Jedną z najważniejszych kwestii dotyczących informatyzacji systemu służby zdrowia jest bezpieczeństwo danych. Obowiązek jego zapewnienia ciąży w dużej mierze na placówkach medycznych. W poniższym tekście przyglądamy się warunkom, którym zgodnie z prawem muszą one sprostać.

Elektroniczna dokumentacja medyczna – ogólne warunki i zabezpieczenia

Dokumentacja medyczna – czy w formie elektronicznej, czy papierowej, to rodzaj dokumentów, które wymagają szczególnej dbałości o kwestie bezpieczeństwa. Ogólną definicję ochrony zawiera Rozporządzenie MZ z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania. Ustęp 4. mówi o dwóch warunkach, które muszą być spełnione, by uznać dokumentację za zabezpieczoną. Są to:

• zapewnienie dostępności wyłącznie dla osób uprawnionych,
• zastosowanie metod i środków ochrony dokumentacji, których skuteczność danym w czasie jest powszechnie uznawana.

Zgodnie z ust. 5. podmioty medyczne są zatem zobowiązane do:

• bieżącej analizy dotyczącej aktualnych zagrożeń, a także podejmowania działań, by je minimalizować,
• opracowywania i stosowania procedur zabezpieczania dokumentacji oraz systemów służących do ich przetwarzania,
• zapewniania współczesnych środków bezpieczeństwa, które są adekwatne do aktualnych zagrożeń,
• dbałości o aktualizację stosowanego w placówce oprogramowania,
• kontroli funkcjonowania oraz dokonywania oceny skuteczności zarówno organizacyjnych, jak i techniczno-informatycznych sposobów zabezpieczeń,
• planowania i wdrażania długoterminowych planów przechowywania dokumentacji.
  Przepis ten uwzględnia zatem kwestie techniczne dotyczące elektronicznej dokumentacji medycznej.

Rozporządzenie określa również wymagania dotyczące systemu teleinformatycznego używanego w placówce. Zgodnie z ust. 6. powinien on:

• utrzymywać stały dostęp do dokumentacji dla uprawnionych do niej osób,
• zapewniać integralność treści dokumentacji medycznej i metadanych. Musi on zabezpieczać ją przed wprowadzaniem nieautoryzowanych zmian oraz dostępem osób nieuprawnionych,
• wymagać identyfikacji osób sporządzających oraz wprowadzających zmiany i wpisy do dokumentacji,
• dostarczać informacje o czasie sporządzenia dokumentacji, dokonania wpisu lub innej zmiany,
• przyporządkowywać właściwe oznaczenia dla danego rodzaju dokumentacji,
• umożliwiać prowadzenie i udostępnianie dokumentacji medycznej w określonych w przepisach formatach,
• umożliwiać wydruk oraz eksport całości danych.

Kto może mieć dostęp do danych elektronicznych pacjentów?

Informatyzacja służby zdrowia i wprowadzenie EDM ma na celu ułatwić dostęp do dokumentacji dla osób do niej upoważnionych. Przepisy ściśle regulują to, kto może mieć do niej wgląd, sporządzać ją oraz wprowadzać zmiany. Przede wszystkim jest to pacjent, którego te dane dotyczą. On oraz osoba przez niego upoważniona mają wgląd w dokumentację poprzez Internetowe Konto Pacjenta. Po drugie, dostęp do dokumentacji medycznej mają osoby, które je wytwarzają. Jest to zatem personel medyczny, z którym ma styczność osoba, której dokumentacja dotyczy. Upoważnieni do wglądu są również: pielęgniarka, położna lub lekarz udzielający świadczeń podstawowej opieki zdrowotnej oraz pracownicy medyczni w ramach kontynuacji leczenia, lub w sytuacji zagrożenia życia. Pacjent może również wyrazić zgodę na dostęp do swojej dokumentacji dla lekarza oraz placówki medycznej, którzy nie wytworzyli dokumentacji – poprzez swoje konto w IKP.

EDM a autoryzacja danych

Jak zostało wspomniane wcześniej, system teleinformatyczny powinien wymagać identyfikacji osób sporządzających oraz wprowadzających zmiany i wpisy do dokumentacji. Co ważne, każdy, kto tworzy lub edytuje takie dokumenty, musi opatrzyć zmiany:

• kwalifikowanym podpisem elektronicznym,
• podpisem zaufanym,
• podpisem osobistym
• albo z wykorzystaniem sposobu potwierdzania pochodzenia oraz integralności danych dostępnego w systemie teleinformatycznym udostępnionym bezpłatnie przez Zakład Ubezpieczeń Społecznych.

Rozporządzenie MZ w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania mówi też o możliwości wykorzystania wewnętrznych mechanizmów systemu teleinformatycznego. Należy jednak pamiętać, że obecnie taką formę autoryzacji można wykorzystać jedynie w przypadku autoryzacji dokumentacji wewnętrznej.

Jak zabezpieczyć dane na wypadek awarii lub kradzieży sprzętu?

Przepisy określają wymagania co do systemu teleinformatycznego obsługującego elektroniczną dokumentację medyczną. Nie narzucają jednak konkretnego oprogramowania, na które musiałyby zdecydować się podmioty medyczne. Z punktu widzenia bezpieczeństwa danych pod kątem awarii lub kradzieży sprzętu komputerowego, najkorzystniejsze mogą być rozwiązania online. Oprogramowanie do elektronicznej dokumentacji medycznej to często rozwiązanie typu SaaS (System as a Service). Oznacza to, że usługa (program do obsługi dokumentacji) nie musi być zainstalowany na dysku komputera. Jest on dostępny w chmurze. Dzięki temu nie jest powiązany fizycznie ze sprzętem znajdującym się w placówce medycznej. Możemy uzyskać do niego dostęp z dowolnego urządzenia. Co ważne, oprogramowanie zapewnia również szereg zabezpieczeń. O ich aktualność i zgodność z przepisami zazwyczaj troszczy się dostawca usługi.

Medyczne Centrum Przetwarzania Danych

W 2014 roku we Wrocławiu powstało Medyczne Centrum Przetwarzania Danych. ItQ Data Center ma na celu odciążenie szpitali, przychodni oraz gabinetów lekarskich w kwestii zakupu, a także utrzymania własnych systemów teleinformatycznych. W ośrodku we Wrocławiu mogą być gromadzone dane medyczne pacjentów z całego kraju. Medyczne Centrum Przetwarzania Danych udostępnia szereg rozwiązań technologicznych, które wspomagają placówki medyczne. Zapewniają one bezpieczeństwo oraz łatwe i funkcjonalne zarządzanie danymi. Wśród oferty Centrum możemy znaleźć dostęp do sprzętu technicznego, przydatne narzędzia dla branży medycznej, a także usługi i świadczenia w formie dedykowanych aplikacji w modelu Saas.