Polityka bezpieczeństwa danych pacjenta

Podobne dokumenty
Co powinna zawierać instrukcja ochrony danych osobowych w ZOZ. Praktyczne wskazówki z gotowym wzorem instrukcji dla ZOZ

2) stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem,

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Elektroniczna dokumentacja medyczna - nowe obowiązki od 1 sierpnia 2014 r.

Jak przetwarzać dane sensytywne zgodnie z RODO w gabinecie lekarskim 1

ZARZĄDZENIE NR 15/2010 DYREKTORA SZKOŁY PODSTAWOWEJ NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Podlaski System Informacyjny e-zdrowie już działa

Instrukcja zarządzania systemem informatycznym STORK Szymon Małachowski

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH. Rozdział I Postanowienia wstępne.

REGULAMIN OCHRONY DANYCH OSOBOWYCH W ZASOBACH SPÓŁDZIELNI MIESZKANIOWEJ LOKATORSKO- WŁASNOŚCIOWEJ w Konstancinie-Jeziornie.

Rozdział I Zagadnienia ogólne

POLITYKA BEZPIECZEŃSTWA

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 9)

Załącznik do zarządzenia nr16 /2010 Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Jakie są podstawowe obowiązki wynikające z ustawy o ochronie danych osobowych?

Jak zorganizować szkolną infrastrukturę informatyczną (sieć informatyczną) Tadeusz Nowik

Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych w Urzędzie Miasta Lublin

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SPÓŁDZIELNI MIESZKANIOWEJ ODJ KRAKÓW

PROWADZENIE DOKUMENTACJI MEDYCZNEJ W PRAKTYCE LEKARSKIEJ W FORMIE ELEKTRONICZNEJ. Jerzy Gryko

i częstotliwość tworzenia kopii, zasady sprawdzania obecności wirusów komputerowych oraz dokonywania przeglądów i konserwacji systemów.

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI

Regulamin. 1 Postanowienia ogólne. 2 Definicje

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH ZESPOŁU EKONOMICZNO ADMINISTRACYJNEGO SZKÓŁ I PRZEDSZKOLA W GRĘBOCICACH

Zał. nr 2 do Zarządzenia nr 48/2010 r.

Ale ile to kosztuje?

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH W OŚRODKU KULTURY W DRAWSKU POMORSKIM

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Instrukcja zarządzania RODO. w Liceum Ogólnokształcącym im. Komisji Edukacji Narodowej w Gogolinie

Bezpieczne dane - dobre praktyki w szkole. Roman Pinoczek Dyrektor Szkoły

Północno-Wschodni Klaster Edukacji Cyfrowej

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

INSTRUCKJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM W ADCONNECT SP. Z O.O. SP. K.

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych w Starostwie Powiatowym w Toruniu. Identyfikacja zasobów systemu informatycznego

Polityka bezpieczeństwa ochrony danych osobowych i zarządzania systemem informatycznym w POYADE Group Poland sp. z o.o.

PARTNER.

Elektroniczna dokumentacja medyczna i bezpieczeństwo danych w gabinecie dentystycznym

2. Dane osobowe - wszelkie informacje, w tym o stanie zdrowia, dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej

ZARZĄDZENIE Nr 10 DYREKTORA GENERALNEGO SŁUŻBY ZAGRANICZNEJ. z dnia 9 maja 2011 r.

Zarządzenie Nr 20/2009 Wójta Gminy Przywidz z dnia 6 marca 2009r.

POLITYKA BEZPIECZEŃSTWA SYSTEMU INFORMATYCZNEGO

SZCZEGÓŁOWA INSTRUKCJA ZARZADZANIA SYSTEMEM INFORMATYCZNYM W ZESPOLE SZKÓŁ PONADGIMNAZJALNYCH W DRAWSKU POMORSKIM

R E G U L A M I N. ochrony danych osobowych określający politykę bezpieczeństwa. Spółdzielnia Mieszkaniowa Geofizyka w Toruniu

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

Zakres wymagań dotyczących Dokumentacji Systemu

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

SYSTEM ARCHIWIZACJI DANYCH

Sieciowa instalacja Sekafi 3 SQL

Czy stać Cię na utratę danych? Postawa na działania profilaktycz ne czyli Kopia w Chmurze

Polityka bezpieczeństwa danych osobowych przetwarzanych w ramach Programu BIOsfera BIODERMA

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Miasta Kościerzyna

Zamawiający nie narzuca sposobu udostępnienia wymaganych funkcjonalności a zatem dopuszcza również możliwość realizacji z poziomu HIS

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM PRZETWARZAJĄCYM DANE OSOBOWE W FIRMIE

Adwokat Marcin Haśko Kancelaria Adwokacka ul. Św. Mikołaja Wrocław tel/fax 071/

KORZYSTANIA PORTALU. udostępnianego przez Powiatowy Zespół Zakładów Opieki Zdrowotnej. Postanowienia ogólne

ŚRODOWISKO KOMPUTEROWYCH SYSTEMÓW INFORMATYCZNYCH TEST PEŁNY Status obszaru: Jeszcze nie edytowany (otwarty) Opracowano 0 z 55

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Opisz zasady obsługi pacjenta... 1 Zapoznaj pracowników z prawami pacjenta... 2 Gdy trzeba, wyciągaj konsekwencje... 3

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Nowoczesny system komputerowy przeznaczony do obsługi pacjentów i rozliczeń w dużych przychodniach i klinikach lekarskich.

CZĘŚĆ A. NAZWA ZBIORU DANYCH.

Dotyczy komputera przetwarzającego dane osobowe w ramach podsystemu PEFS.

PROCEDURY ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

Elektroniczna Ewidencja Materiałów Wybuchowych

Spis treści. 1. Konfiguracja systemu ewuś Logowanie się do systemu ewuś Korzystanie z systemu ewuś Weryfikacja cykliczna...

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM SŁUŻĄCYM DO PRZETWARZANIA DANYCH OSOBOWYCH

Szkolenie otwarte 2016 r.

Konferencja otwierająca projekt. Brusy, r.

Instrukcja Zarządzania Systemem Informatycznym Służącym do Przetwarzania Danych Osobowych

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

System Kancelaris. Zdalny dostęp do danych

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Praktyczne aspekty informatyzacji małych i średnich placówek służby zdrowia

Nie jest on jednak bezwzględny. Możemy wskazać sytuacje, w których lekarz jest zwolniony z zachowania tajemnicy. Dotyczy to sytuacji, gdy:

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA DLA ZADANIA 2 (Portal Pacjenta)

Datacenter - inteligentne bezpieczne przechowywanie dokumentacji medycznej. r. pr. Radosław Kapułka

Regulamin w zakresie przetwarzania danych osobowych w Zespole Szkół w Kaszczorze.

Załącznik Nr 2 do ZARZĄDZENIA NR 568/2016 PREZYDENTA MIASTA SOPOTU z dnia 12 maja 2016 r. INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM

ZAPYTANIE OFERTOWE. Zamawiający. Przedmiot zapytania ofertowego. Wrocław, dnia r.

REGULAMIN PORTALU ROLNICZA CHMURA USŁUG. 1 Definicje

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH W SZKOLE PODSTAWOWEJ W CHRUŚLINIE

Outsourcing usług informatycznych - szansa na dofinansowanie systemu IT w szpitalu czy zagrożenia dla bezpieczeństwa danych?

POLITYKA BEZPIECZEŃSTWA przetwarzania danych osobowych systemu informatycznego Urzędu Miejskiego w Kozienicach

Transkrypt:

Spis treści Jak wybrać najlepszy dla placówki system informatyczny... Błąd! Nie zdefiniowano zakładki. Konstrukcja systemu informatycznego w placówce... Błąd! Nie zdefiniowano zakładki. Wybór systemu informatycznego... Błąd! Nie zdefiniowano zakładki. Wsparcie dla procesu leczenia... Błąd! Nie zdefiniowano zakładki. Łatwy dostęp do informacji zarządczej... Błąd! Nie zdefiniowano zakładki. Wybór technologii... Błąd! Nie zdefiniowano zakładki. Interoperacyjność systemu... Błąd! Nie zdefiniowano zakładki. Aspekt prawny... Błąd! Nie zdefiniowano zakładki. Zaangażowanie kierownictwa w proces wdrożenia systemu... Błąd! Nie zdefiniowano zakładki. Analiza przedwdrożeniowa... Błąd! Nie zdefiniowano zakładki. Zastosowanie modelu cloud computing w ochronie zdrowia... Błąd! Nie zdefiniowano zakładki. Chmura obliczeniowa w informatyzacji placówki... Błąd! Nie zdefiniowano zakładki. Chmura publiczna... Błąd! Nie zdefiniowano zakładki. Chmura prywatna... Błąd! Nie zdefiniowano zakładki. Poziom bezpieczeństwa danych... Błąd! Nie zdefiniowano zakładki. Najważniejsze z punktu widzenia kosztów zalety rozwiązań terminalowych... Błąd! Nie zdefiniowano zakładki. Przyszłość infrastruktury informatycznej... Błąd! Nie zdefiniowano zakładki. Jakie wyzwania stoją przed szpitalami w zakresie e-zdrowia... Błąd! Nie zdefiniowano zakładki. Zakres badania... Błąd! Nie zdefiniowano zakładki. Obszary funkcjonalne... Błąd! Nie zdefiniowano zakładki. Wyzwania w zakresie e-zdrowia... Błąd! Nie zdefiniowano zakładki. 1

Już dziś dowiedz się, jak bezpiecznie zarządzać e- dokumentacją. Jej prowadzenie zostało przesunięte o 3 lata i będzie obowiązkowe od 1 sierpnia 2017 r. Poznaj odpowiedzi pytania i skorzystaj z porad naszych ekspertów: prawników, pracowników Ministerstwa Zdrowia i doświadczonych menedżerów placówek medycznych, którzy skutecznie wyjaśnią Ci obowiązki wynikające z nowej ustawy. Dzięki ich podpowiedziom: poznasz zasady jakie obowiązują w zakresie udostępniania dokumentacji medycznej pacjentom, bez problemu wypełnisz obowiązek właściwego dokonywania wpisów do dokumentacji, numerowania i chronologicznego wypełniania dokumentacji medycznej, dowiesz się, jakie wymogi trzeba spełnić, aby prowadzić w placówce wyłącznie dokumentację elektroniczną. Zrób jeden mały krok, by polepszyć sytuację swoją i swojej placówki >> 2

Newralgiczne miejsce rejestracja wizyt Najbardziej newralgicznym punktem, jeśli chodzi o bezpieczeństwo danych osobowych, jest stanowisko komputerowej rejestracji wizyt. To tutaj jest wymagane udostępnienie dokumentu tożsamości lub przekazanie swoich danych ustnie. Należy więc zadbać, żeby nikt poza wprowadzającym dane nie mógł spoglądać na ekran komputera. Planując politykę zarządzania informacją w placówce ochrony zdrowia, trzeba odpowiedzieć sobie na następujące pytania: w jaki sposób w placówce dane powinny być przechowywane? na jakie niebezpieczeństwo są one narażone podczas codziennego funkcjonowania ośrodka? jak udoskonalić politykę bezpieczeństwa informacji bez pogarszania komfortu pracy personelu? Inwestycja w bezpieczeństwo nigdy nie jest chybiona. Koszty, jakie jednostka musi ponieść w przypadku utraty ważnych danych (często bywają one cenniejsze niż sprzęt, na którym się znajdują), oraz koszty przywrócenia funkcjonalności ośrodka są wysokie (koszt odzyskania 1 gigabajta danych z uszkodzonego komputera może wynieść nawet kilka tysięcy zł). Dlatego stworzenie odpowiednich procedur i mechanizmów umożliwiających kontrolę przepływu informacji i zapewnienia im odpowiedniego poziomu bezpieczeństwa jest wyzwaniem dla menedżera placówki. Musi on więc odpowiednio zaprojektować i wdrożyć system przyjmowania, przetwarzania oraz przesyłania danych osobowych. Kategorie informacji Między pacjentami, pracownikami ośrodka, a także między osobami postronnymi nieustannie krążą dane osobowe. Są to dane wymagane podczas procesu rejestracji wizyty w systemie komputerowym, dotyczące historii choroby i leczenia (kartoteki) pacjentów oraz pewna część informacji prywatnych dla pacjentów np. mających związek z transportem pacjenta do ośrodka bądź próbami umówienia się na kolejną wizytę w najdogodniejszym terminie i do ulubionego lekarza. W związku z tym można wydzielić dwie podstawowe kategorie informacji istotnych z punktu widzenia funkcjonowania ośrodka: informacje medyczne i mające związek z procesem leczenia, informacje administracyjne. Obie kategorie wymagają specyficznych procesów bezpieczeństwa, a przede wszystkim zdefiniowania praw dostępu osób mających z nimi bezpośredni kontakt. Jednak aby polityka bezpieczeństwa spełniała swoją rolę, wymagane jest zdefiniowanie procedur dostępu do danych i bezwzględne ich przestrzeganie przez wszystkich pracowników. Przykład 1 Prawa dostępu W jednej z placówek medycznych personel szary nie ma dostępu do historii chorób i leczenia, a także do wszelkiej dokumentacji związanej z pracą personelu białego. W przypadku dostępu do informacji o pacjentach w placówce przede wszystkim ograniczono dostęp osób trzecich do baz danych oraz kartotek pacjentów, a także tak skutecznie, jak to tylko możliwe wyeliminowano możliwość dostępu fizycznego osób niepowołanych do stanowisk komputerowych (nawet tych zabezpieczonych hasłami czy czytnikami biometrycznymi). Takie rozwiązanie umożliwiło 3

odizolowanie danych związanych z częścią medyczną ośrodka od administracyjnych. Dla obu typów danych zostały zastosowane oddzielne procedury bezpieczeństwa (prawa dostępu). Natomiast separacja stanowisk komputerowych jako najsłabszych ogniw w strukturze zabezpieczeń przyczyniła się do ogólnego wzrostu poziomu bezpieczeństwa infrastruktury IT placówki. Stanowiska są także lepiej zabezpieczone przed kradzieżą. Odpowiednie warunki rejestracji Ponieważ rejestracja i poczekalnia każdego ośrodka to miejsca, gdzie codziennie zachodzi największe ryzyko utraty cennych i nierzadko poufnych danych, należy pamiętać o zapewnieniu odpowiednich warunków pacjentom oczekującym na zarejestrowanie. Idealne warunki do przeprowadzenia procesu rejestracji pacjenta to: zdefiniowanie strefy bezpośrednio przy stanowisku rejestracji, w której znajduje się w danej chwili tylko pacjent rejestrowany (można wzorować się na rozwiązaniach stosowanych np. na lotniskach, gdzie w miejscach obsługi klientów jest oddzielona linią strefa, do której wchodzi maksymalnie jedna osoba), zapewnienie ciszy, aby rejestrowany pacjent nie był zmuszony do wykrzykiwania swoich danych osobowych, kilkukrotnego ich powtarzania itp., upewnienie się, że pacjent podczas rejestrowania nie widzi zawartości monitora komputera na tym stanowisku, zorganizowanie przestrzeni w taki sposób, aby wyjęte dokumenty tożsamości nie pozostawały w widocznym miejscu zbyt długo, zalogowanie się do systemu rejestracji komputerowej przed przystąpieniem do obsługi pacjentów, aby uniknąć wpisywania hasła w ich obecności. Nadmierny tłok i hałas zwiększają ryzyko przechwycenia danych osobowych czy nawet haseł dostępu do systemu ośrodka (zapamiętanie hasła wpisywanego w obecności pacjentów czy przepisanie danych z dokumentów pozostawionych na stoliku stanowiska nie stanowi wbrew pozorom najmniejszego problemu). Najbardziej newralgicznym punktem jest stanowisko komputerowej rejestracji wizyt to tutaj wymagane jest udostępnienie dokumentu tożsamości lub przekazanie swoich danych ustnie. Pozycja monitora w rejestracji W trosce o bezpieczeństwo informacji należy wziąć pod uwagę pozycję monitora komputera w rejestracji. Sytuacja wygląda podobnie w gabinetach lekarskich wyposażonych w stanowiska komputerowe. W żadnym przypadku nie należy pozostawiać wyświetlonych na ekranie danych pacjenta, a najlepiej w miarę możliwości nie opuszczać tego stanowiska. Często do przejęcia zdalnej kontroli nad komputerem wystarczy chwilowy dostęp do niego, np. pod nieobecność pielęgniarki rejestrującej. Dobrą praktyką jest takie ustawienie monitora, aby pacjent nie miał możliwości przyglądania się zawartości ekranu niezależnie od przyjętej pozycji. Unikajmy także logowania się (a co za tym idzie wpisywania hasła dostępu) w obecności pacjenta. Niedopuszczalne jest pozostawienie pacjenta w gabinecie z uruchomionym systemem informatycznym ośrodka bez nadzoru. Zarządzanie obiegiem informacji mogą ułatwić specjalistyczne systemy informatyczne, które dostarczają narzędzi do definiowania praw dostępu i stanowią nieocenioną pomoc przy 4

wdrażaniu polityki bezpieczeństwa. Menedżer placówki powinien nadzorować w tej kwestii służby informatyczne placówki. Awarie stanowisk komputerowych Niestety, nawet najdoskonalszy system komputerowy czy perfekcyjnie zaprojektowane procedury bezpieczeństwa nie uchronią ośrodka w 100% przed możliwością kradzieży sprzętu komputerowego lub jego trwałego uszkodzenia. Jak zabezpieczyć dane, które mogą zostać utracone w tych skrajnych z punktu widzenia zabezpieczeń sytuacjach? Dane przechowywane w postaci cyfrowej najbezpieczniej przechowywać w systemach zbudowanych w architekturze klient serwer. Takie rozwiązanie spowoduje, że nie utracimy ich w razie kradzieży. W tym przypadku baza danych programu jest przechowywana centralnie na wydzielonej (specjalistycznej) maszynie serwerowej, a poszczególne stanowiska komputerowe tylko się do niej odwołują i nie przechowują lokalnie żadnych informacji. W podobny sposób można zorganizować przechowywanie wszelkich dokumentów, które są tworzone w ośrodku w postaci cyfrowej. Do tego celu niezbędna jest sieć komputerowa oraz jeden z komputerów wyznaczony jako serwer (centralne miejsce przechowywania wszystkich danych). Odpowiednia konfiguracja otoczenia sieciowego oraz uprawnień zazwyczaj wymaga zaangażowania firmy zewnętrznej specjalizującej się w rozwiązaniach IT. Warto także zainwestować w odpowiedni system wykonywania kopii zapasowych na wypadek uszkodzenia serwera oraz system podtrzymywania zasilania (UPS) w razie chwilowych przerw w dostawie energii elektrycznej, które mają negatywny wpływ na funkcjonowanie sprzętu komputerowego. Taki zestaw rozwiązań sprawia, że dane są zabezpieczone zarówno przed kradzieżą poszczególnych komputerów w jednostce, jak i przed ich zniszczeniem. W takiej sytuacji zawsze będzie można je ponownie odtworzyć. Paweł Piecuch ekspert w zakresie implementacji rozwiązań technologicznych w ochronie zdrowia, Kompleksowe i niezbędne źródło fachowych informacji dla każdego menedżera ochrony zdrowia! >> 5

E-dokumentacja, bezpieczna i zawsze dostępna Wprowadzenie e-dokumentacji medycznej podnosi jakość obsługi pacjenta. Bezpieczne zarządzanie e-danymi to spełnienie takich wymogów, jak np. kontrola dostępu czy automatyczne tworzenie kopii zapasowych. Wdrożenie systemu cyfrowych kartotek pacjentów wymaga spełnienia wielu wymogów przez system teleinformatyczny. Wytyczne te zawiera rozporządzenie ministra zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania. Określa ono m.in. zasady odzyskiwania danych poprzez proces automatycznego tworzenia kopii zapasowych. Tworzenie kopii zapasowych System informatyczny do zarządzania elektroniczną dokumentacją musi zapewniać zabezpieczenie przed jej utratą lub uszkodzeniem. Z technologicznego punktu widzenia oznacza to, że powinien tworzyć kopie zapasowe, które w razie awarii elementu infrastruktury zapewnią możliwość odzyskania utraconych danych. Dobry mechanizm kopii zapasowych to taki, którego działania użytkownik nie odczuwa. Poza tworzeniem fizycznych kopii danych na bezpiecznym zewnętrznym nośniku powinien też udostępniać możliwość ich łatwego odzyskania bez konieczności wzywania specjalisty IT. Kontrola dostępu Kolejnym ważnym aspektem systemu teleinformatycznego jest kontrola dostępu. Nie każdy pracownik placówki powinien mieć możliwość wglądu w kartoteki pacjentów. W systemie cyfrowych kartotek musi istnieć moduł zarządzania uprawnieniami użytkowników, a najlepiej także logowania, aby mieć kontrolę nad wykonywanymi przez pracowników czynnościami. Funkcjonalność tego typu umożliwia późniejszą weryfikację w razie błędów bądź uszkodzeń dokumentacji. Identyfikacja użytkownika Następna funkcjonalność, którą najczęściej realizuje moduł zarządzania użytkownikami i ich uprawnieniami, to identyfikacja osoby udzielającej świadczenia oraz wprowadzanych przez nią zmian. Każda zmiana w treści dokumentacji musi być zapamiętywana wraz z informacją, kto ją wprowadził i kiedy. Uprawnienia do modyfikacji wpisów w kartotekach powinny być przypisane tylko i wyłącznie do kont lekarzy. Mechanizm eksportu danych do XML lub PDF Ustawodawca zakłada możliwość udostępnienia całości bądź części dokumentacji medycznej pacjentowi, którego ona dotyczy oraz na potrzeby instytucji zewnętrznych, np. centralnego systemu informacji o zdarzeniach medycznych docelowo mającego stanowić centralę przechowywania danych związanych z przebiegiem leczenia pacjenta. Mechanizmy eksportu do wymienionych formatów umożliwiają zarówno współpracę z systemami zewnętrznymi (XML), jak i prostą metodę udostępnienia dokumentacji dla pacjenta (PDF). Wydruk dokumentacji W odniesieniu do każdego elementu dokumentacji przechowywanej w formie cyfrowej musi istnieć możliwość stworzenia wydruku w sposób niewymagający kwalifikacji technicznych. Istotną funkcjonalnością jest również mechanizm zapamiętywania liczby wydruków danej kartoteki oraz informacji, kto i kiedy zrobił wydruk. 6

Zabezpieczenie systemu Kolejną ważną kwestią jest zabezpieczenie systemu informatycznego. Istotne są w tym przypadku zapisy dotyczące stworzenia odpowiednich procedur, które opisują wszystkie czynności związane z funkcjonowaniem systemu wewnątrz placówki. Podmiot prowadzący dokumentację medyczną w formie cyfrowej, opracowując stosowne procedury, musi w nich uwzględnić takie obowiązki, jak: prowadzenie systematycznej analizy zagrożeń związanych z przechowywaniem danych w formie cyfrowej, opracowanie i ciągła optymalizacja procedur związanych z przetwarzaniem dokumentacji oraz procedur czynności związanych z zabezpieczeniami, stosowanie środków bezpieczeństwa adekwatnych do zagrożeń, kontrolowanie na bieżąco funkcjonowania mechanizmów organizacyjnych i technologicznych mających na celu zabezpieczenie systemu przed nieuprawionym dostępem, okresowe sprawdzanie skuteczności zabezpieczeń, zaprojektowanie planów długotrwałego przechowywania dokumentacji w formie cyfrowej, uwzględniających migracje na inne nośniki danych w celu zapewnienia ciągłości dostępu do danych. Jakie wymagania musi spełniać system teleinformatyczny: Zabezpieczenie przed utratą lub uszkodzeniem dokumentacji. Zapewnienie dostępu wyłącznie dla osób uprawnionych. Identyfikacja osoby udzielającej świadczenia oraz wprowadzanych przez nią zmian. Możliwość eksportu całości lub części dokumentacji w formatach XML lub PDF. Możliwość wydruku dokumentacji. Paweł Piecuch ekspert w zakresie implementacji rozwiązań technologicznych w ochronie zdrowia Kompleksowe i niezbędne źródło fachowych informacji dla każdego menedżera ochrony zdrowia! >> 7

Instrukcja ochrony danych Jakie elementy powinna zawierać instrukcja ochrony danych osobowych? Trzeba w niej wskazać systemy informatyczne, których ona dotyczy, a także ich lokalizacje oraz stosowane metody dostępu. Instrukcję opracowuje administrator danych. W związku z tworzeniem zbiorów danych osobowych pacjentów, którym świadczone są usługi medyczne, konieczne jest opracowanie instrukcji określającej sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych. Obowiązek opracowania takiej instrukcji wynika z rozporządzenia ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Opracowana instrukcja powinna być zatwierdzona przez administratora danych i stosowana przez użytkowników systemu informatycznego jako obowiązujący dokument. Zawarte w niej wytyczne i procedury powinny być przekazane osobom odpowiedzialnym w jednostce za ich realizację, stosownie do przydzielonych uprawnień, zakresu obowiązków i odpowiedzialności. Zawartość instrukcji Większe wymogi przepisy stawiają administratorowi danych, który do przetwarzania danych Wykorzystuje nie jeden, lecz kilka systemów informatycznych. W takiej sytuacji powinien on opracować jedną, ogólną instrukcję zarządzania, wykorzystując pewne podobieństwa zastosowanych rozwiązań lub w przypadku niedających się pogodzić odrębności powinien on opracować oddzielne instrukcje dla każdego z użytkowanych systemów. Zatem, w zależności od przyjętego rozwiązania, inny będzie zakres opracowanych zagadnień w: małych podmiotach świadczących usługi medyczne, w których dane osobowe przetwarzane są za pomocą jednego stanowiska komputerowego, a inny w dużych podmiotach, w których stworzono rozbudowane lokalne sieci komputerowe z dużą liczbą dedykowanych serwerów lub stacji roboczych działających przy użyciu różnorodnych systemów informatycznych. Posiadane systemy W instrukcji powinny być wskazane systemy informatyczne, których ona dotyczy, ich lokalizacje, stosowane metody dostępu (bezpośrednio z komputera, na którym system jest zainstalowany, w lokalnej sieci komputerowej czy też poprzez sieć telekomunikacyjną, np. łącze dzierżawione, Internet). Instrukcja powinna obejmować zagadnienia dotyczące zapewnienia bezpieczeństwa informacji, a przede wszystkim elementy wymienione w 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, czyli: procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, 8

procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, sposób, miejsce i okres przechowywania: o elektronicznych nośników informacji zawierających dane osobowe, o kopii zapasowych, sposób zabezpieczenia systemu informatycznego przed działalnością szkodliwego oprogramowania, procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. W celu zapewnienia ochrony przetwarzanych danych, w odniesieniu do każdego z wymienionych punktów, w treści instrukcji powinny być wskazane odpowiednie dla stosowanych systemów informatycznych zasady postępowania. Paulina Wójcik-Lulka radca prawny Masz jakieś pytania? Pisz na adres e-mail: redakcja@experto24.pl Portal www.experto24.pl jest własnością Wydawnictwa Wiedza i Praktyka sp. z o.o., ul. Łotewska 9A, 03-918 Warszawa, Numer NI P: 526-19-92-256 Numer KRS: 0000098264 Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, wysokość kapitału zakładowego: 200 tys. zł. Centrum Obsługi Klienta: tel.: 22 518 29 29, faks: 22 619 33 93, e-mail: cok@wip.pl, www.fabrykawiedzy.com Wszelkie prawa zastrzeżone. 2HH0225 ISBN: 978-83-269-3337-0 9

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres