CAJA
COSTARRICENSE DE SEGURO SOCIAL
JUNTA DIRECTIVA
APROBACION
REGLAMENTO DEL EXPEDIENTE DIGITAL
UNICO
EN SALUD
La
Junta Directiva de la Caja Costarricense de Seguro Social, en el artículo 4° de
la sesión 8954, celebrada el 29 de enero de 2018 acordó aprobar el
siguiente Reglamento del Expediente Digital Único en Salud:
“REGLAMENTO DEL EXPEDIENTE DIGITAL ÚNICO EN SALUD
Contenido
Capítulo I: Disposiciones
Generales .......................................................................................
23
Artículo
1: Definiciones
..............................................................................................
23
Artículo
2: Del EDUS
.................................................................................................
26
Artículo
3: Objetivo
....................................................................................................
27
Artículo
4: Ámbito de aplicación
.................................................................................
27
Artículo
5: Sostenibilidad del EDUS
........................................................................... 27
Artículo
6: Consentimiento expreso
............................................................................ 27
Artículo
7: Propiedad del EDUS .................................................................................
27
Artículo
8: Área de Estadística en Salud
..................................................................... 28
Artículo
9: Administrador de Sistema de Información del EDUS ...................................
28
Artículo
10: Nivel de acceso asignado
........................................................................ 28
Artículo
11: Uso de firma digital
.................................................................................
28
Artículo
12: Acceso regulado
......................................................................................
29
Artículo
13: Apertura del Expediente Digital Único en Salud .........................................
29
Artículo
14: Identificación de los registros
................................................................... 29
Artículo
15: Corrección de datos consignados en el EDUS ..........................................
29
Artículo
16: Evolución constante .................................................................................
30
Artículo
17: Ordenamiento y contenido
........................................................................ 30
Artículo
18: Disponibilidad de la información relacionada con la atención en salud …….. 30
Artículo
19: Confidencialidad y secreto profesional ......................................................
30
Capítulo II: Orientación de la
solución tecnológica ...................................................................
30
Artículo
20: Características de la solución tecnológica ..................................................
31
Capítulo III: De los
Establecimientos de Salud .........................................................................
32
Artículo
21: Responsabilidad de vigilancia ...................................................................
32
Artículo
22: Condiciones necesarias para el uso del EDUS ...........................................
32
Artículo
23: Completitud de los registros .....................................................................
32
Capítulo IV: Derechos y Deberes
de los Pacientes ..................................................................
32
Artículo
24: Derechos y deberes de los usuarios de los servicios .................................
32
Artículo
25: Derechos a la actualización de datos
........................................................ 33
Artículo
26: Consentimiento informado y exoneración de responsabilidad ....................
33
Artículo
27: Firma de la persona .................................................................................
33
Artículo
28: Derecho sobre los datos
.......................................................................... 33
Capítulo V: De los Responsables
de la Atención .....................................................................
34
Artículo
29: Del uso de los sistemas automatizados ....................................................
34
Artículo
30: De la completitud e integridad del registro administrativo ..........................
34
Artículo
31: De la completitud e integridad del registro clínico
..................................... 34
Artículo
32: De la notificación obligatoria.
.................................................................. 35
Capítulo VI: De la Regulación y
la Normalización Técnica del EDUS ........................................ 35
Artículo
33: Responsable local de la normalización y regulación técnica .......................
35
Artículo
34: Dependencia Técnica y Administrativa de los Servicios de REDES ...........
35
Artículo
35: Comité técnico en apoyo EDUS
............................................................... 36
Artículo
36: Gestión clínica del paciente
...................................................................... 36
Artículo
37: Vigencia números internos
....................................................................... 36
Artículo
38: Modificación de la identificación
.............................................................. 36
Artículo
39: Integración del proceso de atención .........................................................
37
Artículo
40: Oportunidad del registro ..........................................................................
37
Artículo
41: Continuidad de la gestión ........................................................................
37
Artículo
42: Integración del historial clínico .................................................................
37
Artículo
43: Prohibición respecto a los datos del EDUS ...............................................
Artículo
44: Bitácora por usuario
................................................................................
38
Artículo
45: Clasificación de los datos en activos y pasivos ........................................
38
Artículo
46: Reactivación de datos clasificados como inactivos ...................................
38
Artículo
47: Autorización para la inhabilitación de datos en EDUS ................................
38
Artículo
48: Inscripción de base de datos en Prodhab
................................................. 38
Artículo
49: Conservación de piezas físicas
................................................................. 39
Artículo
50: Evaluación de la calidad de los registros
................................................... 39
Artículo
51: Cierre mensual de base de datos para indicadores de salud .......................
39
Artículo
52: Estadísticas
oficiales.................................................................................
39
Artículo
53: Divulgación de datos en salud ..................................................................
39
Artículo
54: Solicitudes de datos con identificación nominal .........................................
40
Artículo
55: Otra regulación relativa
.............................................................................
40
Capítulo VII: De la Transferencia
de Datos ..............................................................................
40
Artículo
56: Integración de datos de atención en salud dentro de la CAJA ……..............
40
Artículo
57: Acceso irrestricto
.....................................................................................
41
Artículo
58: Acceso restringido a terceros
................................................................... 41
Artículo
59: Medios de acceso para el usuario titular de los datos ................................
41
Artículo
60: Transferencia de datos a otras instituciones públicas .................................
41
Artículo
61: Transferencia de datos a organizaciones privadas ......................................
41
Artículo
62: Secuestro judicial de datos.
...................................................................... 42
Capítulo VIII: De las Tecnologías
de Información .....................................................................
42
Artículo
63: Infraestructura tecnológica ........................................................................
42
Artículo
64: Alcance TIC en EDUS ...............................................................................
42
Artículo
65: Calidad en el desarrollo y mantenimientos .................................................
42
Artículo
66: Administrador de aplicativo EDUS ............................................................
43
Artículo
67: Conservación de datos .............................................................................
43
Artículo
68: Integración de aplicativos EDUS ...............................................................
43
Artículo
69: No repudio
...............................................................................................
43
Artículo
70: Registro de historial de transacciones en el EDUS .....................................
44
Artículo
71: Normativa supletoria en seguridad informática ...........................................
44
Capítulo IX: De los Archivos
Clínicos y Documentos de Salud .................................................
44
Artículo
72: Digitalización de piezas
............................................................................ 44
Artículo
73: Certificación de datos ..............................................................................
44
Artículo
74: Excepciones a documentos físicos ...........................................................
44
Artículo
75: Cierre Técnico de los Archivos Clínicos .....................................................
44
Artículo
76: Depuración del Expediente Físico de Salud ..............................................
45
Capítulo X: Disposiciones Finales
..........................................................................................
45
Artículo
77: Sanciones
...............................................................................................
45
Artículo
78: De su Oficialización.
................................................................................
45
Capítulo XI: Disposiciones
Transitorias ..................................................................................
45
Artículo
79: Vigencia del Reglamento del Expediente Físico de Salud ..........................
45
Artículo
80: Ajustes a las unidades organizacionales referidas en este reglamento …….. 45
Bibliografía
............................................................................................................................
45
Definición de Abreviaturas
AES: Área de Estadística en
Salud.
CAJA: Caja Costarricense del
Seguro Social.
CIES: Comité Institucional del
Expediente de Salud.
DTIC: Dirección de Tecnologías de
Información y Comunicaciones.
EDUS: Expediente Digital Único en
Salud.
PRODHAB: Agencia Protección de
Datos de los Habitantes de la República de Costa Rica.
REDES: Registros de Estadísticas
en Salud.
SIAC: Sistema Integrado de
Agendas y Citas.
SICERE: Sistema Centralizado de
Recaudación.
SIES: Sistema Integrado de
Expediente de Salud.
TI: Tecnologías de Información.
TIC: Tecnologías de Información y
Comunicaciones.
CAPITULO
I Disposiciones Generales
Artículo
1: Definiciones
• Administrador de Aplicativo EDUS: Para efecto de este reglamento, esta figura representa
la Unidad responsable de la adecuada gestión informática del aplicativo, en razón
de su competencia técnica dentro del campo de las tecnologías de información dentro
de la CAJA.
• Administrador de Sistema de Información EDUS: Para efecto de este reglamento, esta
figura la representa la Unidad responsable de la adecuada gestión
administrativa del aplicativo, en razón de su competencia técnica y normativa
dentro de la Gerencia Médica, asociada al proceso de atención de los servicios
de salud.
• Aplicativo EDUS: Solución informática desarrollada para apoyar la prestación de servicios
de salud en apego a las normas. Los aplicativos EDUS se encuentran integrados
para conformar la solución informática que soporta el Expediente Digital Único
de Salud. Cada aplicativo EDUS forma parte del correspondiente Sistema de Información
EDUS.
• Base de datos: cualquier archivo, fichero, registro u otro conjunto estructurado de datos
personales, que sean objeto de tratamiento o procesamiento, automatizado o manuales,
cualquiera que sea la modalidad de su elaboración, organización o acceso (Ley
N°8968, 2011).
• CAJA: Caja
Costarricense de Seguro Social institución autónoma proveedora de los servicios
de salud pública incluyendo los sistemas de atención alternativos y la atención
por medio de contrato a terceros.
• Comité Técnico: Equipo interdisciplinario conformado con un fin y tiempo específico, para
la atención de algún evento relacionado con el desarrollo, implementación, mantenimiento
y evolución de los aplicativos EDUS, tanto en el contenido como en el sustento
normativo.
• Sistema de Información EDUS: Es un sistema de información desarrollado
para facilitar la prestación de los servicios de salud y apoyar la gestión
clínica y administrativa. Está constituido por un programa informático o
aplicativo que responde a los procesos y normas asociadas con la atención
ambulatoria, hospitalaria, de urgencias, servicios de apoyo y cualquier otra
modalidad de atención que la CAJA defina en respuesta a la necesidad de los
pacientes. Estos Sistemas de Información en conjunto conforman el EDUS.
• Confidencialidad: Condición inherente a los datos contenidos en el EDUS correspondientes a
una persona física identificada o identificable, cuya divulgación no autorizada
constituye un delito penado con multa, prisión y/o inhabilitación para el ejercicio
de cargos públicos, de conformidad con el artículo 203 y 196 bis del Código Penal.
• Consentimiento expreso del titular: La manifestación de su voluntad libre, inequívoca,
específica e informada mediante el cual “el titular” consciente el tratamiento
de sus datos personales ya sea de forma verbal, por escrito, por medios electrónicos,
ópticos o por cualquier otra tecnología, o por signos inequívocos. (PRODATO,
Protección de Datos Personales, 2016)
• Datos personales de acceso irrestricto: Los contenidos en bases de datos públicas de
acceso general, según lo dispongan leyes especiales, de conformidad con la
finalidad para la cual los datos fueron recabados, con exclusión de datos
demográficos, fotografía, números de teléfono privados y otros datos de igual
naturaleza cuyo tratamiento pueda afectar los derechos e intereses de la
persona usuaria de los servicios de salud de la CAJA y que la misma este
constituida de manera nominal, salvo consentimiento formal de éste, orden
judicial o investigación administrativa debidamente autorizada por el Director
Médico del Establecimiento de Salud o representante legal en caso de otras modalidades
de atención.
• Datos personales de acceso restringido: Los que aun formando parte de registros públicos,
no son de acceso irrestricto por ser de interés único para su titular o para la
Administración Pública, por lo que, su tratamiento por terceros solo será
permitido previo consentimiento expreso del titular u orden judicial.
• Datos sensibles: Los relativos al fuero íntimo de las personas o familiares, que revelen su
origen étnico, opinión política, convicción religiosa o espiritual, condición socioeconómica,
datos relacionados con su condición de salud o genética, vida y orientación
sexual, entre otros.
• Deber de confidencialidad: Obligación de todos los usuarios del EDUS con acceso a los datos, de
guardar la confidencialidad con ocasión del ejercicio de las facultades dadas
por la Ley del Expediente Digital Único en Salud (EDUS) Nº 9162 y el secreto profesional,
principalmente cuando se acceda a información sobre datos personales, restrictos
y sensibles. Esta obligación perdurará aun después de finalizada la relación con
el sistema de información, con la Institución o haya terminado su relación
laboral por terceros.
• EDUS: Expediente
Digital Único de Salud el repositorio de los datos del paciente en formato
digital, que se almacenan e intercambian de manera segura y puede ser accedido
por múltiples usuarios autorizados. Contiene información retrospectiva, concurrente
y prospectiva, y su principal propósito es soportar de manera continua, eficiente,
con calidad e integralidad la atención de cuidados de salud.
• Firma digital certificada: Identificación personal basada en certificado digital emitido por una
autoridad certificadora acreditada de acuerdo con lo dispuesto por la Ley de
Certificados, Firmas Digitales y Documentos Electrónicos, Nº 8454, con lo cual,
el documento electrónico suscrito con ella adquiere el mismo valor y eficacia
probatoria que el suscrito en forma manuscrita y el no repudio.
• Firma digital: Conjunto de datos electrónicos integrados, ligados o asociados de manera
lógica a otros datos electrónicos, utilizado por el signatario como su medio de
autenticación y como medio para asegurar la integridad de los datos
• Identificación nominal: Es aquella información que identifica de manera única y específica al
usuario titular.
• Integridad de los datos: Los datos contenidos en las bases de datos del EDUS, se deben considerar
íntegros por la naturaleza de la información que representa, no se pueden
modificar, adulterar o realizar ningún cambio, a menos que responda a un proceso
de atención en salud o trámite administrativo relacionado con la adscripción, en
el cual esté involucrado de manera directa el usuario de los servicios de la
CAJA. El actuar en contrario a lo señalado acarrearía sanciones de tipo penal
contenidas en el artículo 229 ter- del Código Penal.
• Modelos Alternativos: Se refiere a las distintas formas que tiene la CAJA para la prestación
de servicios de salud principalmente en el primer nivel de atención. Se incluye
medicina mixta, de empresa y contratación a terceros.
• Niveles de acceso: Corresponde a los mecanismos oficiales de acceso formalmente otorgados a
los usuarios del sistema, tanto administrativos como los usuarios de los servicios
de salud de la CAJA, mediante acto administrativo motivado. Se determina el
nivel de acceso asignado según la función realizada y competencia dentro del
EDUS.
• Número temporal interno: Número interno de identificación que se asigna a un paciente que
requiere atención en los servicios de salud de los diferentes niveles y que por
condiciones excepcionales no presentan ningún documento que lo identifique. El número
interno será único, de carácter temporal y deberá ser sustituido en todos los registros
del paciente una vez que este sea debidamente identificado con los documentos
oficiales establecidos.
• Pieza Física: Es todo aquel documento en formato físico contenido en el expediente de salud,
susceptible a conservación electrónica.
• REDES (Registros y Estadísticas de Salud): Disciplina especializada en los procesos de
apoyo y documentación de la atención en salud, la gestión de los registros y la
producción de datos estadísticos derivados, organizada como parte de la
estructura institucional del sistema de información en salud.
• Repositorio de datos: Comúnmente llamado almacén de datos, describe un destino único utilizado
para almacenar datos de forma lógica que facilita la interoperabilidad.
• Resguardo de la información: Los datos y la información contenida en el
EDUS, debe ser resguardada en las bases de datos dispuestas para dicho fin,
misma que no puede ser adulterada, modificada, enajenada, suprimida o destruida
parcial o totalmente. Caso contrario le será aplicada la sanción establecida en
el artículo 229 bis del Código Penal y la Ley del Sistema de Archivos
Nacionales.
• Suplantación de identidad: El proceso de la atención que brinda la CAJA, se considera de tipo
personalísimo. La suplantación de identidad es aquella acción en la que una
persona de manera ilegal se hace pasar por otra en el proceso de atención que brinda
la CAJA, mediante el uso de documentos de identificación que no le pertenecen. Dicha
acción constituye un delito que se castigará como está establecido en el
artículo 230 del Código Penal y Leyes conexas.
• Transacción: Se refiere a todo aquel movimiento de registro, consulta, modificación, procesamiento,
intercambio y almacenamiento de datos, así como todo acto de igual o similar
naturaleza que debe quedar en el historial de seguridad del EDUS.
• Tratamiento de datos: Toda operación o conjunto de ellas, dirigida a la recolección, el
registro, la organización, la conservación, la modificación, la extracción, la
consulta, la utilización, la comunicación por transmisión, la difusión, la
distribución y cualquier otra forma que facilite el acceso, el cotejo, la
interconexión, el bloqueo, la supresión o la destrucción, entre otros, de los
datos personales contenidos en el EDUS; efectuada mediante la utilización de
hardware, software, redes, servicios, aplicaciones en el sitio o en la red u
otra tecnología de la información; o incluso, mediante procedimiento manual.
• Usuario del EDUS: Persona física legitimada en razón de su función, nombramiento y/o relación
con la CAJA, se incluye todos aquellos profesionales en salud en calidad de docentes,
que esté expresamente autorizada conforme con este Reglamento y regulaciones
específicas, para acceder a los datos contenidos en el EDUS e incluir nuevos
datos o registros, actualizar, modificar o consultar; según corresponda su función
y nivel de acceso asignado al usuario autorizado. Todo usuario del EDUS se encuentra
sujeto al deber de confidencialidad.
• Usuario titular: Persona física usuaria de los servicios de salud que brinda la CAJA, a
la cual pertenecen los datos derivados de su atención en salud o de tipo
administrativo y contenidos en las bases de datos del EDUS. También titular de
los datos.