicas; consignas de vigilancia para el
aseguramiento de la restricción del área al público y personal no
autorizado.
1. Al almacenar los soportes físicos y electrónicos que contengan datos de carácter
personal se deberá cuidar que estén etiquetados para permitir identificar el tipo de
información que contienen, ser inventariados y sólo podrán ser accesibles por el
personal autorizado para ello en el documento de seguridad. (SE DEBE ESPECIFICAR,
COMO SE ENCUENTRAN ARCHIVADOS, DE QUE MANERA SE LLEVA EL CONTROL DE
LOS EXPEDIENTES Y COMO SE ENCUENTRAN CLASIFICADOS PARA SU DISTINCION
DICHOS EXPEDIENTES)
• Se encuentran archivados de acuerdo al método de archivo digito terminal.
• El Control de los Expedientes se lleva a través de libros de gobierno o libretas de
registro.
• Tarjetero Índice
2. La salida de soportes y documentos que contengan datos de carácter personal,
fuera de las instalaciones u oficinas bajo el control del responsable, deberá ser
autorizada por éste, o encontrarse debidamente autorizada en el documento de
seguridad. (SE DEBE ESPECIFICAR MEDIANTE QUE DOCUMENTO O QUE TIPO DE
CONTROL SE LLEVA CUANDO ES SACADO UN EXPEDIENTE DEL ARCHIVO DONDE
SE ENCUENTRA)
• Una vez que el expediente clínico sale del archivo clínico, se lleva un control en
la libreta de registro y/o se requisita un vale de préstamo.
• Vale múltiple de expediente clínico (sale para otorgar consulta externa y
Comités);
• Vale Individual (paciente hospitalizado, requerido por autoridad competente,
revisión de caso clínico)
3. En el traslado de soportes físicos y electrónicos se adoptarán medidas dirigidas
a evitar la sustracción, pérdida o acceso indebido a la información durante su
transporte. (CUANDO EL EXPEDIENTE CUMPLE LA VIGENCIA DE CONFORMIDAD
CON LA NOM-004-SSA3-2012
“Del Expediente Clínico”, CUAL ES EL
PROCEDIMIENTO QUE SE SIGUE PARA SU TRASLADO AL ARCHIVO DE
CONCENTRACIÓN)
Gestión de soportes.
Procedimientos para la
realización de copias de
respaldo y recuperación
de los datos, para los
sistemas de datos
personales
automatizados
• Se solicita a la Subdirección de Correspondencia, Archivo y Oficina de
Información Pública el procedimiento de transferencia secundaria y/o baja
documental, una vez realizado se procede a transferir las cajas que contiene los
expedientes clínicos al archivo de concentración.
• No se cuenta con soportes electrónicos actualmente
4. Siempre que vaya a desecharse cualquier soporte que contenga datos de
carácter personal, se deberá proceder a su destrucción o borrado, mediante la
adopción de medidas dirigidas a evitar el acceso a la información contenida en el
mismo o su recuperación posterior. (SE ESPECIFIQUE CUAL ES EL
PROCEDEIMIENTO QUE SE SIGUE UNA VEZ QUE CONCLUYE LA VIDA UTIL DEL
EXPEDIENTE Y SE SOLICITA SU DESTRUCCIÓN)
• Se deberá realizar la solicitud correspondiente ante el Comité Técnico Interno
de Administración de Documentos de la Secretaría de Salud del Distrito Federal
con la finalidad integrar la documentación correspondiente a efecto de autorizar
la baja documental de la información.
5. Deberán establecerse procedimientos para la realización de copias de respaldo
y su periodicidad. En caso de que los datos personales se encuentren en soporte
físico, se procurará que el respaldo se efectúe mediante la digitalización de los
documentos. (QUE MEDIDAS SE ADOPTAN PARA EMITIR UNA COPIA DE
RESPALDO, SI ES QUE SE LLEVAN A CABO)
• No se cuentan con los respaldos por falta de insumos.
6. Asimismo, para soportes electrónicos se establecerán procedimientos para la
recuperación de los datos que garanticen en todo momento su reconstrucción en
el estado en que se encontraban al tiempo de producirse la pérdida involuntaria
o destrucción accidental.
• No aplica
Procedimientos para la
realización de auditorías
Este es realizado por el Órgano de Control Interno de la Dependencia, Comisión
Federal para la Protección de Riesgos Sanitarios COFEPRIS.
Procedimientos para la
realización de
Supervisión
La Realiza la Jefatura de Unidad Departamental de Supervisión y Control
adscrita a la Dirección de Atención Hospitalaria de la Dirección General de
Servicios Médicos y Urgencias.
Distribución de soportes
Registro de acceso
Telecomunicaciones
La distribución de los soportes que contengan datos de carácter personal se
realizará cifrando dichos datos, o bien utilizando cualquier otro mecanismo que
garantice que dicha información no sea inteligible ni manipulada durante su
traslado o transmisión. • No aplica
El acceso a los sistemas de datos personales se limitará exclusivamente al
personal autorizado, estableciendo mecanismos que permitan identificar los
accesos realizados en el caso en que los sistemas puedan ser utilizados por
múltiples autorizados.
Los mecanismos que permiten el registro de accesos estarán bajo el control
La transmisión
de datosde
deseguridad
carácter personal
a través de
públicas
o redes
directo
del responsable
correspondiente,
sinredes
que se
permita
la
inalámbricas
de
comunicaciones
electrónicas
se
realizará
cifrando
dichos
desactivación o manipulación de los mismos.
datos, o bien utilizando cualquier otro mecanismo que garantice que la
De
información
cada acceso
no se
seaguardarán,
inteligibleal
nimenos,
manipulable
la identificación
por terceros.
del usuario, la fecha y
hora en que se realizó, el sistema accedido, el tipo de acceso y si éste fue
• No aplicao denegado.
autorizado
Se utilizan en los Expedientes Clínicos en estado Físicos:
• Vale múltiple de expediente clínico (sale para otorgar consulta externa,
Comités, sálida a las áreas Jurídicas y Servicios Médicos y Urgencias cuando son
solicitados);
• Vale Individual (paciente hospitalizado, requerido por autoridad competente,
revisión de caso clínico)
Se utilizan en los Expedientes Clínicos soporte electrónico: Historia Clínica,
Notas Médicas; no se incluyen los examénes de laboratorio, patología e
imagenología.
_________________
Responsable del Sistema
de Datos Personales
____________________
_________________
Responsable de Seguridad
Encargado de Sistema
Descargar