Problemy związane z zapewnieniem gwarancji ochrony prywatności w rozwiązaniach e-zdrowia w Smart City

Transkrypt

1 Problemy związane z zapewnieniem gwarancji ochrony prywatności w rozwiązaniach e-zdrowia w Smart City KRZYSZTOF ŚWITAŁA WYDZIAŁ PRAWA I ADMINISTRACJI UNIWERSYTETU KARDYNAŁA STEFANA WYSZYŃSKIEGO W WARSZAWIE BARTŁOMIEJ MICHALAK

2 E -Zdrowie 2 Rozumiane jest jako wykorzystanie technologii informacyjno komunikacyjnych (ICT) w ochronie zdrowia w takich celach, jak na przykład: leczenie pacjentów, prowadzenie badań, kształcenie studentów, wykrywanie chorób oraz monitorowanie stanu zdrowia społeczeństwa (K. Korczak, Internetowe narzędzia wspomagające opiekę zdrowotną, Warszawa 2014, s. 44 [za:] [ ]).

3 Instrumenty wsparcia wdrażania rozwiązań e Zdrowia w Smart City 3 W dokumentach programowych i strategiach na poziomie regionalnym i lokalnym coraz silniej akcentuje się znaczenie efektywnego procesu wdrażania technologii informacyjno komunikacyjnych prowadzącego do podwyższenia poziomu jakości usług publicznych związanych z ochroną zdrowia. Przykład: 16 Regionalnych Programów Operacyjnych: Regionalny Program Operacyjny Województwa Mazowieckiego : Oś priorytetowa II: Wzrost e-potencjału Mazowsza, Priorytet inwestycyjny: Wzmocnienie zastosowań TIK dla eadministracji, e- uczenia się, e-włączenia społecznego, e-kultury i e-zdrowia, Cel szczegółowy: Zwiększone wykorzystanie e-usług publicznych. Nadal jednak w wielu przypadkach problematyka ta nie jest wystarczająco silnie akcentowana strategiach dotyczących rozwoju miast w Polsce: Przykład: Projekt dokumentu Krajowej Polityki Miejskiej przedstawiony przez Ministerstwo Infrastruktury i Rozwoju.

4 Regionalne inicjatywy w zakresie wdrażania rozwiązań e - Zdrowia Dolnośląskie e-zdrowie Podlaski System Informacyjny e-zdrowie Podkarpacki System Informacji Medycznej 4 Regionalny System Informacji Medycznej Województwa Łódzkiego Lubuska Sieć Teleradiologii Świętokrzyskie e-zdrowie Małopolski System Informacji Medycznej

5 Zalety wdrażania TIK w ochronie zdrowia 5 Poprawa jakości opieki zdrowotnej i zwiększenie wygody pacjenta, Zwiększenie partycypacji pacjenta w procesie leczenia poprzez ułatwienie dostępu do informacji o jego stanie zdrowia, Zwiększenie trafności diagnoz poprzez szerszy dostęp do informacji o stanie zdrowia pacjenta i możliwość wykorzystania systemów wspomagania decyzji klinicznych, Poprawa efektywności i obniżenie kosztów opieki zdrowotnej.

6 E-Zdrowie a problematyka ochrony prywatności 6 Rozwiązania w zakresie e Zdrowia nie będą efektywnie realizować swoich funkcji bez zagwarantowania zaufania i akceptacji pacjentów oraz osób wykonujących zawody medyczne do tych rozwiązań. Tego celu nie da się zrealizować bez zapewnienia adekwatnych do współczesnych zagrożeń mechanizmów ochrony prywatności osób fizycznych w systemach e Zdrowia.

7 Akty prawne dotyczące ochrony danych medycznych 7 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. z 2014 r. poz j.t.) zgodnie z art. 36 administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną; Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U z 2004 nr 100 poz. 1024) dane wrażliwe przetwarzane sąs w systemach o poziomie bezpieczeństwa podwyższonym lub wysokim (w przypadku połą łączenia go z publiczną siecią telekomunikacyjną). Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (Dz.U. z 2014 r. poz. 177 j.t.) w szczególności rozdział 8 dotyczący cy szczególnych wymagań dotyczących cych dokumentacji prowadzonej w postaci elektronicznej ( ( 80 i 86). Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r. poz. 526) - 20 i 21 akt ten dotyczy podmiotów w publicznych. Rozporządzenie Ministra Zdrowia z dnia 28 marca 2013 r. w sprawie wymagańdla Systemu Informacji Medycznej (Dz.U.2013 poz. 463) określające m.in. warunki organizacyjno-techniczne przetwarzania, udostępniania, autoryzacji oraz zabezpieczenia EDM przed utratą

8 Zabezpieczanie EDM 8 86 r.d.m. 1. Dokumentacjęprowadzonąw postaci elektronicznej uważa sięza zabezpieczoną, jeżeli w sposób ciągły są spełnione łącznie następujące warunki: 1) jest zapewniona jej dostępność wyłącznie dla osób uprawnionych; 2) jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem; 3) są zastosowane metody i środki ochrony dokumentacji, których skuteczność w czasie ich zastosowania jest powszechnie uznawana. 2. Zabezpieczenie dokumentacji prowadzonej w postaci elektronicznej wymaga w szczególności: 1) systematycznego dokonywania analizy zagrożeń; 2) opracowania i stosowania procedur zabezpieczania dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania; 3) stosowania środków bezpieczeństwa adekwatnych do zagrożeń; 4) bieżącego kontrolowania funkcjonowania wszystkich organizacyjnych i techniczno-informatycznych sposobów zabezpieczenia, a także okresowego dokonywania oceny skuteczności tych sposobów; 5) przygotowania i realizacji planów przechowywania dokumentacji w długim czasie, w tym jej przenoszenia na nowe informatyczne nośniki danych i do nowych formatów danych, jeżeli tego wymaga zapewnienie ciągłości dostępu do dokumentacji. 3. Ochronę informacji prawnie chronionych zawartych w dokumentacji prowadzonej w postaci elektronicznej realizuje się z odpowiednim stosowaniem zasad określonych w odrębnych przepisach. W opinii ekspertów Grupy Roboczej art. 29 wszelkie dane zawarte w dokumentacji medycznej, w elektronicznej dokumentacji zdrowotnej oraz w systemach EHR należy traktować jako dane osobowe szczególnie chronione (Dokument roboczy w sprawie przetwarzania danych osobowych dotyczących zdrowia w elektronicznej dokumentacji zdrowotnej (EHR), 00323/07/PL WP 131).

9 Tajemnice zawodów medycznych 9 Oprócz mechanizmów prawnych zawartych w u. o.d.o. i r.d.m dane pacjenta zawarte w elektronicznej dokumentacji medycznej chronione są poprzez instytucje tajemnic zawodowych. Zgodnie z art. 13 Ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz.U.( z 2012 r. poz. 159 j.t.) pacjent ma prawo do zachowania w tajemnicy przez osoby wykonujące zawód medyczny, w tym udzielające mu świadczeń zdrowotnych, informacji z nim związanych, a uzyskanych w związku z wykonywaniem zawodu medycznego. Jego rozwinięciem jest art. 14 UoPP, w którym wskazano, że celu realizacji omawianego prawa osoby wykonujące zawód medyczny są obowiązane zachować w tajemnicy informacje związane z pacjentem, w szczególności ze stanem zdrowia pacjenta. Instytucja tajemnicy lekarskiej została szczegółowo uregulowana w art. 40 Ustawy z dnia 5 grudnia 1996 r.o zawodach lekarza i lekarza dentysty (Dz.( U r. nr 277 poz j.t.), który stanowi, że lekarz ma obowiązek zachowania w tajemnicy informacji związanych z pacjentem, a uzyskanych w związku z wykonywaniem zawodu.

10 Katalog tajemnic zawodów medycznych 10 Ochrona tajemnic poszczególnych zawodów medycznych jest statuowana w następujących aktach prawnych: Lekarz i lekarz dentysta art. 40 ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (Dz.U. z 2011 r. nr 277poz j.t.), Pielęgniarka i położna -art. 17 ustawy z dnia 15 lipca 2011 r. o zawodach pielęgniarki i położnej (Dz.U. z 2011 r. nr 174 poz. 1039), Felczer-art. 7 ustawy z dnia 20 lipca 1950 r. o zawodzie felczera (Dz.U. z 2012 r. poz j.t.), Diagnosta laboratoryjny -art. 29 ustawy z dnia 27 lipca 2001 r. o diagnostyce laboratoryjnej (Dz.U. z 2004 r. nr 144 poz j.t.), Farmaceuta - art. 21 pkt 2 ustawy z dnia 19 kwietnia 1991 r. o izbach aptekarskich (Dz.U. z 2008 r. nr 136 poz. 856 j.t.).

11 Inne rodzaje tajemnic informacji związanych z pacjentem 11 Tajemnica psychiatryczna art. 50 ust. 1 ustawy z dnia 19 sierpnia 1994 r. o ochronie zdrowia psychicznego (Dz.U. z 2011 r. nr 231 poz j.t.). Tajemnica przeszczepów art. 19 ust. 1 ustawy z dnia 1 lipca 2005 r. o pobieraniu, przechowywaniu i przeszczepianiu komórek, tkanek i narządów (Dz.U. z 2005 r. nr 169 poz. 1411). Tajemnica dawcy krwi art. 13 ustawy z dnia 22 sierpnia 1997 r. o publicznej służbie krwi (Dz.U. z 2014 poz. 332 j.t.). Tajemnica Służby Medycyny Pracy art. 11 ust. 3 z dnia 27 czerwca 1997 r. o służbie medycyny pracy (Dz.U. z 2014 r. poz j.t.). Tajemnica osób wykonujących czynności związane z planowaniem rodziny, ochroną płodu ludzkiego i przerywaniem ciąży art. 4c ust. 1 ustawy z dnia 7 stycznia 1993 r. o planowaniu rodziny, ochronie płodu ludzkiego i warunkach dopuszczalności przerywania ciąży (Dz.U. z 1993 r. nr 17 poz. 78). Tajemnica znaków identyfikacyjnych pacjentów szpitali art. 36 ust. 5 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz.U. z 2013 r. poz. 217 j.t.) Tajemnica badań klinicznych art. 37b ust. 3 pkt 3 ustawy z dnia 6 września 2001 r. Prawo farmaceutyczne (Dz.U. z 2008 r. nr 45 poz. 271 j.t.).

12 EDM a normy techniczne r.d.m. 1. Dokumentację prowadzoną w postaci elektronicznej sporządza się z uwzględnieniem postanowień Polskich Norm, których przedmiotem są zasady gromadzenia i wymiany informacji w ochronie zdrowia, przenoszących normy europejskie lub normy innych państw członkowskich Europejskiego Obszaru Gospodarczego przenoszące te normy. Art. 4 ustawy z dnia 12 września 2002 r. o normalizacji (Dz.U. z 2002 r. nr 169 poz. 1386). W normalizacji krajowej stosuje się następujące zasady: 3) dobrowolności uczestnictwa w procesie opracowywania i stosowania norm Art. 4 u. o n. 3. Stosowanie Polskich Norm jest dobrowolne. W świetle przepisów ustawy z 2002 r. o normalizacji opracowywane przez komitety techniczne Polskie Normy nie pełnią roli przepisów prawa. Nadanie im takiego waloru wymaga regulacji szczególnej, zawartej w przepisie rangi ustawowej, natomiast przywołanie Polskich Norm w rozporządzeniu nie skutkuje nałożeniem obowiązku ich stosowania. Akt niższego rzędu nie może zmienićpostanowieńaktu wyższego rzędu, jakim jest ustawa z 2002 r. o normalizacji (Wyrok Wojewódzkiego Sądu Administracyjnego w Krakowie z dnia 23 lipca 2012 r., sygn. II SA/Kr 745/12, LEX nr ).

13 Podstawowe normy techniczne w zakresie bezpieczeństwa danych medycznych 13 PN-EN ISO 10781: Model funkcjonalny systemu elektronicznej dokumentacji zdrowotnej, wersja 1.1 System przetwarzający elektroniczną dokumentację zdrowotną powinien spełniać wymagania opisane w normie PN-EN ISO W jej treści określono model funkcjonalny systemu elektronicznej dokumentacji zdrowotnej HL7. W modelu tym podano listę referencyjną funkcji z perspektywy użytkownika, które mogą występować w systemie elektronicznej dokumentacji zdrowotnej (EHR-S). Katalog funkcjonalności w zakresie bezpieczeństwa: uwierzytelnianie podmiotu, autoryzacja podmiotu, kontrola dostępu dla podmiotu, zarządzanie dostępem pacjenta, niezaprzeczalność, bezpieczna wymiana danych, poświadczanie informacji, prywatność i poufność pacjenta. PN-EN ISO 27799: Informatyka w ochronie zdrowia - Zarządzanie bezpieczeństwem informacji w ochronie zdrowia z wykorzystaniem ISO/IEC W normie tej określono wskazówki dla wsparcia interpretacji i stosowania w informatyce ochrony zdrowia ISO/IEC Określono zbiór szczegółowych narzędzi kontrolnych do zarządzania bezpieczeństwem informacji w ochronie zdrowia i dostarczono najlepszych wskazówek praktycznych zarządzania bezpieczeństwem informacji w ochronie zdrowia. PN-EN : Informatyka w ochronie zdrowia - Przesyłanie elektronicznej dokumentacji zdrowotnej - Część 4: Bezpieczeństwo danych Opisano metodologię określania uprawnień niezbędnych do uzyskania dostępu do danych EHR. Metodologia ta stanowi część ogólnej architektury przesyłania danych EHR.

14 Wytyczne w zakresie bezpiecznego przetwarzania EHR w Polsce 14 Wytyczne, zasady i rekomendacje dla usługodawców w zakresie budowy i stosowania systemu bezpiecznego przetwarzania elektronicznej dokumentacji medycznej (d0kument przygotowany dla Centrum Systemów Informacyjnych Ochrony Zdrowia w 2014 r.) Dokument ten zawiera: Analizęmodeli architektury bezpiecznego przechowywania EHR: model klasyczny, outsourcing, Cloud Computing, platformy regionalne; Logiczny model systemu wspierającego bezpieczne przetwarzanie EHR (cykl życia EHR, tworzenie dokumentacji w postaci elektronicznej, dodawanie wpisów do dokumentacji, struktura EDM, autoryzacja dokumentu, gromadzenie, przechowywanie, udostępnianie i archiwizacja EHR) i Przykładowe scenariusze dotyczące bezpiecznego przetwarzania EDM.

15 Postulaty de lege ferenda dotyczące ochrony danych medycznych w Polsce 15 Zapewnienie większej spójności przepisów prawnych dotyczących ochrony danych osobowych, tajemnic zawodów medycznych i przetwarzania dokumentacji medycznej, Wprowadzenie kompleksowego minimalnego standardu normatywnego podstawowych wymagań dla Systemów Zarządzania Bezpieczeństwem Informacjiw podmiotach wykonujących działalnośćleczniczą(na wzór 20 k.r.i.), uwzględniającego obowiązki w zakresie zarządzania ryzykiem, Wzmocnienie obowiązków związanych z przeglądami i ciągłym doskonaleniem przez cały okres cyklu życia Systemów Zarządzania Bezpieczeństwem Informacji w podmiotach wykonujących działalność leczniczą, Wprowadzenie sankcji administracyjnych o charakterze pieniężnym za naruszenie zasad bezpieczeństwa danych medycznych przez podmioty wykonujące działalność leczniczą, Wprowadzenie obowiązków notyfikacyjnych w zakresie incydentów związanych z bezpieczeństwem danych medycznych (w stosunku do podmiotów danych i organów nadzorczych). Zapewnienie wsparcia organizacyjnego i finansowego podmiotom wykonującym działalnośćlecznicząw zakresie wdrażania i doskonalenia Systemów Zarządzania Bezpieczeństwem Informacji.

16 Dziękujemy za uwagę. 16