Choć najważniejsze jest zdrowie i komfort pacjentów odwiedzających placówkę medyczną, to nie jedyny aspekt związany z ich bezpieczeństwem, jaki warto mieć na uwadze. Równie istotne jest bowiem odpowiednie zabezpieczenie dokumentacji medycznej, nierzadko zawierającej wrażliwe dane na temat pacjentów oraz historii ich chorób. Przyjrzyjmy się bliżej kilku podstawowym wskazówkom, jakimi warto kierować się w tym aspekcie.
Poznaj reguły bezpieczeństwa dokumentacji medycznej
Po pierwsze, należy systematycznie podchodzić do tematu szacowania ryzyka zagrożeń i zarządzania nimi. Wynika to z faktu, że cyberprzestępcy nie śpią i także udoskonalają swoje metody działania. Po drugie, konieczne jest także opracowanie, a następnie stosowanie udokumentowanych procedur, które nie tylko dotyczą zabezpieczania, ale również dalszego przetwarzania dokumentacji. Powinny wśród nich znaleźć się także procedury dotyczące dostępu do dokumentacji medycznej oraz jej przechowywania. Po trzecie: konieczne jest stosowanie takich środków bezpieczeństwa, jakie są adekwatne do zagrożeń, uwzględniając nasz najnowszy stan wiedzy. Z tego punktu wynika też czwarta zasada: dbałość o aktualizację oprogramowania – nie tylko antywirusowego na komputerach w placówce medycznej. Po piąte, konieczne jest bieżące kontrolowanie funkcjonowania zarówno organizacyjnych, jak i techniczno-informatycznych sposobów zabezpieczenia oraz – co ważne – okresowa ocena skuteczności tychże środków. Wreszcie, po szóste: Należy pamiętać o przygotowaniu i realizacji planów przechowywania dokumentacji w długim czasie. Oznacza to m.in. zaplanowanie przenoszenia dokumentacji medycznej na informatyczne nośniki danych oraz do nowych formatów danych, jeśli wymaga tego zapewnienie ciągłości dostępu do gromadzonej i przetwarzanej przez nas dokumentacji medycznej.
Zadbaj o właściwy poziom zabezpieczeń w systemie IT
Bez wątpienia jednym ze sposobów zapewnienie właściwego bezpieczeństwa dokumentacji medycznej jest zabezpieczony system IT. W tym przypadku warto zwrócić uwagę między innymi na zabezpieczenia uniemożliwiające wprowadzanie zmian w dokumentacji w sposób inny, niż określony procedurami, identyfikację osób sporządzających dokumentację lub wprowadzających w niej zmiany, wraz z informacją o czasie sporządzenia lub zmodyfikowania dokumentacji, a także zabezpieczenie przed dostępem osób nieuprawnionych. Warto zadbać także o możliwość wydruku dokumentacji lub eksportu przechowywanych danych w taki sposób, by możliwe było ich odtworzenie w innym systemie IT.
Zabezpiecz komputery i serwery przed nieuprawnionym dostępem
Konieczne jest także zadbanie o to, by zarówno same serwery, jak i pomieszczenia, w których się znajdują (lub w których przechowywana jest dokumentacja medyczna w formie papierowej) – dobrą praktyką jest określenie pomieszczeń o podwyższonym standardzie bezpieczeństwa danych, to znaczy tych miejsc, w których dane tworzy się lub wprowadza do systemu. To właśnie w takich miejscach, jak recepcja, gabinet lekarski, rejestracja, laboratorium, izba przyjęć czy pracownia diagnostyczna pacjent nie może przebywać bez pracownika placówki medycznej. Pozwala to zapobiec ewentualnemu uzyskaniu dostępu do dokumentacji medycznej przez osoby nieuprawnione.
Zadbaj o fizyczne zabezpieczenia serwerowni i gabinetów
Co więcej, konieczne jest właściwe zabezpieczenie pomieszczeń, w których znajduje się infrastruktura sieciowa lub serwerowa. Powinny one nie tylko mieć zabezpieczenie przed utratą zasilania, ale także monitoring wizyjny, pomiar wilgotności i temperatury, czy też innych czynników, które mają wpływ na funkcjonowanie urządzeń. Pomieszczenia te nie mogą posiadać otworów okiennych, powinny natomiast mieć instalację przeciwpożarową wraz z systemem alarmowym oraz sprawnie działający system kontroli dostępu, który uniemożliwi nieuprawnionym osobom dostęp do pomieszczenia.
Także gabinety lekarskie, laboratoria i inne pomieszczenia o podwyższonym poziomie bezpieczeństwa powinny być zabezpieczone w sposób fizyczny. Oznacza to m.in. stosowanie bezpiecznych drzwi, monitoringu wizyjnego drzwi wejściowych, a także zamocowanie krat w oknach, zastosowanie instalacji przeciwpożarowej czy też kontrolę dostępu w postaci przepustki lub karty dostępowej z czytnikiem elektronicznym.
Pamiętaj o szyfrowaniu danych medycznych
Choć dostęp do dokumentacji powinny mieć wyłącznie osoby uprawnione, warto dodatkowo zadbać o szyfrowanie danych medycznych. Dostęp do danych medycznych w systemie EDM powinien odbywać się na podstawie metody logowania, która po 3 próbach bezskutecznego zalogowania zablokuje konto użytkownika. Co więcej, komputery w placówce medycznej powinny być wyposażone w mechanizm zamykania sesji użytkownika lub blokowania ekranu po określonym czasie braku aktywności użytkownika w aplikacji.
Należy zadbać także o rejestrowanie wszystkich czynności wykonywanych w aplikacji, same rejestry zaś powinny być zabezpieczone przed modyfikacją lub usunięciem. System EDM z kolei musi posiadać mechanizm, który zapewni rozliczalność tworzonej dokumentacji. Oznacza to, że możliwe jest nie tylko zidentyfikowanie osoby wprowadzającej zmiany, ale także wskazanie czasu stworzenia wpisu w EDM lub jego zmodyfikowania.
Wykorzystuj alternatywne źródła zasilania
Wreszcie, warto zadbać o dodatkowe źródło zasilania dla placówki medycznej, wykorzystując w tym celu niezależne przyłącze energetyczne lub generator prądotwórczy. Rozwiązanie to zapewni ciągły dostęp do dokumentacji medycznej, może też zapobiec utracie danych w przypadku braku zasilania. Warto zadbać także o zasilanie gwarantowane poprzez urządzenie UPS, zapewniając tym samym ciągłość działania serwerów i urządzeń sieciowych. Należy przy tym pamiętać o tym, by regularnie sprawdzać, czy generatory prądotwórcze oraz urządzenia UPS w placówce medycznej są w pełni sprawne. Dzięki temu w razie potrzeby nie ma obaw o działanie alternatywnych źródeł zasilania.