Spis treści Wprowadzenie... 2 1. Zawartość elektronicznej dokumentacji medycznej... 2 2. Bezpieczeństwo i przechowywanie... 3 2.1. Okres przechowywania dokumentacji elektronicznej... 3 3. Udostępnianie dokumentacji... 3 4. Sposób postępowania z archiwalną dokumentacją papierową... 4 5. Stworzenie polityki bezpieczeństwa danych... 5 6. Outsourcing przetwarzania danych medycznych... 7 Podstawa prawna... 8 Zrób jeden mały krok, by polepszyć sytuację swoją i swojej placówki >> 1
Wprowadzenie Ustawodawca, uwzględniając rozwój technologii i oczekiwania świadczeniodawców, nałożył na podmioty lecznicze, lekarzy prowadzących indywidualne praktyki, pielęgniarki i położne obowiązek wdrożenia dokumentacji medycznej wyłącznie w formie elektronicznej, bez konieczności przechowywania kopii papierowych. Obligatoryjne prowadzenie dokumentacji medycznej w formie elektronicznej przesunięto o 3 lata, z 1 sierpnia 2014 r., nowelizując ustawę z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia. Obecnie obowiązującą datą jest 1 sierpnia 2017 r. Prowadzenie dokumentacji w formie elektronicznej zostało znacznie ułatwione ze względu na rezygnację z wymogu stosowania podpisu elektronicznego przy tworzeniu dokumentów, a także tzw. znaczników czasu. System teleinformatyczny służący do obsługi elektronicznej dokumentacji medycznej musi pozwalać jednak na identyfikację chwili i osoby wprowadzającej wpis. Jest ona jednak możliwa również z zastosowaniem np. szyfrowania. Przetwarzanie dokumentacji elektronicznej musi odbywać się w systemie teleinformatycznym zapewniającym: zabezpieczenie dokumentacji przed uszkodzeniem lub utratą danych, zachowanie jej integralności i wiarygodności, stały dostęp do dokumentacji dla osób uprawnionych oaz zabezpieczenie przed dostępem osób nieuprawnionych, identyfikację osoby udzielającej świadczeń zdrowotnych i rejestrowanych przez nią zmian, przede wszystkim dla odpowiednich rodzajów dokumentacji, udostępnienie, w tym przez eksport w postaci elektronicznej dokumentacji lub jej części, w formacie XML i PDF; eksport całości danych w formacie XML, w sposób zapewniający możliwość odtworzenia tej dokumentacji w innym systemie teleinformatycznym, wydrukowanie dokumentacji, np. na prośbę pacjenta. Z przetwarzania dokumentacji w postaci elektronicznej wynika wiele korzyści dla placówek. Należą do nich m.in.: szybszy czas dostępu do informacji, możliwość błyskawicznego przesłania jej do innego oddziału lub zakładu, możliwość zrobienia kopii dla pacjenta, oszczędność miejsca itd. 1. Zawartość elektronicznej dokumentacji medycznej Elektroniczna dokumentacja medyczna musi być utworzona dla każdego pacjenta. Konieczne jest jej aktualizowanie przez rejestratorki przy każdej następnej wizycie. W skład dokumentacji elektronicznej muszą wchodzić wszelkie dokumenty związane z procesem udzielania świadczeń, tj. wyniki badań, skierowania, karty wypisu, zgoda pacjenta na przeprowadzenie zabiegu. To oznacza jej komplementarność. Musi ponadto zawierać przy każdym wpisie: dane osobowe pacjenta (imię, nazwisko, adres, PESEL), informację o podmiocie udzielającym świadczenia (ze wskazaniem odpowiedniej komórki organizacyjnej), opis stanu zdrowia i udzielonych świadczeń, datę sporządzenia. Wpisy w elektronicznej dokumentacji medycznej nie mogą być usuwane. 2
2. Bezpieczeństwo i przechowywanie Elektroniczna dokumentacja medyczna pacjentów zawiera wrażliwe dane dotyczące stanu zdrowia i dodatkowo jest prowadzona wyłącznie w systemach teleinformatycznych. W związku z tym musi być w wysokim stopniu chroniona przed dostępem ze strony osób niepowołanych. Obowiązek ten spoczywa na kierowniku zakładu, który jest administratorem danych lub na osobie przez niego wyznaczonej - administratorze bezpieczeństwa informacji (ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych). Musi on m.in. wprowadzić ochronę antywirusową oraz zasadę regularnego tworzenia kopii zapasowych. Dokumentację prowadzoną w postaci elektronicznej trzeba odpowiednio zabezpieczyć. Wymaga to przede wszystkim takich kroków, jak: systematyczna analiza zagrożeń; opracowanie i stosowanie procedur zabezpieczania dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania, stosowanie środków bezpieczeństwa adekwatnych do zagrożeń, bieżące kontrolowanie funkcjonowania wszystkich organizacyjnych i technicznoinformatycznych sposobów zabezpieczenia, a także okresowa ocena skuteczności tych sposobów, przygotowanie i realizacja planów przechowywania dokumentacji w długim czasie, w tym jej przenoszenie na nowe informatyczne nośniki danych i do nowych formatów danych, jeżeli tego wymaga zapewnienie ciągłości dostępu do dokumentacji. Dokumentacja elektroniczna jest uznana za zabezpieczoną, jeżeli dostęp do niej mają wyłącznie osoby uprawnione, jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem, podmiot zastosował metody i środki ochrony dokumentacji, których skuteczność - w czasie ich zastosowania - jest powszechnie uznawana. Wszystkie te warunki muszą być spełnione łącznie i w sposób ciągły ( 86 pkt 1. rozporządzenia ministra zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania). 2.1. Okres przechowywania dokumentacji elektronicznej W placówkach medycznych dokumentację elektroniczną przechowuje się na takich samych zasadach, jak dokumentację papierową, tzn. co najmniej przez 20 lat, zdjęcia rentgenowskie przez 10 lat, natomiast skierowania i zlecenia badań przez 5 lat. W przypadku dokumentacji osób zmarłych z powodu uszkodzenia ciała lub zatrucia obowiązek przechowywania takiej dokumentacji wynosi minimum 30 lat. Ustawodawca nie wskazuje, co zrobić z dokumentacją elektroniczną po tym okresie, ale przypadku utrwalenia jej przy zastosowaniu rozwiązań informatycznych, nie ma przeciwwskazań, aby przechowywać ją dłużej. Będzie to o tyle prostsze, że nośniki elektroniczne zajmują mniej miejsca, niż dokumentacja papierowa. W przypadku gdy do dokumentacji prowadzonej w postaci elektronicznej ma być dołączona dokumentacja utworzona w innej postaci, w tym zdjęcia radiologiczne lub dokumentacja utworzona w postaci papierowej, osoba upoważniona przez placówkę musi wykonać odwzorowanie cyfrowe tej dokumentacji i umieścić je w systemie informatycznym w sposób zapewniający jej czytelność, dostęp i spójność dokumentacji. 3. Udostępnianie dokumentacji Elektroniczna dokumentacja medyczna podobnie jak papierowa może być udostępniana na wniosek pacjenta lub osoby przez niego upoważnionej (lub upoważnionej na mocy innych przepisów w przypadku osób nieletnich lub ubezwłasnowolnionych). Pacjentowi powinna być udostępniona jako całość, w formie zintegrowanej ze wszystkimi potrzebnymi dokumentami, oraz z poszanowaniem jego danych osobowych. 3
Udostępnianie dokumentacji prowadzonej w postaci elektronicznej może nastąpić przez: przekazanie pacjentowi informatycznego nośnika danych z zapisaną dokumentacją, np. płyty CD ze zdjęciami z badań diagnostyki obrazowej, elektroniczną transmisję dokumentacji, np. w formie e-maila do pacjenta, przekazanie papierowych wydruków w przypadku, gdy dokumentacja elektroniczna jest udostępniana w postaci papierowych wydruków, osoba upoważniona przez placówkę potwierdza ich zgodność z dokumentacją w postaci elektronicznej i opatruje swoim oznaczeniem. Dokumentacja wydrukowana powinna umożliwiać identyfikację osoby udzielającej świadczeń zdrowotnych. Trzeba pamiętać, że przetwarzanie dokumentacji może odbywać się jedynie przez osoby zaangażowane bezpośrednio w proces leczenia lub wykonujące niezbędne czynności administracyjne rejestrację pacjentów lub rozliczenia z Narodowym Funduszem Zdrowia. 4. Sposób postępowania z archiwalną dokumentacją papierową Tradycyjną, papierową dokumentację medyczną można zeskanować, umieścić w systemie informatycznym, a potem zniszczyć. Trzeba jednak zadbać, aby dane pacjentów jeśli nie zechcą odebrać oryginałów - były niemożliwe do odczytania. Warto zaznaczyć, że nie ma przepisów nakazujących utrwalenie dokumentacji papierowej w formie elektronicznej i dalsze jej przechowywanie w tej postaci. Regulacje pozostawiają podmiotom leczniczym swobodę w zakresie ewentualnego dokonania cyfrowego odwzorowania dokumentacji papierowej i umieszczenia jej w takiej postaci w systemie informatycznym. Pozwalają również na dołączenie do prowadzonej w postaci elektronicznej dokumentacji medycznej zdigitalizowanych elementów dokumentacji papierowej. Zgodnie z 81 rozporządzenia w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania, w przypadku gdy do dokumentacji prowadzonej w postaci elektronicznej ma być dołączona kartoteka utworzona w innej postaci, w tym zdjęcia radiologiczne lub dokumentacja papierowa, wykonuje się jej cyfrowe odwzorowanie i umieszcza je w systemie informatycznym w sposób zapewniający czytelność, dostęp i spójność dokumentacji. W przypadku wykonania odwzorowania cyfrowego oryginalna dokumentacja medyczna jest wydawana pacjentowi na jego życzenie albo niszczona w sposób uniemożliwiający jego identyfikację. Wynika z tego, że ustawodawca dopuszcza odwzorowanie (np. przez zeskanowanie) papierowej dokumentacji medycznej w postaci elektronicznej i dalsze jej przechowywanie już wyłącznie w postaci elektronicznej po przekazaniu oryginałów pacjentowi lub ich zniszczeniu w sposób uniemożliwiający jego identyfikację. Warunkiem legalności takiego postępowania jest jednak zapewnienie czytelności, dostępności i spójności dokumentacji. Ponadto dokumentacja powinna być utrwalona w sposób zapewniający przechowywanie, używalność i wiarygodność co najmniej do upływu okresu jej przechowywania. Warto również zwrócić uwagę, iż ustawodawca nie postawił kategorycznego nakazu całkowitego zniszczenia dokumentacji papierowej po jej odwzorowaniu, a jedynie wprowadził wymóg doprowadzenia jej do stanu, w którym nie będzie możliwa identyfikacja pacjenta. Należy pamiętać, że z tytułu prowadzenia, przechowywania i udostępniania danych osobowych zawartych w dokumentacji medycznej podmiot leczniczy ponosi nie tylko odpowiedzialność wynikającą z art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, ale także z ustawy o ochronie danych osobowych. A zatem w przypadku gdy placówka nie zdecyduje się na przekazanie dokumentacji medycznej pacjentowi i będzie chciała ją całkowicie zniszczyć, musi wybrać metodę i sprawować nadzór nad procesem anonimizacji dokumentacji medycznej tak, aby w pełni doprowadzić ją do postaci uniemożliwiającej identyfikację pacjenta. 4
5. Stworzenie polityki bezpieczeństwa danych Każdy z rodzajów dokumentacji, również dokumentacja elektroniczna, wymaga opracowania strategii bezpieczeństwa, odpowiednio dopasowanej do rangi dokumentu. Składają się na nią następujące czynniki: zdefiniowanie obiegu dokumentu i osób biorących udział w obiegu kto bierze udział w opracowywaniu danego dokumentu i jaką pełni funkcję w tym procesie, określenie, gdzie, przez kogo i na jakim etapie wykonywane są kopie dokumentu, zarówno cyfrowe, jak i tradycyjne, kto jest odpowiedzialny za akceptację bądź odrzucenie ostatecznej wersji dokumentu (wersji, która zostaje w archiwum). Wymienione czynniki odnoszą się także do dokumentów, które od chwili wejścia do firmy mają postać cyfrową. W takim przypadku - poza kopiami cyfrowymi - należy wziąć pod uwagę także liczbę wydrukowanych kopii papierowych. Niektóre, dostępne na rynku pakiety oprogramowania do zarządzania udostępniają funkcjonalność ograniczającą możliwość drukowania poszczególnych dokumentów do liczby wcześniej zadanej przez administratora. Kontrola kopii poszczególnych informacji jest niezwykle ważna w przypadku danych o wysokim i bardzo wysokim poziomie poufności. Oczywiście nie wszystkie dokumenty, z którymi na co dzień pracujemy, mają aż tak wysoki priorytet, dla takich dokumentów najważniejsze jest, aby dokładnie określić ich ścieżkę życia po wejściu w struktury placówki. Na samym początku opracowywania polityki bezpieczeństwa dla systemów komputerowych należy zadać sobie pytanie, w jaki sposób i gdzie dane są przechowywane i jakie zabezpieczenia chronią je w razie awarii systemu. Oprócz awarii, nieumyślnego uszkodzenia bądź skasowania danych do częstych zdarzeń zagrażających bezpieczeństwu informacji należą niewątpliwie kradzieże sprzętu wraz z całą zawartością twardego dysku. Odpowiednie zabezpieczenie przeciwko tego typu sytuacjom stanowi wdrożenie systemu komputerowego bazującego na architekturze klient serwer (większość obecnie produkowanych i sprzedawanych produktów), opierającego się na założeniu przechowywania wszystkich danych w jednej centralnej lokalizacji sieciowej na specjalnie wydzielonej maszynie (serwerze). Poszczególne stanowiska komputerowe (np. w gabinetach lekarskich) odwołują się tylko do danych zapisanych na serwerze i umożliwią użytkownikowi ich podgląd oraz edycję zgodnie z profilem uprawnień. Nie przechowują jednak lokalnie żadnych danych. W razie kradzieży takiej stacji dane pozostają bezpieczne. Architektura tego typu zapewnia także o wiele wydajniejsze i prostsze z technologicznego punktu widzenia zarządzanie mechanizmami kopii zapasowych. Dane są kopiowane jedynie z serwera i umieszczane na nośnikach kopii zapasowych. W razie wystąpienia poważnej awarii sprzętowej tylko jeden fizyczny komputer (serwer) należy przywrócić. Nie ma potrzeby przywracania danych z kopii zapasowej na każdym stanowisku komputerowym w ośrodku. Bardzo istotną kwestią pozostaje także dostęp osób do poszczególnych stanowisk komputerowych. Dotyczy to przede wszystkim stanowisk, gdzie istnieje ryzyko braku nadzoru nad uruchomionym komputerem i działającymi na nim aplikacjami. Najbardziej newralgiczne punkty w każdej placówce to przede wszystkim gabinety lekarskie oraz stanowisko rejestracji pacjentów. Te stanowiska muszą być odpowiednio zabezpieczone przed dostępem osób niepowołanych. Monitory powinny być ustawione w taki sposób, żeby uniemożliwić pacjentowi oglądanie ich zawartości podczas wizyty niezależnie od położenia pacjenta. Należy zadbać także, aby zwłaszcza na stanowisku rejestracji panowała cisza i aby pacjenci nie byli zmuszani do kilkakrotnego powtarzania swoich danych osobowych oraz aby dokumenty 5
zawierające takie dane nie pozostawały zbyt długo w widocznym miejscu w obrębie tego stanowiska. Osoba obsługująca stanowisko komputerowej rejestracji powinna zalogować się do systemu nieco wcześniej, zanim pojawi się pierwszy pacjent. Uniknie w ten sposób wpisywania danych dostępowych (loginu i hasła) w obecności pacjentów. Dobrą praktyką jest także podział uprawnień dostępu do informacji dla personelu szarego i białego. Gromadzone dane są dzielone na takie, które mają związek z procesem leczenia i diagnozowania pacjentów, oraz na dane administracyjno-finansowe, potrzebne do sprawnego funkcjonowania ośrodka jako firmy. I tak, pracownicy części szarej nie są uprawnieni do wglądu w dokumenty medyczne, natomiast personel medyczny, czyli część biała, nie ma uprawnień dostępu do dokumentacji administracyjnej. Dodatkowe uprawnienia każdy pracownik może uzyskać w przypadku zaistnienia sytuacji wyjątkowej za porozumieniem i bezpośrednio od przełożonego. Wszelkie sytuacje nadzwyczajne powinny także być wyjątkowo dokładnie monitorowane, właśnie w takich warunkach nietrudno o przeoczenia. Warto wspomnieć o często pomijanym czynniku ludzkim mającym ogromny wpływ na stabilność polityki bezpieczeństwa. Wbrew pozorom to nie poziom zabezpieczeń systemów komputerowych, ale obsługujący je ludzie stanowią przyczynę 90% przypadków wycieków informacji bądź włamań do wewnętrznej infrastruktury sieciowej w firmie. Personel często bagatelizuje wszelkie niedopatrzenia związane z procedurami bezpieczeństwa. Zapisane na kartkach hasła do systemów, które można znaleźć często w pobliżu stanowisk komputerowych, pozostawione bez nadzoru uruchomione komputery z otwartą aplikacją, na której przed chwilą ktoś pracował, kilkakrotne próby wpisywania haseł w obecności osób niepowołanych, wielokrotne kopiowanie lub drukowanie dokumentów zawierających poufne dane bądź dane osobowe pacjentów i na końcu wyrzucanie niepotrzebnych dokumentów bez ich uprzedniego zniszczenia uniemożliwiającego ich odczytanie. Zredukować te zachowania personelu oraz poprawić świadomość potrzeby ochrony informacji wewnętrznych może cykl szkoleń poświęconych problematyce bezpieczeństwa informacji. Kompleksowe i niezbędne źródło fachowych informacji dla każdego menedżera ochrony zdrowia! >> 6
Istnieją dwa podstawowe czynniki warunkujące ich skuteczność. Pierwszy z nich to cykliczność szkolenia bądź spotkania informacyjne na temat bezpieczeństwa powinny odbywać się w określonych przedziałach czasowych nie dłuższych niż 3 4 tygodnie. Powinny także zawierać możliwie dużo przykładów praktycznych najlepiej z własnego podwórka czyli środowiska pracy personelu. Można, dla przykładu, pokazać zagrożenia związane z zamieszaniem i hałasem w pomieszczeniu rejestracji bądź zademonstrować, jak niewiele czasu potrzeba, aby uzyskać dane z pozostawionego bez nadzoru komputera w gabinecie lekarza bądź stanowiska rejestracji. Drugim z czynników skuteczności szkoleń jest weryfikacja wiedzy personelu po szkoleniu. Jej zadaniem jest zbudowanie świadomości powagi kwestii związanych z bezpieczeństwem. Personel musi dostrzegać najwyższy priorytet zagadnień ochrony informacji wewnętrznych. Egzamin może odbywać się co 2 3 szkolenia i obejmować zagadnienia ogólne, można także zawrzeć w nim opis przykładowej sytuacji z prośbą o wskazanie zaniedbań. Systematyczne prowadzenie szkoleń i weryfikacja wiedzy personelu gwarantują, że budują one realną barierę do występowania okoliczności sprzyjających wyciekaniu ważnych informacji. 6. Outsourcing przetwarzania danych medycznych Jedną z kluczowych zmian, którą przyniosło rozporządzenie ministra zdrowia w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania, jest liberalizacja zasad przetwarzania elektronicznych danych medycznych (EDM) poza siedzibą świadczeniodawcy. Świadczeniodawca, który zdecyduje się na powierzenie przetwarzania osobowych danych medycznych firmie zewnętrznej, musi mieć świadomość, że na gruncie obowiązujących przepisów, tj. ustawy o zawodach lekarza i lekarza dentysty oraz ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, pracownicy firmy zewnętrznej jako administratorzy danych nie są osobami uprawnionymi do dostępu do danych medycznych. Wprowadza to szczególne uwarunkowania w zakresie zastosowania outsourcingu. Przetwarzanie osobowych danych medycznych jest możliwe w dwóch sytuacjach (art. 27 ust. 2 ustawy o ochronie danych osobowych): w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub w celu zarządzania udzielaniem usług medycznych, przy czym muszą być stworzone pełne gwarancje ochrony danych osobowych. Kluczowe jest wyjaśnienie, czy administrowanie bazą danych zawierającą osobowe dane medyczne można zaklasyfikować jako zarządzenie usługami medycznymi. Osoby pełniące kierownicze funkcje w placówce medycznej mogą przetwarzać dane medyczne ze względu na cel, którym jest zarządzanie usługami medycznymi, natomiast dużo trudniej jest znaleźć podstawy prawne umożliwiające przetwarzanie osobowych danych medycznych pacjentów przez personel administracyjny placówki ochrony zdrowia, tj. statystyków, pracowników rejestracji, administratorów IT. Jeszcze trudniej jest uzasadnić umożliwienie przetwarzania osobowych danych medycznych osobom, które formalnie nie są nawet pracownikami placówki. Druga przesłanka, która umożliwia przetwarzanie osobowych danych medycznych, to zapewnienie pełnych gwarancji ochrony danych osobowych. W związku z tym, że w ustawie o ochronie danych osobowych nie określono precyzyjnego kryterium oceny poziomu gwarancji ochrony danych medycznych, należałoby odwołać się do przepisów unijnych stanowiących punkt odniesienia dla polskiej ustawy. Osobowe dane medyczne powinny być przetwarzane wyłącznie przez osoby zobowiązane do zachowania tajemnicy (art. 8 ust. 3 dyrektywy 95/46 WE). W związku z tym, poza przedstawicielami zawodów medycznych, trudno jest znaleźć inną grupę zawodową, która byłaby zobowiązana do tajemnicy w stopniu równorzędnym. 7
W odniesieniu do personelu administracyjnego placówki ochrony zdrowia (statystycy, informatycy, pracownicy rejestracji) można tę kwestię próbować rozwiązać przez odpowiednie zapisy w umowie o pracę, w których osoby niewykonujące zawodu medycznego byłyby zobowiązane do zachowania tajemnicy w stopniu równym jak pracownicy medyczni. W takim przypadku przesłanka stworzenia pełnych gwarancji ochrony będzie spełniona, gdyż placówka opieki zdrowotnej przez sam fakt zatrudnienia takiej osoby na bazie umowy o pracę sprawuje nad nią bezpośrednią kontrolę w ramach stosunków służbowych. W przypadku powierzenia przetwarzania medycznych danych osobowych firmie zewnętrznej pojawiają się duże wątpliwości. Bezpośrednia kontrola podmiotu zlecającego nad pracownikami firmy zewnętrznej nie jest możliwa w ramach tradycyjnego stosunku służbowego. Trudno jest więc w takiej sytuacji mówić o stworzeniu pełnych gwarancji. Byłaby ona możliwa, gdyby placówki ochrony zdrowia podlegały rygorom rejestracji zbiorów danych osobowych u Generalnego Inspektora Ochrony Danych Osobowych (GIODO), a co się z tym wiąże, wchodziłyby w reżim procedur kontrolnych ze strony tego urzędu. Wtedy firmy przetwarzające medyczne dane osobowe na podstawie umowy powierzenia podlegałyby również procedurom kontrolnym ze strony GIODO. Ustawa o ochronie danych osobowych zwolniła jednak placówki ochrony zdrowia z obowiązku rejestracji zbiorów danych osobowych. Powierzenie przetwarzania danych osobowych danych medycznych firmom specjalizującym się w przetwarzaniu danych, chociaż już niezakazane, nadal jest problematyczne. Teoretycznie można sobie wyobrazić sytuację, kiedy każdorazowo pacjent wyrażałby zgodę na przetwarzanie danych w firmie zewnętrznej. Od strony praktycznej przyjęcie takiego rozwiązania jest bardzo trudne, gdyż nie możemy zagwarantować, czy uda nam się uzyskać takie zgody za każdym razem. Brak zgody choćby w jednym przypadku przekreśla sens wdrażania takiego rozwiązania. Innym rozwiązaniem, które wydaje się najbardziej odpowiednie, jest przyjęcie założenia, że w firmie zewnętrznej archiwizowane będą tylko dane medyczne, które zostały zaszyfrowane przez pracowników medycznych. To najskuteczniejszy sposób zabezpieczenia dokumentacji przed dostępem osób nieuprawnionych. Podstawa prawna ustawa z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz.U. nr 113, poz. 657 ze zm.), ustawa z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (tekst jedn.: Dz.U. z 2012 r. poz. 159 ze zm.), ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz.U. z 2002 r. nr 101, poz. 926 ze zm.), ustawa z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (tekst jedn.: Dz.U. z 2011 r. nr 277, poz.1634 ze zm.), rozporządzenie ministra zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (tekst jedn.: Dz.U. z 2014 r., poz. 177 ze zm.). AUTORZY: Dariusz Poznański - Departament Organizacji Ochrony Zdrowia, Ministerstwo Zdrowia Paweł Piecuch - konsultant rynków ochrony zdrowia i ITC, doradza w projektach wdrażania nowoczesnych technologii medycznych oraz informatycznych w placówkach ochrony zdrowia Michał Waszkiewicz - prawnik, legislator, b. radca ministra zdrowia, obecnie kieruje działem Organizacyjno-Prawnym w Centrum Medycznym Kształcenia Podyplomowego w Warszawie. REDAKCJA: Anna Rubinkowska 8
Kompleksowe i niezbędne źródło fachowych informacji dla każdego menedżera ochrony zdrowia! >> Masz jakieś pytania? Pisz na adres e-mail: redakcja@experto24.pl Portal www.experto24.pl jest własnością Wydawnictwa Wiedza i Praktyka sp. z o.o., ul. Łotewska 9A, 03-918 Warszawa, Numer NI P: 526-19-92-256 Numer KRS: 0000098264 Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, wysokość kapitału zakładowego: 200 tys. zł. Centrum Obsługi Klienta: tel.: 22 518 29 29, faks: 22 619 33 93, e-mail: cok@wip.pl, www.fabrykawiedzy.com Wszelkie prawa zastrzeżone. 2HH0226 ISBN: 978-83-269-3338-7 9