Proteccion de datos personales en la historia clinica: El documento de seguridad en la norma ISO/IEC 27 002

• Autores: Miren Tamayo Vivanco
• Directores de la Tesis: Juan Peire Arroba (dir. tes.) , Elena García-Cuevas Roque (codir. tes.)
• Lectura: En la UNED. Universidad Nacional de Educación a Distancia ( España ) en 2016
• Idioma: español
• Tribunal Calificador de la Tesis: Pablo Orduña Fernández (presid.) , Elio San Cristóbal Ruiz (secret.) , Mohamed Tawfik (voc.)
• Enlaces
  • Tesis en acceso abierto en: e-spacio
• Resumen
  • español

    La Auditoria de Protección de Datos de Carácter Personal impulsada bien por el Centro Criptológico Nacional, CCN , bien por alguna de las Agencias de Protección de Datos en las respectivas Comunidades Autónomas, con su consiguiente legislación regulada, encuentra su Apoyo en la Emisión de una relación de Guías por parte del Primero, y en un par de Documentos de Apoyo en la Elaboración del Documento de Seguridad por parte del Segundo, cuando este se reconoce como Instrumento Jurídico en la Especificación y Ordenación de la Medidas de Salvaguardas de Índole Técnica realizadas sobre la información de los Sistemas de Información , que son los datos. En el ámbito de la Historia Clínica, HC, y debido a diferentes premisas (Nivel Alto de clasificación del dato clínico y Complejidad del Código Tipo de los Profesionales que participan), el Análisis de Aproximación del Sistema de Seguridad de la Información, SGSI, conlleva la elaboración de unas Taxonomías de los Grupos Resultantes, la identificación de unos Escenarios con sus correspondientes Actores , así como la Incorporación del consiguiente Diccionario de Datos. El estudio orientado que realiza la legislación española en torno al Documento de Seguridad corre paralelo y soportado como recomienda nuestro Esquema Nacional de Seguridad, ENS, por una norma internacional en Seguridad de la Información , como es la ISO/IEC 27001 y los controles que desarrolla en la ISO/IEC 27002. Estas normas proponen la aplicación de un Ciclo (P)Plan.(D)Do.(C)Check.(A)Act, que conlleva a su vez a la definición de un nuevo Control, Medida de Seguridad explicado sobre los controles de la ISO/IEC 27002 y a fin de mantener el equilibrio encontrado entre las Taxonomías desarrolladas, y convirtiendo al nuevo control en Componente del SGSI. La Introducción y Supervisión del nuevo Componente nos sirve para reiterar el apoyo que recibe la Administración Electrónica Española o e-Administración desde una perspectiva de la Gestión de Riesgos con su Métrica MAGERIT. Resultando el Marco de la Excelencia no una exigencia, pero sí una necesaria recomendación desde el punto de vista de la Gestión de Proyectos a fin de practicar un Estudio de Viabilidad del Sistema sometido a la Gestión del Cambio del propio Documento de Seguridad. Las consideración de las Transferencias Internacionales de Datos en el ámbito de la HC elevan al Supervisor Europeo de Protección de Datos como máximo responsable en la Monitorización del Dato en las diferentes Administraciones Europeas, así como en el Consejo de sus Políticas de Seguridad. A fin de satisfacer dicha supervisión se han respetado las Directrices proporcionadas por los Documentos de Trabajo generados por el Grupo de Trabajo en materia de Protección de Datos de la Comisión Europea, Gt29 y en apoyo a la Especificación del nuevo Componente se aplica el Documento nº WP 195.

  • English

    The Auditory on Personal Data Treatment driven either by the National Criptological Center, or either by the National Regulatory Agencies in their respectives Autonomical Communities and with their specific regulations, meets its support both on the publication of a profuse list of Guides, in the first case, and on a pair of documents which lead the possible implementations of the Security Document, SD , in the second one, when , besides, we recognize the SD as a juridic instrument on the specification and organization of the Technical Safeguard Measures based on the data of the Informatic System, SI. On the scope of the Clinical History, and due to different premises (High level classification for the clinical data, and the complexity of the Codes Types of the Professionals who take part in), the Approximation Analysis of the System Management Security Information , SGSI, is associated with the elaboration of the respective Taxonomies of the resulted Groupes, the identification of Scenaries attached with their Actors, and, furthermore, with the integration of the Data Diccionary. The oriented application that the Spanish Legislation develops around the Security Document is supported in comformance with the National Security Scheme recommendation , by using an international standard on 'Information Security' such as ISO/IEC 27001 and the controls within it that are extended in ISO/IEC 27002. These standards propose the execution of a P(Plan). D(Do).C(Check).A(Act) Cycle whose followment gives us the possibility of reaching a new Control definition or Safeguard Measure explained over the ISO/IEC 27002 controls with the goal both of maintaining the equilibrium between the published Taxonomies, and converting the new control in a component for the Information Security Management System or ISMS. The introduction and supervision of the new component serves us to remark the help derived from the perspective of Risk Management with its metric MAGERIT in the Spanish Electronic Administration or e-Administration. By this way, the Excellence Framework results no an exigency, but a necessary recommendation from the point of view of Project Management with the objective of practising a Viability Study of the System on dependence of the Security Document Change Management.On the consideration of the International Transferences of Data and on the scope of the Clinical History, the European Data Protection Supervisor, EDPS, is classified as the unique responsable of Monitoring the Data on the different european electronic administrations, who gives also counsel on Security Policies. In order to response to this legitimate supervision, it has been taken into account the Workshop Documents with corresponds to the Data Treatment Working Group named as Gt29, and to possibilitate the specification of the new component , the Document numbered as WP195 has been applied.