La gestión de registros médicos antes era una tarea relativamente sencilla, consistía en llenar fichas de papel que luego se almacenaban en archivadores de oficina. Ahora sin embargo, estas prácticas médicas han cambiado al ritmo de la tecnología, y se dice que más del 85 % de los médicos utilizan sistemas de registros médicos electrónicos (EMR, por sus siglas en inglés) para administrar registros físicos en un entorno digital.

Los registros médicos también se han vuelto más complejos con el paso del tiempo porque con los avances en diagnóstico y herramientas analíticas, hay más información del paciente que nunca. Para estar a la altura de las necesidades y al mismo tiempo respetar las políticas de privacidad de la información del paciente, es importante conocer cómo se gestionan los registros médicos en el presente.

Qué es la gestión de registros médicos

La gestión de registros médicos es el sistema de procedimientos y protocolos responsables de dirigir y organizar la información del paciente durante todo el ciclo de vida de los datos. Dichos datos del registro deben almacenarse, protegerse y mantenerse adecuadamente. 

Hay un período de retención establecido para tener este registro en posesión, luego del cual el registro debe ser destruido adecuadamente. Alternativamente existe un conjunto complejo de normas y reglamentos con respecto a la gestión de registros médicos. Esto se debe a que cuando los registros de salud se administran incorrectamente, los pacientes corren riesgos.

Si no se tiene un acceso adecuado al registro médico o hay errores en la información el paciente corre el riesgo de morir por una mala práctica o mala administración de los servicios de salud. Por ejemplo en Estados Unidos, los errores médicos son la tercera causa de muerte, después de las enfermedades cardíacas y el cáncer, según un estudio de Johns Hopkins. 

Si bien los estudios muestran que la seguridad del paciente mejora cuando los hospitales adoptan registros de salud electrónicos, una mala gestión puede provocar errores de medicación, diagnósticos perdidos, lapsos de tratamiento y otros eventos potencialmente mortales.

Asimismo, los registros médicos deben obedecer políticas que respeten la privacidad del paciente. Dado que son archivos que contienen información personal muy confidencial, cualquier información filtrada puede violentar la privacidad del paciente. Con el aumento de las violaciones de datos de atención médica, los pacientes están perdiendo la confianza. 

De hecho una encuesta de consumidores en EEUU demostró que el 87 % de los pacientes no están dispuestos a compartir sus historias clínicas completas, citando preocupaciones sobre la protección de la privacidad. Además hay que tener en cuenta que la mala gestión de registros también deja a los hospitales, consultorios médicos y otros proveedores vulnerables a costosas multas y demandas, así como a cargos penales. 

Políticas y procedimientos

La  Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA por sus siglas en inglés) ha establecido desde 1996 una modernización de la gestión de los registros médicos para proteger la información de los pacientes.

Muchos países se acogen a esta medida y siguen las políticas para una serie de procedimientos de gestión de registros. 

Seguridad y almacenamiento de registros médicos

Antes de HIPAA, no había estándares para proteger o almacenar los registros médicos de los pacientes. En su lugar las organizaciones podían ponerse creativas al crear sistemas que sirvieran a sus tamaños y necesidades. Ahora HIPAA requiere ciertas medidas de seguridad universales. Para mantener el cumplimiento, las organizaciones deben:

• Identificar y protegerse proactivamente contra las amenazas de seguridad anticipadas.
• Ofrecer capacitación a todos los miembros de la fuerza laboral en los procedimientos de seguridad de registros médicos.
• Limitar el acceso al área donde se almacenan los registros.
• Implementar hardware, software y procedimientos para monitorear el acceso.

Acceso y liberación de registros médicos

Un paciente o el representante designado por el paciente tienen derecho a acceder a los registros. Y solo con su permiso, un proveedor o asegurador puede enviar registros de pacientes.

Por cada país, hay leyes que regulan la divulgación de registros médicos. Básicamente establecen normativas para reducir el riesgo de fraude al consumidor y robo de identidad. En ese orden, se restringe severamente a los proveedores y compañías de seguros de compartir registros médicos con afiliados.

Plazos de retención

Cada país establece leyes de retención de registros médicos, y la HIPAA se acoge a ellos. Los requisitos son complejos y varían ampliamente según el estado, el registro y la institución individuales.

Hay lugares en los que los médicos pueden permanecer 5 años con el registro del paciente, mientras que los hospitales deben conservarlos durante 7 años. 

Destrucción de datos

La destrucción de datos se refiere al proceso de eliminar la información para que no se pueda utilizar con fines ilegales y no autorizados. La HIPAA establece estrictos protocolos de destrucción de datos.  Los registros en papel deben triturarse, cortarse, quemarse o reducirse a añicos hasta que la información del paciente se vuelva ilegible y no haya forma de reconstruirla. 

Mientras tanto, la información electrónica debe borrarse utilizando software de sobrescritura o métodos magnéticos de manera que no queden ni señas dentro de los discos duros de las computadoras.

Consejos de mantención de datos médicos

La gestión de los registros médicos actual con tantos cambios y nuevas tecnologías puede ser exigente. Pero hay prácticas que las organizaciones pueden adoptar para proteger la privacidad del paciente y mantener el cumplimiento.

Limita el acceso a los datos

Limitar el acceso a los datos implica no permitir que todo el personal del hospital o centro de salud pueda ver los datos o siquiera conocer dónde están almacenados. Solo debes autorizar al personal esencial. Cuantas menos personas tengan acceso a registros de salud privados, es menos probable que se vulneren los datos. 

Una vez que establezcas quiénes pueden acceder a los datos, cada empleado debe tener un inicio de sesión y credenciales independientes. Nunca debes confiar en una computadora o dispositivo grupal con acceso abierto. 

Y además de limitar la cantidad de personas con acceso a los datos del paciente, es útil incluir la autenticación de dos factores para los miembros autorizados del personal. 

Establece procedimientos de gestión de registros médicos

Un paso importante es definir las políticas y procedimientos para mantener la seguridad. Dichas políticas deben estar escritas y los documentos escritos se deben guardar durante seis años.

Asimismo, se deben hacer las actualizaciones al documento en respuesta a cambios organizacionales que podrían afectar el manejo o la seguridad de la información de salud del paciente.

Crea una política de seguridad para dispositivos móviles

Los empleados del sector salud a menudo utilizan su teléfono inteligente para trabajar. Esto significa que estos dispositivos conectados a la red de la empresa pueden poner en riesgo los datos de los pacientes. 

Una política de seguridad de dispositivos móviles garantiza que se cumplan protocolos de seguridad cuando se trabaja desde los celulares. Al diseñar esta política, la misma debe incluir tres componentes para funcionar: una aplicación de software para administrar dispositivos conectados, una política que detalle las responsabilidades del empleador y los empleados, y un acuerdo que el personal debe firmar. 

Algunos requisitos adicionales de esta política pueden ser tener dispositivos protegidos con contraseña o una lista de aplicaciones aprobadas que se pueden instalar. Los hospitales y centros de salud deben considerar que permitir que los empleados accedan a la red a través de dispositivos personales presenta un cierto nivel de riesgo. Así que es necesario implementar una política para reducir ese riesgo. 

Usar redes inalámbricas seguras

Para evitar la violación de datos es fundamental contar con redes inalámbricas seguras. Esto se debe a que alguien puede piratear fácilmente estas redes basándose en tecnología obsoleta desde la ubicación física, como el estacionamiento o un edificio cercano. 

Las redes inalámbricas son más seguras que los enrutadores inalámbricos. A estas redes se le deben hacer cambios regulares de contraseña, enrutadores y componentes actualizados. También se debe maniobrar la configuración para bloquear el acceso a la red de los dispositivos no autorizados.

Etiqueta los registros de manera efectiva

Una buena práctica para monitorear los registros médicos desde su creación hasta su destrucción, es contar con un sistema completo de taxonomía e indexación que cubra todos los tipos de registros manejados.

De esta manera se puede dar cumplimiento a los cronogramas de retención y hacer búsquedas más eficientes y rápidas.

Automatización de procesos

Los registros de los pacientes son documentos que pueden automatizarse para evitar las complejidades y asegurar la precisión. Esto deja por fuera el margen de error humano, ahorra tiempo, mejora la coherencia de la información y protege a los pacientes.

Mejoras en la seguridad de los datos

Desde la creación hasta la destrucción, los registros de los pacientes necesitan mantenerse bajo el cumplimiento de altos estándares de privacidad. Mientras están en uso, los registros electrónicos deben tener un registro de auditoría detallado y los registros en papel deben guardarse bajo llave en una oficina a la que no todo el personal pueda acceder. 

Asimismo, la ley establece que los registros almacenados fuera del sitio deben mantenerse en instalaciones certificadas con clima controlado. Y como antes hemos mencionado, una vez que se acabe la fecha de retención de los registros, ya sean en papel o electrónicos, estos deben destruirse de forma segura utilizando métodos certificados.

Todo esto debe formularse como un protocolo de seguridad a seguir al pie de la letra para garantizar que los datos estén bien resguardados.