El Portal del Paciente como sede electrónica de tramitación e información Soluciones y Servicios en Comunicaciones y Tecnologías de la Información Josep Angel Borràs (jborras@unitronics.es) Business Development Manager UNITRONICS. Negocio web
Derechos de información Ley 41/2002 El paciente tiene derecho a: Información asistencial (art. 4) Información epidemiológica (art. 6) Servicios del Sistema Nacional de Salud (art. 12) Derechos de acceso a la historia clínica (art. 18) Ley 11/2007 Acceso electrónico a los servicios públicos
El portal del paciente La Ley 41/2002, de 14 de noviembre, Reguladora de la autonomía del paciente y de los derechos y obligaciones en materia de información y documentación clínica recoge explícitamente el derecho del paciente a la información adecuada sobre su enfermedad y proceso asistencial y la obligación del profesional sanitario que participa en el proceso asistencial de proveer de la información al paciente. El portal del paciente como vía para garantizar el ejercicio de sus derechos
Accesibilidad de la información LEY 51/2003, de 2 de diciembre, de igualdad de oportunidades, no discriminación y accesibilidad universal de las personas con discapacidad («BOE» 289, de 03-12-2003.) Disposición final séptima. Condiciones básicas de accesibilidad y no discriminación para el acceso y utilización de las tecnologías, productos y servicios relacionados con la sociedad de la información y medios de comunicación social. 1. En el plazo de dos años desde la entrada en vigor de esta ley, el Gobierno aprobará, según lo previsto en su artículo 10, unas condiciones básicas de accesibilidad y no discriminación para el acceso y utilización de las tecnologías, productos y servicios relacionados con la sociedad de la información y de cualquier medio de comunicación social, que serán obligatorias en el plazo de cuatro a seis años desde la entrada en vigor de esta ley para todos los productos y servicios nuevos, y en el plazo de ocho a diez años para todos aquellos existentes que sean susceptibles de ajustes razonables. 2. En el plazo de dos años desde la entrada en vigor de esta ley, el Gobierno deberá realizar los estudios integrales sobre la accesibilidad a dichos bienes o servicios que se consideren más relevantes desde el punto de vista de la no discriminación y accesibilidad universal.
El Portal del paciente Portal a través del cual los pacientes puedan usar de manera autenticada, confidencial y accesible la información personalizada vinculada a su relación con el centro sanitario (patologías, tratamientos y medicaciones), así como realizar tramitaciones vinculadas a procesos administrativos y de uso de servicios del SNS. Objetivos: Garantizar los derechos del paciente de acceso a la información Eliminación de cuellos de botella en la satisfacción de los mismos Mejora de la calidad asistencial sanitaria ofrecida Obtención de feedback para el seguimiento de los tratamientos Reducir los errores en el seguimiento de los tratamientos (falta de información o la baja calidad de la misma). Acceso universal al portal, multicanal, con las garantías que marca la ley respecto a protección de datos, seguridad y confidencialidad
El Portal del paciente
Portal del paciente Portal del paciente = front-end entre el paciente, la información clínica elaborada por los profesionales y el contexto administrativo. Servicios en función del paciente (patología, tratamiento) Tramitaciones administrativas Gestión de citas Historia clínica Recetas Recomendaciones personalizadas Hojas de medicación con indicaciones de horarios e instrucciones Recordatorios para tomar medicamentos Hojas de ejercicios personalizadas /dietas Indicaciones de higiene Información epidemiológica Directorio de servicios Solicitud de certificados Espacio colaborativo W2.0
El Portal del paciente: integración Servicios de portal
Portal del Paciente
El Portal del paciente Información clínica Información de servicios Información y tramitación administrativa Contexto auditable de disponibilidad del servicio, seguridad, accesibilidad y confidencialidad Sede electrónica Optimizada y segura Ley 11/2007 de acceso electrónico de los ciudadanos a los Servicios Públicos
El portal del paciente /sede electrónica
Interoperabilidad - ATRIO (http://www.csi.map.es/csi/pg5a10.htm): sistema para el Almacenamiento,Tratamiento y Recuperación de Información de Oficinas. - SICRES (http://www.csi.map.es/csi/pg5s40.htm): Sistema de Información Común de Registros de Entrada y Salida. - ESTROFA (http://www.csi.map.es/csi/pg5e30.htm): Especificaciones para el Tratamiento de Flujos Administrativos Automatizados. - INDALO (http://www.csi.map.es/csi/pg5i10.htm): Modelo de Datos para el Intercambio de Información entre las Administraciones Públicas.
Ley 11/2007 Bastantes líneas de actuación dado que la ley abarca: La interacción del ciudadano con la AAPP La interacción entre diferentes AAPP Los servicios comunes a todas las AAPP El Esquema Nacional de Interoperabilidad La creación de organismos específicos (CSAE, CTT, etc) Unitronics se ha especializado en: En proporcionar Seguridad y Calidad de Servicio a las Sedes Electrónicas existentes o en desarrollo En ciertos desarrollos de Sedes Electrónicas En desplegar infraestructuras en las diferentes líneas de actuación Desarrollos de gestión de contenidos y gestión documental (estándares internacionales HL7, Dicom, -)
Portal del paciente / sede electrónica Real Decreto 1720/2007, de desarrollo de la LOPD. Es el concepto sobre el que se basa la interacción del ciudadano con la AAPP La ley marca requisitos de seguridad y de calidad de servicio. En lo que se refiere a la interacción del ciudadano, al menos Derecho de garantía de seguridad y confidencialidad de datos (art. 6.2.i) Derecho de calidad de los servicios públicos prestados (art. 6.2.j) Establecimiento de comunicaciones seguras (art. 10) Identificación y autenticación de ciudadanos según Ley 59/2003, en especial el DNIe y los certificados electrónicos reconocidos (art. 13, 14 y 15) Utilización de plataformas comunes de verificación de certificados y firmas (art. 21) Acceso a la información sobre el estado de las tramitaciones (art. 37)
Se necesita más La Ley es un gran paso adelante, pero en la interacción del ciudadano con la AAPP se necesita, además: Generar la confianza necesaria a los ciudadanos para utilizar y demandar más servicios a la Administración, con la reducción de costes que esto conlleva Permitir el acceso multitudinario de los ciudadanos garantizando una calidad excepcional del servicio que la Administración pone a su disposición Estar de cara al ciudadano las 24 horas al día los 7 días de la semana, a salvo de incidencias tecnológicas
Concepto de la solución Objetivo: Elevar al máximo los niveles de: Seguridad: En todos los requisitos que establece la ley y aquellos que no se mencionan en la misma aunque consideramos obligatorios por nuestra experiencia en entornos similares. En pro de garantizar la autenticación, confidencialidad y no repudio de las transacciones realizadas Optimización y Calidad de Servicio: En pro de garantizar la disponibilidad de la Sede en cualquier momento, dando servicio en picos de actividad y la experiencia positiva del ciudadano en su acceso a la Sede Servicios de operación: En pro de gestionar adecuadamente la Sede en su conjunto, previniendo problemas potenciales y disponiendo de la información a tiempo para tomar decisiones operativas Desarrollo/integración de servicios de información y tramitación
El Portal del paciente
Concepto de la solución Internet Sede Electrónica actual Gestión Sede Electrónica Segura y Optimizada
Front-end hacia el ciudadano Navegador ADN IPS Sede Electrónica Gestión @firma
Front-end, seguridad I Confidencialidad de las comunicaciones
Front-end, seguridad II Autenticación multiformato
Detalles técnicos CATCert (Agència Catalana de Certificació) DaVinci, del grupo Unitronics, participó activamente en la puesta en marcha de esta Autoridad de Certificación DGP (Dirección General de la Policía) FNMT-CERES (Fábrica Nacional de Moneda y Timbre) ACCV (Autoritat de Certificació de la Comunitat Valenciana) IZENPE AC Camerfirma ANF AC (Asociación Nacional de Fabricantes - Autoridad de Certificación) ANCERT (Agencia Notarial de Certificación) Firma Profesional ACA (Autoridad de Certificación de la Abogacía) Banesto SCR (Servicio de Certificación de los Registradores)
Front-end, seguridad III Prevención de intrusiones
Detalles técnicos Aprovechamiento de vulnerabilidades de red y ciertas aplicaciones. Para ello, los dispositivos IPS implementan una protección activa sobre los mismos, detectando y parando cualquier tráfico malicioso Aprovechamiento de errores de programación de la Sede Electrónica. Para ello, los dispositivos ADN implementan el Firewall de Aplicación Web, complementando a los IPSs anteriores la protección activa a diferentes niveles (desde el nivel 3 hasta el 7)
Front-end, optimización I Alta disponibilidad
Detalles técnicos Alta disponibilidad, con dispositivos redundantes Activo/Pasivo y Activo/Activo Balanceo de carga de los servidores o aplicaciones donde reside la Sede Electrónica Enrutamiento inteligente a nivel 3 (para el tráfico de red) y a nivel 7 (la propia aplicación de la Sede) Chequeo vivo del rendimiento de los servidores y de la aplicación de la Sede para poder redirigir las peticiones al sitio más descargado Persistencia universal de sesiones, obligatorio para el correcto funcionamiento de muchas aplicaciones web Otras, como NAT inteligente, o gestión de la respuesta de Error, o compatibilidad con IPv6, etc, con el fin de lograr la mejor experiencia de usuario posible.
Front-end, optimización II Aceleración Web
Detalles técnicos Gestión de conexiones. El ADN mantiene caching y balanceo inteligente entre los servidores que suministran un contenido dedicado Compresión. El ADN implementa las técnicas de compresión compatibles con los navegadores en el caso que sea necesario Cache de objetos estáticos y dinámicos Aceleración del SSL Gestión del ancho de banda
Consolidación de la información de actividad Gestión SIEM Custodia Gestión Sede Electrónica Segura y Optimizada
Consolidación, seguridad I Correlación de eventos de seguridad
Detalles técnicos Monitorización de la actividad de seguridad del parque IT (hardware y software) Comunicaciones (routers, switches, wifi, etc) Seguridad (firewalls, IPSs, antivirus, etc) Sistemas (servidores, almacenamiento, bases de datos, etc) Infraestructura (Proxies, LDAPs, Active Directory, etc) Políticas de seguridad
Consolidación, seguridad II Gestión de Vulnerabilidades
Detalles técnicos Descubrimiento de vulnerabilidades y monitorización de las mismas Cruce con los eventos de seguridad Informes periódicos y bajo demanda Sondas Nessus en la AAPP gestionadas desde Unitronics
Consolidación, seguridad III Custodia de información y creación de evidencias
Detalles técnicos Combinación de: Firma digital TimeStamp
Servicios gestionados 24x7
Servicios gestionados 24x7 Vista Cerebro Manos Monitorización disponibilidad Monitorización eventos Monitorización vulnerabilidades Interpretación de eventos Investigación de incidentes Depuración de falsos positivos Resolución de incidencias Cambios en configuraciones Restablecimiento del servicio Monitorización Operación Administración
Modularización y dimensionamiento La Ley aplica a todas las Sedes electrónicas sin distinguir su tamaño o al número de ciudadanos a los que deberían dar servicio Por lo tanto, la solución se debe adaptar a la AAPP en cuestión Hemos dimensionado 3 tipos de Sedes Electrónicas Seguras y Optimizadas, en función de: Funcionalidades que se ofrecen Requisitos de rendimiento según el número de usuarios potenciales
Por funcionalidades Premium Extendida ADN con Firewall de aplicación ADN con Aceleración Web Administración 24x7 Custodia de evidencias Base Front-end con IPS Correlación de eventos Monitorización y operación 24x7 Gestión de vulnerabilidades Front-end con ADN en Alta Disponibilidad Confidencialidad de conexiones Autenticación multiformato Monitorización de disponibilidad de los componentes de la Sede Cuadro de Mando
Resúmen La Sede Electrónica Segura y Optimizada permite cualquier medio de identificación y autenticación compatible con cualquier sistema de firma electrónica según la Ley, en especial el DNI Electrónico o cualquier otro con validez autonómica reconocida La Sede Electrónica Segura y Optimizada permite establecer conexiones seguras con los ciudadanos, a través del protocolo SSL, de forma transparente al usuario La Sede Electrónica Segura y Optimizada está preparada para el acceso simultáneo de cientos de miles de ciudadanos, cumpliendo con el principio de disponibilidad que rige la Ley La Sede Electrónica Segura y Optimizada está exenta de vulnerabilidades de seguridad, lo que le permite estar operativa 24x7
Resúmen La Sede Electrónica Segura y Optimizada detecta y detiene intentos de intrusión no autorizados o malintencionados, por lo que protege tanto al ciudadano como a la Administración y puede recopilar la información necesaria para perseguir y rastrear a los infractores La Sede Electrónica Segura y Optimizada se puede dimensionar para dar servicio a pequeños Ayuntamientos como a grandes organismos públicos La Sede Electrónica Segura y Optimizada permite a sus administradores tener información en tiempo real sobre los recursos que requiere para poder tomar decisiones a favor de la eficiencia y la productividad La Sede Electrónica Segura y Optimizada se encuentra bajo monitorización de varios centros de gestión remotos, que velan por su disponibilidad y seguridad 24x7 y cuya información se muestra a través de Cuadros de Mando, a través de servicios certificados ISO27001
www.unitronics.es