Servicio de adquisición y filtrado de consentimientos de pacientes en formato HL7 FHIR

Abstract

La Regulación General de Protección de Datos (GDPR) establece que el tratamiento de datos personales por parte de las organizaciones debe estar previamente autorizado por los propios ciudadanos a los que se refieren dichos datos. En el dominio sanitario es aún más importante puesto que los datos personales incluyen información sensible como es la relacionada con la salud de la persona. Por ello, el uso que una organización sanitaria hace de los datos sanitarios de sus pacientes (por ejemplo, para análisis, investigación, docencia, etc.) debe estar autorizada por los propios pacientes. Tradicionalmente el paciente firmaba un consentimiento en papel antes de recibir un servicio por parte de la organización. No obstante, con la revolución digital de todos los sectores de la sociedad podemos encontrarnos que los ciudadanos creen consentimientos independientemente de las organizaciones sanitarias y sean gestionados por terceros (por ejemplo, agencias gubernamentales). Este trabajo parte de dicho escenario y se basa en la adquisición y filtrado de consentimientos por parte de una organización sanitaria desde una entidad de gestión de consentimientos. La organización sanitaria deberá así recoger solo aquellos consentimientos de sus pacientes y que sean relevantes con la información almacenada en sus sistemas de información sanitarios. De esta forma, cada corporación observará los pacientes que tiene y reunirá los consentimientos públicos para filtrarlos, recogiendo la información que se tiene sobre cada una de las personas en su base de datos privada. En el caso de que exista un consentimiento que restringe o acepta cierta acción, pero el paciente no contiene dichos de datos, se desechará ya que no se le dará un uso al consentimiento. La idea principal es almacenar consentimientos de los pacientes que estén relacionados con la información que se tiene sobre ellos, así si la organización quiere realizar un estudio pues revisará los consentimientos de la persona específica para mirar si se ha aceptado o se ha denegado el uso. El formato de los consentimientos adopta el estándar FHIR de Health Level 7 International (HL7 ®) diseñado para permitir un intercambio rápido de registros sanitarios electrónicos. FHIR trata de combinar lo mejor de cada uno de los modelos que están actualmente en uso con estándares web modernos de forma que se mejore en la medida de lo posible la implementación de los estándares de interoperabilidad. Finalmente, se llega a la conclusión de que es necesario comprobar los consentimientos de los pacientes en el caso de que la organización sanitaria quiera realizar un estudio. Para ello, se va a usar el estándar FHIR con la definición de 4 recursos (pueden ser más). Además, se hace uso de la API que proporciona el estándar llamado HAPI-FHIR para almacenar primeramente los datos de los pacientes y su información correspondiente. Para almacenar los consentimientos se ha decidido usar una base de datos no relacional (por ejemplo, MongoDB). Se ha de remarcar que el uso de esta aplicación es muy sencillo para la organización y que en un futuro que exista una interfaz gráfica hará que sea más intuitivo, facilitando el trabajo. Finalmente, el uso de FHIR no es sencillo y sumándole la poca documentación que existe hace que el realizar un proyecto sobre dicho estándar sea un trabajo tedioso.

The General Data Protection Regulation (GDPR) states that the processing of personal data by organisations must be previously authorised by the citizens to whom the data relates. In the field of health, it is even more important since personal data include sensitive information such as that related to the health of the person. Therefore, a healthcare organisation’s use of its patients' health data (e. g. for analysis, research, teaching, etc. ) must be authorised by the patients themselves. Traditionally, the patient signed a written consent before receiving a service from the organization. However, with the digital revolution in all sectors of society, we may find that citizens create consents independently of health organisations and are managed by third parties (e. g. government agencies). This work starts from this scenario and is based on the acquisition and filtering of consents by a health organization from a consent management entity. The healthcare organisation should therefore collect only those consents of its patients that are relevant to the information stored in its healthcare information systems. In this way, each corporation will observe the patients it has and gather public consents to filter them, collecting the information it has about each individual in its private database. In the event that there is a consent that restricts or accepts a certain action, but the patient does not contain such data, it will be discarded as the consent will not be used. The main idea is to store patient consents that are related to the information that is held about them, so if the organization wants to conduct a study it will review the consents of the specific person to see if the use has been accepted or denied. The form of consent adopts the FHIR standard of Health Level 7 International (HL7 ®) designed to enable rapid exchange of electronic health records. FHIR strives to combine the best of each of the models currently in use with modern web standards so that the implementation of interoperability standards is improved as much as possible. Finally, it is concluded that it is necessary to check patients' consent if the health organisation wants to carry out a study. For this, we will use the FHIR standard with the definition of 4 resources (may be more). In addition, the API provided by the standard called HAPI-FHIR is used to first store patient data and related information. To store consents it has been decided to use a non-relational database (e. g. MongoDB). It should be noted that the use of this application is very simple for the organization and that in the future the existence of a graphical interface will make it more intuitive, facilitating the work. Finally, the use of FHIR is not easy and adding the little documentation that exists makes it tedious to carry out a project on this standard.