Procedimiento de homologación de sistemas de receta médica privada electrónica
1. Introducción. 1.1. Normativa aplicable. El Real Decreto 1718/2010, de 17 de diciembre, sobre receta médica y órdenes de dispensación, establece un nuevo marco jurídico El Real Decreto regulador considera, en relación con la prescripción médica, los siguientes casos (artículo 1): - Receta médica: Documento de carácter sanitario, normalizado y obligatorio mediante el cual los médicos [ ], legalmente facultados para ello, y en el ámbito de sus competencias respectivas, prescriben a los pacientes para su dispensación por un farmacéutico 1.2. La OMC y la receta médica electrónica privada. De acuerdo con el artículo 14.4 del Real Decreto 1718/2010, los tratamientos prescritos al paciente en receta médica privada electrónica podrán ser dispensados en cualquier oficina de farmacia del territorio nacional. Para garantizar este derecho a los pacientes, se establecerá por los consejos generales de las organizaciones colegiales corporativas de médicos, odontólogos, podólogos, enfermeros y farmacéuticos en coordinación con las Administraciones sanitarias, el procedimiento de homologación del sistema de receta privada electrónica que posibilite su interoperabilidad, preservando el derecho del paciente a la protección de los datos de su historia clínica, y teniendo en cuenta lo dispuesto en el artículo 11 de este real decreto y garantizando asimismo el cumplimiento de los requisitos obligatorios para las recetas médicas establecidos en esta disposición. En consecuencia con el mandato reglamentario anteriormente transcrito, este documento considera los requisitos que deben cumplir los sistemas de receta médica privada electrónica.
1.3. El sistema de información de receta médica electrónica privada. De acuerdo con la reglamentación anteriormente indicada, para la expedición y gestión de recetas médicas electrónicas privadas resulta necesario establecer un sistema de información, como el que se muestra a continuación: Un sistema de información de receta médica electrónica privada está formado por al menos dos dominios diferenciados: - Dominio de prescripción, correspondiente a los procesos y gestiones realizadas por el médico que expide la receta. El dominio de prescripción incluye, a su vez, los siguientes subdominios: o Subdominio de aplicación de prescripción, que soporta la aplicación informática del médico que expide la receta electrónica, así como la relación con el paciente.
o Subdominio de repositorio de recetas médicas, que almacena las recetas y gestiona su ciclo de vida, así como el acceso para la dispensación. - Dominio de dispensación, correspondiente a los procesos y gestiones realizadas por el farmacéutico que dispensa el medicamente. El sistema de información anteriormente indicado es objeto de homologación por parte del Consejo General de Colegios de Médicos de España, incluyendo una auditoría jurídica y tecnológica de cumplimiento de los requisitos establecidos en este documento. La homologación se centra en el dominio de prescripción, así como en las interfaces e intercambios de datos y recetas médicas con el dominio de dispensación. 2. La homologación de sistemas de receta médica privada electrónica Este documento establece el procedimiento para la homologación de los sistemas de receta médica privada electrónica por parte del Consejo General de Colegios de Médicos de España, en relación con la actuación de profesionales médicos en ejercicio privado de la profesión, en cumplimiento de lo establecido en el artículo 14.4 del Real Decreto 1718/2010, de 17 de diciembre, sobre receta médica y órdenes de dispensación. El procedimiento de homologación consta de los siguientes trámites: 1. Solicitud de homologación: la entidad interesada debe presentar una solicitud en formulario normalizado, por vía electrónica, acompañando la siguiente documentación: a. Documentación de identificación del solicitante. b. Descripción del funcionamiento del sistema de receta electrónica privada médica.
c. Documentación acreditativa del cumplimiento de los objetivos de control establecidos en este documento. d. Modelos lógicos y físicos de recetas y, en su caso, órdenes de dispensación hospitalaria, y de hojas de información al paciente y medicación activa; así como ejemplos de los mismos, obtenidos del entorno de producción. e. Documento de seguridad de protección de datos, y documentación acreditativa de la inscripción de los correspondientes ficheros, en su caso, en la autoridad de control. Contra la presentación de la solicitud, el CGCOM expedirá recibo de entrada de la documentación, y abrirá expediente de homologación, que deberá ser resuelto en el plazo máximo de tres meses, sin contar en este término los plazos de tramitación concedidos al propio interesado ni la duración de la auditoría de control. El CGCOM, atendidas las circunstancias del caso y, en concreto, a la complejidad del sistema de receta médica privada electrónica, podrá ampliar este plazo en tres meses adicionales, no prorrogables. 2. Revisión de la documentación por el CGCOM: La Secretaría General recibe la solicitud, la Unidad Tecnológica del CGCOM, con apoyo de las restantes unidades, según resulte procedente, revisará la documentación aportada y podrá solicitar las aclaraciones y ampliaciones que considere justificadas para adquirir una suficiente comprensión del sistema a homologar. Asimismo, podrá requerir la subsanación de cualquier ausencia o insuficiencia documental. La falta de respuesta a las peticiones del CGCOM en este sentido, en el plazo máximo de un mes, se entenderá como desistimiento de la solicitud de homologación por parte del interesado, y el expediente se archivará. 3. Auditoría de objetivos de control: la entidad interesada debe superar una auditoría que exprese opinión favorable sobre el cumplimiento de una serie de objetivos de control, que se establecen en este mismo documento,
diseñados para garantizar las exigencias legales y reglamentarias de las recetas médicas privadas electrónicas. En caso de que el informe de auditoría sea negativo, deberá expresar las disconformidades, de forma justificada, y proponer al CGCOM la concesión de un plazo para la subsanación de las deficiencias, transcurrido el cual se repetirá la auditoría en la parte afectada. La auditoría será realizada por profesionales independientes, de reconocida solvencia y suficiente experiencia en el ámbito de la receta electrónica, la firma electrónica y la protección de datos y seguridad de los documentos electrónicos, y con certificación formal de auditor informático (CISA). La entidad solicitante deberá justificar la competencia profesional del auditor frente al CGCOM antes de abordar la auditoría. El CGCOM podrá homologar a profesionales independientes, de acuerdo con criterios públicos y objetivos de competencia profesional, a efectos de la realización de la auditoría anteriormente indicada. En este caso, la entidad solicitante queda exonerada de la justificación mencionada. Los costes de auditoría serán sufragados íntegramente por la entidad solicitante. 4. Propuesta de resolución: a la vista de la documentación, y practicada la auditoría de objetivos de control, la Secretaría remitirá una propuesta de resolución a la entidad solicitante, para que en su caso realice las alegaciones oportunas. 5. Alegaciones: la entidad solicitante podrá presentar las alegaciones que considere oportunas en relación con la propuesta de resolución. 6. Resolución definitiva: la Comisión Permanente del CGCOM resolverá sobre la homologación del sistema de receta médica privada electrónica, resolución que será debidamente notificada y publicada en la sede web del CGCOM. Frente a la resolución se podrán interponer los recursos oportunos, que se indicarán en la correspondiente notificación.
3. Objetivos de control de los sistemas de receta médica privada electrónica. A continuación se presentan los objetivos de control que deben cumplir los sistemas de receta médica privada electrónica candidatos a la homologación por el CGCOM. Los objetivos de control se han agrupado en las siguientes categorías: - Controles funcionales y técnicos. - Controles de formalización documental. - Controles de interoperabilidad. - Controles de protección de datos de carácter personal. - Controles de seguridad y confidencialidad. 3.1. Controles funcionales y técnicos. Esta sección identifica los controles funcionales y técnicos mínimos aplicables a sistemas de receta médica privada electrónica. FT01 FT02 FT03 FT04 Posibilidad de prescribir, en cada receta electrónica, uno o varios medicamentos y productos sanitarios. Generación de la relación de medicamentos y productos sanitarios prescritos al paciente. Posibilidad de establecer un plan terapéutico en soporte de la prescripción, en base a intervalos de tratamiento definidos no superiores a un año. Control de la periodicidad de la dispensación, en prescripción en
base a plan terapéutico a intervalos definidos. FT05 Medidas de control en relación con la prescripción de medicamentes estupefacientes. FT06 FT07 FT08 FT09 FT10 Verificación, cuando resulte procedente, del aseguramiento privado del paciente, y registro de dicha información, para su posterior uso en el acceso a la historia. Seguimiento de las dispensaciones del tratamiento prescrito, con posibilidad de su modificación o anulación, atendiendo a cualquier evento o circunstancia sobrevenida en la situación clínica del paciente, así como a criterios de cumplimiento terapéutico, que deberán ser registradas. Mecanismos de protección y confidencialidad del paciente en la dispensación de los tratamientos, cuando el mismo lo solicite. Posibilidad de realizar la impresión de la hoja de información al paciente y/o de medicación activa, en función de las características del sistema implantado. Posibilidad de remisión telemática de la hoja de información al paciente y/o de medicación activa, al menos para los pacientes con discapacidades que imposibilite o dificulte el acceso a los mismos.
3.2. Controles de formalización documental. Esta sección identifica los controles mínimos de formalización documental aplicables a los sistemas de receta médica privada electrónica. FD01 Emisión de la receta en soporte electrónico, con los datos básicos obligatorios, relativos a paciente, medicamento, prescriptor y fecha de prescripción. En su caso, el visado por la Administración sanitaria correspondiente. Inclusión del código o número de identificación de la prescripción de cada medicamento y producto sanitario, asignado por el sistema electrónico con carácter único e irrepetible; y de la información de la relación activa de medicamentos correspondiente a los tratamientos en curso. FD02 FD03 Firma electrónica reconocida de la receta electrónica, empleando el carné oficial del Colegio de Médicos correspondiente, y de acuerdo con las reglas de la política de firma electrónica, publicada por el CGCOM. Emisión y entrega de hoja de información al paciente, en soporte papel, que recogerá los datos básicos obligatorios de la receta, así como información del tratamiento necesaria para facilitar el uso adecuado de los medicamentos o productos sanitarios prescritos.
3.3. Controles de interoperabilidad. Esta sección identifica los controles mínimos en relación con la interoperabilidad de los sistemas de receta médica privada electrónica con otros agentes y sistemas. IN01 IN02 IN03 IN04 IN05 IN06 IN07 Normas de interconexión de sistemas de receta médica electrónica privada entre los diferentes agentes funcionales (prescriptor, dispensador, etc). Consumo de servicios de autenticación delegada, en caso de sistemas basados en federación de identidad médica (SINCERT). Verificación interoperable de certificados de médico colegiado y de pacientes, incluyendo DNI electrónico y otros certificados electrónicos de firma reconocida. Modelos de datos para el acceso al sistema de receta médica privada del prescriptor. Empleo del esquema de intercambio de recetas médicas privadas electrónicas. Modelo de integración de las recetas en la historia clínica del paciente. En su caso, cumplimiento de las normas de interoperabilidad aplicables al procedimiento electrónico de visado por la Administración sanitaria correspondiente.
3.4. Controles de protección de datos de carácter personal. Esta sección identifica los controles mínimos a aplicar en relación con los datos de carácter personal gestionados por los sistemas de receta médica privada electrónica. PD01 PD02 Existencia de cláusula de información de protección de datos personales en la hoja de información al paciente. Cumplimiento de todas las medidas de seguridad de ficheros de datos personales de nivel alto, previstas en el reglamento de desarrollo de la ley reguladora. 3.5. Controles de seguridad y confidencialidad. Esta sección identifica los controles mínimos referidos a la seguridad y confidencialidad de los sistemas de receta médica privada electrónica, adicionales a las medidas de seguridad de datos de carácter personal. SC01 SC02 Acceso al sistema de receta médica electrónica mediante el carné oficial del Colegio de Médicos correspondiente, con certificado digital y de acuerdo con las reglas de la política de autenticación electrónica, publicada por el CGCOM. Acceso al sistema de receta médica electrónica mediante DNI electrónico del paciente, o cualquier otro sistema de firma electrónica reconocida que contenga el NIF del paciente y, en su caso, la condición de aseguramiento privado del mismo. En caso de imposibilidad, acceso a través del DNI del paciente o, en su caso, del padre o tutor.
SC03 SC04 SC05 Integración del equipo de acceso en el sistema de receta electrónica, con autenticación de equipo y comunicaciones cifradas, de acuerdo con las correspondientes políticas de seguridad de comunicaciones electrónicas publicadas por el CGCOM. Controles de custodia y conservación segura, tanto de los datos del sistema de receta médica privada electrónica (base de datos), como de las recetas electrónicas formalizadas documentalmente (firmadas electrónicamente). Controles de disponibilidad 24x7x365 del sistema de receta médica privada electrónica, en soporte de los servicios de urgencias. 4. Guía de auditoría El CGCOM editará y suministrará a las entidades interesadas una guía de auditoría, que desarrollará los anteriores controles mínimos, indicando: - Descripción detallada del control. - Descripción de mejores prácticas para el cumplimiento de los control. - Documentación acreditativa a presentar en la justificación del cumplimiento. - Contenido de las pruebas y revisiones de cumplimiento a practicar por el auditor, para acreditar el cumplimiento de los controles.