Znów dane medyczne udostępnione publicznie czyli kolejny “wyciek”

Podziel się

“Setki zrzutów ekranu i dokumentów z danymi osobowymi i medycznymi pacjentów oraz dane finansowe dziesiątek szpitali, w tym dane dostępowe do różnych systemów informatycznych oraz dane osobowe pracowników szpitali — takie informacje znajdowały się w publicznie dostępnym katalogu systemu stosowanego do obsługi placówek opieki zdrowotnej, obsługiwanego przez firmę Konsultant IT. Pobrać je mógł każdy. Ilość ujawnionych danych jest znaczna i może dotyczyć wielu szpitali z całej Polski, w tym szpitali psychiatrycznych.” – poinformował wczoraj serwis Niebezpiecznik.pl .

Pełną treść informacji można znaleźć tutaj: https://niebezpiecznik.pl/post/dane-pacjentow-i-szpitali-wyciekly-z-helpdesku-eskulapa-szpitale-powinny-zmienic-hasla/

Generalnie, podobnie jak w przypadku “wycieku” danych ze szpitala w Kole sprawa jest trywialna pod kątem bezpieczeństwa. Na koncie FTP na którym znajduje się system helpdeskowy firmy Konsultant IT udostępniony był przynajmniej do odczytu folder w którym znajdowały się wszystkie pliki załączników ze zgłoszeń systemu helpdeskowego firmy. Wśród tych załączników były m.in. zrzuty ekranu systemu Eskulap. Zrzuty zawierające między innymi dane osobowe pacjentów, rozpoznania chorób itp. Oprócz tego można tam było znaleźć dane finansowe w plikach Excel. Wśród tych plików były także dane osobowe pacjentów. Dodatkowo udostępniono dane dostępowe VPN do szpitali, pliki SQL.

Firma Konsultant IT wydała w tej sprawie oświadczenie, w którym poinformowano, że:

“System helpdesk zainstalowany jest na zewnętrznym serwerze, stworzyła go dla nas i realizuje nadzór autorski Firma DIMIMO. Do udostępnienia danych doszło na skutek błędu podczas migracji przez DIMIMO helpdesku, na nowy serwer. Katalog, który był zabezpieczony w oparciu o plik .htaccess został przeniesiony na serwer, na którym konfiguracja serwera www nie dopuszczała zmian w oparciu o ten plik. W ten sposób zabezpieczenie zostało zniwelowane. Po migracji zweryfikowano wiele zabezpieczeń, niestety prawdopodobnie z powodu rutyny popełniono błąd.”

Idąc za ciosem postanowiłem napisać maila do firmy Konsultant IT z pytaniami, które mnie nurtują:

Szanowni Państwo,
Zaniepokojony informacjami o umieszczeniu do publicznej wiadomości danych medycznych i osobowych w używanym przez Państwa systemie helpdeskowym, biorąc pod uwagę, że oprócz tego, że zawodowo zajmuję się ochroną danych osobowych i medycznych w systemach IT jestem także pacjentem kilku ośrodków w Polsce proszę o odpowiedzi na poniższe pytania ponieważ istnieje prawdopodobieństwo, że niepowołane osoby otrzymały dostęp m.in. do danych moich lub mojej rodziny na co kategorycznie nie wyrażałem zgody.

  1. Czy dla potrzeb świadczenia usług wsparcia użytkowników, biorąc pod uwagę, że jak mniemam mają Państwo dostęp do systemów zawierających dane osobowe i medyczne przetwarzane przez klienta, podpisywali Państwo ze współpracującymi szpitalami umowy powierzenia danych osobowych?
  2. Czy posiadają Państwo politykę bezpieczeństwa i instrukcję zarządzania systemami informatycznymi?
  3. Czy podpisują Państwo ze swoimi pracownikami jakiekolwiek klauzule poufności odnośnie danych przetwarzanych przez nich podczas świadczenia usług?
  4. Poproszę listę Państwa klientów korzystających z systemu helpdeskowego w woj. łodzkim i mazowieckim ponieważ tam korzystam usług ośrodków. Chcę wiedzieć czy szpitale, które przetwarzają moje dane stosują praktyki robienia zrzutów ekranu z danymi wrażliwymi do tego typu systemów jak Państwa helpdesk.
  5. Czy biorąc pod uwagę, że system helpdeskowy tworzyła dla Państwa firma zewnętrzna i jak się domyślam świadczyła usługi wsparcia mieli Państwo z nimi podpisaną przynajmniej umowę o powierzenie danych osobowych? Czy Państwa klienci wiedzieli o tym, że dane udostępniane są jeszcze komuś?

Proszę o pilne odniesienie się do zadanych pytań i potraktowanie sprawy poważnie. Przykro mi, że padło akurat na Państa ale w obliczu RODO temat ochrony tego typu danych jest szczególnie ważny i tego typu sytuacje pokazują jak wiele jeszcze jest w tym zakresie do zrobienia. Także w świadomości użytkowników i usługodawców..

Czekam na odpowiedź.

Zbierając to wszystko nasuwa mi się tylko jedno. Po raz kolejny przerażające jest jak wielka jest niewiedza i nieświadomość wszystkich osób zaangażowanych w tą sytuację.

Po pierwsze użytkowników systemów, co bardziej bolesne podejrzewam, że często także działów IT szpitali. Jak można załączać do systemu helpdeskowego takie dane? Zrozumiałe jest, że w pracy pewne rzeczy robi się na szybko, że problemy muszą być skutecznie rozwiązywane ale kompletnie nie jest to usprawiedliwieniem tego typu działań. Robienie zrzutów z hasłami dostępowymi do VPN itp. pozostawię bez komentarza.

Niestety w tej całej sytuacji nieprofesjonalna jest też postawa firmy udzielającej wsparcia a tłumaczenie się, że system ten robiła firma zewnętrzna jest śmieszne. Poza wszystkim już to właśnie oni powinni zwrócić uwagę swoim klientom na to, że takich rzeczy się robić nie powinno..

Dopóki nie zbudujemy we wszystkich na około świadomości i potrzeby bezpiecznego przetwarzania tego typu danych wszystkie konferencje odnośnie RODO, prawnicze wykłady na ten temat lub nawet próby egzekwowania nie dadzą żadnego efektu. Trzeba zacząć od zupełnych podstaw.

0 Shares:
2 comments
  1. Pingback: keto soup diet
Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

You May Also Like

Identyfikacja zbiorów danych osobowych i medycznych w placówce

Podziel się

Od czegoś trzeba zacząć.. zgodnie z wpisem http://itwmedycynie.pl/2017/08/28/elektroniczna-dokumentacja-medyczna-podstawowe-zasady-przetwarzania-obowiazujace-wszystkich/ zakładam, że mamy już wyznaczonego Inspektora Ochrony Danych w postaci jednego z pracowników lub zewnętrznego podmiotu, który będzie proces przetwarzania danych w naszej placówce nadzorował. Pora teraz na identyfikację wszystkich zbiorów danych, które powinny podlegać ochronie oraz przypisanie do tych zbiorów osób/podmiotów zewnętrznych, które te dane przetwarzają. Przy okazji taka operacja może się przydać nie tylko przez wzgląd na spełnienie wymagań przetwarzania danych, może także wpłynąć na zagadnienia takie jak:

  • chęć lepszego zrozumienia wszystkich działań i powiązań między nimi
  • chęć usprawniania komunikacji między pracownikami – wiadomo do kogo się zgłaszać w określonej sprawie
  • możliwość szybszego wykrywania obszarów nieefektywnych, np. tzw. „wąskich gardeł”
  • sprawniejsze wdrożenie nowych pracowników
  • poprawa efektywności funkcjonowania placówki i procesu obsługi pacjenta

Jak się za to zabrać?

  1. Określenie struktury organizacyjnej placówki

Najłatwiej będzie wyjść od struktury organizacyjnej naszej placówki. To powinno być łatwe – trzeba po prostu wyartykułować wszystkie “jednostki organizacyjne” – nawet w przypadku, gdy jedna osoba zajmuje się kilkoma rzeczami. Możemy także do tych jednostek przypisać od razu osoby/firmy zewnętrzne, które mają dane kompetencje – to będzie nam potrzebne do określenia osób przetwarzających konkretny zbiór danych. Trzeba też zwrócić uwagę na to, że pewne rzeczy zlecamy na zewnątrz – to również jest jakiś rodzaj komórki należącej do struktury organizacyjnej naszej jednostki – chociaż w tym przypadku zajmuje się tym firma zewnętrzna (chociażby firma księgowa). Szybki przykład takiego podziału to:

  • rejestracja
  • sekretariat
  • księgowość
  • kadry/płace
  • laboratorium
  • podstawowa opieka zdrowotna (lekarze)
  • rehabilitacja
  • usg
  • kardiologia.

2. Określenie procesów dla każdej z jednostek

Następnie dla powyższych “jednostek” trzeba zrobić audyt wszystkich procesów w placówce, żeby później wybrać te, które używają danych osobowych i wrażliwych. Zgodnie z zasadami modelowania procesów biznesowych najlepiej zrobić sobie na początku podział na:

  • procesy główne, które dotyczą kluczowych obszarów funkcjonowania (w naszym przypadku będzie to chociażby zapisanie pacjenta na wizytę, obsługa pacjenta podczas wizyty, wystawienie skierowania itp)
  • procesy wspierające, które zapewniają wsparcie do realizacji procesów głównych (np. marketing, finanse i księgowość).

Ten podział został odzwierciedlony w kolorach naszych jednostek organizacyjnych – główne zaznaczyłem na zielono, wspierające na niebiesko.

Czeka nas zatem przemyślenie co tak właściwie się robi w danym obszarze. Nie tylko informatycznie, ogólnie. Dane osobowe w wielu przypadkach są przecież (chciałoby się rzec – jeszcze) przetwarzane papierowo. To możemy uzyskać na podstawie swojej wiedzy i zweryfikować to z pracownikami, którzy wykonują dane czynności. W przypadku gdy np. sprawami księgowości , ZUSem itp. zajmuje się inna firma możemy ich po prostu o to zapytać – z pewnością chętnie udzielą tego typu informacji chwaląc się przy okazji jak dużo rzeczy robią i jak bardzo są nam potrzebni. Weźmy pierwszą z brzegu rejestrację. W mojej wymyślonej przychodni w rejestracji wykonuje się  następujące czynności:

  • umawianie telefoniczne wizyt pacjentów
  • weryfikacja i potwierdzanie wizyt pacjentów z e-rejestracji
  • rejestracja pacjentów którzy przyszli osobiście
  • zmiana terminów wizyt / odwoływanie wizyt
  • wprowadzanie harmonogramu pracy lekarzy
  • wystawianie zwolnień lekarskich (sprawa dyskusyjna czy rejestracja powinna takie rzeczy robić ale moje doświadczenie pokazuje, że czasem się to zdarza…)
  • wprowadzanie nowego pacjenta

3. Określenie zbiorów danych dla procesów

Teraz pora w końcu na zastanowienie się jakie dane są wykorzystywane w danym procesie. Najlepiej wypisać sobie wszystkie rodzaje danych, osobowe i medyczne łatwo wśród nich znajdziemy. I tak:

  • umawianie telefoniczne wizyt pacjentów
    • dane pacjenta rejestracja(imię, nazwisko, PESEL, numer telefonu, adres zamieszkania)
    • terminarz wizyt (dzień, miesiąc, rok, godzina wizyty, imię i nazwisko lekarza przyjmującego, imię i nazwisko, PESEL pacjenta)
    • harmonogram pracy lekarzy (imię, nazwisko, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • weryfikacja i potwierdzanie wizyt pacjentów z e-rejestracji
    • dane pacjenta rejestracja (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania, e-mail)
    • terminarz wizyt (dzień, miesiąc, rok, godzina wizyty, imię i nazwisko lekarza przyjmującego, imię i nazwisko, PESEL pacjenta)
    • harmonogram pracy lekarzy (imię, nazwisko, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • rejestracja pacjentów którzy przyszli osobiście:
    • dane pacjenta rejestracja (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania)
    • terminarz wizyt (dzień, miesiąc, rok, godzina wizyty, imię i nazwisko lekarza przyjmującego, imię i nazwisko, PESEL pacjenta)
    • harmonogram pracy lekarzy (imię, nazwisko, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • zmiana terminów wizyt / odwoływanie wizyt
    • dane pacjenta (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania)
    • terminarz wizyt (dzień, miesiąc, rok, godzina wizyty, imię i nazwisko lekarza przyjmującego, imię i nazwisko, PESEL pacjenta)
    • harmonogram pracy lekarzy (imię, nazwisko, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • wprowadzanie harmonogramu pracy lekarzy
    • harmonogram pracy lekarzy (imię, nazwisko, numer telefonu, e-mail, adres, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • wystawianie zwolnień lekarskich (sprawa dyskusyjna czy rejestracja powinna takie rzeczy robić ale moje doświadczenie pokazuje, że czasem się to zdarza…)
    • dane pacjenta zwolnienie (imię, nazwisko, PESEL, adres zamieszkania, rozpoznanie)
    • dane zakładu pracy pacjenta (NIP, nazwa, adres)
    • data obowiązywania dokumentu (data od-do)
  • wprowadzanie nowego pacjenta
    • kartoteka pacjenta (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania, dane o oddziale NFZ, dane miejsca pracy)
    • wyniki badań laboratoryjnych
    • wypisy ze szpitala
    • wyniki testów alergicznych (itp…)
  • wprowadzanie nowego lekarza
    • dane lekarza (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania, informacje o uczelni, historia zatrudnienia)

4. Ostatnim krokiem jest wyłuskanie z powyższego wszystkich zbiorów danych osobowych i medycznych (bo jak słusznie zauważyliście powtarzają się one w procesach – co jest naturalne) oraz przypisanie ich do nich danych, które już mamy (dział/jednostka organizacyjna, osoby przetwarzające) oraz dodanie miejsca w którym fizycznie dany zbiór się znajduje (np. serwerownia – host “BazaPOZ” czy “archiwum w recepcji”) oraz miejsc przetwarzania danych. Taki komplet zbieramy w tabelce i mamy temat ogarnięty. Tabelka natomiast posłuży nam jako wkład do Polityki Bezpieczeństwa. Zbiory do umieszczenia w tabelce zaznaczyłem powyżej kolorem czerwonym.

W jaki sposób zweryfikować czy dany zbiór to dane osobowe? Pojęcie danych osobowych zostało określone w art. 6 ust. 1 ustawy o ochronie danych osobowych. Zgodnie z jego treścią przez dane osobowe rozumie się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników, określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Trzeba zwrócić uwagę jeszcze na jedną rzecz. Zbiory teoretycznie tych samych lub podobnych danych nie są zawsze danymi osobowymi. Weźmy na przykład harmonogram pracy lekarzy. Załóżmy, że w danym systemie widoczne jest tylko imię i nazwisko lekarza przy tej funkcjonalności – osoba, która zarządza tymi danymi nie ma z tego poziomu możliwości podejrzenia/przetwarzania innych danych lekarza. Zatem jeżeli inna osoba/jednostka zajmuje się dodawaniem nowego lekarza do systemu (np. kadry) a inna harmonogramami pracy lekarzy (np. rejestracja) to dane osobowe przetwarzają tylko kadry – zgodnie z definicją danych osobowych. W miarę praktyki stanie się to jeszcze prostsze.

Finalnie efekt naszej pracy wygląda tak (wypełniłem ją tylko dla 4 pierwszych zbiorów danych, dalej postępujemy analogicznie):

Lp Zbiór Danych Dział/ jednostka organizacyjna Osoby Lokalizacja bazy danych Miejsce przetwarzania danych
1. dane pacjenta rejestracja rejestracja Urszula Malinowska, Joanna Jaworska serwer “BazaPOZ” pomieszczenie recepcji
2. terminarz wizyt rejestracja Urszula Malinowska, Joanna Jaworska serwer “BazaPOZ”, serwer “OSOZ” pomieszczenie recepcji
3. dane pacjenta zwolnienie lekarze, rejestracja Urszula Malinowska, Joanna Jaworska, Piotr Skowroński, Albert Poniatowski, Michał Sumiński, Małgorzata Kwiatkowska serwer “BazaPOZ”, archiwum w recepcji (wersja papierowa) pomieszczenie recepcji, gabinety lekarzy
4 kartoteka pacjenta rejestracja Urszula Malinowska, Joanna Jaworska serwer “BazaPOZ”, archiwum w recepcji (wersja papierowa) pomieszczenie recepcji

 

Prawda, że proste? Wiem, że czasochłonne ale postępując zgodnie z powyższymi wskazówkami z pewnością do ogarnięcia. Wystarczą dobre chęci, trochę czasu i cierpliwości 🙂

 

Polityka bezpieczeństwa – wykaz budynków, pomieszczeń

Podziel się

Dzisiaj krótka i łatwa kontynuacja budowania naszej polityki bezpieczeństwa. Mamy zidentyfikowane zbiory danych, przypisane osoby oraz pomieszczenia w których te osoby się znajdują. Teraz, żeby wszystko było w porządku spróbujmy wyłuskać pomieszczenia z poprzedniego przykładu. Czyli np.:

recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1 .

Zastanówmy się czy to z pewnością wszystkie miejsca? Ułatwi to poniższa tabelka do której dla porządku dopiszmy sobie jeszcze oprogramowanie w których są przetwarzane dane osobowe.

1. Wykaz pomieszczeń, w których przetwarzane są dane osobowe (wskazanie konkretnych nr pomieszczeń) recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1
2. Wykaz pomieszczeń, w których znajdują się komputery stanowiące element systemu informatycznego recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1, pomieszczenie informatyka
3. Wykaz pomieszczeń, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1, serwerownia, archiwum, pomieszczenie informatyka
4. Wykaz pomieszczeń, w których składowane są uszkodzone komputerowe nośniki danych (taśmy, dyski, płyty CD, dyski przenośne, uszkodzone komputery) recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1, serwerownia, archiwum, pomieszczenie informatyka
5. Wykaz pomieszczeń archiwum pokój nr 6
6. Wykaz programów, w których przetwarzane są dane osobowe Symfonia, Płatnik, PSS

 

7. Wykaz podmiotów zewnętrznych, które mają dostęp do danych osobowych lub je przetwarzają na podstawie podpisanych umów (np. informatyk) – nazwa firmy, imię, nazwisko, adres, funkcja. Firma “Usługi IT” Michał Zieliński

ul. Długa 80, Warszawa

osoby: Michał Zieliński, Łukasz Madejski – informatycy


Usługi księgowe Bożena Słomiana

ul. Niska 100, Skierniewice

osoby: Bożena Słomiana

 

 

 

 

 

To bardziej szczegółowe zestawienie. Tutaj nie do końca interesują nas przetwarzane zbiory danych. Może być tak, że na przykład w danym pomieszczeniu nie są dane zbiory przetwarzane ale mimo wszystko jest tam dostęp (czy to fizyczny czy poprzez system IT) do danych osobowych i medycznych. Na komentarz zasługuje z pewnością punkt 3 w tabeli. Chodzi tutaj o np. szafy z dokumentacją papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe. W pkt. 6 nie mamy pomieszczeń tylko oprogramowanie. To także ważne, żeby wiedzieć i mieć świadomość w jakich aplikacjach wrażliwe dane są przetwarzane – chociażby w kontekście zabezpieczeń tych systemów. Uzupełnieniem tego spojrzenia jest wykaz podmiotów zewnętrznych, które czy to w naszej placówce (np. informatyk) czy na zewnątrz (np. biuro księgowe) przetwarzają dane naszych pracowników czy pacjentów.

Ostatnio na jednej z konferencji spotkałem się z prawniczą opinią, że zgodnie z nowymi przepisami RODO posiadanie polityki bezpieczeństwa nie jest konieczne (a do tej pory trzeba było ją mieć jakby ktoś nie wiedział :)) Moim zdaniem nie zmienia to faktu, że jest to dokument niezbędny do uporządkowania miejsc i zasad przetwarzania danych a także ujednolicenia na poziomie firmy poziomów zabezpieczeń i odpowiednich procedur (np. szkolenia pracowników). Powiem inaczej – 100% rzeczy, które powinny znajdować się w Polityce Bezpieczeństwa RODO wymaga. Dlatego przedstawiona opinia mnie poruszyła bo jest to niepotrzebne “zamydlanie oczu” i kolejna komplikacja dla osób odpowiedzialnych za porządek w placówce.

Biorąc pod uwagę powyższe z uporem maniaka będę przedstawiał kolejne aspekty, które taki dokument powinien zawierać.

Chmura a potrzeby podmiotów medycznych

Podziel się

Poniżej zamieszczam treść do zajawki artykułu zamieszczonego na łamach IT Professional. Aktualnie z tego cyklu ukazały się 3 artykuły, czwarty jest w trakcie drukowania.

Informatyzacja placówek szeroko pojętej ochrony zdrowia trwa w najlepsze. Mnogość różnego rodzaju projektów, regulacji prawnych, a także zbliżające się wielkimi krokami nowe rozporządzenie o zasadach przetwarzania danych osobowych (rodo) wywołuje duże poruszenie w branży. Czy chmura odpowiada potrzebom podmiotów medycznych? Czy warto przyjrzeć się tego typu rozwiązaniom? Jak wygląda sytuacja u samych zainteresowanych?

Z  doniesień medialnych wszyscy wiemy, że nasz system ochrony zdrowia od lat zmaga się z wieloma problemami organizacyjno-finansowymi. Podobna sytuacja występuje w przypadku informatyzacji sektora. Informatyzacji rozumianej jako spójny zestaw usług na poziomie ogólnopolskim, bo nie ma co ukrywać, że prywatne podmioty oferujące usługi medyczne (zwłaszcza te duże) mają dużą świadomość informatyczną i radzą sobie znakomicie. I to radzą sobie zarówno z wykorzystaniem najnowocześniejszych technologii w celu ułatwienia życia pacjentom, jak i sprawnością systemów IT w zakresie obsługi procesów wewnątrz organizacji. Dzięki środkom unijnym także duża liczba szpitali podległych resortom czy też władzom na różnego rodzaju szczeblach samorządowych wdrożyła, bądź wdraża, nowoczesne rozwiązania. Na szczeblu ogólnopolskim sprawa jednak nie jest taka prosta. Od lat trwają prace nad Elektroniczną Platformą Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych (tzw. system P1).

Na projekt ten wydano już ogromnie dużo pieniędzy, a z powodu wielu problemów został dla niego opracowany plan naprawczy. Przyjęto nowe założenia, które mówią o tym, co i kiedy ma zostać wdrożone i uruchomione.

Zgodnie z opublikowanym 9 maja 2017 r. komunikatem dotyczącym regulacji prawnych w zakresie Elektronicznej Dokumentacji Medycznej (tinyurl.com/mz-komunikat) „trwają prace legislacyjne dotyczące nowelizacji ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, których celem jest m.in. doprecyzowanie definicji elektronicznej dokumentacji medycznej (EDM) oraz obowiązku stosowania Polskiej Implementacji Krajowej (PIK) HL7 CDA (Clinical Document Architecture) oraz formatów EDM, które będą publikowane w Biuletynie Informacji Publicznej Ministerstwa Zdrowia, a także zmiana terminów dotyczących obowiązku stosowania EDM”. Ustalono też następujące terminy obowiązywania poszczególnych usług:

  • e-recepta – obowiązek wystawiania recepty w postaci elektronicznej – od 1 stycznia 2020 r.;
  • e-skierowanie – obowiązek wystawiania skierowania w postaci elektronicznej – od 1 stycznia 2021 r.;
  • pozostała część EDM (tj. dokumenty wskazane w rozporządzeniu wydanym na podstawie art. 13 ustawy):

– obowiązek prowadzenia w postaci elektronicznej – od 1 stycznia 2019 r.;
– obowiązek wymiany za pośrednictwem Platformy P1 – od 1 stycznia 2021 r.
Na „pierwszy ogień” idą zatem głównie szpitale. Nie możemy jednak zapominać o tym, że od lipca 2018 r. Zakład Ubezpieczeń Społecznych uruchamia obowiązek wystawiania elektronicznych zwolnień lekarskich dla wszystkich lekarzy. Dodatkowo pojawiają się legislacyjne ułatwienia dla rozwiązań telemedycznych. Zgodnie z wizją opracowaną na potrzeby nowo powstającej Strategii Rozwoju e-Zdrowia dla Polski na lata 2018–2022 „(…) dzięki spójnemu rozwojowi e-zdrowia do 2022 roku system opieki zdrowotnej w Polsce stanie się bardziej skuteczny, efektywny ekonomicznie i dostępny dla obywatela (…)”.

Nie bez wpływu na potrzeby placówek ochrony zdrowia jest także mające zastosowanie dla każdej branży wchodzące w życie od maja 2018 roku unijne ogólne rozporządzenie o ochronie danych osobowych (rodo), które reguluje zasady przetwarzania tego typu danych. Biorąc pod uwagę, że w środowiskach informatycznych ochrony zdrowia mamy dodatkowo dane medyczne, które są opatrzone klauzulą szczególnej wrażliwości, nie można przejść obojętnie obok potrzeb technicznych i możliwości, jakie dają nam rozwiązania informatyczne w tym kontekście.

Jak widać, wyzwań informatycznych jest bardzo dużo. Aby mieć pełny obraz sytuacji, należy jeszcze przyjrzeć się aktualnemu stanowi informatyzacji podmiotów ochrony zdrowia.

źródło: Artykuł pochodzi z czasopisma „IT Professional” nr 03/2018.

http://www.it-professional.pl/archiwum/art,7919,chmura-a-potrzeby-podmiotow-medycznych.html

“RODO W SEKTORZE ŚWIADCZENIA USŁUG ZDROWOTNYCH – PRZETWARZANIE DANYCH WRAŻLIWYCH A NOWE REGULACJE”

Podziel się

Z przyjemnością informuję, że 20.02.2018 roku będę miał przyjemność opowiedzieć o chmurze na konferencji organizowanej przez Centrum Promocji Informatyki. Wydarzenie odbywa się pod hasłem “RODO W SEKTORZE ŚWIADCZENIA USŁUG ZDROWOTNYCH – PRZETWARZANIE DANYCH WRAŻLIWYCH A NOWE REGULACJE”. Wiadomo, teraz do maja wszędzie RODO 😉

Szczegółowy harmonogram konferencji dostępny jest pod adresem: http://konferencja.com.pl/imprezy/2018/medi/index.php. W razie potrzeby posiadam jeszcze jedną miejscówkę na wydarzenie – proszę o kontakt mailowy.

Jeżeli chodzi o mnie to powiem o chmurze i o tym dlaczego nie powinniśmy się jej bać a nawet wręcz przeciwnie. Chmura i jej zastosowanie w placówkach ochrony zdrowia to w ogóle temat związany z moimi dość intensywnymi działaniami w najbliższych miesiącach ale o tym jeszcze będzie czas, żeby napisać.

Jak ktoś doczytał do tego miejsca to wrzucam jeszcze ramowy plan wystąpienia:

Ochrona danych medycznych w systemach chmurowych:

  • przykłady chmur publicznych,
  • chmura a potrzeby podmiotów medycznych,
  • zabezpieczenia danych medycznych w poszczególnych typach chmur,
  • jak to się robi w USA?
  • czy jest czego się bać?

Zapraszam!

Zintegrowany Informator (Pacjenta?)

Podziel się

Witam,

dzisiejszy wpis miał dotyczyć czegoś innego, jednak o zaistniałej sytuacji warto wspomnieć.

Dawno już, bo zaraz na początku wdrożenia w 2013 roku, nosiłem się z zamiarem założenia konta w Zintegrowanym Informatorze Pacjenta dostępnym na stronie https://zip.nfz.gov.pl . Nazwa nasuwa dość dużo i brzmi zachęcająco. Wtedy jednak sobie to darowałem z braku czasu – w celu założenia konta wymagana była wizyta w oddziale NFZ (do najbliższego miałem wtedy 60 km).

Nasunęła mi się gdzieś kilka dni temu informacja o tym, że uruchomiono integrację z ePUAPem. Widać to popularne teraz (patrz chociażby poprzedni wpis o e-ZLA). To akurat dobrze.

Od uruchomienia systemu upłynęło około 5 lat można przypuszczać, że teraz to dopiero warto tam zajrzeć! Tak właśnie pomyślałem a biorąc pod uwagę, ze ePUAP mam postanowiłem to wykorzystać z premedytacją. Założyłem sobie konto na ZIP. Następnie cierpliwie czekałem około 24 godzin na synchronizację danych i w końcu  jest! I to  nawet z historią od 2008 roku.

Kilka tych usług typu “świadczenie medyczne” miałem od tego czasu jak się okazuje 🙂 Suma kosztów pokaźna jednak nie jest. Podejrzewam, że to dlatego, że tak naprawdę nie znam dokładnych kosztów większości tych usług. Co ma pacjentowi mówić koszt świadczenia “ryczałt/kapitalizacja” ?

Zakładka Deklaracje POZ potwierdziła mi, że jestem zapisany do danego lekarza (12,40 zł to koszt miesięczny). I nawet mam jakąś Panią pielęgniarkę za którą płacę 13,13 zł miesięcznie.

Jedyna jeszcze zakładka z której mógłbym skorzystać to Leki refundowane. Biorąc pod uwagę, że leczę się przewlekle cyklicznie biorę leki refundowane. Historia realizacji tych recept jest. Tyle, że kończy się na maju 2011 roku, zatem 7 lat temu. Ładnych parę razy później korzystałem z nawet tych samych leków na tych samych zasadach refundacji. Nie widzę tego jednak na swoim koncie, zatem suma refundacji także nie odpowiada wartości faktycznej. Z innych zakładek nie korzystałem bo brak tam moich danych. Co jest zgodne ze stanem faktycznym. Są to Uzdrowiska, Kolejki oczekujących, Zaopatrzenie ortopedyczne, Endoprotezo-plastyka.

W systemie możemy też odnaleźć ostatnie zarejestrowane składki w ZUS (zdrowotne jak rozumiem). Tutaj sytuacja się zgadza jednakże integracja odbywa się chyba rzadko – ostatnia zarejestrowana składka jest z listopada 2017.

W temacie integracji jeszcze – 9.01.2018 byłem na wizycie u lekarza POZ. Informacji o tym w systemie nie ma do tej pory..

Reasumując z perspektywy pacjenta. Informator to delikatnie mówiąc średni, zintegrowany też nie za dobrze. Co i rusz słyszy się, że ludzie mają wizyty czy leki, których nie mieli. Nie wnikałem (ale postaram się to zrobić) jak ma sprawa wyglądać w kontekście jego integracji z P1, chociażby w zakresie recept. Może po uruchomieniu P1 recepty znowu zaczną mi wskakiwać? 🙂 A tak poważnie to trochę się boję tego, że NFZ chce zmieniać swój system do rozliczeń. Zaczynam też uważać, że chyba pacjenci powinni się bardziej zainteresować swoim losem i informacjami o swoim leczeniu w kontekście dostępu do informacji oraz samego procesu przetwarzania ich danych w tym zakresie. Bo w tym momencie do jakiegokolwiek zintegrowanego systemu informacji dla pacjenta jest nam jeszcze bardzo daleko.

Nowe wytyczne CSIOZ

Podziel się

Na stronie CSIOZ pojawił się nowy dokument: “Rekomendacje CSIOZ w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej”. Otrzymałem tym samym informacje, że “Wytyczne, zasady i rekomendacje dla usługodawców w zakresie budowy i stosowania systemu bezpiecznego przetwarzania elektronicznej dokumentacji medycznej”  (ostatnia aktualizacja marzec 2017) są nieaktualne. O tyle dobrze się składa, że miałem brać się za analizę i pod tym kątem ustawiać wpisy na blogu. Teraz będzie to miało miejsce dla najnowszego dokumentu, który jest już zrobiony z myślą o RODO, także można przewidywać, że będzie aktualny dłużej niż jego poprzednicy.

 

Dokument i załączniki znajdziecie na stronie: https://www.csioz.gov.pl/edm/