Nowe wytyczne CSIOZ

Podziel się

Na stronie CSIOZ pojawił się nowy dokument: “Rekomendacje CSIOZ w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej”. Otrzymałem tym samym informacje, że “Wytyczne, zasady i rekomendacje dla usługodawców w zakresie budowy i stosowania systemu bezpiecznego przetwarzania elektronicznej dokumentacji medycznej”  (ostatnia aktualizacja marzec 2017) są nieaktualne. O tyle dobrze się składa, że miałem brać się za analizę i pod tym kątem ustawiać wpisy na blogu. Teraz będzie to miało miejsce dla najnowszego dokumentu, który jest już zrobiony z myślą o RODO, także można przewidywać, że będzie aktualny dłużej niż jego poprzednicy.

 

Dokument i załączniki znajdziecie na stronie: https://www.csioz.gov.pl/edm/

 

0 Shares:
Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

You May Also Like

CSIOZ naruszyło przepisy ustawy o ochronie danych osobowych?

Podziel się

Taka ciekawostka.. 23 listopada 2017 r. Prezes Naczelnej Rady Lekarskiej  skierował do Generalnego Inspektora Ochrony Danych Osobowych  pismo dotyczące ochrony danych osobowych lekarzy i lekarzy dentystów gromadzonych w systemie SMK:

“Niniejszym informuję o naruszeniu przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922), do którego doszło 16 listopada 2017 r. poprzez wysłanie przez pracownika Centrum Systemów Informacyjnych Ochrony Zdrowia, dalej „CSIOZ”, do wszystkich okręgowych izb lekarskich oraz do wszystkich urzędów wojewódzkich danych osobowych lekarzy i lekarzy dentystów wygenerowanych z Systemu Monitorowania Kształcenia Pracowników Medycznych, zwanego dalej „SMK”.

W załączeniu przekazuję wydruki wysyłanej przez CSIOZ korespondencji i wskazuję, że rozesłana baza danych obejmowała następujące dane lekarzy i lekarzy dentystów: nr PESEL, imię i nazwisko, nr Prawa Wykonywania Zawodu, nr dokumentu Prawa Wykonywania Zawodu, nr rejestracyjny w izbie lekarskiej. Z treści załączonej wiadomości mailowej wynika, że dane lekarzy zostały przesłane celem weryfikacji ich poprawności. W tym zakresie należy wskazać, że okręgowa izba lekarska ma dostęp tylko do danych osobowych lekarzy i lekarzy dentystów będących jej członkami. Z powyższych względów przesłanie do takiej izby lekarskiej danych osobowych członków innej izby, celem weryfikacji poprawności tych danych, jest nie tylko bezprawne ale również nieracjonalne.
Zgodnie z treścią art. 4a ustawy z dnia 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (Dz. U. z 2017 r. poz. 125 z późn. zm.), dane zamieszczane w SMK, na podstawie niniejszej ustawy, mogą zostać udostępnione okręgowym izbom lekarskim w zakresie zadań określonych niniejszą ustawą oraz ustawą z dnia 2 grudnia 2009 r. o izbach lekarskich (Dz. U. z 2016 r. poz. 522 z późn. zm.), a wojewodom w zakresie zadań określonych niniejszą ustawą, w szczególności w zakresie procesu szkolenia specjalizacyjnego lekarzy. Powyższe oznacza, że dane z SMK mogą być udostępniane jedynie w zakresie zadań realizowanych przez ww. podmioty.
W świetle powyższego udostępnienie danych osobowych lekarzy i lekarzy dentystów będących członkami jednej okręgowej izby lekarskiej innym izbom lekarskim nie znajduje oparcia w treści art. 4a ustawy. Podobnie nie znajduje podstawy prawnej udostępnienie danych osobowych lekarzy i lekarzy dentystów wszystkim wojewodom. Zgodnie bowiem z treścią art. 16 ust. 1 pkt 1 ustawy lekarz składa, za pomocą SMK, wniosek o odbywanie szkolenia specjalizacyjnego w wybranej dziedzinie medycyny odpowiednio do wojewody właściwego ze względu na obszar województwa, na terenie którego zamierza odbywać szkolenie specjalizacyjne. Nie ma podstaw prawnych aby dane lekarza lub lekarza dentysty zainteresowanego odbywaniem szkolenia specjalizacyjnego na obszarze konkretnego województwa trafiały do wszystkich wojewodów.
Powyższe ponad wszelką wątpliwość wskazuje, że doszło do naruszenia przepisu art. 26 ust. 1 pkt 1 ustawy o ochronie danych osobowych w zw. z art. 4a ustawy o zawodach lekarza i lekarza dentysty, polegającego na przetworzeniu danych osobowych niezgodnie z prawem poprzez udostępnienie danych osobowych podmiotom nieuprawnionym.
Wnoszę o podjęcie stosownych działań w zakresie posiadanych kompetencji, które zapewnią bezpieczeństwo przetwarzanych w SMK danych osobowych lekarzy i lekarzy dentystów. Jednocześnie proszę o informację o podjętych działaniach i poczynionych ustaleniach”.

Źródło: http://www.nil.org.pl/aktualnosci/promobox/bezpieczenstwo-danych-osobowych-lekarzy-i-lekarzy-dentystow-w-systemie-smk?utm_content=buffer1d64d&utm_medium=social&utm_source=facebook.com&utm_campaign=buffer

Rusza dofinansowanie opieki koordynowanej w projekcie POZ Plus – czy jest to szansa na rozwój IT w placówkach?

Podziel się

Pomijając zupełnie warunki finansowe podmiotów, które będą mogły ubiegać się o udział w pilotażu (małe placówki z małych miast, miasteczek lub wsi) pierwszą rzeczą, która rzuca się w oczy to wymagania techniczne jakie są przed nimi stawiane i punktowane przy wniosku o dofinansowanie. To szereg mało precyzyjnych wymagań dotyczących systemów informatycznych do przetwarzania dokumentacji medycznej oraz dotyczących bezpieczeństwa przetwarzania danych osobowych i medycznych, które można w obecnym kształcie dość mocno interpretować. Bez jasno określonych wytycznych można spodziewać się nieścisłości w procesie oceny wniosków – na ten moment punkty przyznawane podczas „audytu ex-ante”  będą mogły być przyznawane na podstawie „widzi mi się” członków komisji. Warto także zaznaczyć, że przynajmniej jeden z punktów jest niekoniecznie możliwy do spełnienia. Chodzi o to „Czy świadczeniodawca prowadzi elektroniczną dokumentację medyczną (EDM w rozumieniu przepisów ustawy o systemie w ochronie zdrowia, zgodnie z art. 11 ust. 1 tej ustawy)”. Istnieją bowiem poważne wątpliwości co do tego, czy którykolwiek z istniejących na rynku systemów spełnia to wymaganie biorąc pod uwagę brak centralnego Systemu Informacji Medycznej.

Kolejną sprawą jest to, że dużo i nośnie mówi się o opiece koordynowanej w kontekście projektu POZ Plus w tematach związanych z ułatwieniami komunikacji na styku lekarz-pacjent chociażby poprzez wykorzystanie nowoczesnych narzędzi telemedycznych czy telediagnostycznych. Można było wręcz odnieść wrażenie, że projekt to umożliwi i pozwoli właśnie tym mniejszym podmiotom korzystać z dobrodziejstw telekonsultacji czy telediagnostyki a pacjenci dostaną szansę na korzystanie z różnego rodzaju narzędzi edukujących i wspierających w związku z chorobami przewlekłymi z którymi się borykają. Rzeczywistość jednak wygląda inaczej. Tzw. „grant technologiczny” przyznawany w maksymalnej wersji w kwocie 50 000 zł w trzech na cztery obszary w których można go dostać dotyczy sprawozdawczości związanej z projektem POZ Plus. W czwartym punkcie można będzie otrzymać dofinansowanie na integrację „…z systemami: Zintegrowany Informator Pacjenta (ZIP) i System Informatyczny Monitorowania Profilaktyki (SIMP) w celu pobierania informacji o świadczeniach udzielonych pacjentom objętym opieką koordynowaną”. Tutaj problemy są dwa – po pierwsze nie wiadomo w jakim konkretnie zakresie a po drugie brak jest w tych systemach mechanizmów (tzw. API programistyczne), które umożliwiałyby jakąkolwiek integracje.

Biorąc pod uwagę powyższe oraz inne problemy o których mówi się po pojawieniu się dokumentacji należałoby się zastanowić czy obecny kształt projektu jest właściwym kierunkiem. Na szczęście to tylko pilotaż z którego będzie można wyciągnąć wnioski. I oby finał był szczęśliwy zarówno dla placówek jak i dla pacjentów bo chyba o to w ochronie zdrowia chodzi.

Konsultacje społeczne projektu przepisów wdrażających ogólne rozporządzenie o ochronie danych (RODO)

Podziel się

Oczywiście musimy trzymać się wytycznych ogólnych na poziomie europejskim jeżeli chodzi o nowe zasady przetwarzania danych osobowych ale różne uwarunkowania wewnętrzne wymuszają na nas dostosowanie przepisów szczególnych pod nasze – specyficzne i wyjątkowe warunki i potrzeby. To akurat dobrze, bo jak dobrze wiemy niektórych przepisów w ogóle nie mamy 🙂 W związku z tym Ministerstwo Cyfryzacji ogłosiło kolejny już etap konsultacji społecznych dotyczących projektu ustawy  “Przepisy wprowadzające ustawę o ochronie danych osobowych oraz projektu ustawy o ochronie danych osobowych”.

Bardzo ważnymi obszarami w projektowanym dokumencie są rzeczy, których na naszym poziomie brak lub takie, które nie są jasno sprecyzowane. Często i wielu branżach – także w służbie zdrowia. Powoduje to ograniczenia możliwości w cyfryzacji systemów. Mam tutaj na myśli między innymi wymóg pisemności, który ma zostać zastąpiony tzw. wymogiem zgody wyraźnej. Dodatkowo projektowane przepisy po raz pierwszy określały będą również zasady przetwarzania danych biometrycznych czyli np. linii papilarnych, wizerunek twarzy, ton głosu czy tęczówka oka.

Konsultacje są otwarte zatem warto zabrać głos – ja z pewnością tak zrobię. Myślę, że jest to też dobra okazja na wyjaśnienie wątpliwości na około nowych przepisów. W razie potrzeby można pisać na adres konsultacyjny Konsultacje.odo@mc.gov.pl . Możliwe jest to do 13 października 2017. Gdyby ktoś miał jakieś pytania ja służę pomocą. Adres e-mail dostępny jest w zakładce O mnie.

Oficjalne info dostępne jest tutaj: https://mc.gov.pl/konsultacje/konsultacje-spoleczne-projektu-przepisow-wdrazajacych-ogolne-rozporzadzenie-o-ochronie

Chmura a potrzeby podmiotów medycznych

Podziel się

Poniżej zamieszczam treść do zajawki artykułu zamieszczonego na łamach IT Professional. Aktualnie z tego cyklu ukazały się 3 artykuły, czwarty jest w trakcie drukowania.

Informatyzacja placówek szeroko pojętej ochrony zdrowia trwa w najlepsze. Mnogość różnego rodzaju projektów, regulacji prawnych, a także zbliżające się wielkimi krokami nowe rozporządzenie o zasadach przetwarzania danych osobowych (rodo) wywołuje duże poruszenie w branży. Czy chmura odpowiada potrzebom podmiotów medycznych? Czy warto przyjrzeć się tego typu rozwiązaniom? Jak wygląda sytuacja u samych zainteresowanych?

Z  doniesień medialnych wszyscy wiemy, że nasz system ochrony zdrowia od lat zmaga się z wieloma problemami organizacyjno-finansowymi. Podobna sytuacja występuje w przypadku informatyzacji sektora. Informatyzacji rozumianej jako spójny zestaw usług na poziomie ogólnopolskim, bo nie ma co ukrywać, że prywatne podmioty oferujące usługi medyczne (zwłaszcza te duże) mają dużą świadomość informatyczną i radzą sobie znakomicie. I to radzą sobie zarówno z wykorzystaniem najnowocześniejszych technologii w celu ułatwienia życia pacjentom, jak i sprawnością systemów IT w zakresie obsługi procesów wewnątrz organizacji. Dzięki środkom unijnym także duża liczba szpitali podległych resortom czy też władzom na różnego rodzaju szczeblach samorządowych wdrożyła, bądź wdraża, nowoczesne rozwiązania. Na szczeblu ogólnopolskim sprawa jednak nie jest taka prosta. Od lat trwają prace nad Elektroniczną Platformą Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych (tzw. system P1).

Na projekt ten wydano już ogromnie dużo pieniędzy, a z powodu wielu problemów został dla niego opracowany plan naprawczy. Przyjęto nowe założenia, które mówią o tym, co i kiedy ma zostać wdrożone i uruchomione.

Zgodnie z opublikowanym 9 maja 2017 r. komunikatem dotyczącym regulacji prawnych w zakresie Elektronicznej Dokumentacji Medycznej (tinyurl.com/mz-komunikat) „trwają prace legislacyjne dotyczące nowelizacji ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, których celem jest m.in. doprecyzowanie definicji elektronicznej dokumentacji medycznej (EDM) oraz obowiązku stosowania Polskiej Implementacji Krajowej (PIK) HL7 CDA (Clinical Document Architecture) oraz formatów EDM, które będą publikowane w Biuletynie Informacji Publicznej Ministerstwa Zdrowia, a także zmiana terminów dotyczących obowiązku stosowania EDM”. Ustalono też następujące terminy obowiązywania poszczególnych usług:

  • e-recepta – obowiązek wystawiania recepty w postaci elektronicznej – od 1 stycznia 2020 r.;
  • e-skierowanie – obowiązek wystawiania skierowania w postaci elektronicznej – od 1 stycznia 2021 r.;
  • pozostała część EDM (tj. dokumenty wskazane w rozporządzeniu wydanym na podstawie art. 13 ustawy):

– obowiązek prowadzenia w postaci elektronicznej – od 1 stycznia 2019 r.;
– obowiązek wymiany za pośrednictwem Platformy P1 – od 1 stycznia 2021 r.
Na „pierwszy ogień” idą zatem głównie szpitale. Nie możemy jednak zapominać o tym, że od lipca 2018 r. Zakład Ubezpieczeń Społecznych uruchamia obowiązek wystawiania elektronicznych zwolnień lekarskich dla wszystkich lekarzy. Dodatkowo pojawiają się legislacyjne ułatwienia dla rozwiązań telemedycznych. Zgodnie z wizją opracowaną na potrzeby nowo powstającej Strategii Rozwoju e-Zdrowia dla Polski na lata 2018–2022 „(…) dzięki spójnemu rozwojowi e-zdrowia do 2022 roku system opieki zdrowotnej w Polsce stanie się bardziej skuteczny, efektywny ekonomicznie i dostępny dla obywatela (…)”.

Nie bez wpływu na potrzeby placówek ochrony zdrowia jest także mające zastosowanie dla każdej branży wchodzące w życie od maja 2018 roku unijne ogólne rozporządzenie o ochronie danych osobowych (rodo), które reguluje zasady przetwarzania tego typu danych. Biorąc pod uwagę, że w środowiskach informatycznych ochrony zdrowia mamy dodatkowo dane medyczne, które są opatrzone klauzulą szczególnej wrażliwości, nie można przejść obojętnie obok potrzeb technicznych i możliwości, jakie dają nam rozwiązania informatyczne w tym kontekście.

Jak widać, wyzwań informatycznych jest bardzo dużo. Aby mieć pełny obraz sytuacji, należy jeszcze przyjrzeć się aktualnemu stanowi informatyzacji podmiotów ochrony zdrowia.

źródło: Artykuł pochodzi z czasopisma „IT Professional” nr 03/2018.

http://www.it-professional.pl/archiwum/art,7919,chmura-a-potrzeby-podmiotow-medycznych.html

W jaki sposób uruchomić darmowy system wideokonferencyjny w placówce medycznej? część 2

Podziel się

W poprzedniej części przygotowaliśmy do pracy nasz system. Na zdefiniowanego dla swojego konta maila w poprzedniej części dostaliśmy pełną informację o swoim koncie i dostępach zarówno do konsoli zarządzania jak i do Webclienta – przeglądowej aplikacji, dzięki której możemy korzystać między innymi z wideokonferencji. Na tym się skupmy, przedtem jednak pokaże szybko w jaki sposób utworzyć nowego użytkownika z poziomu konsoli administratora – w przypadku, gdyby trzeba było to zrobić dla któregoś z lekarzy w naszej placówce, który zechce konsultować zdalnie z innym specjalistom lub gdybyśmy chcieli przygotować konto dla pacjenta. Nie jest to jednak konieczne – aby pacjent mógł korzystać z wideo konsultacji wystarczy wysłać mu unikalny link stworzonej wideokonferencji. Ale zacznijmy od początku.

Stworzenie nowego usera (extension) odbywa się z poziomu administratora i sprowadza się do wejścia w zakładkę Extension oraz klikniecie przycisku Add. Następnie podajemy dane nowego użytkownika – na potrzeby wideokonferencji wystarczy wpisać First name i Email address aby użytkownik mógł otrzymać informację o swoich danych logowania. Extension number jest generowany automatycznie. Na marginesie – to numer wewnętrzny użytkownika w “sieci telefonicznej”. Utwórzmy użytkownika CSK Kardiologia, później nam się przyda.

Jeżeli chodzi o wideokonferencje to w konsoli administracyjnej mamy też możliwości zmiany standardowej konfiguracji. Niektóre z tych opcji można zmienić na etapie tworzenia samego Webmeetingu. Ważnym aspektem przy tych parametrach jest Lokalizacja spotkania oraz Pasmo wideo. Ten pierwszy to wskazanie odpowiedniego serwera 3cx, który będzie odpowiadał za nasze spotkanie – tutaj z doświadczenia jeżeli jesteśmy w Polsce najlepiej wybrać Węgry lub Niemcy. Kolejny parametr to maksymalne pasmo wykorzystywane przez klientów i serwer podczas konferencji. W przypadku protokołu WebRTC używanego przez nasze rozwiązanie pasmo to jest zbliżone do podanej tutaj wartości, zatem trzeba pamiętać, że w przypadku połączenia większej ilości użytkowników oraz niestabilnego połączenia internetowego w niektórych przypadkach może się pojawić opóźnienie w dostarczaniu obrazu. Wtedy z reguły należy ten parametr po prostu zmniejszyć.

(opcje te są dostępne także z poziomu tworzenia przez użytkownika wideokonferencji – przy ustawieniach dostępnych obok opcji Profil webmeeting)

W ustawieniach tych możemy także zmodyfikować szablony wiadomości mailowych dla użytkowników zaplanowanych spotkań. Standardowo każdy użytkownik jest informowany mailowo po stworzeniu Webmeetingu oraz 30 minut przed jego rozpoczęciem. W przypadku anulowania spotkania także wysyłany jest mail.

Więcej wiedzy nie potrzebujemy. Przejdźmy teraz na nasze konto zwykłego użytkownika systemu logując się na link podany w mailu. Ma on postać: https://nasza-nazwa.3cx.pl:5001/webclient/ lub podobną.

Omówmy najpierw proponowaną logikę, bo dużo od tego zależy. Ja standardowo proponuję następującą realizację 3 scenariuszy:

  • telekonsultacja z lekarzem specjalistą z innej placówki – w tym przypadku zakładam (chociaż nie jest to konieczne), że nasza placówka (niech będzie to POZ) współpracuje z konkretnymi specjalistami w konkretnym ośrodku. W takim przypadku z pewnością potrzebne jest ustalanie z wyprzedzeniem terminów konsultacji poszczególnych przypadków. W 3cx możemy takie konsultacje zaplanować. W jaki sposób? Oczywiście za pomocą zakładki Zaplanuj konferencję. Wybieramy typ konferencji Wideo oraz czy ma się rozpocząć natychmiast czy Później. Nasza jest planowana, zatem wybieramy Później. Jeżeli wybierzemy później to podajemy dane rozpoczęcia oraz czas trwania. Do tego nazwę spotkania oraz ewentualny opis spotkania. Profil – Webmeeting. W zakładce kalendarz natomiast mamy do wyboru w jaki sposób poinformować zainteresowanych oraz gdzie w swoich zasobach zapisac info o spotkaniu. Mamy tutaj do wyboru Kalendarze Google, Office365, Outlook Online lub ewentualnie plik iCal (do zaimportowania do Outlooka zainstalowanego na komputerze). Możemy też po prostu podać użytkowników (utworzonych w systemie) lub adresy mail zewnętrznych, którzy ewentualnie mają w spotkaniu uczestniczyć. W omawianym przypadku wybieramy 3cx (direct email) i wybieramy stworzonego wcześniej użytkownika – nasz ośrodek konsultacyjny.

Po potwierdzeniu nasze spotkanie zostanie dodane do listy zaplanowanych. W razie potrzeby mamy dostępny bezpośredni link do niego, możemy dodać innych użytkowników i wykonywać inne podstawowe operacje.

Ten rodzaj konfiguracji może zostać także wykorzystany z powodzeniem dla wielodziałowych placówek w celu organizowania zebrań czy innego rodzaju wewnętrznych spotkań.

  • konsultacje lekarz-pacjent – w tym scenariuszu przyjmujemy, że jest to konsultacje jednorazowa – pacjent zatem nie musi mieć utworzonego konta w naszym systemie. Będzie on otrzymywał jednorazowy spersonalizowany link, który będzie unikalny w obrębie konsultacji. Można sobie wyobrazić także, że ma – może się to przydać chociażby w koordynacji jego opieki w przypadku cyklicznych zdalnych konsultacji, jednakże wtedy wygląda to dokładnie jak w przypadku powyżej i nie wymaga omówienia. W tym momencie zakładamy, że konto w systemie ma nasz lekarz i pacjent umówił konsultacje (czy to telefonicznie, czy przez stronę www czy osobiście). Musimy wtedy podać jego mail, tak aby dotarł do niego link oraz umówiony termin i aby otrzymał przed nim przypomnienie. W tym przypadku postępujemy podobnie jak powyżej, natomiast zamiast użytkownika naszego systemu podajemy maila pacjenta. Od tej pory wizyta jest umówiona.
  • szkolenia personelu, edukacja pacjentów – w tym przypadku mogą nam się przydać funkcjonalności typu tworzenie ankiet podczas wideokonferencji, udzielanie głosu osobą, które chcą go zabrać lub w ekstremalnych przypadkach wyrzucanie niepokornych użytkowników. W takim przypadku wybieramy jako profil spotkania – Webinar (classroom). Możemy jak w poprzednich przypadkach podać po prostu maile użytkowników ale możemy także skorzystać z zewnętrznego systemu – np. kalendarza Google z którego korzystamy w placówce do organizacji niektórych spraw operacyjnych (tak, jest to zgodne z RODO a do tego też darmowe). W takim przypadku w naszym terminarzu mamy już taką konferencję uwzględnioną.

Warto zaznaczyć, że wideokonferencje możemy organizować na dowolnym urządzeniu. Wymagana jest przeglądarka Chrome lub Firefox. W przypadku gdy korzystamy z Androida lub iOS musimy ściągnąć aplikację i też działa. Tak elastyczna forma pozwoli z pewnością na pełne wykorzystanie chociaż oczywiście dobrą praktyką byłoby zorganizowanie sobie w placówce chociażby jednego stanowiska skonfigurowanego pod nasze wideokonferencje – komputera PC wraz z zestawem wideokonferencyjnym. Po to, żeby nie rozwiązywać na cito problemów technicznych tylko zawsze być gotowym do wideo konsultacji.

W kolejnej części w końcu będziemy z nich korzystać i omawiać poszczególne funkcjonalności, które mogą przydać się podczas omówionych wyżej przykładowych spotkań.

Identyfikacja zbiorów danych osobowych i medycznych w placówce

Podziel się

Od czegoś trzeba zacząć.. zgodnie z wpisem http://itwmedycynie.pl/2017/08/28/elektroniczna-dokumentacja-medyczna-podstawowe-zasady-przetwarzania-obowiazujace-wszystkich/ zakładam, że mamy już wyznaczonego Inspektora Ochrony Danych w postaci jednego z pracowników lub zewnętrznego podmiotu, który będzie proces przetwarzania danych w naszej placówce nadzorował. Pora teraz na identyfikację wszystkich zbiorów danych, które powinny podlegać ochronie oraz przypisanie do tych zbiorów osób/podmiotów zewnętrznych, które te dane przetwarzają. Przy okazji taka operacja może się przydać nie tylko przez wzgląd na spełnienie wymagań przetwarzania danych, może także wpłynąć na zagadnienia takie jak:

  • chęć lepszego zrozumienia wszystkich działań i powiązań między nimi
  • chęć usprawniania komunikacji między pracownikami – wiadomo do kogo się zgłaszać w określonej sprawie
  • możliwość szybszego wykrywania obszarów nieefektywnych, np. tzw. „wąskich gardeł”
  • sprawniejsze wdrożenie nowych pracowników
  • poprawa efektywności funkcjonowania placówki i procesu obsługi pacjenta

Jak się za to zabrać?

  1. Określenie struktury organizacyjnej placówki

Najłatwiej będzie wyjść od struktury organizacyjnej naszej placówki. To powinno być łatwe – trzeba po prostu wyartykułować wszystkie “jednostki organizacyjne” – nawet w przypadku, gdy jedna osoba zajmuje się kilkoma rzeczami. Możemy także do tych jednostek przypisać od razu osoby/firmy zewnętrzne, które mają dane kompetencje – to będzie nam potrzebne do określenia osób przetwarzających konkretny zbiór danych. Trzeba też zwrócić uwagę na to, że pewne rzeczy zlecamy na zewnątrz – to również jest jakiś rodzaj komórki należącej do struktury organizacyjnej naszej jednostki – chociaż w tym przypadku zajmuje się tym firma zewnętrzna (chociażby firma księgowa). Szybki przykład takiego podziału to:

  • rejestracja
  • sekretariat
  • księgowość
  • kadry/płace
  • laboratorium
  • podstawowa opieka zdrowotna (lekarze)
  • rehabilitacja
  • usg
  • kardiologia.

2. Określenie procesów dla każdej z jednostek

Następnie dla powyższych “jednostek” trzeba zrobić audyt wszystkich procesów w placówce, żeby później wybrać te, które używają danych osobowych i wrażliwych. Zgodnie z zasadami modelowania procesów biznesowych najlepiej zrobić sobie na początku podział na:

  • procesy główne, które dotyczą kluczowych obszarów funkcjonowania (w naszym przypadku będzie to chociażby zapisanie pacjenta na wizytę, obsługa pacjenta podczas wizyty, wystawienie skierowania itp)
  • procesy wspierające, które zapewniają wsparcie do realizacji procesów głównych (np. marketing, finanse i księgowość).

Ten podział został odzwierciedlony w kolorach naszych jednostek organizacyjnych – główne zaznaczyłem na zielono, wspierające na niebiesko.

Czeka nas zatem przemyślenie co tak właściwie się robi w danym obszarze. Nie tylko informatycznie, ogólnie. Dane osobowe w wielu przypadkach są przecież (chciałoby się rzec – jeszcze) przetwarzane papierowo. To możemy uzyskać na podstawie swojej wiedzy i zweryfikować to z pracownikami, którzy wykonują dane czynności. W przypadku gdy np. sprawami księgowości , ZUSem itp. zajmuje się inna firma możemy ich po prostu o to zapytać – z pewnością chętnie udzielą tego typu informacji chwaląc się przy okazji jak dużo rzeczy robią i jak bardzo są nam potrzebni. Weźmy pierwszą z brzegu rejestrację. W mojej wymyślonej przychodni w rejestracji wykonuje się  następujące czynności:

  • umawianie telefoniczne wizyt pacjentów
  • weryfikacja i potwierdzanie wizyt pacjentów z e-rejestracji
  • rejestracja pacjentów którzy przyszli osobiście
  • zmiana terminów wizyt / odwoływanie wizyt
  • wprowadzanie harmonogramu pracy lekarzy
  • wystawianie zwolnień lekarskich (sprawa dyskusyjna czy rejestracja powinna takie rzeczy robić ale moje doświadczenie pokazuje, że czasem się to zdarza…)
  • wprowadzanie nowego pacjenta

3. Określenie zbiorów danych dla procesów

Teraz pora w końcu na zastanowienie się jakie dane są wykorzystywane w danym procesie. Najlepiej wypisać sobie wszystkie rodzaje danych, osobowe i medyczne łatwo wśród nich znajdziemy. I tak:

  • umawianie telefoniczne wizyt pacjentów
    • dane pacjenta rejestracja(imię, nazwisko, PESEL, numer telefonu, adres zamieszkania)
    • terminarz wizyt (dzień, miesiąc, rok, godzina wizyty, imię i nazwisko lekarza przyjmującego, imię i nazwisko, PESEL pacjenta)
    • harmonogram pracy lekarzy (imię, nazwisko, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • weryfikacja i potwierdzanie wizyt pacjentów z e-rejestracji
    • dane pacjenta rejestracja (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania, e-mail)
    • terminarz wizyt (dzień, miesiąc, rok, godzina wizyty, imię i nazwisko lekarza przyjmującego, imię i nazwisko, PESEL pacjenta)
    • harmonogram pracy lekarzy (imię, nazwisko, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • rejestracja pacjentów którzy przyszli osobiście:
    • dane pacjenta rejestracja (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania)
    • terminarz wizyt (dzień, miesiąc, rok, godzina wizyty, imię i nazwisko lekarza przyjmującego, imię i nazwisko, PESEL pacjenta)
    • harmonogram pracy lekarzy (imię, nazwisko, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • zmiana terminów wizyt / odwoływanie wizyt
    • dane pacjenta (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania)
    • terminarz wizyt (dzień, miesiąc, rok, godzina wizyty, imię i nazwisko lekarza przyjmującego, imię i nazwisko, PESEL pacjenta)
    • harmonogram pracy lekarzy (imię, nazwisko, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • wprowadzanie harmonogramu pracy lekarzy
    • harmonogram pracy lekarzy (imię, nazwisko, numer telefonu, e-mail, adres, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • wystawianie zwolnień lekarskich (sprawa dyskusyjna czy rejestracja powinna takie rzeczy robić ale moje doświadczenie pokazuje, że czasem się to zdarza…)
    • dane pacjenta zwolnienie (imię, nazwisko, PESEL, adres zamieszkania, rozpoznanie)
    • dane zakładu pracy pacjenta (NIP, nazwa, adres)
    • data obowiązywania dokumentu (data od-do)
  • wprowadzanie nowego pacjenta
    • kartoteka pacjenta (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania, dane o oddziale NFZ, dane miejsca pracy)
    • wyniki badań laboratoryjnych
    • wypisy ze szpitala
    • wyniki testów alergicznych (itp…)
  • wprowadzanie nowego lekarza
    • dane lekarza (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania, informacje o uczelni, historia zatrudnienia)

4. Ostatnim krokiem jest wyłuskanie z powyższego wszystkich zbiorów danych osobowych i medycznych (bo jak słusznie zauważyliście powtarzają się one w procesach – co jest naturalne) oraz przypisanie ich do nich danych, które już mamy (dział/jednostka organizacyjna, osoby przetwarzające) oraz dodanie miejsca w którym fizycznie dany zbiór się znajduje (np. serwerownia – host “BazaPOZ” czy “archiwum w recepcji”) oraz miejsc przetwarzania danych. Taki komplet zbieramy w tabelce i mamy temat ogarnięty. Tabelka natomiast posłuży nam jako wkład do Polityki Bezpieczeństwa. Zbiory do umieszczenia w tabelce zaznaczyłem powyżej kolorem czerwonym.

W jaki sposób zweryfikować czy dany zbiór to dane osobowe? Pojęcie danych osobowych zostało określone w art. 6 ust. 1 ustawy o ochronie danych osobowych. Zgodnie z jego treścią przez dane osobowe rozumie się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników, określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Trzeba zwrócić uwagę jeszcze na jedną rzecz. Zbiory teoretycznie tych samych lub podobnych danych nie są zawsze danymi osobowymi. Weźmy na przykład harmonogram pracy lekarzy. Załóżmy, że w danym systemie widoczne jest tylko imię i nazwisko lekarza przy tej funkcjonalności – osoba, która zarządza tymi danymi nie ma z tego poziomu możliwości podejrzenia/przetwarzania innych danych lekarza. Zatem jeżeli inna osoba/jednostka zajmuje się dodawaniem nowego lekarza do systemu (np. kadry) a inna harmonogramami pracy lekarzy (np. rejestracja) to dane osobowe przetwarzają tylko kadry – zgodnie z definicją danych osobowych. W miarę praktyki stanie się to jeszcze prostsze.

Finalnie efekt naszej pracy wygląda tak (wypełniłem ją tylko dla 4 pierwszych zbiorów danych, dalej postępujemy analogicznie):

Lp Zbiór Danych Dział/ jednostka organizacyjna Osoby Lokalizacja bazy danych Miejsce przetwarzania danych
1. dane pacjenta rejestracja rejestracja Urszula Malinowska, Joanna Jaworska serwer “BazaPOZ” pomieszczenie recepcji
2. terminarz wizyt rejestracja Urszula Malinowska, Joanna Jaworska serwer “BazaPOZ”, serwer “OSOZ” pomieszczenie recepcji
3. dane pacjenta zwolnienie lekarze, rejestracja Urszula Malinowska, Joanna Jaworska, Piotr Skowroński, Albert Poniatowski, Michał Sumiński, Małgorzata Kwiatkowska serwer “BazaPOZ”, archiwum w recepcji (wersja papierowa) pomieszczenie recepcji, gabinety lekarzy
4 kartoteka pacjenta rejestracja Urszula Malinowska, Joanna Jaworska serwer “BazaPOZ”, archiwum w recepcji (wersja papierowa) pomieszczenie recepcji

 

Prawda, że proste? Wiem, że czasochłonne ale postępując zgodnie z powyższymi wskazówkami z pewnością do ogarnięcia. Wystarczą dobre chęci, trochę czasu i cierpliwości 🙂