Szukasz sprzętu medycznego? Wypełnij darmowe zapytanie
Wypełnij darmowe zapytanie
MedicalOnline.pl wyszukuje najlepszych dostawców
i przesyła im Twoje zapytanie
Dostawcy przesyłają Ci oferty handlowe dotyczące zapytania
sprzęt medyczny
Wyślijzapytanie ofertowe

Przetwarzanie danych medycznych poza siedzibą świadczeniodawcy

Krzysztof Nyczaj | 2011-09-28

Mimo braku formalnego zakazu przetwarzania danych medycznych na zasadach outsourcingu, niemożność powierzenia tego zadania podmiotom zewnętrznym bez zgody pacjenta oraz konieczność zastosowania zaawansowanych rozwiązań szyfrujących dokumentację w archiwum zewnętrznym bardzo je utrudniają.

Rozporządzenie Ministra Zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania zliberalizowało zasady przetwarzania elektronicznych danych medycznych (EDM) poza siedzibą świadczeniodawcy. Obecnie zapis rozporządzenia brzmi: „dokumentacja wewnętrzna jest przechowywana przez podmiot, który ją sporządził" (§ 72 rozporządzenia Ministra Zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania). Wynika z niego, że miejsce położenia podmiotu i miejsce składowania dokumentacji medycznej nie musi być tożsame.

>> Masz wątpliwości jak zarządzać podmiotem leczniczym zgodnie z przepisami nowej ustawy o działalności leczniczej? Poradź się ekspertów! Ogólnopolskie Forum Zdrowia Publicznego 2011 w Warszawie 27 i 28 października. Zapisz się już dzisiaj. <<

Przepisy odnoszące się wprost do możliwości przechowywania dokumentacji medycznej poza podmiotami udzielającymi świadczeń zdrowotnych, czy powierzenia archiwizacji dokumentów osobom trzecim zawiera nowe rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 18 maja 2011 r. w sprawie rodzaju i zakresu oraz sposobu przetwarzania dokumentacji medycznej w zakładach opieki zdrowotnej utworzonych przez ministra właściwego do spraw wewnętrznych. Jego zapis stanowi: „Dopuszcza się archiwizację dokumentacji przez inny podmiot, pod warunkiem zabezpieczenia jej przed zniszczeniem, uszkodzeniem lub utratą i dostępem osób nieuprawnionych”.

Liberalizacja zasad dotyczących miejsca przetwarzania danych medycznych, nie może oznaczać liberalizacji zasad dostępu do danych. Pozostają one nadal na bardzo restrykcyjnym poziomie.

Na gruncie obowiązujących przepisów, tj. ustawy z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty oraz ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, pracownicy firmy zewnętrznej, jako administratorzy danych nie są osobami uprawnionymi do dostępu do danych medycznych. Wprowadza to szczególne uwarunkowania w zakresie zastosowania outsourcingu.

Przetwarzanie osobowych danych medycznych jest możliwe w dwóch sytuacjach :

  • w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub
  • w celu zarządzania udzielaniem usług medycznych

Podstawy prawne umożliwiające przetwarzanie osobowych danych medycznych pacjentów przez personel administracyjny placówki ochrony zdrowia, tj.: statystyków, pracowników rejestracji, administratorów IT są trudniejsze do wyinterpretowania. Jeszcze trudniej jest uzasadnić umożliwienie przetwarzania osobowych danych medycznych osobom, które formalnie nie są nawet pracownikami placówki.

Druga przesłanka, która umożliwia przetwarzanie osobowych danych medycznych, to zapewnienie pełnych gwarancji ochrony danych osobowych. W związku z tym, że w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych nie określono precyzyjnego kryterium oceny poziomu gwarancji ochrony danych medycznych, należałoby odwołać się do przepisów unijnych stanowiących punkt odniesienia dla polskiej ustawy.

Osobowe dane medyczne powinny być przetwarzane „wyłącznie przez osoby zobowiązane do zachowania tajemnicy” (art. 8 ust. 3 Dyrektywy 95/46 WE). W odniesieniu do personelu administracyjnego placówki ochrony zdrowia (statystycy, informatycy, pracownicy rejestracji) można próbować rozwiązać tę kwestię  przez odpowiednie zapisy w umowie o pracę, w których osoby niewykonujące zawodu medycznego byłyby zobowiązane do zachowania tajemnicy w stopniu równym jak pracownicy medyczni. W takim przypadku przesłanka „stworzenia pełnych gwarancji ochrony” będzie spełniona, gdyż placówka opieki zdrowotnej poprzez sam fakt zatrudnienia takiej osoby na bazie umowy o pracę sprawuje nad nią bezpośrednią kontrolę w ramach stosunków służbowych.

>>Serwis Kadry Zarządzającej ZOZ - pomoc w trudnych sytuacjach w Twojej placówce. Zamów darmowy bezpłatny numer powitalny! <<

Bezpośrednia kontrola podmiotu zlecającego nad pracownikami firmy zewnętrznej nie tworzy wymaganych w ustawie  „pełnych gwarancji”.

Teoretycznie można sobie wyobrazić sytuację, kiedy każdorazowo pacjent wyrażałby zgodę na przetwarzanie danych w firmie zewnętrznej. Od strony praktycznej jednak przyjęcie takiego rozwiązania jest bardzo trudne, gdyż nie możemy zagwarantować, czy uda nam się uzyskać takie zgody za każdym razem. Innym rozwiązaniem, które wydaje się być najbardziej odpowiednie, to przyjęcie założenia, że w firmie zewnętrznej archiwizowane będą tylko dane medyczne, które zostały zaszyfrowane przez pracowników medycznych przy wykorzystaniu kryptografii asymetrycznej. Wtedy przesłanka „stworzenia pełnych gwarancji” byłaby spełniona. Tak więc, jeśli stosowanie infrastruktury PKI podczas procesu tworzenia dokumentacji medycznej nie jest już obowiązkowe, jego zastosowanie w zakresie szyfrowania dokumentów medycznych archiwizowanych w podmiocie zewnętrznym to najskuteczniejszy sposób zabezpieczenia dokumentacji przed dostępem osób nieuprawnionych.

Podstawa prawna:
• rozporządzenie Ministra Zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania – Dz.U. nr 252 poz. 1697
• ustawa z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty – tekst jedn.: Dz.U z 2008 r. nr 136, poz. 857 ze zm.,
• ustawa z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta - Dz.U. z 2009 r. nr 52, poz. 417 ze zm.,
• ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych - tekst jedn. Dz.U. z 2002 r. nr 101, poz. 926 ze zm.,
• rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 18 maja 2011 r. w sprawie rodzaju i zakresu oraz sposobu przetwarzania dokumentacji medycznej w zakładach opieki zdrowotnej utworzonych przez ministra właściwego do spraw wewnętrznych – Dz.U. nr 125, poz. 712.

Kiedy pacjent ma prawo do wizyty domowej lekarza POZ
25.02.2011Dariusz Poznański, Ministerstwo Zdrowia, Departame&hellip
Gdzie przechowywać paszport techniczny urządzeń medycznych
24.01.2011Krzysztof Tuczapski/Prezes zarządu Zamojskiego Szp&hellip
Jak prowadzić dokumentację medyczną od 1 stycznia 2011 r.
01.04.2011Dariusz Poznański , Departament Organizacji Ochron&hellip
Ustawa o działalności leczniczej uchwalona przez Senat
06.04.2011Serwis Kadry Zarządzającej ZOZ
więcej