Szukasz sprzętu medycznego? Wypełnij darmowe zapytanie
Wypełnij darmowe zapytanie
MedicalOnline.pl wyszukuje najlepszych dostawców
i przesyła im Twoje zapytanie
Dostawcy przesyłają Ci oferty handlowe dotyczące zapytania
sprzęt medyczny
Wyślijzapytanie ofertowe

Dostęp do dokumentacji medycznej, a usługi informatyczne w służbie zdrowia

Piotr Glen/Administrator Bezpieczeństwa Informacji/Audytor Systemu Zarządzania Bezpieczeństwem Informacji wg PN-ISO/IEC 27001 | 2013-05-06
Dostęp do dokumentacji medycznej, a usługi informatyczne w służbie zdrowia

Firma doradztwa gospodarczego specjalizująca się we wdrażaniu mechanizmów kontroli zarządczej ze szczególnym uwzględnieniem polityki bezpieczeństwa informacji i ochrony danych osobowych

Informatyk w każdej organizacji pełni ważną, wręcz strategiczną rolę. Zazwyczaj ma dostęp do bardzo wielu informacji łącznie z danymi osobowymi. Czy jest to osoba zatrudniona na etacie, czy firma zewnętrzna zajmująca się administrowaniem systemu informatycznego, wykonując swoje obowiązki czasami musi mieć wgląd w takie czy inne dane. Dlatego powinny to być osoby godne najwyższego zaufania, a przede wszystkim związane tajemnicą i obowiązkiem poufności. Powstaje jednak dość skomplikowana sytuacja przy przetwarzaniu dokumentacji medycznej. Dokumentacja medyczna, to w skrócie dane osobowe pacjentów, z całą ich historią choroby. Według ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta dokumentację medyczną mogą tworzyć i mieć do niej dostęp tylko osoby wykonujące zawód medyczny, a tym samym związane tajemnicą lekarską. Osoba wykonująca zawód medyczny, to według ustawy o działalności leczniczej – osoba uprawniona na podstawie odrębnych przepisów do udzielania świadczeń zdrowotnych oraz osoba legitymująca się nabyciem fachowych kwalifikacji do udzielania świadczeń zdrowotnych w określonym zakresie lub w określonej dziedzinie medycyny. Są to więc lekarze i lekarze dentyści, felczer, pielęgniarki i położne, diagnosta laboratoryjny, farmaceuta i ratownik medyczny oraz fizjoterapeuta, technik dentystyczny, logopeda. Co więc z informatykiem, który ma uporządkować bazę danych pacjentów o tych samych nazwiskach, aby nie dochodziło do pomyłek? A osoba zajmująca się serwisowaniem tomografu komputerowego, który przecież przechowuje dane pacjentów? A zewnętrzne firmy informatyczne, które administrują całym systemem informatycznym służącym do przetwarzania danych osobowych, często mając dostęp do danych on-line?  Wreszcie chociażby usługi hostingu danych. Jak rozwiązać kwestie możliwości dostępu do danych medycznych w takich sytuacjach? Komu może być udostępniana dokumentacja medyczna dokładnie opisuje Art. 26 Ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Nie ma to jednak nic wspólnego ze świadczeniem usług informatycznych. Dodatkowo przepisy ochrony danych osobowych nakazują aby urządzenia i nośniki zawierające dane wrażliwe, przekazywane poza obszar przetwarzania zabezpieczać w sposób zapewniający poufność i integralność tych danych. Przepisy prawa nie po raz pierwszy nie nadążają za faktycznymi potrzebami i rozwojem sytuacji. Dlatego, po długich staraniach GIODO (Generalnego Inspektora Ochrony Danych Osobowych), Minister Zdrowia poinformował ostatnio (3.02.br.), że w Ministerstwie Zdrowia trwają wstępne prace nad opracowaniem kompleksowych rozwiązań w zakresie przechowywania dokumentacji medycznej, w ramach nowelizacji ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Zaproponowane zostaną regulacje dotyczące postępowania z dokumentacją medyczną oraz zapewnienia należytej ochrony zawartych w niej informacji i danych. Jednym z zagadnień będących przedmiotem tych prac jest uregulowanie kwestii tzw. outsourcingu. Na chwilę obecną natomiast, w oparciu o funkcjonujące przepisy oraz zgodnie z rekomendacjami GIODO i MZ, w sytuacjach gdy dostęp do danych medycznych dla informatyka jest nieodzowny, należy zastosować odpowiednie procedury łącznie z nadaniem stosownych upoważnień i stosowaniem właściwie określonych umów powierzenia przetwarzania danych. Osoba upoważniona do przetwarzania danych medycznych musi dokładnie wiedzieć jakiego rodzaju czynności może podejmować w zakresie przetwarzania takich danych, a jakich nie. Jest to szczególnie istotne na chwilę przed wejściem w życie obowiązku prowadzenia dokumentacji medycznej jedynie w postaci elektronicznej. Przy wdrażaniu, prowadzeniu i zapewnieniu szczególnej ochrony elektronicznej dokumentacji medycznej (EDM) nie da się nie korzystać z usług specjalistów szeroko rozumianej branży IT. Należy tylko te usługi tak zorganizować i sformalizować, aby Administrator danych, jakim w służbie zdrowia jest najczęściej kierownik danej jednostki medycznej, miał pewność kto, co i w jakim celu może robić z danymi medycznymi oraz, że te dane są w dalszym ciągu odpowiednio chronione. Dlatego wszyscy pracownicy i współpracownicy Administratora danych muszą mieć nadane w formie pisemnej upoważnienia do przetwarzania danych osobowych. Pamiętajmy, że przetwarzaniem są wszelkie operacje dokonywane na danych osobowych, a więc już i sam wgląd, a także zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Upoważnienie powinno więc precyzyjnie określać zakres czynności, zakres danych i cel przetwarzania. Powinno jednocześnie narzucać obowiązek zachowania tajemnicy danych osobowych. Nie ma obligatoryjnego wzoru upoważnienia. Każdy Administrator może zgodnie ze swoimi potrzebami oraz schematem organizacyjnym jednostki opracować wzór upoważnienia i zorganizować sposób ich nadawania. Bezwzględnie natomiast musi być prowadzona ewidencja osób upoważnionych ściśle określona w ustawie o ochronie danych osobowych. Jeżeli Administrator danych współpracuje z firmą zewnętrzną, która administruje system informatyczny wykorzystywany do przetwarzania danych medycznych, to umowa na taką usługę musi zawierać elementy umowy powierzenia i zapisy gwarantujące odpowiednią ochronę. Może być spisana oddzielna umowa powierzenia przetwarzania danych jako załącznik lub aneks do umowy głównej. Najistotniejsze elementy takiej umowy to: określenie celu, zakresu, miejsca przetwarzania powierzonych danych, gwarancji stosowania przez wykonawcę wymaganych środków bezpieczeństwa, możliwość lub brak podpowierzenia przetwarzania, możliwość kontroli zasad przetwarzania danych u wykonawcy przez Administratora, określenie zasad postępowania z danymi w przypadku zakończenia umowy. Pamiętajmy, że na każdym etapie przetwarzania danych Administrator musi mieć zapewnioną rozliczalność, czyli musi wiedzieć kto, co i kiedy robi z jego danymi, poufność danych czyli ich bezpieczeństwo i to, że nie dostaną się w nieuprawnione ręce, oraz integralność danych i systemu, a więc brak możliwości nieautoryzowanych zmian, modyfikacji i zniszczenia zarówno przypadkowych, zamierzonych, zewnętrznych czy wewnętrznych. Przy przetwarzaniu danych wrażliwych, min. medycznych, reżim ochrony jest szczególnie wysoki, a odpowiedzialność za błędy bardzo duża. Dlatego tam, gdzie nie trzeba i jest to możliwe niech informatycy nie biorą na siebie zbyt dużej odpowiedzialności i mają dostęp do tego, do czego rzeczywiście muszą. Niech bazy danych medycznych będą dzielone, izolowane dane osobowe od historii choroby, a tam gdzie można i należy to trzeba dane szyfrować. Zwłaszcza jeśli outsourcing polega jedynie na przechowywaniu danych poza placówką opieki zdrowotnej, to wszelkie czynności na danych powinny być dokonywane przez osoby z poziomu placówki, a dostęp do danych można zablokować poprzez ich szyfrowanie. Ale i w takim przypadku potrzebna jest dobrze skonstruowana umowa powierzenia przetwarzania danych. Zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji wynika z Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Tam też znajdziemy podstawowe wymagania dotyczące bezpieczeństwa danych. Natomiast najważniejszym jest to, aby osoby nieuprawnione nie miały możliwości dostępu do danych medycznych i wykorzystania ich do innych celów.