Ale ile to kosztuje?
IT w medycynie - normy PN-ISI/IEC 27001 - Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji; PN-ISO/IEC 17799 w odniesieniu do ustanawiania zabezpieczeń; PN-ISO/IEC 27005 w odniesieniu do zarządzania ryzykiem; PN-ISO/IEC 24762 w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania; PN-EN 13606 - Informatyka w ochronie zdrowia
4 rozwiązania Infrastruktura stacjonarna Pełen outsourcing Chmura prywatna Rozwiązania hybrydowe (np. outsourcing zanoniminizowanych danych medycznych)
Model zależny od celów / modułów Internet Internet (outsourcing) Własna infrastruktura Hybryda
Model jest zależny od celów Przykładowe cele: Ciągłość pracy Minimalizacja kosztów bieżących Elastyczność rozwojowa Bezpieczeństwo danych przed dostępem z zewnątrz i wewnątrz Dostępność danych bieżących niezbędnych do bieżącego procesu leczenia archiwalnych uwzględnianych przy planowaniu strategii leczenia
Główne kryteria wyboru modelu struktury IT Wielkość placówki medycznej Dostęp do internetu (również zapasowy) Rodzaj przetwarzanych danych (dane obrazowe, tekstowe, elektroniczne) Współpraca pomiędzy ośrodkami medycznymi podążanie danych za pacjentem (leczenie pacjenta, nie choroby) praca zespołowa ośrodków medycznych Koszty wdrożenia i utrzymania systemu
Główne kryteria wyboru modelu struktury IT Nasze cele Własna infrastruktura Internet (outsourcing) Hybryda Efektywność Wymaga wysokich nakładów wstępnych i bieżących Wysoka Wysoka z ograniczeniami Elastyczność Zależy od nakładów Wysoka Średnia / wysoka Dostępność Wysoka wewnątrz / średnia od zewnątrz Wysoka (wymaga redundantnego dostępu internetu) Wysoka (wymaga redundantnego dostępu internetu) Współdziałanie Ograniczone do poj. placówki Daje duże możliwości / zagrożenia Średnia (wymaga dodatkowych wysokonakładowych mechanizmów) Integralność opieki Średnia Wysoka Zasadniczo wysoka z zagrożeniami Kompleksowość Zależy od placówki / niska Wysoka Wysoka Bezpieczeństwo Wymaga ciągłych inwestycji Wysoka od strony sprzętu Średnia / niska (ryzyko utraty integralności danych)
Outsourcing można czy nie? Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. W sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania : w zakładzie zmieniono na przez podmiot : 72. 1. Dokumentacja wewnętrzna jest przechowywana przez podmiot, który ją sporządził. 2. Dokumentacja zewnętrzna w postaci zleceń lub skierowań jest przechowywana przez podmiot, który zrealizował zlecone świadczenie zdrowotne. Zlecając przetwarzanie i archiwizację elektronicznej dokumentacji medycznej wyspecjalizowanej firmie, należy zwrócić uwagę na konieczność jednoznacznej identyfikacji miejsca przetwarzania danych medycznych. Świadczeniodawca powinien posiadać wiedzę, na którym dokładnie serwerze będą archiwizowane jego dane medyczne. W zasadzie powinien to być tzw. serwer dedykowany, czyli odrębny komputer (maszyna fizyczna) skonfigurowany dla potrzeb konkretnego świadczeniodawcy. Najlepiej byłoby, gdyby taki serwer był formalnie własnością świadczeniodawcy, a outsourcing polegał tylko na powierzeniu firmie zewnętrznej zarządzania nim w specjalistycznym ośrodku przetwarzania danych. Alternatywnym rozwiązaniem mogłaby być ewentualnie dzierżawa albo konkretnego serwera (tzw. serwer dedykowany), albo części jego przestrzeni dyskowej (tzw. wirtualny serwer dedykowany). powierzenie przetwarzania osobowych danych medycznych firmom specjalizującym się w profesjonalnym przetwarzaniu danych nie jest już zakazane, to nadal istnieją prawne niedociągnięcia w jego stosowaniu
Bezpieczeństwo danych - aspekty BEZPIECZEŃSTWO Zabezpieczenia sprzętowe Zabezpieczenia oprogramowania Czujniki biometryczne Monitoring Polityka bezpieczeństwa PERSONEL
Porównanie kosztów Sprzęt Rozwiązanie własne Outsourcing Serwer podstawowy 4000 Krytyczne: zdublowane Serwer zapasowy 4000 dobre łącze internetowe UPS 3000 Wdrożenie (instalacja, konfiguracja, zdalny dostęp itp.) 4000 Licencje 20000 Okablowanie 5000 Ochrona danych 10000 Ochrona fizyczna 30000 Procedury dostępu do danych??? 500 1000 / m-c Jednorazowa inwestycja +80.000 0-10.000 W skali 5 lat +290.000 +60.000