ASTM E2147-18 Especificación estándar para registros de auditoría y divulgación para uso en sistemas de información sanitaria normas y especificaciones

Estándar No.: ASTM E2147-18
Fecha de publicación: 2018
Organización: American Society for Testing and Materials (ASTM)
Ultima versión: ASTM E2147-18

Alcance: 1.1 Esta especificación es para el desarrollo e implementación de registros y datos de auditoría seguros para información de salud almacenada electrónicamente. Especifica cómo diseñar el registro de auditoría para registrar todas las actividades que afectan un registro médico, por ejemplo, crear un nuevo registro, ingresar datos en un registro, cambiar o eliminar un registro existente y todos los datos adicionales de acceso del usuario (por ejemplo, identificación, ubicación, fecha y hora) hasta información identificable del paciente mantenida en sistemas informáticos. Dichos registros de auditoría rastrearán no solo la entrada y modificación de datos, sino también el acceso y la visualización simples del registro del paciente, y si se realizan modificaciones durante ese acceso. Esta especificación también incluye principios para desarrollar políticas, procedimientos y funciones de registros de información de salud para documentar todas las acciones relacionadas con información de salud identificable para su uso tanto en sistemas ingresados manualmente (registro en papel) como en sistemas informáticos. 1.2 El primer propósito de esta especificación es definir la naturaleza, el propósito y la función de los registros de auditoría de acceso al sistema y su uso en los sistemas de información de salud como una herramienta técnica y de procedimiento para ayudar a brindar supervisión de la privacidad y la seguridad y producir un registro de autoautenticación que Cuando se mantenga junto con sus registros de auditoría, hablará y confirmará su propia integridad y exactitud de los datos médicos y de otro tipo contenidos en el registro. Además, en conjunto con las políticas y procedimientos de confidencialidad y seguridad de la organización, los registros de auditoría permanentes pueden identificar claramente a todos los usuarios de las aplicaciones del sistema que accedieron y actuaron en base a información identificable del paciente o ambas, e identificar la ubicación del usuario, identificar la información del paciente a la que accedieron y mantener un Registro permanente de las acciones realizadas por el usuario. Por lo tanto, lograr el propósito de crear un registro confiable requiere el uso de registros de auditoría seguros, automáticos, generados por computadora y con marca de tiempo, que se utilizarán para registrar de forma independiente la identidad del usuario, así como la fecha, hora y ubicación de acceso de usuario, y también registrar todas las entradas y acciones que crean, cambian o eliminan registros electrónicos u otra información del paciente. Es obligatoria la transparencia total de las modificaciones, eliminaciones o ambas. Por ejemplo, los cambios en los registros no oscurecerán la información registrada anteriormente. Dichos datos y documentación de auditoría se conservarán durante un período al menos igual al requerido para los registros en papel y electrónicos en cuestión (en conjunto, "registros"), incluido cualquier período de tiempo requerido por los requisitos de preservación de evidencia o retención por litigio y los requisitos estatales o aplicables. leyes federales relativas a los registros en cuestión. En ningún caso se destruirán los datos de auditoría o los registros médicos en copia impresa o en formato electrónico antes de la fecha prescrita por la ley o reglamento estatal, federal o de otro tipo, cuando dichos registros pueden destruirse legalmente; y en todo caso, no antes de los diez años o, en el caso de un hijo menor, antes de los dos años siguientes a su decimoctavo cumpleaños. Si, por algún motivo, dichos registros se mantienen más allá de este requisito mínimo, entonces los registros de auditoría y los datos contenidos en ellos deben mantenerse mientras se mantengan los registros. Se proporcionarán registros de auditoría e información de atención médica cuando los proveedores de atención médica autorizados lo soliciten específicamente; el paciente, su representante personal, defensor y/o persona designada; investigadores; personal de control de calidad; y gerentes o administradores organizacionales o ambos; y otras personas autorizadas para tener acceso a registros de pacientes o información identificable del paciente o ambos en cualquier forma. 1.3 En ausencia de registros computarizados, los principios de los registros de auditoría se pueden implementar manualmente en el entorno de registros de pacientes en papel con respecto al monitoreo permanente del acceso a los registros de pacientes en papel, la entrada de datos y la modificación de datos. Cuando el registro del paciente en papel y el registro del paciente en computadora coexisten en paralelo, la supervisión de la seguridad y el acceso y la gestión de datos deben abordar ambos entornos, siendo el principio subyacente y unificador la transparencia con respecto a la identidad de la persona que accede o actúa sobre los datos del registro o ambos; la ubicación del individuo al hacerlo; la hora y fecha de dichas acciones/entradas; y visibilidad clara de modificaciones como adiciones, eliminaciones, correcciones de errores y entradas tardías. 1.4 El segundo propósito de esta especificación es identificar principios para establecer un registro permanente de divulgación de información de salud a usuarios externos y los datos que se registrarán al mantenerlo. Gestión de seguridad de la información de salud 1 Esta especificación está bajo la jurisdicción del Comité E31 de ASTM sobre Informática de atención médica y es responsabilidad directa del Subcomité E31.25 sobre Gestión de datos de atención médica, seguridad, confidencialidad y privacidad. Edición actual aprobada el 1 de mayo de 2018. Publicado en mayo de 2018. Aprobado originalmente en 2001. La última edición anterior fue aprobada en 2009 como E2147 – 01(2009), que se retiró en marzo de 2017 y se restableció en mayo de 2018. DOI: 10.1520/E2147-18. Copyright © ASTM International, 100 Barr Harbor Drive, PO Box C700, West Conshohocken, PA 19428-2959. Estados Unidos Esta norma internacional fue desarrollada de acuerdo con los principios internacionalmente reconocidos sobre estandarización establecidos en la Decisión sobre Principios para el Desarrollo de Normas, Guías y Recomendaciones Internacionales emitida por el Comité de Obstáculos Técnicos al Comercio (OTC) de la Organización Mundial del Comercio. 1 requiere un marco integral que incorpore mandatos y criterios para divulgar información de salud del paciente que se encuentran en las leyes, normas y reglamentos federales y estatales y declaraciones éticas de conducta profesional. La responsabilidad de dicho marco se establecerá a través de un conjunto de principios estándar que sean aplicables a todos los entornos de atención médica y sistemas de información de salud. 1.5 La creación y preservación de registros utilizados para auditar y supervisar el acceso a la información de salud, las acciones realizadas sobre la información de salud y la divulgación de información de salud son responsabilidad de cada proveedor de atención médica, organización, intermediario de datos, almacén de datos, repositorio de datos clínicos, tercero pagador, agencia, organización o corporación que mantiene, proporciona o tiene acceso a datos de identificación individual. Dichos registros se especifican y respaldan la política sobre monitoreo de acceso a la información y están vinculados a sanciones disciplinarias que satisfacen mandatos legales, regulatorios, de acreditación, institucionales, recursos civiles por parte del paciente o la familia del paciente, y también están vinculados a la autenticación de datos médicos y de un paciente. derecho a obtener un conjunto completo, preciso y transparente de datos y metadatos médicos (por ejemplo, registros de auditoría). 1.6 Cuando se buscan datos de atención médica no específicos de pacientes (por ejemplo, análisis de datos agregados de pacientes para revisiones, investigaciones o subsidios internos o externos), los proveedores y organizaciones de atención médica también deben prescribir requisitos de acceso para dichos datos agregados y aprobar herramientas de consulta. que permitan una capacidad de auditoría completa o diseñar repositorios de datos que, en una consulta activa, puedan limitar la inclusión de datos en forma agregada del producto final que revele claves potenciales para datos identificables. En otras palabras, los datos agregados del paciente del producto final no contendrán datos que identifiquen al paciente ni elementos que, mediante análisis, puedan usarse para identificar individuos mediante inferencias. Por ejemplo, campos como fecha de nacimiento, sexo, raza o datos demográficos relevantes y números de registros médicos, o combinaciones de los mismos, se analizan juntos con fines de investigación, utilizando software que compara elementos de datos entre bases de datos, permitiendo así la identificación de pacientes específicos mediante inferencias. , preservando al mismo tiempo la privacidad del paciente. Los registros y datos de auditoría se pueden diseñar para funcionar con dichas aplicaciones, si las funciones de consulta son parte de una aplicación de recuperación definida, pero los datos del producto final se salvaguardan para proteger la identidad del paciente de su divulgación. Esta especificación se aplica a la divulgación o transferencia de información de salud (registros), ya sea como archivos individuales o en lotes. 1.7 Esta norma internacional fue desarrollada de acuerdo con los principios internacionalmente reconocidos sobre estandarización establecidos en la Decisión sobre Principios para el Desarrollo de Normas, Guías y Recomendaciones Internacionales emitida por el Comité de Obstáculos Técnicos al Comercio (OTC) de la Organización Mundial del Comercio.

ASTM E2147-18 Documento de referencia

ASTM E1869 Guía estándar sobre principios de confidencialidad, privacidad, acceso y seguridad de datos para la información de salud, incluidos los registros médicos electrónicos
ASTM E1986 Guía estándar para privilegios de acceso a la información de salud

ASTM E2147-18 Historia

2018 ASTM E2147-18 Especificación estándar para registros de auditoría y divulgación para uso en sistemas de información sanitaria
2001 ASTM E2147-01(2013) Especificación estándar para registros de auditoría y divulgación para uso en sistemas de información sanitaria
2009 ASTM E2147-01(2009) Especificación estándar para registros de auditoría y divulgación para uso en sistemas de información sanitaria
2001 ASTM E2147-01 Especificación estándar para registros de auditoría y divulgación para uso en sistemas de información sanitaria

ASTM E2147-18Especificación estándar para registros de auditoría y divulgación para uso en sistemas de información sanitaria

ASTM E2147-18 Documento de referencia

ASTM E2147-18 Historia

ASTM E2147-18
Especificación estándar para registros de auditoría y divulgación para uso en sistemas de información sanitaria