Chmura w praktyce część 2 – bezpieczeństwo danych w chmurze (na przykładzie SQL databases w Azure)

Podziel się

 

We wpisie

Co to jest chmura i czy może nam się przydać?

jako jeden ze sposobów wykorzystania chmury w naszym środowisku informatycznym podałem wykorzystanie jej dość szeroko pojętej funkcjonalności nazwanej “baza danych”. Wpis ten jednak nie będzie roztrząsał rodzajów tego typu mechanizmów w poszczególnych typach chmury czy mechanizmów rozliczania. Uznajmy, że tego typu aspekty są do przedyskutowania na konkretnym przykładzie biznesowym. Tym wpisem chciałem zwrócić uwagę na bezpieczeństwo danych przechowywanych w mechanizmach chmurowych na przykładzie bazy danych. Wiadomo, rozwiązań chmurowych jest wiele i generalnie dostawcy radzą sobie z aspektami bezpieczeństwa na różne sposoby.

Na co warto zwrócić uwagę z punktu widzenia administratora danych osobowych i/lub pracowników działu IT w placówce medycznej?

Przepisy RODO regulują i dopuszczają powierzenie danych osobowych podmiotom trzecim, także w kontekście uwarunkowań formalno-prawnych przetwarzanie danych placówki ochrony zdrowia w chmurze nie jest wykluczone. Komisja Europejska w motywie 81 preambuły RODO wskazuje na konieczność korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby, odpowiadających wymaganiom bezpieczeństwa przetwarzania, w tym wymaganiom określonym przez RODO.

Najlepszą wskazówką w szukaniu odpowiedniego usługodawcy usług chmurowych (także zgodnie z zaleceniami CZIOZ) mogą być międzynarodowe standardy postępowania z danymi osobowymi a zatem normy takie jak ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 22301 oraz normy „branżowe” np. ISO 13606-1, ISO 13606-4.

Warto zwrócić też uwagę na normę ISO/IEC 27018, która nakłada następujące wymagania względem dostawców rozwiązań chmurowych:

  • Dane osobowe mogą być przetwarzane tylko i wyłącznie za wyrażeniem zgody przez klienta oraz wyłącznie do celów nieosobistych, oprócz sytuacji wyrażenia zgody przez klienta na tego rodzaju działanie.
  •  Należy zdefiniować procesy określające: zwrot, przekazanie, zniszczenie danych osobowych.
  •  Przed zakończeniem umowy należy ujawnić wszelkie podzlecenia usług przetwarzania oraz wszystkie kraje, w których występuje przetwarzanie danych.
  • Każdego rodzaju naruszenie ochrony danych należy udokumentować – łącznie z ustalonymi krokami rozwiązywania problemów i możliwymi następstwami.
  • Naruszenie ochrony danych należy niezwłocznie zgłosić klientowi
  • Należy wspierać klientów w zakresie postrzegania swoich praw: klientom, których dane przetwarzane są w chmurze należy oferować narzędzia, pozwalające by końcowi użytkownicy mogli uzyskać dostęp do swoich danych osobowych, w celu ich zmiany, usunięcia lub korekcji.
  • Przekazanie danych osobowych organom ścigania może nastąpić tylko i wyłącznie w przypadku istnienia prawnych zobowiązań w tym zakresie. Należy poinformować klienta, objętego takim postępowaniem, o ile informacja ta nie została utajniona.
  • Oferowane usługi „danych w chmurze” należy poddać regularnym kontrolom przez osoby trzecie.

Praktyka

Normy można sprawdzić i to istotne. Warto jednak wiedzieć jak to wygląda w praktyce. Aby od tego zacząć umieszczam poniżej do obejrzenia krótki filmik Microsoftu o tym w jaki sposób wygląda fizyczne i proceduralne zabezpieczenie do centrów danych będących częścią platformy Azure. Czy w szpitalu też tak macie? 🙂

Z ciekawostek – trwają ostre przygotowania do uruchomienia w Polsce platformy Azure Stack ( https://itreseller.com.pl/wspolna-oferta-microsoft-i-beyond-pl-w-oparciu-o-azure-stack-polscy-klienci-z-mozliwoscia-przetwarzania-danych-w-chmurze-z-lokalnego-polskiego-centrum-danych/ ). W centrum danych Beyond w Poznaniu powstanie zatem nasza “lokalna” platforma Azure`owa – gdyby ktoś się uparł na trzymanie danych u nas w kraju to idealne rozwiązanie. Ja jednak takiej potrzeby nie widzę, chociaż chętnie zmigruję kogoś do PL 🙂

Dlaczego Azure?

Działam na platformie Azure po pierwsze dlatego, że ją znam i wiem w jaki sposób wykorzystać niezliczone funkcjonalności do spełnienia naszych wymagań biznesowych w szeroko pojętym świecie medycyny. Po drugie dlatego, że bogactwo funkcjonalności i tempo rozwoju platformy jest ogromne. Świadczą o tym chociażby funkcjonalności, które poniżej zaprezentuję – jeszcze niedawno ich po prostu nie było. Po trzecie dlatego, że uważam, że to jest dobry wybór. I wcale nie oznacza to, że ograniczam się w swoich rozważaniach z klientami tylko do tej platformy. Znam wiele rozwiązań (OVH, Aruba Cloud, 3s DataCenter, Infomex DC) i w większym lub mniejszym stopniu z nich korzystam. Biorąc jednak pod uwagę funkcjonalności typowo usługowe – zwłaszcza mechanizmy PaaS Azure i AWS przodują i z pewnością będą.

Meritum

Wracając jednak do tematu. Jedną z przynajmniej kilku możliwości utworzenia bazy danych w Azure jest skorzystanie z usługi SQL database. Utwórzmy zatem nową instancję. W “Select source” wybrałem “Sample” – aby jakieś dane już były. Załóżmy, że to nasza baza pacjentów (a, że w tym przykładzie dane osobowe są to dobry przykład).

Po utworzeniu bazy możemy wejść w jej Dashboard:

Pragnę skupić się na następujących aspektach:

  • Set server firewall
  • Auditing and Threat Detection
  • Vulnerability Assesment
  • Data discovery and classifications
  • Dynamic Data Masking
  • Transparent data encryption.

Set server firewall – prosta funkcjonalność pozwalająca ustalić sobie zasady dostępu do bazy danych. W ustawieniach defaultowych mając server name (his1.database.windows.net) oraz użytkownika i hasło z bazą się po prostu połączymy. Można to okroić – do konkretnych adresów IP lub do konkretnych sieci wirtualnych. W tym wypadku prosta droga do skorzystania z mechanizmów opisanych we wpisie:

Chmura w praktyce – część 1 – VPN

Auditing and Threat Detection

Opcja inspekcji i wykrywania zagrożeń może zostać uruchomiona na poziomie pojedynczej instancji bazy danych lub na poziomie całego serwera. Domyślnie opcja Server-level jest wyłączona zarówno dla audytowania jak i wykrywania zagrożeń. Przy uruchamianiu tej opcji można podać także adres e-mail, na który będą przychodzić powiadomienia z alertami. Możemy wybrać tez wybrane zagrożenia, które mają być monitorowane.

Aha.. oto tabele w naszej bazie danych. Jak wcześniej wspomniałem to przykładowa baza, wypełniona danymi.

Po konfiguracji możemy sobie wyklinać pierwszy raport. Zawiera on wszystkie monitorowane przez nas aktywności wraz ze szczegółami – czyli. np który użytkownik jaką instrukcję lub operację na bazie danych wykonał lub chciał wykonać, z jakiego adresu ip itp. Dane możemy dowolnie filtrować a w przypadku gdy chcemy skorzystać z tych danych możemy podłączyć się do mechanizmu poprzez REST API.

Vulnerability Assesment

Ocena luk w zabezpieczeniach czy jak kto woli po prostu ocena podatności pozwala na automatyczny skan konfiguracji serwera bazy danych oraz danych zawartych w bazie. Wynikiem takiego skanowania jest rozbudowany raport zabezpieczeń bazy danych w następujących obszarach:

  • inspekcja i rejestrowanie
  • uwierzytelnianie i autoryzacja
  • zmniejszenie obszaru powierzchni
  • ochrona danych.

Jak widać na zrzucie powyżej mamy wyszczególnione wszystkie zadeklarowane i przeprowadzone kontrole oraz finalny status ich wykonania a także podsumowanie ryzyk wg. statusów (wysokie, niskie średnie). Szczegółowy raport rodzaju sprawdzanego zabezpieczenia, jego kategorii, instancji której dotyczy pozwala przyjrzeć się dokładnie wszystkim obszarom ryzyka. Mało tego – klikając na dane ryzyko otrzymujemy szczegółowy opis problemu a także zalecenie jego rozwiązania. Dla naszej bazy na przykład mamy informację, że niektóre kolumny w tabelach mogą zwierać dane wrażliwe (w rozumieniu Azure – mogą to być zatem dane osobowe lub inne). Dzięki temu możemy zareagować dokładając należytej staranności w opiece nad swoimi danymi. W opisanym przypadku w celu skorygowania tego problemu zostaniemy przeniesieni do Dynamic Data Masking, którą opisałem poniżej.

Data discovery and classifications

Kolejnym obszarem do analizy pod kątem bezpieczeństwa naszych danych w bazie jest mechanizm odnajdowania i klasyfikacji danych. Jest to narzędzie pozwalające nam na oznaczenie wszystkich kolumn w tabelach typem informacji która jest w danej kolumnie zawarta (np. Contact Info, Name, CreditCard) oraz nadania etykiet poufności. Dostępne na ten moment etykiety to:

Dodatkowo system sam rozpoznaje nam według swoich algorytmów typy danych i daje propozycje konfiguracji, którą możemy zaakceptować w całości lub częściowo wykorzystać. W razie konieczności system podpowiada nam także zalecenia do wykonania dla skonfigurowanej klasyfikacji danych.

Po zapisaniu klasyfikacji otrzymujemy rozkład przydzielonych etykiet oraz rozkład typu informacji w naszej bazie danych w przystępnej, graficznej formie. Raport ten możemy wyeksportować do Excela i dołączyć do swojej dokumentacji związanej z RODO.

Dynamic Data Masking

W skrócie dynamiczne maskowanie danych pomaga zapobiegać nieautoryzowanemu dostępowi do poufnych danych, umożliwiając klientom określenie, jak wiele wrażliwych danych ma się ujawnić przy minimalnym wpływie na warstwę aplikacji. Funkcja ta pozwala przykładowo wyświetlenie tylko części danych osobowych w recepcji placówki. W celu weryfikacji rozmówcy telefonicznego w systemie osobie obsługującej zgłoszenie mogą pojawić się wybrane dane osoby dzwoniącej – np. nazwisko, miejscowość zamieszkania oraz pierwsza i trzy ostatnie cyfry numeru PESEL. Myślę, że biznesowych zastosowań tej funkcjonalności w obliczu RODO czy po prostu mając świadomość wrażliwości tego typu danych (także proceduralną) można znaleźć wiele.

Transparent data encryption

Funkcjonalność ta wykonuje w czasie rzeczywistym szyfrowanie i deszyfrowanie bazy danych, powiązanych kopii zapasowych i plików dziennika transakcji bez konieczności wprowadzania zmian w aplikacji. Do realizacji tego zadania możemy wykorzystać zdefiniowane samodzielnie klucze znajdujące się w Key Picker. Dzięki wykorzystaniu tego mechanizmy mamy pewność, że wszystkie aplikacje i sposoby komunikowania się z naszą bazą danych otrzymują i wysyłają do niej dane zaszyfrowane.


Podsumowanie

Mam nadzieję, że opisane powyżej możliwości konfiguracji i dostosowania bazy danych do swoich restrykcyjnych potrzeb odnośnie przetwarzania danych rzucą nowe światło na ten temat. Zaznaczam, że wzięta na tapetę została tutaj tylko jedna z funkcjonalności – baza danych. Mechanizmów tych, dla różnych typów usług jest dużo więcej i postaram się o nich sukcesywnie pisać. Gdyby ktoś chciał poklikać sobie na żywo zapraszam do kontaktu – udostępnię subskrypcje testową bez konieczności podawania namiarów na swoją kartę kredytową 😉

1 Shares:
83 comments
  1. Pingback: viagra online
  2. Pingback: viagra for sale
  3. Pingback: cialis generic
  4. Pingback: tadalafil 5mg
  5. Pingback: write my thesis
  6. Pingback: order cialis
  7. Pingback: cialis pills
  8. Pingback: viagra generic
  9. Pingback: Valtrex
  10. Pingback: buy drugs online
  11. Pingback: viagra
  12. Pingback: cialis generic
  13. Pingback: cialis cost in nz
  14. Pingback: phd thesis search
  15. Pingback: Zakhar Berkut hd
  16. Pingback: 4569987
  17. Pingback: cialis 20mg usa
  18. Pingback: news news news
  19. Pingback: psy
  20. Pingback: psy2022
  21. Pingback: projectio-freid
  22. Pingback: kinoteatrzarya.ru
  23. Pingback: topvideos
  24. Pingback: video
  25. Pingback: Ukrainskie-serialy
  26. Pingback: site
  27. Pingback: alcohol cialis
  28. Pingback: health rx pharmacy
  29. Pingback: top
  30. Pingback: chelovek-iz-90-h
  31. Pingback: podolsk-region.ru
  32. Pingback: bender na4alo 2021
  33. Pingback: blogery_i_dorogi
  34. Pingback: chernaya vodova
  35. Pingback: 66181
  36. Pingback: Porno
  37. Pingback: vechernyy urgant
  38. Pingback: ukraine
  39. Pingback: A3ixW7AS
  40. Pingback: link
  41. Pingback: KremlinTeam
  42. Pingback: medunitsa.ru
  43. Pingback: kremlin-team.ru
  44. Pingback: psychophysics.ru
  45. Pingback: yesmail.ru
  46. Pingback: Suicide Squad 2
  47. Pingback: psiholog
Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *

You May Also Like

Najciekawsze wydarzenia – marzec 2018

Podziel się

Na początku mały wstęp o aktualnej sytuacji. Dużo się dzieje. Dużo ostatnio mówię i myślę o chmurze, o czym świadczą chociażby spotkania – m.in z Piotrem Marczukiem z Microsoft w ramach Młodych Menadżerów Medycyny, konferencja Centrum Promocji Informatyki i tam prelekcja o chmurze, do tego artykuły na temat wykorzystania chmury w IT Professional oraz dla Menadżera Zdrowia. Obydwa ukażą się w marcu, jeden z nich mam już wydrukowany u siebie!

Myślę, że te wszystkie działania i wydarzenia potwierdzają, że chmura jest dobrym kierunkiem rozwoju placówek związanych z ochroną zdrowia. Tym bardziej w kontekście RODO ale o tym więcej będzie już niebawem – w ramach kodeksu RODO dla branży medycznej. Właśnie a propos i miękko przechodząc do tematu wpisu –

14 marca, Uczelnia Łazarskiego, ul. Świeradowska 43, Warszawa – konferencja RODO w Zdrowiu

na której zaprezentowana zostanie cześć kodeksu oraz stan prac nad nim. Zapisy na http://www.rodowzdrowiu.pl/

Oprócz tego mamy między innymi:

27 marca 2017 r. Auditorium Maximum Uniwersytetu Jagiellońskiego, Kraków – Międzynarodowe Forum Medycyny Personalizowanej

zapisy na: http://www.medycynapersonalizowana.pl/

8-10.03.2018, Katowice, II edycja Kongresu Wyzwań Zdrowotnych – Health Challenges Congress (HCC)

zapisy na: http://www.hccongress.pl/pl/

 

zapisy: https://www.termedia.pl/Konferencje?intro&e=724&p=4623

 

23.03.2018, Warszawa ,Kongres Innova Med Management

 

Jeszcze z tematów chmurowych jakby ktoś był zainteresowany. 15 marca Public Cloud User Group robi Meetup w Warszawie. Jest jeszcze kilka miejsc: https://www.meetup.com/pl-PL/publiccloudpl/events/247707928/ . Jednym z prelegentów będzie kolega z branży – Vladimir Alekseichenko – Architect w GE Healthcare. Ja będę 🙂

 

W agendach troszkę o telemedycynie pod katem prawnym i technologicznym i dużo o bezpieczeństwie i RODO. Warto zerknąć bo pojawić wszędzie to się z pewnością nie da 🙂

Jak jest part II – szybka analiza przygotowania placówek do spełnienia wymagań związanych z EDM

Podziel się

Mamy harmonogram, wiemy co w zakresie podstawowym jest do zrobienia. Żeby zebrać wszystko “do kupy” należałoby jeszcze krótko powiedzieć o tym jak wygląda sytuacja w placówkach w danym momencie.  Najaktualniejsze dane mamy sprzed roku – to “BADANIE STOPNIA PRZYGOTOWANIA PODMIOTÓW WYKONUJĄCYCH DZIAŁALNOŚĆ LECZNICZĄ DO OBOWIĄZKÓW WYNIKAJĄCYCH Z USTAWY Z DNIA 28 KWIETNIA 2011 R. O SYSTEMIE INFORMACJI W OCHRONIE ZDROWIA” przeprowadzone od kwietnia do sierpnia 2017 roku przez CSIOZ.

Nie będę omawiał wszystkich (opisanych dość szczegółowo) elementów raportu. Postaram się z niego wyłuskać co najważniejsze, żeby nie zanudzać. Zainteresowanych szczegółami odsyłam do dokumentu. Jeżeli przeoczyłem coś istotnego można marudzić. 🙂

Raport został opracowany na podstawie otrzymanych 4101 ankiet – wypełnionych i pozytywnie zweryfikowanych. Ankiety były przekazywane w lipcu i sierpniu 2016. W badaniu wzięło udział ponad 18% wszystkich podmiotów, które jako główny rodzaj działalności wskazały Ambulatoryjne Świadczenia Zdrowotne, ponad 57% wszystkich szpitali (656 placówek) oraz ponad 51% całodobowych świadczeń zdrowotnych innych niż szpitale. W przypadku dwóch ostatnich zatem można mówić o tym, że wyniki zostały opublikowane na podstawie grupy reprezentatywnej. Jeżeli chodzi o AŚZ to grupa reprezentatywna jest dla zakładów (96% wszystkich AŚZ biorących udział w ankiecie). Tej grupy nie osiągnęły ani POZ-y ani  praktyki lekarskie i pielęgniarskie.

Otóż okazuje się, że prawie 60% badanych podmiotów nie posiada w ogóle żadnej strategii informatyzacji placówki w ciągu najbliższych lat. To w kontekście wpisu: http://itwmedycynie.pl/2017/08/23/jak-jest/ jest co najmniej ciekawe. Można się domyśleć, że spośród tych, którzy posiadają, większość to szpitale chociaż wcale nie jest ich tak dużo jak przynajmniej ja się spodziewałem. Tylko 48% ankietowanych szpitali.

Co chyba niestety nie dziwi – tylko 29% ankietowanych posiada własną, wyodrębnioną w strukturze jednostkę IT. Większość to oczywiście szpitale, najgorzej w tym zestawieniu wypadają AŚZ-y.

Jeżeli ktoś nie ma IT to powinien mieć jakąś zaprzyjaźnioną firmę lub wykupione usługi, które dawały by możliwość poprawnego działania. Dla mnie suma tych podmiotów, które mają IT i tych które korzystają z jakiejś formy outsourcingu powinna wynosić przynajmniej 100%. Jest jednak inaczej. Tylko 24% szpitali, ponad 18% stacjonarnych i całodobowych świadczeń innych niż szpitalne i nieco ponad 16% AŚZ-tów korzysta z tego typu usług.

Nieco większą świadomość w temacie outsourcingu usług IT wykazały te placówki, które mają wyodrębnioną komórkę IT. Ale i tak jest ich bardzo mało. Dokładając do tego jeszcze to, że ponad 60% AŚZ-ów, prawie 10% szpitali i ponad 40% stacjonarnych i całodobowych świadczeń zdrowotnych innych niż szpitalne nie posiada własnej serwerowni łatwo można dojść do wniosku, że w wielu placówkach dane medyczne są przetwarzane “na kolanie” lub na komputerze Pani Basi w recepcji. Pozwólcie, że nie będę brnął dalej jeżeli chodzi o stan istniejących serwerowni… A nadmienić jeszcze należy, że większość ankietowanych nie przeprowadziła nawet analizy finansowej związanej z koniecznością dostosowania się do norm, większość także nie ma zaplanowanych na ten cel żadnych środków finansowych. Czyżby chcieli zacząć planować gdy skończą się środki unijne? 🙂

W temacie wdrożonej polityki bezpieczeństwa teleinformatycznego CSIOZ twierdzi, że jest “nie najgorzej”. Ja twierdzę, że nie jest najlepiej 🙂 Pomimo tego, że trzeba ją mieć (http://itwmedycynie.pl/2017/08/28/elektroniczna-dokumentacja-medyczna-podstawowe-zasady-przetwarzania-obowiazujace-wszystkich/) ma ją tylko 82% szpitali, ponad 56% AŚZ-tów i 63% innych. Aż się boję jaka sytuacja jest w POZ-tach, nie myślę już o praktykach lekarskich. Z mojego doświadczenia wynika, że wszyscy twierdzą, że jakoś to będzie i nawet się tym nie przejmują i ani myślą generować sobie koszty. Błąd – bo poprawnie zaprojektowana nawet najmniejsza struktura tego typu nie jest zbędnym kosztem tylko zapewnia bezpieczeństwo i ułatwia pracę.

Jakby ktoś nie wiedział od jakiegoś czasu obowiązuje nas posiadanie e-rejestracji dla pacjenta. Stosowny dokument i wymogi (troszkę przesadzone ale jednak obowiązujące) można znaleźć tutaj. Na załączonym poniżej diagramie z raportu widać, że w tym zakresie też nie jest kolorowo:

Strasznie mi szkoda CSIOZ. Mają oni dobry dokument zawierający właściwie pigułkę tego co każdy podmiot powinien zrobić w zakresie dostosowania się do norm. Podane tam są różne ścieżki i możliwości do wyboru (będę to omawiał w kolejnych wpisach). Można z tego dokumentu wyciągnąć naprawdę wiele (pomijając fakt, że to już z trzecia jego wersja, ale jeżeli lepsza to ok). Okazuje się natomiast, że prawie 77% ankietowanych do tego dokumentu nawet nie zajrzało. A powinno ponieważ 84% ankietowanych, którzy czytali ten dokument uznało, że był on dla nich pomocny. (13,28% odpowiedziało w tym pytaniu “nie dotyczy”. Do tej pory nie wiem co to oznacza ale znaczące jest, że “nie” odpowiedziało tylko trochę ponad 1%)

Jeżeli chodzi o zastosowanie telemedycyny w zakresie swojej działalności to pomimo prężnego jej rozwoju i dużych pieniędzy wydawanych na PR 91% podmiotów nie wykorzystuje jej dobrodziejstw. Ciekawostką jest też to, że od poprzedniej ankiety (wykonywanej w 2014 roku) nic się nie zmieniło w tym zakresie.

Jaki z tego wszystkiego nasuwa się wniosek? Przecież tyle się o “e-zdrowiu” w środowisku mówi, są organizowane konferencje, prelekcje, debaty, jest tyle firm, które oferują rozwiązania.. ba! są nawet pieniądze unijne w ramach Regionalnych Programów Operacyjnych na wdrożenia. A jednak chyba cały czas największym problemem jest świadomość powagi problemu a właściwie jej brak.. ciężko jest przyjąć, że jak coś do tej pory funkcjonowało to było to źle i trzeba ponieść jakieś koszty, żeby było dobrze.. Nie pomaga też niestety to co się dzieje na szczeblu państwowym z projektami mającymi się przyczynić do poprawy stanu rzeczy. Co i rusz słychać jest o zmianach harmonogramu, zmianach treści rozporządzeń, ustaw, nieprzystosowaniu przepisów już istniejących. Słyszy się też ile wydano już na P1 pieniędzy i widać jakie są tego efekty. Mało tego, wszyscy wiemy jak ogromne są potrzeby służby zdrowia w innych obszarach i jak niektóre rzeczy są źle zorganizowane i nie funkcjonują jak należy.. Nie ma się zatem co dziwić, że ludzie nie podchodzą do sprawy poważnie skoro można odnieść wrażenie, że odgórnie następuje próba wymuszenia czegoś, czego u źródła nikt nie ogarnia. Sytuację pewnie ratuje trochę próba edukacji środowiska, szereg inicjatyw mających na celu popularyzację wiedzy w temacie bezpieczeństwa przetwarzania tak wrażliwych danych jak dane medyczne oraz PR często wielkich korporacji zajmujących się sprzedażą rozwiązań informatycznych zarówno sprzętu jak i oprogramowania. Oni jednak wiadomo – są nastawieni na zysk. Myślę, że jak w całym świecie IT można odnieść wrażenie, że dobro samego klienta na pierwszym miejscu nie jest.

Nie można jednak powiedzieć, że nie dzieje się nic – coraz więcej placówek decyduje się na pochylenie się nad wyzwaniem zwanym Elektroniczna Dokumentacja Medyczna. I dla nich z tego miejsca gratulacje! Do pozostałych trzeba po prostu dotrzeć, i tempo tego docierania trzeba jednak znacznie przyspieszyć bo w przeciwnym razie myślę, że zejdzie się nam jeszcze ze 30 lat.

CSIOZ udostępnił dokumentację integracyjną w zakresie e-skierowania

Podziel się

Dokumentację można znaleźć pod adresem https://www.csioz.gov.pl/interoperacyjnosc/interfejsy/ . Obejmuje ona:

Dokumentacja integracyjna obejmuje:

  1. Specyfikację usług
  2. Opis i strukturę dokumentu elektronicznego skierowania
  3. Reguły biznesowe
  4. Kody wyników operacji
  5. Zasady otrzymania dostępu do środowiska integracyjnego .

Obiecano także, że pod koniec czerwca pojawi się środowisko testowe dla tej funkcjonalności.

Jak jest? Czyli kilka słów o stanie wdrażania Elektronicznej Dokumentacji Medycznej (EDM)

Podziel się

To zależy jak spojrzeć. Z perspektywy zainteresowanych tematem z pewnością nie za dobrze – ciągła zmiana harmonogramów, dat, sprzeczne informacje o etapach wdrożeń poszczególnych elementów mających uspójnić szeroko rozumiane zagadnienie Elektronicznej Dokumentacji Medycznej w Polsce. Chyba za dużo polityki. Ale w jaki sposób wyegzekwować ujednolicenie tak rozległego informatycznie obszaru, jak sprawić, żeby był porządek jeżeli samemu nie potrafi się tego zrobić we własnym podwórku? Ja wiem, koncepcje, przetargi, wymagania jednostek finansujących. Może w takim razie teraźniejsze podejście się sprawdzi.

Nie wszystko na raz

Zgodnie z opublikowanym 9 maja 2017 komunikatem dotyczącym regulacji prawnych w zakresie Elektronicznej Dokumentacji Medycznej “trwają prace legislacyjne dotyczące nowelizacji ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, których celem jest m.in. doprecyzowanie definicji elektronicznej dokumentacji medycznej (EDM) oraz obowiązku stosowania Polskiej Implementacji Krajowej (PIK) HL7 CDA oraz formatów EDM, które będą publikowane w Biuletynie Informacji Publicznej Ministerstwa Zdrowia, a także zmiana terminów dotyczących obowiązku stosowania EDM”

Z konkretów natomiast są daty. I tak:

  1. e-recepta – obowiązek wystawiania recepty w postaci elektronicznej – od 1 stycznia 2020 r.;
  2. e-skierowanie – obowiązek wystawiania skierowania w postaci elektronicznej – od 1 stycznia 2021 r.;
  3. pozostała EDM (tj. dokumenty wskazane w rozporządzeniu wydanym na podstawie art. 13 ustawy):
    • obowiązek prowadzenia w postaci elektronicznej – od 1 stycznia 2019 r.;
    • obowiązek wymiany za pośrednictwem Platformy P1 – od 1 stycznia 2021 r.

Dla porządku w punkcie 3 dokumenty to: karta informacyjna leczenia szpitalnego, karta odmowy przyjęcia do szpitala, konsultacja lekarska, karta indywidualnej opieki pielęgniarskiej, opis badania diagnostycznego, sprawozdanie z badania laboratoryjnego, protokół operacyjny, wpis karty uodpornienia (zgodnie z linkiem). Na “pierwszy ogień” zatem idą głównie szpitale.

“Ponadto, projekt ustawy wyraźne przesądza (z uwagi na liczne wątpliwości), że EDM może być prowadzona i wymieniana również poza platformą P1″. Jestem w trakcie ustalania o co chodzi z tym zapisem ale w skrócie można sobie to wyobrazić tak, że wszystkie podmioty będą mogły wymieniać się danymi we własnym zakresie. Brzmi złowieszczo ale zobaczymy.

Uff  – znowu mamy czas. A pewnie i tak znowu to odłożą.. Najlepszy w tym wszystkim jest marketing firm wdrażających zarówno ogromne oprogramowanie jak i te najmniejsze – wszyscy są przygotowani w 100%. Szkoda, że ustawodawca nie i jeszcze nie wszystko jest określone 🙂

Lepiej jednak będzie zastosować taktykę pogodzenia się z losem – zarówno szpitale, jak i publiczne i prywatne przychodnie podstawowej opieki zdrowotnej czy specjalistyczne a także praktyki lekarskie na Elektroniczną Dokumentacje Medyczną przejdą. A im wcześniej tym lepiej. Wiele wątpliwości i błędów pewnie “wyjdzie w praniu” ale polska Służba Zdrowia naprawdę potrzebuje zakończenia czasów stosów segregatorów w przychodniach i starego komputera z jakimkolwiek systemem do rozliczania z NFZ pod nogami Pani z recepcji/rejestracji. A naprawdę często tak jeszcze jest.. Fakt, że dużo się zmienia (szczegółowo o tym w kolejnych wpisach) ale do zrobienia też jest ogromnie wiele. A trzymając się wersji aktualnej harmonogramu czasu wbrew pozorom nie ma dużo. Jest do wystarczająco na edukacje, zapoznanie z rynkiem i zrobienie wszystkiego w zgodzie z wymaganiami. I będzie to dużym udogodnieniem. Zresztą, nie tylko wprowadzenie samej Elektronicznej Dokumentacji Medycznej. Jest także niezliczona ilość rozwiązań IT, które mogą zostać wykorzystane w branży z korzyścią dla personelu, pacjentów i wszystkich na około.

Chmura a potrzeby podmiotów medycznych

Podziel się

Poniżej zamieszczam treść do zajawki artykułu zamieszczonego na łamach IT Professional. Aktualnie z tego cyklu ukazały się 3 artykuły, czwarty jest w trakcie drukowania.

Informatyzacja placówek szeroko pojętej ochrony zdrowia trwa w najlepsze. Mnogość różnego rodzaju projektów, regulacji prawnych, a także zbliżające się wielkimi krokami nowe rozporządzenie o zasadach przetwarzania danych osobowych (rodo) wywołuje duże poruszenie w branży. Czy chmura odpowiada potrzebom podmiotów medycznych? Czy warto przyjrzeć się tego typu rozwiązaniom? Jak wygląda sytuacja u samych zainteresowanych?

Z  doniesień medialnych wszyscy wiemy, że nasz system ochrony zdrowia od lat zmaga się z wieloma problemami organizacyjno-finansowymi. Podobna sytuacja występuje w przypadku informatyzacji sektora. Informatyzacji rozumianej jako spójny zestaw usług na poziomie ogólnopolskim, bo nie ma co ukrywać, że prywatne podmioty oferujące usługi medyczne (zwłaszcza te duże) mają dużą świadomość informatyczną i radzą sobie znakomicie. I to radzą sobie zarówno z wykorzystaniem najnowocześniejszych technologii w celu ułatwienia życia pacjentom, jak i sprawnością systemów IT w zakresie obsługi procesów wewnątrz organizacji. Dzięki środkom unijnym także duża liczba szpitali podległych resortom czy też władzom na różnego rodzaju szczeblach samorządowych wdrożyła, bądź wdraża, nowoczesne rozwiązania. Na szczeblu ogólnopolskim sprawa jednak nie jest taka prosta. Od lat trwają prace nad Elektroniczną Platformą Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych (tzw. system P1).

Na projekt ten wydano już ogromnie dużo pieniędzy, a z powodu wielu problemów został dla niego opracowany plan naprawczy. Przyjęto nowe założenia, które mówią o tym, co i kiedy ma zostać wdrożone i uruchomione.

Zgodnie z opublikowanym 9 maja 2017 r. komunikatem dotyczącym regulacji prawnych w zakresie Elektronicznej Dokumentacji Medycznej (tinyurl.com/mz-komunikat) „trwają prace legislacyjne dotyczące nowelizacji ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, których celem jest m.in. doprecyzowanie definicji elektronicznej dokumentacji medycznej (EDM) oraz obowiązku stosowania Polskiej Implementacji Krajowej (PIK) HL7 CDA (Clinical Document Architecture) oraz formatów EDM, które będą publikowane w Biuletynie Informacji Publicznej Ministerstwa Zdrowia, a także zmiana terminów dotyczących obowiązku stosowania EDM”. Ustalono też następujące terminy obowiązywania poszczególnych usług:

  • e-recepta – obowiązek wystawiania recepty w postaci elektronicznej – od 1 stycznia 2020 r.;
  • e-skierowanie – obowiązek wystawiania skierowania w postaci elektronicznej – od 1 stycznia 2021 r.;
  • pozostała część EDM (tj. dokumenty wskazane w rozporządzeniu wydanym na podstawie art. 13 ustawy):

– obowiązek prowadzenia w postaci elektronicznej – od 1 stycznia 2019 r.;
– obowiązek wymiany za pośrednictwem Platformy P1 – od 1 stycznia 2021 r.
Na „pierwszy ogień” idą zatem głównie szpitale. Nie możemy jednak zapominać o tym, że od lipca 2018 r. Zakład Ubezpieczeń Społecznych uruchamia obowiązek wystawiania elektronicznych zwolnień lekarskich dla wszystkich lekarzy. Dodatkowo pojawiają się legislacyjne ułatwienia dla rozwiązań telemedycznych. Zgodnie z wizją opracowaną na potrzeby nowo powstającej Strategii Rozwoju e-Zdrowia dla Polski na lata 2018–2022 „(…) dzięki spójnemu rozwojowi e-zdrowia do 2022 roku system opieki zdrowotnej w Polsce stanie się bardziej skuteczny, efektywny ekonomicznie i dostępny dla obywatela (…)”.

Nie bez wpływu na potrzeby placówek ochrony zdrowia jest także mające zastosowanie dla każdej branży wchodzące w życie od maja 2018 roku unijne ogólne rozporządzenie o ochronie danych osobowych (rodo), które reguluje zasady przetwarzania tego typu danych. Biorąc pod uwagę, że w środowiskach informatycznych ochrony zdrowia mamy dodatkowo dane medyczne, które są opatrzone klauzulą szczególnej wrażliwości, nie można przejść obojętnie obok potrzeb technicznych i możliwości, jakie dają nam rozwiązania informatyczne w tym kontekście.

Jak widać, wyzwań informatycznych jest bardzo dużo. Aby mieć pełny obraz sytuacji, należy jeszcze przyjrzeć się aktualnemu stanowi informatyzacji podmiotów ochrony zdrowia.

źródło: Artykuł pochodzi z czasopisma „IT Professional” nr 03/2018.

http://www.it-professional.pl/archiwum/art,7919,chmura-a-potrzeby-podmiotow-medycznych.html

Konsultacje społeczne projektu przepisów wdrażających ogólne rozporządzenie o ochronie danych (RODO)

Podziel się

Oczywiście musimy trzymać się wytycznych ogólnych na poziomie europejskim jeżeli chodzi o nowe zasady przetwarzania danych osobowych ale różne uwarunkowania wewnętrzne wymuszają na nas dostosowanie przepisów szczególnych pod nasze – specyficzne i wyjątkowe warunki i potrzeby. To akurat dobrze, bo jak dobrze wiemy niektórych przepisów w ogóle nie mamy 🙂 W związku z tym Ministerstwo Cyfryzacji ogłosiło kolejny już etap konsultacji społecznych dotyczących projektu ustawy  “Przepisy wprowadzające ustawę o ochronie danych osobowych oraz projektu ustawy o ochronie danych osobowych”.

Bardzo ważnymi obszarami w projektowanym dokumencie są rzeczy, których na naszym poziomie brak lub takie, które nie są jasno sprecyzowane. Często i wielu branżach – także w służbie zdrowia. Powoduje to ograniczenia możliwości w cyfryzacji systemów. Mam tutaj na myśli między innymi wymóg pisemności, który ma zostać zastąpiony tzw. wymogiem zgody wyraźnej. Dodatkowo projektowane przepisy po raz pierwszy określały będą również zasady przetwarzania danych biometrycznych czyli np. linii papilarnych, wizerunek twarzy, ton głosu czy tęczówka oka.

Konsultacje są otwarte zatem warto zabrać głos – ja z pewnością tak zrobię. Myślę, że jest to też dobra okazja na wyjaśnienie wątpliwości na około nowych przepisów. W razie potrzeby można pisać na adres konsultacyjny Konsultacje.odo@mc.gov.pl . Możliwe jest to do 13 października 2017. Gdyby ktoś miał jakieś pytania ja służę pomocą. Adres e-mail dostępny jest w zakładce O mnie.

Oficjalne info dostępne jest tutaj: https://mc.gov.pl/konsultacje/konsultacje-spoleczne-projektu-przepisow-wdrazajacych-ogolne-rozporzadzenie-o-ochronie