Entre los EMR de código abierto, ¿cuáles pueden ser buenos para aprender? ¿Alguna referencia a la que pueda acudir como punto de partida?
Entre los EMR de código abierto, ¿cuáles pueden ser buenos para aprender? ¿Alguna referencia a la que pueda acudir como punto de partida?
Varios de los sistemas de EHR Open Source basados en PHP han utilizado GACL de PHP para el control de acceso. No estoy seguro de la frecuencia con la que se usa, es un buen lugar para comenzar a ver cómo se puede implementar y controlar la ACL basada en roles. PHP GACL proporciona un modelo de acceso de tres horas, para que pueda dividir las cosas en tríadas de acceso. Función similar: poder del médico: modificar datos: los registros de los pacientes pueden realizarse y eximirse inteligentemente, como función: poder del médico: leer los datos: paciente, excepto donde médico = Dr. Poder de Smith = leer y paciente = Dr. La hija de Smith.
No estoy seguro de cómo VistA hace el control de acceso, pero creo que sí tiene el poder de hacer las reglas generales y crear estas excepciones más sutiles.
Las combinaciones de regulaciones de TI para el cuidado de la salud en los EE. UU. han dado una mayor estructura al tema del control de acceso. Primero, por supuesto, está HIPAA, que insiste en que el control de acceso impone el control de acceso "mínimo necesario". 164.312 y 164.308(a)(4) 45 CFR 164.502 (b) 45 CFR 164.514 (d ) de la regla de seguridad requiere este control de acceso. Pero en lugar de leer esos estándares, HHS tiene un buen resumen de la noción de mínimo necesario .
Por lo tanto, debe configurarse un EHR para que cada usuario tenga acceso al mínimo necesario para realizar su trabajo. Lo que significa que el control de acceso en la atención médica depende en gran medida del trabajo. En la práctica, eso significa que la mejor práctica es simplemente preguntar "¿este tipo de usuario necesita acceso a este tipo de datos del paciente para hacer su trabajo?" Si la respuesta es no, entonces una restricción de control de acceso basada en roles debe impedir el acceso y, probablemente, registrar automáticamente los intentos de acceso para esa combinación de roles al acceso a objetos de datos.
El uso significativo también tiene un requisito básico (# 15) ( proteger la información médica electrónica ) que requiere control de acceso. Principalmente, solo por exigir el cumplimiento de la auditoría de 45 CFR 164.308 (a) (1) parte de HIPAA. Por lo tanto, tiene que hacer el control de acceso y debe tener un cumplimiento auditado de ese control de acceso.
Observe que ninguna de estas regulaciones ha dicho que "los médicos deben poder hacer X y no Y" o "Los programadores deben poder ver B pero no C". Esto es bastante intencional. Hay demasiadas variaciones naturales de los flujos de trabajo en hospitales y clínicas que no existen consejos de talla única que realmente funcionen, y mucho menos de talla única. Así que lo único que se requiere es que
Hay dos advertencias generales a esos detalles. "1." Puede que no aplique si su práctica es lo suficientemente pequeña. Si una práctica está compuesta por otra persona además de un médico que se encarga de la programación, la enfermería, la facturación, la administración de la oficina y saca la basura, entonces esa persona probablemente deba tener acceso a casi todo lo que se encuentra en el EHR. Si tiene todos los trabajos, entonces obtiene acceso a todos los trabajos. Sin embargo, asegúrese de documentar este hecho para demostrar que consideró la posibilidad de controles de acceso más estrictos, pero lo rechazó por razones prácticas.
En segundo lugar, si bien PHP GACL, etc. puede hacer cosas tremendamente complejas, muchos sistemas EHR tendrán implementaciones de control de acceso simplista o hacia atrás. Puede estar muy limitado por lo que su EHR puede hacer o por lo que puede configurarse fácilmente para hacerlo. Nuevamente, si su diseño de EHR no le permite manejar el control de acceso de una manera que sea compatible con sus necesidades de flujo de trabajo (lo que le obliga a otorgar un acceso más generoso de lo que prefiere), asegúrese de documentarlo formalmente también. También presentar un error con su proveedor.
En general, creo que el objetivo probablemente debería ser generalmente el "cumplimiento", a menos que su EHR particular tenga una "mejor práctica" con respecto a cómo configurar las cosas. VistA, por ejemplo, tiene una especie de "zen de VistA" para todas las decisiones de configuración. Una regla documentada o informal sobre la forma correcta de manejar una configuración particular.
O'Reilly ha publicado una guía para el uso significativo llamada ' Uso significativo y más allá ' (conector descarado). .. Lo escribí) Este problema se trata en el capítulo 8, descripción general del uso significativo y en el capítulo 12 de HIPAA.
Lea otras preguntas en las etiquetas access-control rbac healthcare