La filtración de datos de los registros de pacientes | OIPC revela fallos en el programa de privacidad de las farmacias
La Oficina del Comisionado de Información y Privacidad de Nueva Escocia (OIPC) ha criticado al Departamento de Salud y Bienestar de la provincia y al Grupo Farmacéutico Nacional Sobeys (Sobeys), por las múltiples violaciones de la Información Personal de Salud (IPS) de los pacientes.
Una investigación en el marco de la Ley de información sanitaria personal (PHIA) reveló que Sobeys no supervisó adecuadamente el acceso a la información médica protegida, lo que permitió a un farmacéutico husmear en la vida privada de los pacientes.
Al frente de la investigación de la OIPC, la comisaria de privacidad Catherine Tully descubrió una serie de violaciones de la privacidad por parte de un farmacéutico empleado como director en una farmacia comunitaria gestionada por el Grupo Nacional de Farmacias Sobeys. Tully dijo:
"El acceso a esta información con fines no relacionados con la prestación de asistencia sanitaria constituye una grave invasión de la vida personal del individuo y un abuso de los privilegios de acceso de los usuarios autorizados".
Aunque el comisario de privacidad no nombró a la farmacéutica en su informe, el Colegio de Farmacéuticos de Nueva Escocia ha confirmado que Robyn Keddy es la farmacéutica en cuestión.
Tully dijo que Keddy había "husmeado" en la información electrónica de salud personal, que incluye el historial de prescripciones y las condiciones médicas, de 46 personas durante un período de dos años con el fin de "satisfacer la curiosidad personal".
Noticias mundiales informados:
A partir de octubre de 2015 Keddy comenzó a acceder a los registros sanitarios mientras creaba 28 perfiles falsos para acceder a información de quienes no eran clientes de la farmacia en la que trabajaba.
"El farmacéutico creó perfiles falsos y afirmó falsamente que las personas habían consentido la creación del registro", escribió Tully en su informe.
Al parecer, Keddy habló con sus compañeros de trabajo sobre el acceso inapropiado que obtuvo y los testigos también informaron de que habló de información personal por teléfono.
Violación de datos de registros de pacientes: fallos y soluciones
Evidentemente, Sobeys no realizó auditorías periódicas de la actividad de los usuarios y no identificó a tiempo el acceso no autorizado de los usuarios autorizados. Además, la empresa no identificó correctamente el alcance y la naturaleza del acceso de un farmacéutico a la información sanitaria personal (PHI) de los pacientes.
Sobeys tampoco notificó a 28 personas las infracciones de su sistema.
Entre las medidas correctoras que deben aplicarse figuran:
-
impartir formación sobre la violación de datos a los dirigentes y gerentes de las empresas;
-
abordar los problemas reportados, y;
-
notificar inmediatamente a las personas afectadas.
El OIPC recomendó que, en un plazo de 6 meses, Sobeys implementara la capacidad técnica para llevar a cabo auditorías proactivas de la actividad de los usuarios, incluyendo, como mínimo, la señalización:
-
búsqueda de nombres;
-
búsqueda de empleados; y
-
actividad no asociada a la dispensación.
-
mejorar las auditorías de mejora de la calidad mediante:
-
realizar 3 auditorías al año:
-
involucrar a un no-farmacéutico en al menos una de las auditorías.
-
-
añadiendo un:
-
pregunta para todo el personal sobre la identificación de cualquier preocupación o recomendación sobre el cumplimiento de la privacidad; y
-
revisión periódica de los registros de supervisión proactiva.
-
Fuente: OIPC Nueva Escocia Informe de investigación. Noticias mundiales.
