¿cuál sería una buena manera para que un médico envíe radiografías cifradas a otro médico?

Si desea utilizar correos electrónicos, desea correos electrónicos cifrados. Hay dos soluciones canónicas: S / MIME y OpenPGP . El primero ya es compatible con muchas aplicaciones de correo electrónico, y utiliza certificados X.509. Este último requiere algunos complementos, que existen para muchas aplicaciones y no son demasiado difíciles de usar.

¿Pero quieres usar correos electrónicos? Las imágenes de rayos X suelen ser voluminosas y los correos electrónicos no son tan confiables como uno desearía; en particular, los archivos se encuentran en cualquier servidor de correo electrónico que utilicen los médicos, por lo que tendrán copias de seguridad o carecerán de copias de seguridad, según la configuración de cada uno de dichos servidores. Además, no habrá clasificación o índice digno de hablar. Por último, pero no menos importante, se supone que la difusión de datos médicos, que se supone confidencial, debe ser controlada y auditable. Hay muchos detalles legales que cuidar.

Los países que actualmente están intentando configurar sistemas y redes para manejar datos médicos y compartirlos entre los médicos involucrados (¡pero nadie más!) están descubriendo que es un trabajo arduo y que requiere mucha reflexión y procedimientos. En mi experiencia, se prefieren las arquitecturas centralizadas (es decir, las imágenes de rayos X se almacenarán en una base de datos central, con control de acceso mediante tarjetas inteligentes), en lugar de correos electrónicos.

El envío de información de salud como esta es muy difícil, ya que tiene que cumplir con las leyes de seguridad y privacidad de la salud en su país (HIPAA en Estados Unidos). Es posible que pueda usar algo como PGP para cifrar los correos electrónicos y esto puede multar legalmente (aunque no soy un abogado). El cifrado implementado a través de PGP tendría un soporte bastante bueno en los clientes de correo electrónico, por lo que debería funcionar para la mayoría de los lugares con los que desea compartir datos. Sin embargo, esta es una solución muy difícil de usar. Sería mucho mejor no tener que enviar un correo electrónico a la PHI de esa manera. Aún debe preocuparse por la auditoría del acceso a los datos, así como del control de acceso adecuado.

Lo que realmente necesita es un software que permita la colaboración entre dos proveedores de atención médica. Esto le daría a su organización mucho más poder que el que tiene actualmente. Este software manejaría la comunicación segura entre las dos prácticas de atención médica. También le permitiría compartir estos datos de una manera mucho más sencilla y basada en estándares.

Como nota al margen, comencé una Propuesta de intercambio de pila de la industria de la salud donde esta La pregunta sería perfecta. Aquellos interesados en preguntas como esta deberían considerar unirse.

El gran hospital (~ 10000 empleados) en el que trabajo (aunque no como médico a pesar del nombre de usuario) tiene una aplicación web de transferencia de archivos segura que usamos para este espinoso problema.

El flujo de trabajo funciona con el envío de un médico a enlace

Usted inicia sesión con sus credenciales de hospital y carga archivos, especifica uno o más destinatarios y posiblemente agrega un mensaje. Los archivos se almacenan encriptados dentro de la aplicación web.

Reciben un correo electrónico que dice que la persona A le ha transferido archivos desde examplehospital.org , haga clic en el enlace aquí. Si son un usuario nuevo, crean una cuenta. Reciben un token de registro de corta duración por correo electrónico, hacen clic en él y luego pueden establecer una contraseña. Ahora que han iniciado sesión en la aplicación y pueden descargar sus imágenes a través de https (encriptado).

De manera similar, un médico de otra institución puede enviarle PHI cifrada al crear una cuenta que inicie sesión, cargar una imagen y enviarla a un médico de su institución. (Sin embargo, el remitente o el destinatario deben estar en su institución).

El hospital no creó este servicio por sí mismo; el logotipo en la parte inferior indica que está hecho por aceleración y es probable que haya muchos productos competidores similares. (No estoy familiarizado con el costo / la facilidad de instalación / mantenimiento; aparte de un punto de vista del usuario, es relativamente sencillo de usar; por supuesto, debe tener cuidado de enviar la PHI a las cuentas de correo electrónico comprometidas). Pero los productos como este existen y funcionan bien; Buscaría algo como 'transferencia segura de archivos hipaa'.

EDITAR: Debería aclarar, esto no debe usarse para transferencias de archivos de rutina; pero solo los tipos de archivos que puede necesitar enviar por correo electrónico (por ejemplo, para el paciente que se transfiere a una clínica remota con la que nunca ha trabajado). Para los casos de rutina, debe configurar un flujo de trabajo en el que algunos médicos / pacientes de instituciones relacionadas puedan enviar imágenes a PACS remotos de manera conveniente.

No puedo darte recomendaciones de productos, pero si estuviera diseñando un software para este tipo de colaboración, una opción que consideraría es hacerlo como un servicio web: algo en el que puedes iniciar sesión en un sitio web, subir Los archivos, y deje que el otro doctor descargue los archivos. Esto eliminaría la necesidad de software especial. Por otro lado, si los archivos son muy grandes, el tiempo para cargarlos y descargarlos podría ser prohibitivo.

Tengo la impresión superficial de que ahora mismo esto se hace normalmente al grabar los archivos en un DVD y luego hacer que el paciente lleve el DVD al otro médico o enviar el DVD por correo postal. Esto parece un enfoque bastante razonable, siempre y cuando evites ciertas trampas (por ejemplo, el uso de la ejecución automática en el DVD).

Ver, por ejemplo, Ir al médico y preocuparse por la ciberseguridad por Jeremy Epstein. (Lea los comentarios allí, también.)

Me parece interesante que nadie haya ofrecido esto: ¿Por qué no usar un servidor SFTP o FTPS, el acceso a él bloqueado por la dirección IP, los usuarios restringidos a sus propias carpetas domésticas solo que se almacenan en una unidad cifrada? Trabajo para un hospital de tamaño mediano, y usamos esta configuración para transferir información de HIPAA diariamente. Hay mucho trabajo para que un administrador del sistema lo configure inicialmente y mantener las listas de acceso de ip actualizadas (especialmente si los usuarios finales tienen conexiones dhcp'd) toma un poco de tiempo semanalmente, pero una vez que todo está en su lugar, es muy Solución fácil y aceptable para lo que Ken está buscando.

Avíseme si desea obtener más información sobre cómo obtener una solución como esta y me complacerá proporcionarle más información.