Es mejor D.A.R. que recibir

Foto Joshua Hoehne en Unsplash

D.A.R. son las siglas de Digital Administration Route (dejo a su criterio la traducción). Es un sistema informático basado en la web que en su página (www.dar.care) se presenta como “Expediente clínico electrónico # 1 en México”. No pude encontrar más información sobre la empresa que lo ha desarrollado y lo comercializa, ni en ese mismo ni en ningún otro sitio (aunque la verdad es que no hice una búsqueda muy exhaustiva que digamos) más allá de que al parecer se llama Práctica Médica Efectiva S. A. y tiene su sede en Culiacán, Sinaloa. Se menciona ahí también, en su página, o creo que eso dan a entender, que es un producto con 10 años en el mercado. Simplificando mucho, pero mucho, se puede decir que es como un Facebook médico u hospitalario y con ello quiero decir que al estar basado en la web es accesible desde cualquier dispositivo conectado a internet.

¿Y por qué es mejor D.A.R.? La verdad es que no estoy seguro que sea ni el ideal ni el mejor, lo siento pero necesitaba un título, aunque sí ha sido la elección hecha por las autoridades responsables del H.G.D.A.V. para implementar en el hospital el uso del Expediente Clínico Electrónico (E.C.E., para abreviar) aunque, según parece, la empresa lo promueve como un ECE – SIGHO (Sistema Integrado de Gestión Hospitalaria).

De lo que sí estoy seguro es que no es el único en el mercado, al parecer hay actualmente 21 S.I.R.E.S. (Sistemas de Información de Registro Electrónico para la Salud) que están certificados bajo la NOM-024-SSA3-2012 que “… establece los criterios bajo los cuales se debe generar, procesar, conservar, interpretar y asegurar el intercambio de información entre Sistemas de Información de Registro Electrónico para la Salud, entre los que se encuentran los de Expediente Clínico Electrónico, así como los mecanismos mediante los cuales se emitirán especificaciones técnicas para los posibles escenarios de intercambio y para el diseño de este tipo de sistemas.”

¿Y qué interés hay en eso de los S.I.R.E.S.? Pues mucho. Puede hacer más eficientes muchos procesos ahorrando tiempo principalmente, puede mejorar los controles y son una gran herramienta para generar informes, estadísticas y otros reportes en cualquier momento para apoyar la toma de decisiones y en lo inmediato puede eliminar el problema, más o menos frecuente de no encontrar los expedientes físicos. No es raro encontrarse por ahí médicos internos que andan dando vueltas por aquí y por allá buscando un expediente que no está donde debería, de tanto en tanto aparece un interno en un servicio cualquiera preguntando por un expediente perdido. Y eso no quiere decir que el expediente físico dejará de utilizarse.
Y seguramente contar con un E.C.E. da puntos para la certificación hospitalaria, nuestra obsesión, o bueno, la de las autoridades de salud del estado. Sobre todo es útil un sistema integral que abarque los aspectos más relevantes del funcionamiento del hospital. A eso se debe el interés de fusionar E.C.E. y S.I.G.H.O.

Por ejemplo, ahora mismo en el hospital además de contar con un expediente de cada paciente y más o menos controlar el censo de cada servicio (la ocupación hospitalaria, se podría decir), es posible pedir desde los servicios medicamentos a la farmacia mediante el D.A.R. Antes se tenía que elaborar una receta, (¡sin que falte ningún dato, por favor, que te le regresan!), enviar a alguien a solicitar su surtimiento, generalmente al camillero porque pues es el mandadero del servicio, quien posteriormente debía volver al servicio para que la encargada firmara el vale y luego llevar de regreso el vale firmado a la farmacia.

¡Uuuufffff! Nada más de decirlo me cansé, imaginen estar en el tercer piso, usar las escaleras para llegar a la planta baja, caminar a la farmacia, recoger el medicamento, subir al tercer piso para recabar una firma y luego volver a bajar para devolver el documento firmado y regresar después al tercer piso para informar que el proceso se concluyó con éxito… aunque por supuesto se tiene la opción de usar el elevador. Y a veces se tiene que hacer dos veces, cuando faltó una firma o no es válida o se usó un formato equivocado o alguna otra cosa ha ido mal.
También es ya posible que las imágenes de rayos «x» de los estudios que se le hacen a los pacientes, se “suban” al sistema, eliminando así el tener que plasmarlas en placas o grabarlas en DVD. Es posible ahora también, o lo será pronto, enviar requisiciones al almacén general y a la misma farmacia, para mantener el stock de material, medicamentos y soluciones.

De los costos no puedo decir nada, desconozco los montos a pagar por conceptos tales como renta o suscripción anual, seguramente la capacitación es gratis, al menos creo que lo debería ser, ya que les hacemos el gasto. La adquisición del D.A.R. (la suscripción al servicio, me parece más correcto decir) trajo aparejada la instalación de una red de área local (L.A.N.) con la consecuente compra de módems y equipos de cómputo para todos los servicios. Esto es algo típico; cuando compras o rentas un sistema lo primero que dirá el proveedor, aunque no sea del todo cierto, es que para un funcionamiento óptimo se requiere que los equipos donde se ejecutará tengan ciertas características técnicas, como los que ellos mismos venden, por ejemplo, así es que casi siempre se venden en paquete, y en caso de tener ya computadoras deberán ser renovadas. En lo que toca al H.G.D.A.V. no fue así, aquí ni teníamos, o bueno, no tantas, así es que de todos modos eran necesarias.

La elección para la red fue una WLAN, una red inalámbrica, lo cual como todo en esta vida, tiene ventajas y desventajas. Entre lo bueno es que es más fácil y rápido tenerla instalada, más barato también. Entre las desventajas podríamos citar que se podrían presentar algunas interferencias y quizá la velocidad de transferencia de los datos sea levemente menor, imperceptible en general, sin mencionar la exposición de las personas a las ondas de radio del Wi-Fi. Sin embargo el mayor inconveniente que le veo es que así como están las cosas actualmente, con unos cuantos clics es posible hacerse con el SSID (nombre de red) y la respectiva contraseña y entonces ¡voila! Habemus internet. Aunque a Facebook, YouTube y esas cosas divertidas no se tiene acceso.

Los equipos adquiridos me parece que no son de alto costo, son equipos más o menos modernos de tamaño reducido con discos duros de estado sólido de una relativamente baja capacidad de almacenamiento y buena cantidad de memoria RAM, al menos en el mercado no son tan caros, son como de gama media, se me ocurre decir, de la marca mexicana de ensambles Vorago. Otro acierto es la elección de un sistema operativo (S.O.) libre o de código abierto; Ubuntu, una distribución de Linux cuya licencia se otorga sin costo, el cual incluye, también sin costo, la suite ofimática LibreOffice, una alternativa a la popular Office de Microsoft.

Un pequeño defecto que le encuentro a éstos equipos, seguramente es problema del sistema operativo, es que el sistema se corrompe fácilmente al desconectar inapropiadamente medios de almacenamiento extraíbles (las mal llamadas “memorias USB”), haciendo que el sistema quede inoperante.

La elección me parece acertada debido a que se ahorran los costos de las licencias de Windows y Office, productos de Microsoft, además Ubuntu (Linux) es un sistema potente, estable y seguro, hay muy pocos virus informáticos que lo afecten, por lo que, en general, no necesita adicionalmente un programa antivirus, que usualmente también debe pagarse cuando hablamos de sistemas Windows.

Linux tiene además la virtud de aprovechar mejor los recursos de los equipos, de verdad, si tiene usted un equipo algo anticuado donde ya no puede instalar Windows 10 no puede decir que es obsoleto sin haber probado qué tal anda con una distribución ligera de Linux. Para uso escolar y de oficina resulta más que suficiente. Y si tiene un equipo moderno le aseguro que no sabrá realmente qué tan potente es hasta que no haya probado a usar Linux. Lo recomiendo ampliamente. Además la gran mayoría de los programas se distribuyen sin costo por internet y casi para cada uno de los más populares para Windows existe una alternativa que funciona en Linux. Tan solo para la ya mencionada suite Office existen al menos dos: OpenOffice y LibreOffice, que además son perfectamente capaces de manipular los formatos de archivo ya conocidos de los programas de Office.

Un punto que tiene a su favor el D.A.R. es que al estar basado en web los requerimientos técnicos de infraestructura se reducen mucho, me explico: Un sistema que sólo funcione localmente seguramente necesitaría primero un servidor que aloje los archivos del sistema y que gestione el acceso de los usuarios al mismo, dicho servidor debería contar con todo el software necesario, como un motor de base de datos, por ejemplo. Después seguramente habría que instalar la aplicación en cada computadora de la red y configurar el acceso, manejar el asunto de los permisos y todo eso… en fin, cuestiones técnicas más o menos complicadas y sobre todo que cuestan un monto respetable de dinero y toman algo de tiempo (si ya de suyo los informáticos nunca están a tiempo…). En cambio, si le delegas al proveedor todo ese engorro te ahorras mucho; tiempo, dinero y esfuerzo. Te olvidas también de estar haciendo los famosos (y cruciales) respaldos y de contratar personal especializado para que nunca contesten el teléfono ni respondan ningún otro tipo de llamado y que además la mayor parte del tiempo se la pasen culpando a los usuarios, que tampoco colaboran mucho que digamos… Muchas veces me parece que casi quieren que el sistema haga magia o que creen que debe ser infalible.

Y hablando de alternativas, para el D.A.R. también las hay, como decía, hay actualmente 21 sistemas certificados, algunos muy específicos para ciertas funciones y otros con mayores alcances. De hecho se han contabilizado en estudios hasta 65 sistemas empleados a lo largo y ancho del país. En la lista1 se encuentran algunas curiosidades, como un producto de Philips México Commercial S.A. de C.V. llamado Tasy; aparece Teléfonos de México, S.A.B. de C.V. con su S.I.M.A.P. (Sistema de Información Médica de Atención Primaria); hay uno que lleva por nombre Florence, de Alfateq Sistemas de México, S.A. de C.V.; hay otro registrado a nombre de la Secretaría de la Defensa Nacional (Sistema Digital de Sanidad) y uno más a nombre de la Secretaría de Marina Armada de México (SICOHOSP, Sistema de Control Hospitalario). Están también en la lista desarrolladores quizá más pequeños pero no por ello menos capaces, como por ejemplo CompuExpediente de Luis Ismael Ruvalcaba López y MediSel, registrado a nombre de Evelio Rosales Selman.

Otra opción, que en este caso seguramente era inviable, es la de un desarrollo propio. Algo así lleva tiempo (generalmente mucho), dinero (también mucho) y se requiere personal especializado, así es que si lo que se desea es algo rápido, la idea es fácilmente descartable, sin embargo la gran virtud de un desarrollo propio es que el resultado final está cortado a la medida y por lo tanto satisface casi cabalmente las necesidades de la organización y siempre se tiene la opción de irlo detallando, puliendo y modificando según cambien las condiciones. Un producto comercial siempre te lo venden diciendo que “se adapta a las necesidades” pero esa es una promesa que casi nunca se cumple y al final es la organización la que debe terminar adaptándose al sistema. La razón para que no se cumpla con el ofrecimiento es económica, a las empresas no les conviene ir de modificación en modificación que usualmente son útiles únicamente para un cliente, muchas veces lo que las organizaciones requieren casi implica un producto diferente al original por el mismo precio, pero eso cuesta y no es redituable.
El D.A.R. no fue recibido con ovaciones ni con la aprobación unánime de los usuarios, principalmente médicos, ya sabe usted; que le falta ésto, que le sobra aquello, que yo no uso eso, eso no me sirve, y ¿eso para qué? Y así. Y luego las peticiones; quiten eso, pongan aquello, eso es mejor de éste otro modo, etc.

Yo tengo dos observaciones al sistema. Encontré unas curiosas fallas de seguridad en algo básico. Resulta que en momentos distintos y con métodos diferentes tuve acceso al sistema con cuentas diferentes, sin necesidad de conocer un nombre de usuario ni contraseña. En un primer momento pensé que era un error del navegador y que estaba viendo alguna página que se había quedado alojada en la memoria caché y que en cualquier momento iba a volver a la página del login ya que supuestamente no había ninguna sesión válida activa, pero no, pude husmear (acepto que indebidamente) sin modificar nada, por supuesto. Incluso tuve acceso a la sección donde es posible cambiar la contraseña del usuario (donde por cierto al parecer no se requiere introducir la contraseña anterior) cosa que por supuesto no hice y reporté vía correo electrónico a la dirección de contacto de la empresa los incidentes incluyendo algunos detalles. No hubo respuesta.

Atribuyo esas vulnerabilidades principalmente a tres causas: Un error del propio sistema, en su diseño y programación; un descuido en la configuración del navegador y malas prácticas de parte de la empresa y de los usuarios en cuanto al manejo de las contraseñas que permiten a una persona no autorizada deducir, ojo, no adivinar, sino inferir, claves de acceso. Y para eso ni siquiera es necesario tocar una computadora en el hospital, con echar un vistazo rápido en el momento oportuno es suficiente, y para empezar a ocasionar daños tampoco, una vez haciéndose de las credenciales apropiadas uno puede conectarse desde cualquier sitio.
Desafortunadamente muchos usuarios entran al sistema, lo utilizan, se levantan de su silla y se van y lo dejan abierto. Y lo peor es que parece que la sesión no caduca nunca, en teoría cualquier persona puede acercarse en un momento dado y empezar a causar daños, modificando o borrando información.

También es ya común que los adscritos que tienen usuario y contraseña, por comodidad o rapidez, le dan sus claves a los médicos internos y son ellos los que entran al sistema y lo manipulan. Eso tampoco me parece una buena práctica.

Aunque ya han pasado algunos meses desde que se empezó a usar, todavía la mayoría de los usuarios no están familiarizados con su funcionamiento y se requiere frecuentemente de la asistencia técnica del personal de la empresa, que anda por ahí en el hospital. En algunos servicios he visto que el personal de la empresa tiene que ir hasta para ajustar el censo y la disponibilidad de las camas en el lugar, corrigiendo asuntos como los egresos. Por cierto que les acondicionaron un site arriba del mortuorio, donde supongo que tienen algunos equipos, una área como taller de reparaciones y facilidades varias. Para concluir, estos son los cinco puntos de otro rollo… ¡Ejem..! Estas son mis recomendaciones para quien quiera tomarlas en cuenta y que seguramente será… nadie.

Por cierto que para adoptarlas no es necesario tocarle un solo pelo al D.A.R.:

1.- La configuración del navegador debe hacerse apropiadamente para que no se guarde nunca ningún historial. Los datos de inicio de sesión, nombres de usuario y contraseñas, tampoco deben guardarse en ningún caso.
2.- Los usuarios no deben dejar abierto el sistema, una vez que han finalizado su trabajo es necesario cerrar la sesión apropiadamente así como el navegador.
3.- Los administradores de red deben configurarla adecuadamente para impedir que usuarios no autorizados se conecten a la red de área local inalámbrica (WLAN) instalada para conectar a internet los equipos destinados al D.A.R.
4.- Las jefas de servicio y de área deben impedir el acceso físico a los equipos de cómputo instalados en dichos servicios a los usuarios no autorizados.
5.- Los usuarios no deben compartir con nadie sus datos de inicio de sesión, nombre de usuario y contraseña.
6.- Desactivar la difusión del SSID (nombre de red).
7.- Los usuarios deben evitar usar los shortcuts (atajos de teclado) CTRL-C y CTRL-V al escribir nombres de usuario y contraseñas.
8.- Debe evitarse emplear las mismas cadenas de texto para crear nombres de usuario y contraseña en el sistema. Ejemplo: Usuario: dar_admin@hgdav; contraseña: dar_admin.

Addendum: Wish list.

1.- El acceso a lo que yo llamaría «cuenta global» del H.G.D.A.V. en el D.A.R. sólo debería ser posible desde los equipos autorizados ubicados en el propio edificio del H.G.D.A.V. Esto es, que fuera del hospital nadie debería poder conectarse a esas cuentas.
2.- Rediseñar y reprogramar la parte del código del sistema que gestiona todo lo relacionado con las sesiones para implementar un mecanismo que asegure que las mismas se cierren apropiadamente todas y cada una de las veces.
3.- En la gestión de los datos de acceso del usuario debe requerirse proporcionar la contraseña actual para poder establecer una nueva.
4.- El sistema debe invalidar cualquier sesión una vez transcurridos cinco minutos en los que no se haya registrado actividad.
5.- El sistema debe obligar a los usuarios nuevos a cambiar la contraseña que le es asignada cuando se crea la cuenta, la primera vez que inicien sesión.

hospital incurable

Adrián Lobo. adrian.lobo.om@gmail.com | hospital-incurable.blogspot.com | facebook.com/adrian.lobo.378199 1 http://www.dgis.salud.gob.mx/contenidos/intercambio/sires_certificacion_gobmx.html