Północno-Wschodni Klaster Edukacji Cyfrowej

Transkrypt

1 Północno-Wschodni Klaster Edukacji Cyfrowej dr n. med. Ewa Kleszczewska Dyrektor Instytutu Ochrony Zdrowia Państwowej Wyższej Szkoły Zawodowej im. prof. Edwarda F. Szczepanika w Suwałkach dr Agata Wądołowska

2 Podstawy prawne w zakresie bezpieczeństwa i ochrony elektronicznej dokumentacji medycznej

3 art. 50 pkt. 1 w zw. z art. 56 ustawy z dnia 28 kwietnia 2011r. o systemie informacji w ochronie zdrowia Przed Dokumentacja medyczna w formie papierowej i elektronicznej 31 lipca 2014r. Po Dokumentacja medyczna wyłącznie w formie elektronicznej!!!

4 Medyczne dane osobowe w postaci cyfrowej stanowią szczególny przypadek danych osobowych (dane wrażliwe), stanowią szczególny przypadek dokumentacji medycznej, podlegają szczególnym regułom przetwarzania i ochrony. Konieczne jest zapewnienie wysokiego poziomu bezpieczeństwa takiego rodzaju danych, w tym ochrony ich poufności i prywatności, a także ochrony przed niepowołanym dostępem, czy utratą!!!

5 Szczególne wymagania dotyczące dokumentacji medycznej prowadzonej w postaci elektronicznej Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U. z 2010r. Nr 252, poz z późn. zm.)

6 Rozporządzenie reguluje kwestie związane ze sporządzaniem i prowadzeniem dokumentacji medycznej przez następujące podmioty: 1) Podmioty lecznicze prowadzące szpitale, podmioty lecznicze udzielające świadczeń ambulatoryjnych, zakłady opiekuńczo-lecznicze, zakłady pielęgnacyjno-opiekuńcze, zakłady rehabilitacji leczniczej lub inne przedsiębiorstwa podmiotu leczniczego przeznaczone dla osób, których stan zdrowia wymaga udzielania stacjonarnych lub całodobowych świadczeń zdrowotnych innych niż szpitalne, zakłady leczenia uzdrowiskowego, dysponentów zespołów ratownictwa medycznego, zakłady badań diagnostycznych i medyczne laboratoria diagnostyczne (Rozdział 2); 2) Lekarzy udzielających świadczeń zdrowotnych w ramach praktyki zawodowej (Rozdział 3); 3) Pielęgniarki i położne udzielające świadczeń zdrowotnych w ramach praktyki zawodowej (Rozdział 4); 4) Lekarzy podstawowej opieki zdrowotnej, pielęgniarki lub higienistki szkolne udzielających świadczeń zdrowotnych uczniom (Rozdział 5); 5) Lekarzy wystawiających recepty dla siebie albo dla małżonka, zstępnych lub wstępnych w linii prostej oraz rodzeństwa (Rozdział 5a).

7 80 Rozporządzenia wymogi dla systemu teleinformatycznego Dokumentacja może być prowadzona w postaci elektronicznej, pod warunkiem prowadzenia jej w systemie teleinformatycznym zapewniającym: 1) zabezpieczenie dokumentacji przed uszkodzeniem lub utratą; 2) zachowanie integralności i wiarygodności dokumentacji; 3) stały dostęp do dokumentacji dla osób uprawnionych oraz zabezpieczenie przed dostępem osób nieuprawnionych; 4) identyfikację osoby dokonującej wpisu oraz osoby udzielającej świadczeń zdrowotnych i dokonywanych przez te osoby zmian, w szczególności dla odpowiednich rodzajów dokumentacji przyporządkowania cech informacyjnych zgodnie z 10 ust. 2; 5) udostępnienie, w tym przez eksport w postaci elektronicznej dokumentacji albo części dokumentacji będącej formą dokumentacji określonej w rozporządzeniu, w formacie XML i PDF; 6) eksport całości danych w formacie XML, w sposób zapewniający możliwość odtworzenia tej dokumentacji w innym systemie teleinformatycznym; 7) wydrukowanie dokumentacji w formach określonych w rozporządzeniu.

8 85 Rozporządzenia - wymogi sporządzania dokumentacji medycznej w formie elektronicznej 1) Dokumentację prowadzoną w postaci elektronicznej sporządza się z uwzględnieniem postanowień Polskich Norm, których przedmiotem są zasady gromadzenia i wymiany informacji w ochronie zdrowia, przenoszących normy europejskie lub normy innych państw członkowskich Europejskiego Obszaru Gospodarczego przenoszące te normy. 2) W przypadku braku Polskich Norm przenoszących normy europejskie lub normy innych państw członkowskich Europejskiego Obszaru Gospodarczego przenoszące te normy uwzględnia się: 1) normy międzynarodowe; 2) Polskie Normy; 3) europejskie normy tymczasowe.

9 82 Rozporządzenia - wymogi dla utrwalania dokumentacji medycznej w formie elektronicznej Utrwalenie dokumentacji prowadzonej w postaci elektronicznej polega na zastosowaniu odpowiednich do ilości danych i zastosowanej technologii rozwiązań technicznych zapewniających przechowywanie, używalność i wiarygodność dokumentacji znajdującej się w systemie informatycznym co najmniej do upływu okresu przechowywania dokumentacji.

10 86 ust. 1 Rozporządzenia - warunki uznania dokumentacji medycznej w formie elektronicznej za zabezpieczoną Dokumentację prowadzoną w postaci elektronicznej uważa się za zabezpieczoną, jeżeli w sposób ciągły są spełnione łącznie następujące warunki: 1) jest zapewniona jej dostępność wyłącznie dla osób uprawnionych; 2) jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem; 3) są zastosowane metody i środki ochrony dokumentacji, których skuteczność w czasie ich zastosowania jest powszechnie uznawana.

11 86 ust. 2 Rozporządzenia - szczególne środku bezpieczeństwa Zabezpieczenie dokumentacji prowadzonej w postaci elektronicznej wymaga w szczególności: 1) systematycznego dokonywania analizy zagrożeń; 2) opracowania i stosowania procedur zabezpieczania dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania; 3) stosowania środków bezpieczeństwa adekwatnych do zagrożeń; 4) bieżącego kontrolowania funkcjonowania wszystkich organizacyjnych i techniczno-informatycznych sposobów zabezpieczenia, a także okresowego dokonywania oceny skuteczności tych sposobów; 5) przygotowania i realizacji planów przechowywania dokumentacji w długim czasie, w tym jej przenoszenia na nowe informatyczne nośniki danych i do nowych formatów danych, jeżeli tego wymaga zapewnienie ciągłości dostępu do dokumentacji.

12 Uwaga! Z dniem 1 sierpnia 2014r. wszystkie wymienione wymagania w zakresie systemów teleinformatycznych oraz sposobów sporządzania, utrwalania i zabezpieczania dokumentacji medycznej w postaci elektronicznej będą obowiązywać wszystkie podmioty udzielające świadczeń zdrowotnych.

13 Zasady przechowywania dokumentacji medycznej 72. Rozporządzenia 1) Dokumentacja wewnętrzna jest przechowywana przez podmiot, który ją sporządził. 2) Dokumentacja zewnętrzna w postaci zleceń lub skierowań jest przechowywana przez podmiot, który zrealizował zlecone świadczenie zdrowotne. 73. Rozporządzenia Podmiot zapewnia odpowiednie warunki zabezpieczające dokumentację przed zniszczeniem, uszkodzeniem lub utratą i dostępem osób nieupoważnionych, a także umożliwiające jej wykorzystanie bez zbędnej zwłoki. 74. Rozporządzenia Miejsce przechowywania bieżącej dokumentacji wewnętrznej określa podmiot

14 Okresy przechowywania dokumentacji medycznej - art. 29 ust. 1 ustawy z dnia 6 listopada 2008r. o prawach pacjenta i Rzeczniku Praw Pacjenta Podmiot udzielający świadczeń zdrowotnych przechowuje dokumentację medyczną przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano ostatniego wpisu, z wyjątkiem: 1) dokumentacji medycznej w przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia - przechowywana przez okres 30 lat, licząc od końca roku kalendarzowego, w którym nastąpił zgon; 2) zdjęć rentgenowskich przechowywanych poza dokumentacją medyczną pacjenta - przechowywane przez okres 10 lat, licząc od końca roku kalendarzowego, w którym wykonano zdjęcie; 3) skierowań na badania lub zleceń lekarza - przechowywane przez okres 5 lat, licząc od końca roku kalendarzowego, w którym udzielono świadczenia będącego przedmiotem skierowania lub zlecenia; 4) dokumentacji medycznej dotyczącej dzieci do ukończenia 2. roku życia - przechowywana przez okres 22 lat.

15 Uwaga! Bezpieczeństwo elektronicznej dokumentacji medycznej wymaga: 1) Opracowania i wdrożenia procedur zabezpieczania dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania 2) Opracowania i wdrożenia procedur przechowywania dokumentacji w długim czasie z uwzględnieniem możliwości przenoszenia jej na nowe informatyczne nośniki danych i do nowych formatów danych w celu zapewnienia ciągłości dostępu do dokumentacji. Od 1 sierpnia 2014r!!!

16 Zapewnienie bezpieczeństwa dokumentacji medycznej w formie elektronicznej w świetle ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych Art. 36 ust. 1. Administrator danych* jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. *administrator danych - organ, jednostka organizacyjna, podmiot lub osoba decydujące o celach i środkach przetwarzania danych osobowych.

17 Inne obowiązki Administratora Danych Osobowych w zakresie zabezpieczenia danych 1) Prowadzenie dokumentacji opisującej sposób przetwarzania danych (art. 36 ust. 2 Ustawy); 2) Wyznaczenie administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony danych, chyba że sam wykonuje te czynności (art. 36 ust. 3 Ustawy); 3) Dopuszczenie do przetwarzania danych wyłącznie osób posiadających upoważnienie nadane przez administratora (art. 37 Ustawy); 4) Zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane; (art. 38 Ustawy) 5) Prowadzenie ewidencji osób upoważnionych do przetwarzania danych (art. 39 ust. 1 Ustawy).

18 Zapewnienie bezpieczeństwa dokumentacji medycznej w formie elektronicznej w świetle Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 1 pkt. 1 w zw. z 3 Rozporządzenia: 1) Administrator danych wdraża i prowadzi w formie pisemnej dokumentację opisującą sposób oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. 2) Na dokumentację składają się: polityka bezpieczeństwa instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

19 Poziomy bezpieczeństwa przetwarzania danych osobowych w świetle Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. 1) 6 Rozporządzenia wprowadza trzy poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym w zależności od tego z jaką kategorią danych mamy do czynienia oraz do stopnia zagrożenia - podstawowy, podwyższony oraz wysoki. 2) Ze względu na fakt, iż dane medyczne zostały zaliczone do tzw. danych wrażliwych, do ich ochrony należy stosować poziom podwyższony lub wysoki. 3) Opis środków bezpieczeństwa na poszczególnych poziomach określa załącznik do rozporządzenia.

20 Instrumenty ochrony dokumentacji medycznej 1) Ochrona administracyjnoprawna - Generalny Inspektor Danych Osobowych (Rozdział 2 ustawy o ochronie danych osobowych) - Rzecznik Praw Pacjenta (Rozdział 12 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta) 2. Szczególna cywilnoprawna ochrona praw pacjenta - art. 4 ust. 1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta: W razie zawinionego naruszenia praw pacjenta sąd może przyznać poszkodowanemu odpowiednią sumę tytułem zadośćuczynienia pieniężnego za doznaną krzywdę na podstawie art. 448 Kodeksu cywilnego.

21 Instrumenty ochrony dokumentacji medycznej c. d. 3. Ochrona karnoprawna - Odpowiedzialność karna administratora danych - Rozdział 8 ustawy o ochronie danych osobowych: art. 49 przestępstwo niedopuszczalnego przetwarzania danych osobowych lub przetwarzania przez osobę nieuprawnioną art. 51 przestępstwo nielegalnego udostępniania danych osobowych lub umożliwiania dostępu osobom nieupoważnionym art. 52 przestępstwo bezprawnego naruszenia obowiązku zabezpieczenia danych osobowych art. 54 przestępstwo naruszenia obowiązku informacji wobec osoby, której dane dotyczą - Odpowiedzialność karna na gruncie Kodeksu karnego art. 266 kk ujawnienie tajemnicy

22 Podsumowanie Prawidłowe wdrożenie z dniem 1 sierpnia 2014r. dokumentacji medycznej wymaga: elektronicznej spełnienia przez system teleinformatyczny przeznaczony do prowadzenia elektronicznej dokumentacji medycznej wymogów określonych w Rozporządzeniu Ministra Zdrowia z dnia 21 grudnia 2010r. i w ustawie o ochronie danych osobowych; opracowania i wdrożenia odpowiedniej dokumentacji dotyczącej przetwarzania danych osobowych i medycznych, w tym m. in. Polityki Bezpieczeństwa i Instrukcji zarządzania systemem informatycznym; opracowania i wdrożenia procedur zabezpieczania dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania, które będą chronić: przed dostępem osób nieupoważnionych, przed zniszczeniem lub utratą danych, czy przed nieautoryzowaną zmianą danych;

23 Podsumowanie c.d. opracowania i wdrożenia procedur przechowywania dokumentacji w długim czasie w tym jej przenoszenia na nowe informatyczne nośniki danych i do nowych formatów danych; wdrożenia odpowiednich procesów szkolenia pracowników z zakresu bezpieczeństwa elektronicznej dokumentacji medycznej, cyklicznego przeprowadzania kontroli wdrożonych mechanizmów bezpieczeństwa w celu określenia ich skuteczności.

24 WNIOSEK: Szeroki katalog ulegających zmianom aktów prawnych regulujących problematykę elektronicznej dokumentacji medycznej w zakresie jej jakości, ochrony i bezpieczeństwa powoduje konieczność stworzenia wśród podmiotów zainteresowanych tą problematyką profesjonalnej kadry swobodnie poruszającej się w gąszczu przepisów dla zapewnienia odpowiedniej polityki dostępu, przetwarzania i przechowywania tego typu danych, a co za tym idzie ich bezpieczeństwa.

25 Stworzenie profesjonalnej kadry w zakresie bezpieczeństwa elektronicznej dokumentacji medycznej to jeden z celów jakie stawia prze sobą Państwowa Wyższa Szkoła Zawodowa im. prof. Edwarda F. Szczepanika w Suwałkach. Rok akademicki 2013/2014 Kierunek: Bezpieczeństwo Wewnętrzne Moduł: Bezpieczeństwo elektronicznej dokumentacji medycznej.

26