Elektroniczna Dokumentacja Medyczna – podstawowe zasady przetwarzania obowiązujące wszystkich – czy się chce czy nie

Podziel się

 

No właśnie.. RODO, GIODO, ABI, IOD, wytyczne CSIOZ odnośnie przetwarzania danych medycznych, dziesiątki przepisów, ustaw, rozporządzeń dotyczących definicji danych osobowych, danych medycznych i kwestii ich prawidłowego przetwarzania, różne interpretacje – jednym słowem nie wiadomo czym się kierować w przypadku chęci prawidłowego podejścia do tematu. Spróbujmy wyłuskać z powyższego absolutne must have dla wszystkich przetwarzających dane medyczne.

A co to tak właściwie są te dane medyczne? Niestety w Polskim prawodawstwie, jak to często bywa jest kilka nieścisłości w kwestii prawidłowego uszeregowania danych medycznych w kontekście danych osobowych itp. Na szczęście nie jest to blog prawniczy, bo te kwestie wydają się nierozstrzygalne i są często kwestią interpretacji. Szczegółowe informacje na ten temat można znaleźć chociażby tutaj . Na nasze potrzeby – nazwijmy je organizacyjno-informatycznymi, przyjmijmy, że dane medyczne są danymi osobowymi o charakterze wrażliwym. I z takim przeświadczeniem powinniśmy je przetwarzać.

I tutaj trzeba zacząć od RODO – tak, trzymajmy się tej wersji bo na nią trzeba być przygotowanym – od 25 maja 2018 będzie obowiązywało wszystkich. Co to jest RODO? RODO czyli GDPR, zwane także „Ogólnym Rozporządzeniem o Ochronie Danych” to Rozporządzenie Parlamentu Europejskiego i Rady (UE)2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Nie możemy zapomnieć także o UODO ponieważ dokument ten nakłada na podmioty przetwarzające tego typu dane liczne zobowiązania, które należy uwzględnić podczas projektowania systemów informatycznych mających przetwarzać dane osobowe w tym dane wrażliwe.

Idąc od najwyższego poziomu abstrakcji Art. 5 ust. RODO wskazuje na sześć podstawowych zasad przetwarzania danych osobowych:

1. Zasada zgodności z prawem, rzetelności i przejrzystości przetwarzania – w skrócie oznacza ona, że podmiot przetwarzający zawsze i na każdym etapie
przetwarzania danych jest zobowiązany dbać o interesy osoby, której dane dotyczą

2. Zasada ograniczoności celu – dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach

3. Zasada minimalizacji danych – przetwarzane dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Nie wolno zbierać i przetwarzać danych, które nie są niezbędne do osiągnięciu celu przetwarzania i są w stosunku do niego nadmiarowe. Czyli w przypadku danych medycznych numer buta nie jest nam potrzebny 🙂

4. Zasada prawidłowości – przetwarzane dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane – wydaje się oczywiste ale niech rzuci kamieniem ten, który jest bez winy. Dbanie o aktualność danych jest zawsze zmorą w organizacjach.

5. Zasada ograniczoności przechowywania – dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. To jest bardzo ciekawe zagadnienie, które mam nadzieje będzie jeszcze okazja poruszyć. Ciekawa ponieważ jednocześnie mając na uwadze zapisy art. 25 ust. 1 oraz art. 32 ust. 1 RODO w zakresie uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych i
bezpieczeństwa przetwarzania, placówka medyczna prowadząca dokumentację w postaci elektronicznej powinna zorganizować sposób gromadzenia informacji w taki sposób, aby nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji pod warunkiem, że informacje te są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi
ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Trochę się to wyklucza ale to zagadnienie (dotyczące pseudonimizacji) to temat na oddzielny wpis.

Co trzeba zrobić, żeby to spełniać? Oczywiście niezależnie od tego czy przetwarzamy dane w praktyce lekarskiej, małej przychodni, większej placówce chociażby specjalistycznej czy szpitalu. Obowiązek ten wymusza sam fakt przetwarzania danych.

 

1. Powołanie IOD (Inspektora Ochrony Danych) w starej nomenklaturze (jeszcze obowiązującej ) to mniej więcej ABI (Administrator Bezpieczeństwa Informacji).

 

Administrator danych może nie powoływać takiego kogoś – wtedy sam przejmuje jego obowiązki. Jeżeli jest to osoba zatrudniona w danej placówce powinna ona mieć to wpisane w zakres obowiązków, w przypadku gdy zdecydujemy się powierzyć tę rolę osobie/firmie zewnętrznej potrzebujemy umowy powierzenia.

 

2. Identyfikacja wszystkich osób, które przetwarzają dane osobowe

 

Osoby te powinny otrzymać upoważnienia do przetwarzania danych osobowych zgodnie z art. 37 UODO, jednocześnie powinny zostać zapoznane z przepisami o ochronie danych osobowych. Zapoznanie z przepisami powinno zostać potwierdzone przez pracownika upoważnianego stosownym oświadczeniem a oświadczenie to powinno zostać dołączone do akt osobowych pracownika zgodnie z art. 36a ust. 2 pkt 1 lit. c UODO a od 2018 r zgodnie z art. 39 ust. 1 pkt a i b  RODO. Wszystkie osoby, które zostały upoważnione i dopuszczone do przetwarzania danych osobowych, powinny zostać zobowiązane do zachowania danych oraz sposobu ich zabezpieczenia w tajemnicy jednocześnie zapewniając spisanie potwierdzenia takiego zobowiązania oraz dołączenia go do akt pracowniczych (art. 39 ust. 2 UODO).

 

3. Ustalenie procedur mających na celu cykliczne sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych

 

Sprawdzenia takiego dokonuje nasz Inspektor Ochrony Danych. Najpierw musi on jednak ustalić plan sprawdzeń obejmujących minimalnie kwartał a maksymalnie rok – w tym okresie musi odbyć się co najmniej jedna taka analiza.

 

Powinna ona obejmować 4 elementy:

 

  • inwentaryzację zbiorów
  • sprawdzenie, czy są realizowane obowiązki z ustawy o ochronie danych osobowych UODO,
  • sprawdzenie, czy zbiory i systemy przetwarzające dane osobowe są odpowiednio
    zabezpieczone,
  • weryfikacja i aktualizacja dokumentacji z zakresu ochrony danych osobowych oraz weryfikacja przestrzegania zasad i procedur w niej zawartych.

Procedura ta składa się z przepisów zawartych w UODO oraz w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
(Dz.U. 2004 r. Nr 100 poz. 1024). Trochę tego jest, dlatego tutaj sczegóły odpuszczam – w razie potrzeby proszę pytać.

Należy pamiętać, że trzeba prowadzić sprawozdania z wykonywania tych czynności.

4. Opracowanie polityki bezpieczeństwa ochrony danych osobowych

Musi ona zawierać:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
  • sposób przepływu danych pomiędzy poszczególnymi systemami
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

4. Opracowanie instrukcji zarządzania systemami informatycznymi zawierająca w szczególności:

  •  procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
  • sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
  • sposób realizacji wymogów w zakresie odnotowywania przez system informacji o odbiorcach,w rozumieniu art. 7 pkt 6 UODO, którym dane osobowe zostały udostępnione, dacie i 50 zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych
  • sposób realizacji wymogów w zakresie odnotowywania przez system informacji o odbiorcach, w rozumieniu art. 7 pkt 6 UODO, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

5. Bezpieczeństwo fizyczne w obszarach przetwarzania danych osobowych i wrażliwych

Na podstawie przeprowadzonej analizy ryzyka i planu postępowania z ryzykiem, których obowiązek przeprowadzenia wynika z art. 36 ust. 1 UODO każdy podmiot ma obowiązek wdrożenia odpowiednich środków bezpieczeństwa. W związku z tym w zakresie ochrony fizycznej należy rozważyć wyznaczenie obszarów bezpiecznych oraz podział na strefy w zależności od ich dostępności zarówno dla personelu, jak i pacjentów oraz przedstawicieli podmiotów współpracujących.

Podział na strefy umożliwia dobór stosowanych zabezpieczeń fizycznych (np. identyfikatory osobowe, system kontroli dostępu, zarządzanie kluczami tradycyjnymi oraz elektronicznymi w postaci kart dostępu, system monitorowania wizyjnego, systemy przeciwwłamaniowe,, zabezpieczenie okien i drzwi, służba ochrony całodobowa lub po godzinach pracy, systemy przeciwpożarowe lub gaśnice, klimatyzacja, czujniki temperatury i wilgotności.

6. Wdrożenie Systemu Zarządzania Bezpieczeństwem informacji

System ten w telegraficznym skrócie zbiera wszystko co powyżej, identyfikuje zagrożenia związane z przetwarzaniem danych oraz tworzy plan postępowania z ryzykiem i politykę zarządzania incydentami bezpieczeństwa.

Mniej więcej tyle trzeba mieć na początek. A właściwie inaczej – teraz można przejść do wybierania odpowiedniego dla nas modelu przetwarzania danych informatycznych bo wszystkie formalności i organizację pracy mamy załatwione. Szczerze mówiąc sam zebrałem to do kupy w jednym miejscu po raz pierwszy i widzę, że jest tego sporo i sporo rzeczy wymaga uszczegółowienia i głębszej analizy. Będziemy nad tym pracować 😉

Źródła:

  1. Ustawa o Ochronie danych osobowych 
  2. Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej
  3. Sylwia Czub – blog
  4. Ochrona danych medycznych – bartakalinski.pl
  5. Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz.U. z 2016r. poz. 1535)
  6. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2016 r. poz. 113)
  7. Rozporządzenie Ministra Cyfryzacji z dnia 5 października 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (Dz.U.2016 poz. 1626)
  8. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 25 lutego 2016 r. w sprawie rodzajów, zakresu i wzorów oraz sposobu przetwarzania dokumentacji medycznej w podmiotach leczniczych utworzonych przez ministra właściwego do spraw wewnętrznych (Dz.U. 2016 poz. 249)
  9. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW
  10. Norma PN-EN 13609-1:2007 Informatyka w ochronie zdrowia
6 Shares:
177 comments
  1. Pingback: viagra online
  2. Pingback: viagra 40 mg
  3. Pingback: buy viagra mexico
  4. Pingback: discounted viagra
  5. Pingback: cialis online
  6. Pingback: cialis otc
  7. Pingback: tadalafil pills
  8. Pingback: cialis 5mg
  9. Pingback: cialis pills
  10. Pingback: otc viagra
  11. Pingback: buy viagra online
  12. Pingback: allopurinol online
  13. Pingback: abilify
  14. Pingback: sildenafil citrate
  15. Pingback: atorvastatin ocost
  16. Pingback: Nortriptyline
  17. Pingback: Premarin
  18. Pingback: buspar 15 mg
  19. Pingback: celebrex dosages
  20. Pingback: cialis tadalafil
  21. Pingback: viagra vs levitra
  22. Pingback: jodi west viagra
  23. Pingback: cheapest viagra
  24. Pingback: tadalafil 20mg
  25. Pingback: viagra online
  26. Pingback: amoxicillin dosis
  27. Pingback: 141genericExare
  28. Pingback: rcvvtwcq
  29. Pingback: cgwlfghd
  30. Pingback: cephalexin itching
  31. Pingback: cialis
  32. Pingback: viagra
  33. Pingback: comprar viagra
  34. Pingback: lasix 10 mg tablet
  35. Pingback: albuterol prices
  36. Pingback: synthroid rash
  37. Pingback: neurontin overdose
  38. Pingback: metformin warnings
  39. Pingback: sophia viagra nude
  40. Pingback: buy sildenafil us
  41. Pingback: otc levitra
  42. Pingback: Zakhar Berkut hd
  43. Pingback: 4569987
  44. Pingback: buy tadalafil uk
  45. Pingback: news news news
  46. Pingback: psy
  47. Pingback: psy2022
  48. Pingback: projectio-freid
  49. Pingback: tinder likes limit
  50. Pingback: kinoteatrzarya.ru
  51. Pingback: topvideos
  52. Pingback: video
  53. Pingback: Ukrainskie-serialy
  54. Pingback: site
  55. Pingback: top
  56. Pingback: tadalafil 20 mg
  57. Pingback: viagra falls
Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

You May Also Like

Chmura a potrzeby podmiotów medycznych

Podziel się

Poniżej zamieszczam treść do zajawki artykułu zamieszczonego na łamach IT Professional. Aktualnie z tego cyklu ukazały się 3 artykuły, czwarty jest w trakcie drukowania.

Informatyzacja placówek szeroko pojętej ochrony zdrowia trwa w najlepsze. Mnogość różnego rodzaju projektów, regulacji prawnych, a także zbliżające się wielkimi krokami nowe rozporządzenie o zasadach przetwarzania danych osobowych (rodo) wywołuje duże poruszenie w branży. Czy chmura odpowiada potrzebom podmiotów medycznych? Czy warto przyjrzeć się tego typu rozwiązaniom? Jak wygląda sytuacja u samych zainteresowanych?

Z  doniesień medialnych wszyscy wiemy, że nasz system ochrony zdrowia od lat zmaga się z wieloma problemami organizacyjno-finansowymi. Podobna sytuacja występuje w przypadku informatyzacji sektora. Informatyzacji rozumianej jako spójny zestaw usług na poziomie ogólnopolskim, bo nie ma co ukrywać, że prywatne podmioty oferujące usługi medyczne (zwłaszcza te duże) mają dużą świadomość informatyczną i radzą sobie znakomicie. I to radzą sobie zarówno z wykorzystaniem najnowocześniejszych technologii w celu ułatwienia życia pacjentom, jak i sprawnością systemów IT w zakresie obsługi procesów wewnątrz organizacji. Dzięki środkom unijnym także duża liczba szpitali podległych resortom czy też władzom na różnego rodzaju szczeblach samorządowych wdrożyła, bądź wdraża, nowoczesne rozwiązania. Na szczeblu ogólnopolskim sprawa jednak nie jest taka prosta. Od lat trwają prace nad Elektroniczną Platformą Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych (tzw. system P1).

Na projekt ten wydano już ogromnie dużo pieniędzy, a z powodu wielu problemów został dla niego opracowany plan naprawczy. Przyjęto nowe założenia, które mówią o tym, co i kiedy ma zostać wdrożone i uruchomione.

Zgodnie z opublikowanym 9 maja 2017 r. komunikatem dotyczącym regulacji prawnych w zakresie Elektronicznej Dokumentacji Medycznej (tinyurl.com/mz-komunikat) „trwają prace legislacyjne dotyczące nowelizacji ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, których celem jest m.in. doprecyzowanie definicji elektronicznej dokumentacji medycznej (EDM) oraz obowiązku stosowania Polskiej Implementacji Krajowej (PIK) HL7 CDA (Clinical Document Architecture) oraz formatów EDM, które będą publikowane w Biuletynie Informacji Publicznej Ministerstwa Zdrowia, a także zmiana terminów dotyczących obowiązku stosowania EDM”. Ustalono też następujące terminy obowiązywania poszczególnych usług:

  • e-recepta – obowiązek wystawiania recepty w postaci elektronicznej – od 1 stycznia 2020 r.;
  • e-skierowanie – obowiązek wystawiania skierowania w postaci elektronicznej – od 1 stycznia 2021 r.;
  • pozostała część EDM (tj. dokumenty wskazane w rozporządzeniu wydanym na podstawie art. 13 ustawy):

– obowiązek prowadzenia w postaci elektronicznej – od 1 stycznia 2019 r.;
– obowiązek wymiany za pośrednictwem Platformy P1 – od 1 stycznia 2021 r.
Na „pierwszy ogień” idą zatem głównie szpitale. Nie możemy jednak zapominać o tym, że od lipca 2018 r. Zakład Ubezpieczeń Społecznych uruchamia obowiązek wystawiania elektronicznych zwolnień lekarskich dla wszystkich lekarzy. Dodatkowo pojawiają się legislacyjne ułatwienia dla rozwiązań telemedycznych. Zgodnie z wizją opracowaną na potrzeby nowo powstającej Strategii Rozwoju e-Zdrowia dla Polski na lata 2018–2022 „(…) dzięki spójnemu rozwojowi e-zdrowia do 2022 roku system opieki zdrowotnej w Polsce stanie się bardziej skuteczny, efektywny ekonomicznie i dostępny dla obywatela (…)”.

Nie bez wpływu na potrzeby placówek ochrony zdrowia jest także mające zastosowanie dla każdej branży wchodzące w życie od maja 2018 roku unijne ogólne rozporządzenie o ochronie danych osobowych (rodo), które reguluje zasady przetwarzania tego typu danych. Biorąc pod uwagę, że w środowiskach informatycznych ochrony zdrowia mamy dodatkowo dane medyczne, które są opatrzone klauzulą szczególnej wrażliwości, nie można przejść obojętnie obok potrzeb technicznych i możliwości, jakie dają nam rozwiązania informatyczne w tym kontekście.

Jak widać, wyzwań informatycznych jest bardzo dużo. Aby mieć pełny obraz sytuacji, należy jeszcze przyjrzeć się aktualnemu stanowi informatyzacji podmiotów ochrony zdrowia.

źródło: Artykuł pochodzi z czasopisma „IT Professional” nr 03/2018.

http://www.it-professional.pl/archiwum/art,7919,chmura-a-potrzeby-podmiotow-medycznych.html

CSIOZ udostępnił dokumentację integracyjną w zakresie e-skierowania

Podziel się

Dokumentację można znaleźć pod adresem https://www.csioz.gov.pl/interoperacyjnosc/interfejsy/ . Obejmuje ona:

Dokumentacja integracyjna obejmuje:

  1. Specyfikację usług
  2. Opis i strukturę dokumentu elektronicznego skierowania
  3. Reguły biznesowe
  4. Kody wyników operacji
  5. Zasady otrzymania dostępu do środowiska integracyjnego .

Obiecano także, że pod koniec czerwca pojawi się środowisko testowe dla tej funkcjonalności.

Najciekawsze wydarzenia – marzec 2018

Podziel się

Na początku mały wstęp o aktualnej sytuacji. Dużo się dzieje. Dużo ostatnio mówię i myślę o chmurze, o czym świadczą chociażby spotkania – m.in z Piotrem Marczukiem z Microsoft w ramach Młodych Menadżerów Medycyny, konferencja Centrum Promocji Informatyki i tam prelekcja o chmurze, do tego artykuły na temat wykorzystania chmury w IT Professional oraz dla Menadżera Zdrowia. Obydwa ukażą się w marcu, jeden z nich mam już wydrukowany u siebie!

Myślę, że te wszystkie działania i wydarzenia potwierdzają, że chmura jest dobrym kierunkiem rozwoju placówek związanych z ochroną zdrowia. Tym bardziej w kontekście RODO ale o tym więcej będzie już niebawem – w ramach kodeksu RODO dla branży medycznej. Właśnie a propos i miękko przechodząc do tematu wpisu –

14 marca, Uczelnia Łazarskiego, ul. Świeradowska 43, Warszawa – konferencja RODO w Zdrowiu

na której zaprezentowana zostanie cześć kodeksu oraz stan prac nad nim. Zapisy na http://www.rodowzdrowiu.pl/

Oprócz tego mamy między innymi:

27 marca 2017 r. Auditorium Maximum Uniwersytetu Jagiellońskiego, Kraków – Międzynarodowe Forum Medycyny Personalizowanej

zapisy na: http://www.medycynapersonalizowana.pl/

8-10.03.2018, Katowice, II edycja Kongresu Wyzwań Zdrowotnych – Health Challenges Congress (HCC)

zapisy na: http://www.hccongress.pl/pl/

 

zapisy: https://www.termedia.pl/Konferencje?intro&e=724&p=4623

 

23.03.2018, Warszawa ,Kongres Innova Med Management

 

Jeszcze z tematów chmurowych jakby ktoś był zainteresowany. 15 marca Public Cloud User Group robi Meetup w Warszawie. Jest jeszcze kilka miejsc: https://www.meetup.com/pl-PL/publiccloudpl/events/247707928/ . Jednym z prelegentów będzie kolega z branży – Vladimir Alekseichenko – Architect w GE Healthcare. Ja będę 🙂

 

W agendach troszkę o telemedycynie pod katem prawnym i technologicznym i dużo o bezpieczeństwie i RODO. Warto zerknąć bo pojawić wszędzie to się z pewnością nie da 🙂

Identyfikacja zbiorów danych osobowych i medycznych w placówce

Podziel się

Od czegoś trzeba zacząć.. zgodnie z wpisem http://itwmedycynie.pl/2017/08/28/elektroniczna-dokumentacja-medyczna-podstawowe-zasady-przetwarzania-obowiazujace-wszystkich/ zakładam, że mamy już wyznaczonego Inspektora Ochrony Danych w postaci jednego z pracowników lub zewnętrznego podmiotu, który będzie proces przetwarzania danych w naszej placówce nadzorował. Pora teraz na identyfikację wszystkich zbiorów danych, które powinny podlegać ochronie oraz przypisanie do tych zbiorów osób/podmiotów zewnętrznych, które te dane przetwarzają. Przy okazji taka operacja może się przydać nie tylko przez wzgląd na spełnienie wymagań przetwarzania danych, może także wpłynąć na zagadnienia takie jak:

  • chęć lepszego zrozumienia wszystkich działań i powiązań między nimi
  • chęć usprawniania komunikacji między pracownikami – wiadomo do kogo się zgłaszać w określonej sprawie
  • możliwość szybszego wykrywania obszarów nieefektywnych, np. tzw. „wąskich gardeł”
  • sprawniejsze wdrożenie nowych pracowników
  • poprawa efektywności funkcjonowania placówki i procesu obsługi pacjenta

Jak się za to zabrać?

  1. Określenie struktury organizacyjnej placówki

Najłatwiej będzie wyjść od struktury organizacyjnej naszej placówki. To powinno być łatwe – trzeba po prostu wyartykułować wszystkie “jednostki organizacyjne” – nawet w przypadku, gdy jedna osoba zajmuje się kilkoma rzeczami. Możemy także do tych jednostek przypisać od razu osoby/firmy zewnętrzne, które mają dane kompetencje – to będzie nam potrzebne do określenia osób przetwarzających konkretny zbiór danych. Trzeba też zwrócić uwagę na to, że pewne rzeczy zlecamy na zewnątrz – to również jest jakiś rodzaj komórki należącej do struktury organizacyjnej naszej jednostki – chociaż w tym przypadku zajmuje się tym firma zewnętrzna (chociażby firma księgowa). Szybki przykład takiego podziału to:

  • rejestracja
  • sekretariat
  • księgowość
  • kadry/płace
  • laboratorium
  • podstawowa opieka zdrowotna (lekarze)
  • rehabilitacja
  • usg
  • kardiologia.

2. Określenie procesów dla każdej z jednostek

Następnie dla powyższych “jednostek” trzeba zrobić audyt wszystkich procesów w placówce, żeby później wybrać te, które używają danych osobowych i wrażliwych. Zgodnie z zasadami modelowania procesów biznesowych najlepiej zrobić sobie na początku podział na:

  • procesy główne, które dotyczą kluczowych obszarów funkcjonowania (w naszym przypadku będzie to chociażby zapisanie pacjenta na wizytę, obsługa pacjenta podczas wizyty, wystawienie skierowania itp)
  • procesy wspierające, które zapewniają wsparcie do realizacji procesów głównych (np. marketing, finanse i księgowość).

Ten podział został odzwierciedlony w kolorach naszych jednostek organizacyjnych – główne zaznaczyłem na zielono, wspierające na niebiesko.

Czeka nas zatem przemyślenie co tak właściwie się robi w danym obszarze. Nie tylko informatycznie, ogólnie. Dane osobowe w wielu przypadkach są przecież (chciałoby się rzec – jeszcze) przetwarzane papierowo. To możemy uzyskać na podstawie swojej wiedzy i zweryfikować to z pracownikami, którzy wykonują dane czynności. W przypadku gdy np. sprawami księgowości , ZUSem itp. zajmuje się inna firma możemy ich po prostu o to zapytać – z pewnością chętnie udzielą tego typu informacji chwaląc się przy okazji jak dużo rzeczy robią i jak bardzo są nam potrzebni. Weźmy pierwszą z brzegu rejestrację. W mojej wymyślonej przychodni w rejestracji wykonuje się  następujące czynności:

  • umawianie telefoniczne wizyt pacjentów
  • weryfikacja i potwierdzanie wizyt pacjentów z e-rejestracji
  • rejestracja pacjentów którzy przyszli osobiście
  • zmiana terminów wizyt / odwoływanie wizyt
  • wprowadzanie harmonogramu pracy lekarzy
  • wystawianie zwolnień lekarskich (sprawa dyskusyjna czy rejestracja powinna takie rzeczy robić ale moje doświadczenie pokazuje, że czasem się to zdarza…)
  • wprowadzanie nowego pacjenta

3. Określenie zbiorów danych dla procesów

Teraz pora w końcu na zastanowienie się jakie dane są wykorzystywane w danym procesie. Najlepiej wypisać sobie wszystkie rodzaje danych, osobowe i medyczne łatwo wśród nich znajdziemy. I tak:

  • umawianie telefoniczne wizyt pacjentów
    • dane pacjenta rejestracja(imię, nazwisko, PESEL, numer telefonu, adres zamieszkania)
    • terminarz wizyt (dzień, miesiąc, rok, godzina wizyty, imię i nazwisko lekarza przyjmującego, imię i nazwisko, PESEL pacjenta)
    • harmonogram pracy lekarzy (imię, nazwisko, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • weryfikacja i potwierdzanie wizyt pacjentów z e-rejestracji
    • dane pacjenta rejestracja (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania, e-mail)
    • terminarz wizyt (dzień, miesiąc, rok, godzina wizyty, imię i nazwisko lekarza przyjmującego, imię i nazwisko, PESEL pacjenta)
    • harmonogram pracy lekarzy (imię, nazwisko, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • rejestracja pacjentów którzy przyszli osobiście:
    • dane pacjenta rejestracja (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania)
    • terminarz wizyt (dzień, miesiąc, rok, godzina wizyty, imię i nazwisko lekarza przyjmującego, imię i nazwisko, PESEL pacjenta)
    • harmonogram pracy lekarzy (imię, nazwisko, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • zmiana terminów wizyt / odwoływanie wizyt
    • dane pacjenta (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania)
    • terminarz wizyt (dzień, miesiąc, rok, godzina wizyty, imię i nazwisko lekarza przyjmującego, imię i nazwisko, PESEL pacjenta)
    • harmonogram pracy lekarzy (imię, nazwisko, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • wprowadzanie harmonogramu pracy lekarzy
    • harmonogram pracy lekarzy (imię, nazwisko, numer telefonu, e-mail, adres, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • wystawianie zwolnień lekarskich (sprawa dyskusyjna czy rejestracja powinna takie rzeczy robić ale moje doświadczenie pokazuje, że czasem się to zdarza…)
    • dane pacjenta zwolnienie (imię, nazwisko, PESEL, adres zamieszkania, rozpoznanie)
    • dane zakładu pracy pacjenta (NIP, nazwa, adres)
    • data obowiązywania dokumentu (data od-do)
  • wprowadzanie nowego pacjenta
    • kartoteka pacjenta (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania, dane o oddziale NFZ, dane miejsca pracy)
    • wyniki badań laboratoryjnych
    • wypisy ze szpitala
    • wyniki testów alergicznych (itp…)
  • wprowadzanie nowego lekarza
    • dane lekarza (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania, informacje o uczelni, historia zatrudnienia)

4. Ostatnim krokiem jest wyłuskanie z powyższego wszystkich zbiorów danych osobowych i medycznych (bo jak słusznie zauważyliście powtarzają się one w procesach – co jest naturalne) oraz przypisanie ich do nich danych, które już mamy (dział/jednostka organizacyjna, osoby przetwarzające) oraz dodanie miejsca w którym fizycznie dany zbiór się znajduje (np. serwerownia – host “BazaPOZ” czy “archiwum w recepcji”) oraz miejsc przetwarzania danych. Taki komplet zbieramy w tabelce i mamy temat ogarnięty. Tabelka natomiast posłuży nam jako wkład do Polityki Bezpieczeństwa. Zbiory do umieszczenia w tabelce zaznaczyłem powyżej kolorem czerwonym.

W jaki sposób zweryfikować czy dany zbiór to dane osobowe? Pojęcie danych osobowych zostało określone w art. 6 ust. 1 ustawy o ochronie danych osobowych. Zgodnie z jego treścią przez dane osobowe rozumie się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników, określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Trzeba zwrócić uwagę jeszcze na jedną rzecz. Zbiory teoretycznie tych samych lub podobnych danych nie są zawsze danymi osobowymi. Weźmy na przykład harmonogram pracy lekarzy. Załóżmy, że w danym systemie widoczne jest tylko imię i nazwisko lekarza przy tej funkcjonalności – osoba, która zarządza tymi danymi nie ma z tego poziomu możliwości podejrzenia/przetwarzania innych danych lekarza. Zatem jeżeli inna osoba/jednostka zajmuje się dodawaniem nowego lekarza do systemu (np. kadry) a inna harmonogramami pracy lekarzy (np. rejestracja) to dane osobowe przetwarzają tylko kadry – zgodnie z definicją danych osobowych. W miarę praktyki stanie się to jeszcze prostsze.

Finalnie efekt naszej pracy wygląda tak (wypełniłem ją tylko dla 4 pierwszych zbiorów danych, dalej postępujemy analogicznie):

Lp Zbiór Danych Dział/ jednostka organizacyjna Osoby Lokalizacja bazy danych Miejsce przetwarzania danych
1. dane pacjenta rejestracja rejestracja Urszula Malinowska, Joanna Jaworska serwer “BazaPOZ” pomieszczenie recepcji
2. terminarz wizyt rejestracja Urszula Malinowska, Joanna Jaworska serwer “BazaPOZ”, serwer “OSOZ” pomieszczenie recepcji
3. dane pacjenta zwolnienie lekarze, rejestracja Urszula Malinowska, Joanna Jaworska, Piotr Skowroński, Albert Poniatowski, Michał Sumiński, Małgorzata Kwiatkowska serwer “BazaPOZ”, archiwum w recepcji (wersja papierowa) pomieszczenie recepcji, gabinety lekarzy
4 kartoteka pacjenta rejestracja Urszula Malinowska, Joanna Jaworska serwer “BazaPOZ”, archiwum w recepcji (wersja papierowa) pomieszczenie recepcji

 

Prawda, że proste? Wiem, że czasochłonne ale postępując zgodnie z powyższymi wskazówkami z pewnością do ogarnięcia. Wystarczą dobre chęci, trochę czasu i cierpliwości 🙂

 

Czy wdrożenie RODO to zadanie IT?

Podziel się

Klienci podczas rozmów bardzo często poruszają tę kwestię, mało tego, często w mniejszych placówkach słyszę, że informatyk się zajmuje RODO. Sprawa nie jest jednak taka prosta i oczywista. Aspekty IT to dość otwarta kwestia w RODO, ponieważ akt nie nakazuje niczego szczególnego. System i dane powinny być odpowiednio zabezpieczone. Należy sobie jednak zdawać sprawę z tego, że warstwa systemów informatycznych to tylko część procesu wdrożenia RODO w organizacji a samo wdrożenie to proces interdyscyplinarny wymagający zaangażowania trzech głównych warstw kompetencyjnych – regulacyjnej, organizacyjno-procesowej i dopiero warstwy systemów i infrastruktury IT.  Warstwa informatyczna jest to istotny, jednakże nie jedyny czynnik, który trzeba przystosować do nowych regulacji. Istotna w tym wymiarze jest także współpraca specjalistów z tych dziedzin tak aby wszystko przebiegło pomyślnie i z korzyścią dla szpitala, przychodni czy innego podmiotu.

Poniżej krótko opisałem ramowe czynności, które są do zrobienia przy wdrażaniu RODO w organizacji z podziałem na wspominane wcześniej obszary.

1. Warstwa regulacyjna:

– analiza konieczności powołania inspektora ochrony danych osobowych

– analiza konieczności prowadzenia rejestru czynności przetwarzania danych osobowych

– ocena legalności przetwarzania danych (podstawy prawnej, celu, zakresu przetwarzania)

– weryfikacja umów powierzenia

– weryfikacja dotychczasowych dokumentów dotyczących ochrony danych osobowych

2. Warstwa organizacyjno-procesowa

– identyfikacja zbiorów danych osobowych w organizacji

– identyfikacja procesów biznesowych przetwarzających dane osobowe

– weryfikacja osób i podmiotów zewnętrznych przetwarzających dane osobowe

– wskazanie kluczowych obszarów ryzyka, niezgodności oraz luk podczas przetwarzania danych w odniesieniu zarówno do procesów jak również dokumentacji biznesowej (polityk, procedur, umów) oraz klienckiej (np. klauzule zgód)

3. Warstwa systemów informatycznych

– obszar zarządzania danymi i procesami:

  • inwentaryzacja danych osobowych i ich jakości w zakresie całego środowiska informatycznego
  • identyfikacja narzędzi i przeprowadzenie działań inwentaryzacyjnych w procesach użytkowników końcowych

– obszar architektury systemów:

  • analiza funkcjonalności systemów informatycznych z uwzględnieniem wymogu anonimizacji i pseudonimizacji danych
  • „privacy by design”
  • analiza realizacji praw podmiotów danych – m.in. do usunięcia, przeniesienia, ograniczenia przetwarzania oraz aktualizacji w systemach informatycznych

– obszar bezpieczeństwa systemów:

  • środki zabezpieczające dane osobowe a istniejące standardy bezpieczeństwa
  • przeprowadzenie oceny wpływu planowanych operacji przetwarzania na prywatność
  • przygotowanie do zgłaszania naruszeń danych osobowych i przygotowanie rejestru czynności przetwarzania

Miłego wdrażania! 🙂

Zintegrowany Informator (Pacjenta?)

Podziel się

Witam,

dzisiejszy wpis miał dotyczyć czegoś innego, jednak o zaistniałej sytuacji warto wspomnieć.

Dawno już, bo zaraz na początku wdrożenia w 2013 roku, nosiłem się z zamiarem założenia konta w Zintegrowanym Informatorze Pacjenta dostępnym na stronie https://zip.nfz.gov.pl . Nazwa nasuwa dość dużo i brzmi zachęcająco. Wtedy jednak sobie to darowałem z braku czasu – w celu założenia konta wymagana była wizyta w oddziale NFZ (do najbliższego miałem wtedy 60 km).

Nasunęła mi się gdzieś kilka dni temu informacja o tym, że uruchomiono integrację z ePUAPem. Widać to popularne teraz (patrz chociażby poprzedni wpis o e-ZLA). To akurat dobrze.

Od uruchomienia systemu upłynęło około 5 lat można przypuszczać, że teraz to dopiero warto tam zajrzeć! Tak właśnie pomyślałem a biorąc pod uwagę, ze ePUAP mam postanowiłem to wykorzystać z premedytacją. Założyłem sobie konto na ZIP. Następnie cierpliwie czekałem około 24 godzin na synchronizację danych i w końcu  jest! I to  nawet z historią od 2008 roku.

Kilka tych usług typu “świadczenie medyczne” miałem od tego czasu jak się okazuje 🙂 Suma kosztów pokaźna jednak nie jest. Podejrzewam, że to dlatego, że tak naprawdę nie znam dokładnych kosztów większości tych usług. Co ma pacjentowi mówić koszt świadczenia “ryczałt/kapitalizacja” ?

Zakładka Deklaracje POZ potwierdziła mi, że jestem zapisany do danego lekarza (12,40 zł to koszt miesięczny). I nawet mam jakąś Panią pielęgniarkę za którą płacę 13,13 zł miesięcznie.

Jedyna jeszcze zakładka z której mógłbym skorzystać to Leki refundowane. Biorąc pod uwagę, że leczę się przewlekle cyklicznie biorę leki refundowane. Historia realizacji tych recept jest. Tyle, że kończy się na maju 2011 roku, zatem 7 lat temu. Ładnych parę razy później korzystałem z nawet tych samych leków na tych samych zasadach refundacji. Nie widzę tego jednak na swoim koncie, zatem suma refundacji także nie odpowiada wartości faktycznej. Z innych zakładek nie korzystałem bo brak tam moich danych. Co jest zgodne ze stanem faktycznym. Są to Uzdrowiska, Kolejki oczekujących, Zaopatrzenie ortopedyczne, Endoprotezo-plastyka.

W systemie możemy też odnaleźć ostatnie zarejestrowane składki w ZUS (zdrowotne jak rozumiem). Tutaj sytuacja się zgadza jednakże integracja odbywa się chyba rzadko – ostatnia zarejestrowana składka jest z listopada 2017.

W temacie integracji jeszcze – 9.01.2018 byłem na wizycie u lekarza POZ. Informacji o tym w systemie nie ma do tej pory..

Reasumując z perspektywy pacjenta. Informator to delikatnie mówiąc średni, zintegrowany też nie za dobrze. Co i rusz słyszy się, że ludzie mają wizyty czy leki, których nie mieli. Nie wnikałem (ale postaram się to zrobić) jak ma sprawa wyglądać w kontekście jego integracji z P1, chociażby w zakresie recept. Może po uruchomieniu P1 recepty znowu zaczną mi wskakiwać? 🙂 A tak poważnie to trochę się boję tego, że NFZ chce zmieniać swój system do rozliczeń. Zaczynam też uważać, że chyba pacjenci powinni się bardziej zainteresować swoim losem i informacjami o swoim leczeniu w kontekście dostępu do informacji oraz samego procesu przetwarzania ich danych w tym zakresie. Bo w tym momencie do jakiegokolwiek zintegrowanego systemu informacji dla pacjenta jest nam jeszcze bardzo daleko.