Problemas a causa de la resistencia de los médicos y una inconsistente interpretación

El gobierno federal exige que los médicos empleen credenciales de autenticación de doble factor para recetar de forma electrónica las sustancias controladas. Pero los registros médicos y los expertos en seguridad indican que la implementación de esta regla no funciona como debiera.

Ha habido alguna resistencia por parte de los médicos, que consideran agobiantes estos requisitos. También han existido inconsistencias en las interpretaciones de las reglas por parte de las farmacias, los proveedores de las soluciones de receta electrónica, y los auditores que revisan esas aplicaciones para recetas. “Es un poco al estilo del Lejano Oeste la forma en que se está implementando la regla a través de todos esos diferentes proveedores”, expresa Jerry Cox, director de gestión de producto para IdenTrust, proveedor de soluciones de identidad y certificados digitales para recetar por vía electrónica.

En 2010 la Administración para el Control de Drogas emitió sus Prescripciones Electrónicas para Sustancias Controladas o EPCS, la reglamentación final provisional. EPCS legalizó que los médicos prescribieran de forma electrónica sustancias controladas siempre que para hacerlo utilizaran credenciales de autenticación de dos factores.

Cox explica que el conjunto inicial de normativas de la DEA que rigen las EPCS estaban redactadas con rigor y eran bastante seguras. Esas reglas exigían que los facultativos firmaran digitalmente las recetas y las transmitieran a la farmacia. La farmacia validaría entonces esas firmas digitales, lo que brindaría un control de extremo a extremo desde el punto en que el médico firma la receta hasta el punto en que la farmacia la dispensa. También aseguraba un registro electrónico de lo acontecido.

Pero algunos en la comunidad de proveedores de servicio de credenciales insistieron en utilizar otros métodos para la autenticación además de los certificados digitales, tales como contraseñas de un solo uso. Desde entonces se han producido variadas interpretaciones de la reglamentación EPCS, explica Cox. “No es tan segura como se pretendió originalmente”, señala.

Los auditores que revisan las aplicaciones EPCS son otro tema, piensa Cox. Cada sistema que se utiliza para EPCS, sea una aplicación para prescribir recetas o una aplicación de farmacia, tiene que pasar una auditoria independiente de un tercero. La DEA ha certificado una serie de auditores, pero las normas permiten que otros que no tienen esa certificación lleven a cabo auditorías. “Los auditores interpretan de manera diferente los requisitos EPCS, lo que lleva a inconsistencias en cómo se aprueban o no las aplicaciones”, plantea.

Cox dice estar esperanzado en que la DEA esclarecerá algunos de los temas relativos a EPCS en su normativa final, que podría emitirse en el 2016.

Los requerimientos agobian a los médicos

No todos los médicos han estado dispuestos a cumplir con la autenticación de doble factor, ya que muchos consideran que los requisitos son onerosos. “Hay mucha resistencia, y necesitamos hacer más labor educativa”, expresa el Dr. Tom Sullivan, director de estrategia y privacidad de la compañía de software para gestión de medicación electrónica DrFirst. Sullivan cita unos cuantos problemas que están enfrentando los médicos con la autenticación de doble factor. El primero y mayor de ellos, señala, es que los médicos tienen que pasar por un proceso de verificación de identidad de un solo uso con el fin de obtener la credencial de autenticación de dos factores. “Existe rechazo por parte de los médicos por tener que pasar por esa molestia de un solo uso porque cuesta algo extra y les toma algo de tiempo”, dice Sullivan.

La forma más común de demostrar la identidad implica dar información financiera, como la tarjeta de crédito, lo que algunos médicos son renuentes a entregar. “Estamos tratando de eliminar eso porque a la gente no le gusta entregar sus tarjetas de crédito”. En respuesta a las preocupaciones de los médicos, Sullivan llevó a algunos de sus colegas de DrFirst a la sede de NIST para convencerlos de que flexibilizaran algunas de sus recomendaciones de seguridad para las EPCS. “Les planteamos que fueran más flexibles con el sector de salud porque los médicos ya han sido credencializados y han demostrado su identidad tantas veces que eso resulta redundante. Posiblemente seamos la industria más regulada del mundo, o por lo menos de Estados Unidos”, afirma. Cuando se trabaja ya sea con médicos o con hospitales, Sullivan enfatiza que las EPCS no solo son una ley, sino además un proceso que puede incrementar la productividad y elevar la seguridad del paciente. La prescripción electrónica también hace que los médicos y los pacientes puedan interactuar por teléfono y así el paciente se evita tener que manejar hasta la oficina del médico y llevar después la receta a la farmacia. Sullivan señala que aunque a la mayoría de los médicos les gusta el método de receta electrónica y las conveniencias que eso reporta, no les agradan los requerimientos que implica. “Queremos cambiar la actitud respecto a que esto es simplemente otra orden más que se interpone en el camino de un eficiente diagnóstico y tratamiento de los pacientes”, plantea.

El Dr. Peter Kaufman, director médico de DrFirst, destaca las diversas ventajas que tiene la prescripción electrónica. Por una parte, una receta es más segura cuando se remite por vía electrónica que con una firma mojada porque va a través de una red segura de confianza. “La DEA en sus primeras etapas insistió mucho en que no querían igualar la seguridad de los documentos en papel, sino que querían elevar la seguridad”, explica Kaufman. Quizás la mayor ventaja es que las recetas electrónicas permiten que los médicos y las farmacias chequeen la receta contra los registros médicos y alérgicos de un paciente. Kaufman cita el informe de 1999 del Instituto de Medicina “Errar es humano”, que relacionaba los errores médicos, incluyendo los problemas con recetas, a una cifra tan alta como 98,000 muertes hospitalarias. “La prescripción electrónica nos ha ayudado muchísimo con esos problemas”, señala.

Reemplazando el talonario de recetas

Hubo varios factores que motivaron en primer lugar que la DEA elaborara el requerimiento EPCS. Tradicionalmente los médicos han escrito las recetas en un talonario, y la reputación de mala escritura que se han ganado los médicos no es puramente un estereotipo, señala Debra Spitler, vicepresidenta de desarrollo de negocios de IdenTrust. “Se produjo un daño significativo porque los farmacéuticos eran incapaces de leer recetas”, explica. La DEA se dio cuenta que era importante regular la prescripción de sustancias controladas a causa del robo de talonarios de recetas y otros fraudes con los medicamentos. Los médicos, para obtener un talonario de recetas, tienen que registrarse con la DEA y obtener un número de registro que indica que el talonario es legítimo. Se ha sabido de gente que ha obtenido empleos en hospitales y clínicas solo para estar en posición de robar talonarios de recetas.

“Hay toda una gran industria en torno a eso”, explica Spitler, y añade que los talonarios se venden por $60,000 hasta $150,000 en el mercado negro. “Se roban los talonarios y se usan para escribir recetas a nombre de personas ficticias y adquirir las drogas”, explica.

A nivel federal es legal que los médicos prescriban sustancias controladas y a fines de 2015 todos los estados comenzaron a permitir esa práctica. Algunos estados están comenzando a exigir que la prescripción electrónica sea el único método para recetar sustancias controladas. Nueva York se convirtió en el primer estado en hacerlo cuando aprobó el Sistema de Seguimiento por Internet para el Acta sobre Prescripción Excesiva ó I-STOP en el año 2012. La ley estipula que todas las prescripciones tienen que ser transmitidas por vía electrónica. El mandato de Nueva York supuestamente entraba en vigor en marzo pasado, pero se extendió la fecha tope hasta marzo 27 de 2016. Otros estados han estado explorando opciones para la receta electrónica, incluyendo Florida, Illinois, Massachusetts, Texas y Utah.

La disposición para la prescripción electrónica se mantiene baja

Pese al hecho de que la prescripción electrónica es legal tanto a nivel estatal como federal, aparentemente es baja la disposición de los proveedores de registros electrónicos de salud. Una investigación realizada por la red de prescripción electrónica Surescripts arrojó que el promedio nacional de disposición está por debajo del 5%. “Me parece que lo que va a ocurrir es que el gobierno federal va a intervenir y forzar a los estados a exigir las recetas electrónicas para sustancias controladas, para poder recibir fondos federales para diversos fines”, dice Spitler.

Ella piensa que la conciencia sobre la adicción ayudará a impulsar este cambio y a demostrar que es una necesidad. Kaufman dice que los médicos e incluso algunas farmacias aún no han percatado de que es legal prescribir por vía electrónica las sustancias controladas. “Más gente se está dando cuenta, y la gente está empleando más y más ese método”, añade. Sullivan piensa que las ventajas en cuanto a seguridad y conveniencia del paciente deben motivar a la industria a perfeccionar los requisitos de las EPCS y de la autenticación de doble factor. “Es beneficioso para todos que adoptemos este tipo de directrices y que continuemos trabajando con los gobiernos estatales y federal para que resulte menos complicado de manera que la gente rápidamente los adopte”, señala.