Post on 04-Nov-2018
Carlos Hdez. Salvador Unidad de Investigación en Telemedicina y e-Salud
SGSAFI-ISCIII
III Congreso de Bioética. Madrid 20 noviembre 2015. “Aspectos éticos del acceso a los datos de salud”
Control de acceso y Anonimización
basados en normas
Mesa: Retos que plantea el acceso a la Historia Clínica con fines de investigación
ISO 215
CEN
TC251 HISPP
ANSI EBES
EBES-M9
ONU
EWOS
OTROS
ORGANISMOS NACIONALES
AENOR AEN-CTN139 openEHR
Normas (Estándares....): Organizaciones
HL7
CIMI
eHealth Standardization Focus Group (2004)
AENOR AEN-CTN139
Normas en TIC para la salud
• CEN TC 251 • ISO TC 215 • IEC • ITU • IEEE • EICTA • DICOM • HL7 • OASIS • W3C • UNCEFACT • Interoperability Summit
• IHE • OMG/CORBA • ANSI • ASTM • ERIS • EUROFOUND • EFSA • EMEA • EMCDDA • Scientific
organizations such as IMIA, EFMI
Normas en TIC para seguridad en HCE
• UNE-EN-ISO 13606:2013. Comunicación de la historia clínica electrónica. (ISO 13606:2008)
Parte 1: Modelo de Referencia Parte 2: Modelo de Arquetipos Parte 3: Vocabulario y Arquetipos de Referencia Parte 4: Seguridad Parte 5: Interfaces
Comunicar (acceder, transferir, modificar o añadir) datos de HCE vía mensajes electrónicos o como objetos distribuidos.
• ISO TS 22600. Privilege Management and Access Control (PMAC)
UNE-EN-ISO 13606: Comunicación HCE Objetivos principales de la norma:
• Transferencia de la HCE o de una parte manteniendo la interoperabilidad semántica (CEN/TC 251).
• Facilitar requerimientos de seguridad: Auditoría Control de acceso Información anónima Integridad No repudio
Implica poder transferir la información y su contexto sin que haya pérdidas y manteniendo el significado que se le dio en origen.
UNE-EN-ISO 13606: Comunicación HCE
Sigue los paradigmas del diseño actual de normas:
• Norma = Modelo (separación de responsabilidades)
• Trata de los datos manejados, independientemente de la tecnología o de los actores involucrados (separación de puntos de vista).
• Representación del conocimiento del dominio (separación de información y conocimiento) Es una norma solo para la comunicación, del nivel de información e implementa una estrategia de doble modelo: de referencia y de arquetipos
Separación de puntos de vista
EMPRESA Reglas de negocio
INGENIERÍA
INFORMACIÓN
TÉCNICO
COMPUTACIÓN
SALUD Dirección
Organización Procesos Personas
GESTIÓN DEL CONOCIMIENTO
Terminologías Ontologías Arquetipos
TIC Comunicación
Tecnología
INTEROPERABILIDAD
SEMÁNTICA
INTEROPERABILIDAD
ORGANIZATIVA
INTEROPERABILIDAD
TÉCNICA Y
SINTÁCTICA
(ISO RM/ODP) ITU-T Rec. X.901-X.904 and ISO/IEC 10746):
Personal Técnico
Expertos en
semántica y agentes sanitarios
Agentes sanitarios
EN 13940
13606:1 13606:2
XML SOA
…
Codificación en la HCE No bastan las terminologías….
Juan Español refiere una posible reacción adversa al paracetamol por unos síntomas gastrointestinales tras su ingestión, hace un año. Dr. Mengano. Hospital Central. Fecha: 2011/06/30
UNA NOTA DE ALERTA
Terminologías
Estructura de datos (reacción adversa)
Contexto Con permiso de: Pablo Serrano Hospital de Fuenlabrada
ISO 13606 Doble modelo: Soluciones Representación:
Vocabulario común para codificar términos:
TERMINOLOGÍAS
ARQUETIPOS
MODELO DE REFERENCIA
Mecanismo para representar las estructuras de datos:
Mecanismo para representar el contexto:
UNE-EN-ISO 13606: Modelo de referencia
Composiciones
Carpetas
Secciones
Agrupaciones
Elementos
Entradas
HCE (Extractos)
UNE-EN-ISO 13606: Estructura HCE Extracto (EHR_EXTRACT)
Composición (COMPOSITION) V 1.0
Composición (COMPOSITION) V 1.0 Composición (COMPOSITION) V 2.0
Entrada (ENTRY)
Sección (SECTION)
Entrada(ENTRY)
Elem. (ELEMENT)
Elem. (ELEMENT)
Elem. (ELEMENT) Grupo (CLUSTER)
Elem. (ELEMENT)
Elem. (ELEMENT)
Carpeta (FOLDER)
Fólder (FOLDER)
Composición
Composición
Composición
UNE-EN-ISO 13606: Comunicación HCE
• Identificación del sujeto de atención (el paciente)
• Identificación del registro
• Identificación del agente clínico que autoriza la extracción
• Cuándo se creó el extracto
• El criterio de selección empleado
Se transfieren extractos:
ISO 13606: Escenario de comunicación
Parte A Solicitante EHR
solicitud EHR_EXTRACT
reconocimiento petición
{OR}
Parte C Servidor EHR
Parte B Proveedor EHR
Receptor EHR
provee EHR_EXTRACT
deniega EHR_EXTRACT
reconocimiento dat/deneg
Revisor Audit Log
solicitud audit log view
provee audit log view
deniega audit log view
reconocimiento dat/deneg
{OR}
Audit Log
tomar decisión sobre acceso filtrar si es necesario
crear entrada audit log (*) no incluido en la norma
extraer audit log filtrar si es necesario
Políticas de acceso
UNE-EN-ISO 13606: Seguridad de la Inform
• Identificación única del componente • Significado clínico del componente • Soporte de las políticas de acceso • Sensibilidad del contenido
• Todas las modificaciones hechas en una composición quedan registradas.
• También se guarda información de quién cuándo y por qué ha cambiado la composición
• Los atestados se incluyen en dicha composición
• La información demográfica está separada
Seguridad en información clínica
Control de acceso
ISO 13606: Control de Acceso
RECORD_COMPONENT
name: TEXT [1] archetype_id: II [0..1] rc_id: II [1] meaning: CV [0..1] synthesised: Boolean [1] = FALSE policy_ids: SET<II> [0..1] sensitivity: Integer [0..1] orig_parent_ref: II [0..1]
• La norma no fija políticas, proporciona herramientas. • Múltiples políticas de acceso (establecidas por entidades):
Políticas nacionales. Políticas profesionales Políticas de la organización Políticas de la aplicación
• Se definen 2 niveles de control de acceso
- Por concordancia entre rol funcional y sensibilidad - Por políticas de acceso
ISO 13606: Control de Acceso - Bases Se siguen los modelos de ISO TS 22600. Privilege Management and Access Control (PMAC):
Principal
SR_Policy
Structural_Role
Role_Hierarchy
1..*
1
FR_Policy
Functional_Role0..*0..* 0..*0..*
User_Assignment1..*1
Process_PolicySession1..*
0..*
1..*
0..*
User_Session
1
1..*
1
1..*
Session_Role
1..* 1
Target_Policy
Target_Component0..*0..* 0..*0..*
Permission_Assignment1..*
1
1..*
1
1 1..*
1..* 1
1
1..*
Dos tipos de roles: estructurales y funcionales
Bases de actuación, ej. Org. Sanit.
Entidad
Rol
Participación
Actividad
~1500-2000 Plantilla
~250 Roles estructurales
~7 Roles funcionales
~5 Niveles sensibilidad
Habilidad para especificar políticas de acceso particulares a: Personas y grupos para clases e instancias de datos
Base para definir políticas de control de acceso a componentes de EHR
13606: Método de Control de Acceso 1 Sensibilidad: Atributo en TODOS los componentes
5 grados: 5. Atención personal 4. Atención privilegiada 3. Atención clínica 2. Gestión clínica 1. Gestión del cuidado
Roles funcionales: 7. Sujeto de atención 6. Agente del sujeto de atención 5. Profesional sanitario personal 4. Profesional sanitario privilegiado 3. Profesional sanitario 2. Profesional relacionado atención 1. Administrativo
Valores atributo RC.sensibilidad 5: “(Atención) Personal” = Solamente accesible al paciente y una o dos personas de su máxima confianza (por on-off autorizaciones)
4: “(Atención) Privilegiada” = acceso restringido a un pequeño grupo de personas que atienden de forma íntima al paciente, o un grupo de atención urgente (el área clínica privilegiada necesita ser especificada, p.ej. salud mental)
3: “(Atención) Clínica” = el acceso normal en la asistencia clínica (por defecto, la mayoría de la HCE)
2: “Gestión clínica” = datos (elementos) menos sensibles; accesibles por un amplio abanico de personal, no implicado directa y activamente en la atención al paciente (p.ej. Radiología, Laboratorios)
1: “Gestión asistencial” = datos (elementos) accesibles por personal administrativo para gestionar el acceso de los pacientes a los servicios sanitarios.
Roles Funcionales 7. Sujeto de atención (normalmente el paciente)
6. Agente del sujeto de atención (padre, tutor, cuidador, u otro representante legal)
5. Profesional sanitario personal (el profesional con la relación mas cercana al paciente, a menudo su médico de AP)
4. Profesional sanitario privilegiado - nominado por el sujeto de atención
- nominado por la organización asistencial (por regulación, práctica, emergencia, etc.)
3. Profesional sanitario (implicado directamente en la provisión de la asistencia)
2. Profesional relacionado con la asistencia (indirectamente implicado en la atención, docencia, investigación, etc.)
1. Administrativo (incluyendo cualquier parte que soporte la provisión de servicios al paciente)
13606: Método de Control de Acceso 1 Sensibilidad Rol Funcional
Gestión asistencial
Gestión clínica
Atención clínica
Atención privilegiada
Atención personal
Sujeto de atención X X X X X Agente del sujeto de atención
X X X X X
Profesional personal
X X X X X
Profesional privilegiado
X X X X* X**
Profesional clínico X X X
Profesional relacionado
X X
Administrativo X
* Acceso si el solicitante pertenece al mismo servicio que quien generó la información ** Acceso concedido por mandato en casos muy particulares (p. ej. en algunos países, por intervención militar)
13606: CA– Ejemplo 1
Contacto Asma
Arquetipo = Visita Primaria
ID = 1230
Sensibilidad:
Atención clínica [3]
Depresión
Arquetipo = Consulta externa
ID = 1231
Sensibilidad:
At. privilegiada [4]
(Gr: Salud mental)
Infección Clamidia
Arquetipo = Test Lab
ID = 1232
Sensibilidad:
At. privilegiada [4]
(Gr: Salud sexual)
Test VIH
Arquetipo = Test Lab
ID = 1233
Sensibilidad:
At. privilegiada [4]
(Gr: Salud sexual)
EHR id = Juana Española
Rol: Agente (madre) Excluir: - Arquetipo = “Test Lab”
Excluir: - “Juan74”
María: Médico AP “Profesional Sanitario
Personal” [5]
13606: CA– Ejemplo 2
Contacto Asma
Arquetipo = Visita Primaria
ID = 1230
Sensibilidad:
Atención clínica [3]
Depresión
Arquetipo = Consulta externa
ID = 1231
Sensibilidad:
At. privilegiada [4]
(Gr: Salud mental)
Infección Clamidia
Arquetipo = Test Lab
ID = 1232
Sensibilidad:
At. privilegiada [4]
(Gr: Salud sexual)
Test VIH
Arquetipo = Test Lab
ID = 1233
Sensibilidad:
At. privilegiada [4]
(Gr: Salud sexual)
EHR id = Juana Española
Rol: Agente (madre) Excluir: - Arquetipo = “Test Lab”
Excluir: - “Juan74”
Pedro: ENF “Profesional Sanitario” [3]
13606: CA– Ejemplo 3
Contacto Asma
Arquetipo = Visita Primaria
ID = 1230
Sensibilidad:
Atención clínica [3]
Depresión
Arquetipo = Consulta externa
ID = 1231
Sensibilidad:
At. privilegiada [4]
(Gr: Salud mental)
Infección Clamidia
Arquetipo = Test Lab
ID = 1232
Sensibilidad:
At. privilegiada [4]
(Gr: Salud sexual)
Test VIH
Arquetipo = Test Lab
ID = 1233
Sensibilidad:
At. privilegiada [4]
(Gr: Salud sexual)
EHR id = Juana Española
Rol: Agente (madre) Excluir: - Arquetipo = “Test Lab”
Excluir: - “Juan74”
Ana: ENF (Salud sexual) “Profesional Sanitario
Privilegiado” [4]
13606: CA– Ejemplo 4
Contacto Asma
Arquetipo = Visita Primaria
ID = 1230
Sensibilidad:
Atención clínica [3]
Depresión
Arquetipo = Consulta externa
ID = 1231
Sensibilidad:
At. privilegiada [4]
(Gr: Salud mental)
Infección Clamidia
Arquetipo = Test Lab
ID = 1232
Sensibilidad:
At. privilegiada [4]
(Gr: Salud sexual)
Test VIH
Arquetipo = Test Lab
ID = 1233
Sensibilidad:
At. privilegiada [4]
(Gr: Salud sexual)
EHR id = Juana Española
Rol: Agente (madre) Excluir: - Arquetipo = “Test Lab”
Excluir: - “Juan74”
Juan74: ENF (Salud Sexual) “Profesional Sanitario
Privilegiado” [4]
13606: CA– Ejemplo 5
Contacto Asma
Arquetipo = Visita Primaria
ID = 1230
Sensibilidad:
Atención clínica [3]
Depresión
Arquetipo = Consulta externa
ID = 1231
Sensibilidad:
At. privilegiada [4]
(Gr: Salud mental)
Infección Clamidia
Arquetipo = Test Lab
ID = 1232
Sensibilidad:
At. privilegiada [4]
(Gr: Salud sexual)
Test VIH
Arquetipo = Test Lab
ID = 1233
Sensibilidad:
At. privilegiada [4]
(Gr: Salud sexual)
EHR id = Juana Española
Rol: Agente (madre) Excluir: - Arquetipo = “Test Lab”
Excluir: - “Juan74”
Eva: Madre de Juana “Agente del Sujeto
de Atención” [5]
13606: Método de Control de Acceso 2 Políticas de acceso: • Viajan en el extracto, como composiciones (una por política), en una carpeta propia.
• La norma las modela por medio de un arquetipo. Se pueden enviar y compartir
Composición: Política de acceso
Sección: Componentes del registro a los que se refiere la política
Sección: Reglas de acceso
Sección: Información de la solicitud
Sección: Auditoría de la política
Seguridad en información clínica
Información anónima
13606: Información Anónima
La información demográfica está separada
Se hace referencia a las entidades con un identificador
13606: Modelo demográfico
-id en el extracto -conjunto de id’s IDENTIFIED_ENTITY:
Clase principal del paquete demográfico. Agrupa todos los tipos de entidades demográficas. Tipo II (Instancia Identifier): Dos objetos II se consideran iguales si, y sólo si, sus valores para los campos de la raíz y de extensión son los mismos
Ej. Sistema Anonimizador basado en 13606
• Se instala en el sistema emisor
• Dos módulos: Anonimizador y Servidor demográfico
• La información demográfica nunca sale de su sistema de origen.
Servicio de la Plataforma PITES: Somolinos R, et al. Service for the Pseudonymization of Electronic Healthcare Records Based on ISO/EN 13606 for the Secondary Use of Information. IEEE J Biomed Health Inform. 2015;19(6):1937-44.
Ej. Sistema Anonimizador basado en 13606
• Lugar de residencia: a) Suprimido, b) País, c) Estado, d) Ciudad, e) Código postal, y f) Todo incluido.
• K-Anonymity
• Sexo: a) Suprimido b) Incluido
• Fecha de nacimiento: a) Suprimida b) Grupos de 10 años c) Grupos de 5 años d) Año e) Mes f) Día.
l-Diversity
t-Closeness
m-Invariance
ε-Diferential privacy
Conclusión
Está disponible una norma, la UNE-EN-ISO 13606, que permite comunicar HCEs (acceder, transferir, modificar o añadir):
• Manteniendo la interoperabilidad semántica. • Facilitando la seguridad: Auditoría Control de acceso Información anónima Integridad No repudio
Proyectos Nacionales
NHS. National Clinical Content Repository (NCCR). http://www.connectingforhealth.nhs. uk/systemsandservices/clinrecords/nccr/index_html Accessed May 2015.
The Swedish e-Health approach. http://www.cehis.se/images/uploads/dokumentarkiv/Lund_ 101102_Swedish_eHealth_approach_KH_Lundell_101110.pdf Accessed May 2015.
Spanish Ministry of Health. Recursos de modelado clinico (arquetipos). https://www.msssi.gob.es/profesionales/hcdsns/areaRecursosSem/Rec_mod_clinico_arquetipos.htm Accessed May 2015.
Base de Registro Eletronico em Saude do estado de Minas Gerais (Brasil). http://sres.saude.mg.gov.br Accessed May 2015.
Proyectos Nacionales From: openEHR-technical [mailto:openehr-technical-bounces@lists.openehr.org] On Behalf Of Shinji KOBAYASHI Sent: den 8 oktober 2015 14:20 To: For openEHR clinical discussions; For openEHR technical discussions; For openEHR implementation discussions Subject: Nation wide EHR project by openEHR/ISO13606 got fund in Japan.
Dear openEHR colleagues,
We are happy to announce that Japan Medical Network Association (JMNA) was designated to implement nation wide EHR with openEHR/ISO 13606 information models in competitive bid by Japan agency for medical research and development.
To the next March, JMNA will implement EHR system with vendors in Japan by this budget, about 5 million USD.
We, openEHR Japan, will contribute to make models for this EHR project.
Para saber más…
http://publicaciones.isciii.es/ Herramientas:
LinkEHR. http://linkehr.com/
Página de openEHR con listado de herramientas: http://www.openehr.org/es/downloads/modellingtools
III Congreso de Bioética. Madrid 20 noviembre 2015. “Aspectos éticos del acceso a los datos de salud”
Carlos H. Salvador Director de la Unidad 918222101 677921080 chsalvador@isciii.es
Unidad de Investigación en Telemedicina y e-Salud. SGSAFI - ISCIII