Fue a finales de los años ochenta cuando se iniciaron por primera vez las actividades de estandarización y de uso común de estándares en la informática de la salud. En 1990, se estableció el primer comité técnico relacionado con la informática sanitaria, el CEN TC 251. Unos pocos años después, un considerable número de estándares vieron la luz. Sin embargo un número significativo de los estándares producidos desde entonces no incorporan provisiones de seguridad eficientes. Por otro lado, se han publicados estándares específicos sobre seguridad y, actualmente, hay más en preparación.

En este artículo, nos centraremos en los estándares formales relacionados con la seguridad y la privacidad en los sistemas de información sanitarios (HIS). Los estándares formales son generados por organizaciones de estandarización acreditadas a través de un proceso que promociona el consenso entre las partes involucradas, asegura el cumplimiento de la legislación, tiene en cuenta los intereses públicos y la integridad de los derechos humanos.

Paralelamente a la publicación de los estándares, estas organizaciones publican, además, una serie de documentos en la forma de guía de trabajo que pueden ser considerados de carácter informativo más que de cumplimiento estricto.

Otras organizaciones, tales como sociedades profesionales, asociaciones de comercio y asociaciones gubernamentales publican un numero de documentos mas influyentes que a menudo ellos mismos establecen como estándares "de facto". Aunque estos documentos no deben ser ignorados deben ser considerados como recomendaciones, mas que como estándares formales.

Los desarrolladores de HIS pueden utilizar efectivamente estándares de seguridad de naturaleza genérica, es decir, aplicables a cualquier sistema de información (IS). Los estándares de seguridad de las capas mas bajas de OSI (Open Systems Interconnection), por ejemplo, podrían cubrir sin problemas las necesidades de varias aplicaciones informáticas sanitarias. Sin embargo, los especiales requisitos de seguridad de los HIS y la urgente necesidad de mejorar la seguridad en el entorno de los HIS anima a los productores de estándares de seguridad a desarrollar estándares específicos en el área de la salud.

Considerando la importancia significativa de la estandarización formal y la necesidad de técnicas de seguridad avanzada en HIS, la intención de este articulo es animar al trabajo de las organizaciones de estandarización en seguridad y privacidad en HIS y promocionar el uso de los estándares existentes en este campo. En particular, queremos reseñar el trabajo realizado en este área por las organizaciones europeas dentro del sexto programa marco europeo para la investigación, desarrollo tecnológico y demostración.

Los estándares en tecnologías de información y comunicaciones (ICT) son desarrollados por entidades oficiales de estandarización, cuyo ámbito de actuación puede ser regional, nacional o internacional. La principal organización internacional de estandarización es la ISO (International Organisation for Standardisation). ISO es una federación mundial de entidades de estandarización nacionales de aproximadamente 130 países, publica estándares, que son considerados de acuerdo internacional, posee varios comités técnicos, cada uno de los cuales es responsable de un sector particular o de un dominio tecnológico especifico.

La estandarización internacional también es desarrollada desde el IEC (International Electro-technical Commission) y desde el ITU-T (International Telecommunications Union-Telecoms). ISO e IEC han establecido un comité técnico unificado (ISO/IEC JTC1) que es responsable de la producción de un aplio rango de estándares de ICT, incluyendo los estándares OSI.

En Europa la principal organización de estandarización es el comité europeo para la estandarización (CEN). CEN TC 251 es el comité técnico para la informática médica. Junto al CEN existen solo dos entidades de estandarización más reconocidas por la unión europea (Directiva 83/189/EEC): El ETSI (European Telecommunications Standards Institute) y el CENELEC (Committe for Electro-technical Standardisation).

En Norteamérica la principal entidad de estandarización es ANSI (American National Standards Institute). Existen también varias organizaciones acreditadas por ANSI que producen estándares. Una de ellas, ASTM (American Society for Testing Materials), es particularmente activa en el campo de la informática de la salud. Otras organizaciones norteamericanas incluyen el IEEE (Institute of Electrical and Electronics Engineers Standards ) y el NIST (National Institute for Standards and Technology).

Finalmente, todos los estados miembros de la unión europea poseen sus propios organismos de estandarización (BSI en UK, DIN en Alemania, AFNOR en Francia, AENOR en España) que coopera a través del CEN y de ISO. Adicionalmente nombraremos la SAA (Standards Association of Australia) y la SCC (Standards Council of Canada) como organizaciones que han aportado trabajo significativo a la estandarización de ICTs.

CEN y ASTM son actualmente las dos organizaciones que mas activamente han llevado la responsabilidad de desarrollar estándares de seguridad en HIS. Los estándares desarrollados por CEN hasta el momento son:

Los estándares actuales desarrollados por ASTM en este área son:

ASTM ha publicado, también, los siguientes estándares provisionales:

SAA a desarrollado también un estándar:

Como se puede comprobar, la estandarización en el campo de la seguridad y la privacidad en HIS esta en sus inicios. Los estándares existentes presentados anteriormente no constituyen un conjunto completo y coherente de estándares. Sin embargo, los programas de los grupos de trabajo revelan un ambicioso plan de trabajo que tiene la intención de cubrir la mayoría de los aspectos de la informática sanitaria.

En la unión europea la legislación enfatiza la importancia de la privacidad y seguridad de información sensible. En particular, los datos personales asociados con la salud están considerados como una categoría especial que requiere el nivel de protección mas alto. El CEN/TC251 y el particular su grupo de trabajo WG III Security, Safety and Quality esta ahora preparando estándares en las siguientes áreas:

Otro desarrollo importante es la mejora de la seguridad de HL7. HL7 (Health Level Seven) es un estándar ANSI para el intercambio electrónico de información sanitaria que permite a las aplicaciones intercambiar conjuntos de información clínica y administrativa.

Hasta el momento, solo han sido publicados un número limitado de estándares en seguridad y privacidad de HIS. Además muchos de los estándares básicos en el ámbito de los HIS no tratan la cuestión de la seguridad y la privacidad. Sin embargo, los estándares existentes pueden ser muy útiles. Actualmente se desarrollan trabajos significativos y esperamos una mayor contribución de las organizaciones de estandarización en un futuro próximo.

[1] European Comisión, Communication from the Comisión to the Council and the Parliament on "Standarisation and the Global Information Society: The European Approach", COM(96)395, Brussels, 24 de Julio de 1996.

[2] Security Standards for Healthcare Information Systems. E.B Barberet al. (Eds.) IOS Press, 2002.