CSIOZ udostępnił dokumentację integracyjną w zakresie e-skierowania

Podziel się

Dokumentację można znaleźć pod adresem https://www.csioz.gov.pl/interoperacyjnosc/interfejsy/ . Obejmuje ona:

Dokumentacja integracyjna obejmuje:

  1. Specyfikację usług
  2. Opis i strukturę dokumentu elektronicznego skierowania
  3. Reguły biznesowe
  4. Kody wyników operacji
  5. Zasady otrzymania dostępu do środowiska integracyjnego .

Obiecano także, że pod koniec czerwca pojawi się środowisko testowe dla tej funkcjonalności.

0 Shares:
Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

You May Also Like
Read More

Znów dane medyczne udostępnione publicznie czyli kolejny “wyciek”

Podziel się

“Setki zrzutów ekranu i dokumentów z danymi osobowymi i medycznymi pacjentów oraz dane finansowe dziesiątek szpitali, w tym dane dostępowe do różnych systemów informatycznych oraz dane osobowe pracowników szpitali — takie informacje znajdowały się w publicznie dostępnym katalogu systemu stosowanego do obsługi placówek opieki zdrowotnej, obsługiwanego przez firmę Konsultant IT. Pobrać je mógł każdy. Ilość ujawnionych danych jest znaczna i może dotyczyć wielu szpitali z całej Polski, w tym szpitali psychiatrycznych.” – poinformował wczoraj serwis Niebezpiecznik.pl .

Pełną treść informacji można znaleźć tutaj: https://niebezpiecznik.pl/post/dane-pacjentow-i-szpitali-wyciekly-z-helpdesku-eskulapa-szpitale-powinny-zmienic-hasla/

Generalnie, podobnie jak w przypadku “wycieku” danych ze szpitala w Kole sprawa jest trywialna pod kątem bezpieczeństwa. Na koncie FTP na którym znajduje się system helpdeskowy firmy Konsultant IT udostępniony był przynajmniej do odczytu folder w którym znajdowały się wszystkie pliki załączników ze zgłoszeń systemu helpdeskowego firmy. Wśród tych załączników były m.in. zrzuty ekranu systemu Eskulap. Zrzuty zawierające między innymi dane osobowe pacjentów, rozpoznania chorób itp. Oprócz tego można tam było znaleźć dane finansowe w plikach Excel. Wśród tych plików były także dane osobowe pacjentów. Dodatkowo udostępniono dane dostępowe VPN do szpitali, pliki SQL.

Firma Konsultant IT wydała w tej sprawie oświadczenie, w którym poinformowano, że:

“System helpdesk zainstalowany jest na zewnętrznym serwerze, stworzyła go dla nas i realizuje nadzór autorski Firma DIMIMO. Do udostępnienia danych doszło na skutek błędu podczas migracji przez DIMIMO helpdesku, na nowy serwer. Katalog, który był zabezpieczony w oparciu o plik .htaccess został przeniesiony na serwer, na którym konfiguracja serwera www nie dopuszczała zmian w oparciu o ten plik. W ten sposób zabezpieczenie zostało zniwelowane. Po migracji zweryfikowano wiele zabezpieczeń, niestety prawdopodobnie z powodu rutyny popełniono błąd.”

Idąc za ciosem postanowiłem napisać maila do firmy Konsultant IT z pytaniami, które mnie nurtują:

Szanowni Państwo,
Zaniepokojony informacjami o umieszczeniu do publicznej wiadomości danych medycznych i osobowych w używanym przez Państwa systemie helpdeskowym, biorąc pod uwagę, że oprócz tego, że zawodowo zajmuję się ochroną danych osobowych i medycznych w systemach IT jestem także pacjentem kilku ośrodków w Polsce proszę o odpowiedzi na poniższe pytania ponieważ istnieje prawdopodobieństwo, że niepowołane osoby otrzymały dostęp m.in. do danych moich lub mojej rodziny na co kategorycznie nie wyrażałem zgody.

  1. Czy dla potrzeb świadczenia usług wsparcia użytkowników, biorąc pod uwagę, że jak mniemam mają Państwo dostęp do systemów zawierających dane osobowe i medyczne przetwarzane przez klienta, podpisywali Państwo ze współpracującymi szpitalami umowy powierzenia danych osobowych?
  2. Czy posiadają Państwo politykę bezpieczeństwa i instrukcję zarządzania systemami informatycznymi?
  3. Czy podpisują Państwo ze swoimi pracownikami jakiekolwiek klauzule poufności odnośnie danych przetwarzanych przez nich podczas świadczenia usług?
  4. Poproszę listę Państwa klientów korzystających z systemu helpdeskowego w woj. łodzkim i mazowieckim ponieważ tam korzystam usług ośrodków. Chcę wiedzieć czy szpitale, które przetwarzają moje dane stosują praktyki robienia zrzutów ekranu z danymi wrażliwymi do tego typu systemów jak Państwa helpdesk.
  5. Czy biorąc pod uwagę, że system helpdeskowy tworzyła dla Państwa firma zewnętrzna i jak się domyślam świadczyła usługi wsparcia mieli Państwo z nimi podpisaną przynajmniej umowę o powierzenie danych osobowych? Czy Państwa klienci wiedzieli o tym, że dane udostępniane są jeszcze komuś?

Proszę o pilne odniesienie się do zadanych pytań i potraktowanie sprawy poważnie. Przykro mi, że padło akurat na Państa ale w obliczu RODO temat ochrony tego typu danych jest szczególnie ważny i tego typu sytuacje pokazują jak wiele jeszcze jest w tym zakresie do zrobienia. Także w świadomości użytkowników i usługodawców..

Czekam na odpowiedź.

Zbierając to wszystko nasuwa mi się tylko jedno. Po raz kolejny przerażające jest jak wielka jest niewiedza i nieświadomość wszystkich osób zaangażowanych w tą sytuację.

Po pierwsze użytkowników systemów, co bardziej bolesne podejrzewam, że często także działów IT szpitali. Jak można załączać do systemu helpdeskowego takie dane? Zrozumiałe jest, że w pracy pewne rzeczy robi się na szybko, że problemy muszą być skutecznie rozwiązywane ale kompletnie nie jest to usprawiedliwieniem tego typu działań. Robienie zrzutów z hasłami dostępowymi do VPN itp. pozostawię bez komentarza.

Niestety w tej całej sytuacji nieprofesjonalna jest też postawa firmy udzielającej wsparcia a tłumaczenie się, że system ten robiła firma zewnętrzna jest śmieszne. Poza wszystkim już to właśnie oni powinni zwrócić uwagę swoim klientom na to, że takich rzeczy się robić nie powinno..

Dopóki nie zbudujemy we wszystkich na około świadomości i potrzeby bezpiecznego przetwarzania tego typu danych wszystkie konferencje odnośnie RODO, prawnicze wykłady na ten temat lub nawet próby egzekwowania nie dadzą żadnego efektu. Trzeba zacząć od zupełnych podstaw.

Elektroniczne zwolnienia lekarskie – nowa metoda autoryzacji

Podziel się

ZUS nie próżnuje. Miesiąc temu udostępnił swój kanał autoryzacji do portalu umożliwiającego wystawianie lekarzom elektronicznych zwolnień lekarskich. Warto przypomnieć, że od 1 lipca 2018 roku  lekarze mają wystawiać zwolnienia tylko w formie elektronicznej. Biorąc pod uwagę to, że wielu lekarzy (chociażby w praktykach lekarskich) nie ma komputera, nie mówiąc już o systemie do elektronicznej dokumentacji jest to pewnie jakieś ułatwienie. Jedyne co trzeba zrobić to założyć sobie konto. Oficjalna instrukcja dostępna jest na YouTube . Sprawa jest prosta, podobnie jak w przypadku ePUAPu trzeba się pofatygować do urzędu. Po utworzeniu i weryfikacji konta generujemy sobie ważny 5 lat certyfikat, który zabezpieczamy hasłem i możemy go wykorzystywać do podpisywania zwolnień generowanych na portalu ZUS lub w aplikacji, której używamy w placówce (szczegóły tutaj).

Jakby ktoś nie wiedział (jest to niewykluczone biorąc pod uwagę, że w roku 2017 tylko około 3% zwolnień było wystawionych w formie elektronicznej) w skrócie obieg dokumentu wygląda tak, że lekarz przekazuje zaświadczenie lekarskie e-ZLA (po jego podpisaniu z wykorzystaniem certyfikatu z ZUS, kwalifikowanego certyfikatu lub profilu zaufanego ePUAP) elektronicznie do ZUS. ZUS udostępnia e-ZLA płatnikowi składek (np. pracodawcy) na jego profilu na PUE ZUS nie później niż w dniu następującym po dniu otrzymania e-ZLA (bez podawania numeru statystycznego choroby). Informacja ta jest przekazywana także ubezpieczonemu (m.in. pracownikowi) posiadającemu profil ubezpieczonego/świadczeniobiorcy na PUE ZUS. W przypadku gdy pracodawca nie posiada konta PUE ZUS niezbędne jest wydrukowanie zwolnienia dla pacjenta.

Dostawcy oprogramowania oczywiście udostępniają możliwość wystawiania zwolnień z poziomu swojego oprogramowywania (przynajmniej mają taką możliwość – szczegóły znajdują się tutaj).

Platforma daje także możliwość “elektronizacji” zwolnienia (nie lubię tego określenia) czyli wygenerowania sobie do druku formularzy zwolnień in blanco, żeby móc je wypisać np. w terenie gdzie nie ma Internetu. Dokumenty te można później uzupełnić na platformie ZUS.

Wszystkie filmy instruktażowe dotyczące “obsługi” elektronicznych zwolnień można znaleźć tutaj:

Generalnie kierunek myślenia jest dobry. Małymi kroczkami (zwolnienia, recepty) trzeba iść do przodu. Nie wiem czy akurat mnogość opcji autoryzacji jest dobrym pomysłem, chyba nie. W każdym razie trzeba zwrócić uwagę na jeden, najważniejszy w tym momencie fakt. Wszystkie te czynności, oczywiście potrzebne i wymagane, dostarczą dużo dodatkowej pracy lekarzom. Dla wprawnego “komputerowca” będzie to chwila ale rzesza środowiska nie jest aż tak “za pan brat” z technikaliami. To trochę błędne koło, bo teoretycznie systemy EDM mają te rzeczy automatyzować swoimi mechanizmami ale z drugiej strony jak ktoś ich (jeszcze?) nie używa to pewnie pójdzie ścieżką korzystania chociażby z portalu ZUS. Trochę się boję, że to wszystko będzie odbywało się kosztem czasu poświęcanego pacjentom. Jaki jest na to ratunek? Jeden – równoczesne prace nad automatyzacją pracy tych systemów. Tak aby lekarze poświęcali jak najmniej czasu ale jednocześnie robili także w tej materii to, co jest niezbędne. Niemożliwe? Oczywiście, że możliwe. Wzorców w innych krajach jest mnóstwo. Nic, tylko korzystać!

Widzę w tym wszystkim także jeszcze jeden problem. Mianowicie wszystkie te systemy cały czas nie są nastawione na bycie pro-pacjenckimi. Po co te zwolnienia? W dużej mierze po to, żeby była po prostu kontrola nad ich zasadnością itp. Pewnie to także jest potrzebne ale widzę trochę zatracenie w tym. Bo te wszystkie mechanizmy powinny służyć też pacjentom. A tutaj pacjent będzie miał z tego tyle, że nie będzie brał odpowiedzialności za niedostarczenie zwolnienia, którego dostarczanie przez niego jest przecież ogromnym absurdem..

Chmura w praktyce część 2 – bezpieczeństwo danych w chmurze (na przykładzie SQL databases w Azure)

Podziel się

 

We wpisie

Co to jest chmura i czy może nam się przydać?

jako jeden ze sposobów wykorzystania chmury w naszym środowisku informatycznym podałem wykorzystanie jej dość szeroko pojętej funkcjonalności nazwanej “baza danych”. Wpis ten jednak nie będzie roztrząsał rodzajów tego typu mechanizmów w poszczególnych typach chmury czy mechanizmów rozliczania. Uznajmy, że tego typu aspekty są do przedyskutowania na konkretnym przykładzie biznesowym. Tym wpisem chciałem zwrócić uwagę na bezpieczeństwo danych przechowywanych w mechanizmach chmurowych na przykładzie bazy danych. Wiadomo, rozwiązań chmurowych jest wiele i generalnie dostawcy radzą sobie z aspektami bezpieczeństwa na różne sposoby.

Na co warto zwrócić uwagę z punktu widzenia administratora danych osobowych i/lub pracowników działu IT w placówce medycznej?

Przepisy RODO regulują i dopuszczają powierzenie danych osobowych podmiotom trzecim, także w kontekście uwarunkowań formalno-prawnych przetwarzanie danych placówki ochrony zdrowia w chmurze nie jest wykluczone. Komisja Europejska w motywie 81 preambuły RODO wskazuje na konieczność korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby, odpowiadających wymaganiom bezpieczeństwa przetwarzania, w tym wymaganiom określonym przez RODO.

Najlepszą wskazówką w szukaniu odpowiedniego usługodawcy usług chmurowych (także zgodnie z zaleceniami CZIOZ) mogą być międzynarodowe standardy postępowania z danymi osobowymi a zatem normy takie jak ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 22301 oraz normy „branżowe” np. ISO 13606-1, ISO 13606-4.

Warto zwrócić też uwagę na normę ISO/IEC 27018, która nakłada następujące wymagania względem dostawców rozwiązań chmurowych:

  • Dane osobowe mogą być przetwarzane tylko i wyłącznie za wyrażeniem zgody przez klienta oraz wyłącznie do celów nieosobistych, oprócz sytuacji wyrażenia zgody przez klienta na tego rodzaju działanie.
  •  Należy zdefiniować procesy określające: zwrot, przekazanie, zniszczenie danych osobowych.
  •  Przed zakończeniem umowy należy ujawnić wszelkie podzlecenia usług przetwarzania oraz wszystkie kraje, w których występuje przetwarzanie danych.
  • Każdego rodzaju naruszenie ochrony danych należy udokumentować – łącznie z ustalonymi krokami rozwiązywania problemów i możliwymi następstwami.
  • Naruszenie ochrony danych należy niezwłocznie zgłosić klientowi
  • Należy wspierać klientów w zakresie postrzegania swoich praw: klientom, których dane przetwarzane są w chmurze należy oferować narzędzia, pozwalające by końcowi użytkownicy mogli uzyskać dostęp do swoich danych osobowych, w celu ich zmiany, usunięcia lub korekcji.
  • Przekazanie danych osobowych organom ścigania może nastąpić tylko i wyłącznie w przypadku istnienia prawnych zobowiązań w tym zakresie. Należy poinformować klienta, objętego takim postępowaniem, o ile informacja ta nie została utajniona.
  • Oferowane usługi „danych w chmurze” należy poddać regularnym kontrolom przez osoby trzecie.

Praktyka

Normy można sprawdzić i to istotne. Warto jednak wiedzieć jak to wygląda w praktyce. Aby od tego zacząć umieszczam poniżej do obejrzenia krótki filmik Microsoftu o tym w jaki sposób wygląda fizyczne i proceduralne zabezpieczenie do centrów danych będących częścią platformy Azure. Czy w szpitalu też tak macie? 🙂

Z ciekawostek – trwają ostre przygotowania do uruchomienia w Polsce platformy Azure Stack ( https://itreseller.com.pl/wspolna-oferta-microsoft-i-beyond-pl-w-oparciu-o-azure-stack-polscy-klienci-z-mozliwoscia-przetwarzania-danych-w-chmurze-z-lokalnego-polskiego-centrum-danych/ ). W centrum danych Beyond w Poznaniu powstanie zatem nasza “lokalna” platforma Azure`owa – gdyby ktoś się uparł na trzymanie danych u nas w kraju to idealne rozwiązanie. Ja jednak takiej potrzeby nie widzę, chociaż chętnie zmigruję kogoś do PL 🙂

Dlaczego Azure?

Działam na platformie Azure po pierwsze dlatego, że ją znam i wiem w jaki sposób wykorzystać niezliczone funkcjonalności do spełnienia naszych wymagań biznesowych w szeroko pojętym świecie medycyny. Po drugie dlatego, że bogactwo funkcjonalności i tempo rozwoju platformy jest ogromne. Świadczą o tym chociażby funkcjonalności, które poniżej zaprezentuję – jeszcze niedawno ich po prostu nie było. Po trzecie dlatego, że uważam, że to jest dobry wybór. I wcale nie oznacza to, że ograniczam się w swoich rozważaniach z klientami tylko do tej platformy. Znam wiele rozwiązań (OVH, Aruba Cloud, 3s DataCenter, Infomex DC) i w większym lub mniejszym stopniu z nich korzystam. Biorąc jednak pod uwagę funkcjonalności typowo usługowe – zwłaszcza mechanizmy PaaS Azure i AWS przodują i z pewnością będą.

Meritum

Wracając jednak do tematu. Jedną z przynajmniej kilku możliwości utworzenia bazy danych w Azure jest skorzystanie z usługi SQL database. Utwórzmy zatem nową instancję. W “Select source” wybrałem “Sample” – aby jakieś dane już były. Załóżmy, że to nasza baza pacjentów (a, że w tym przykładzie dane osobowe są to dobry przykład).

Po utworzeniu bazy możemy wejść w jej Dashboard:

Pragnę skupić się na następujących aspektach:

  • Set server firewall
  • Auditing and Threat Detection
  • Vulnerability Assesment
  • Data discovery and classifications
  • Dynamic Data Masking
  • Transparent data encryption.

Set server firewall – prosta funkcjonalność pozwalająca ustalić sobie zasady dostępu do bazy danych. W ustawieniach defaultowych mając server name (his1.database.windows.net) oraz użytkownika i hasło z bazą się po prostu połączymy. Można to okroić – do konkretnych adresów IP lub do konkretnych sieci wirtualnych. W tym wypadku prosta droga do skorzystania z mechanizmów opisanych we wpisie:

Chmura w praktyce – część 1 – VPN

Auditing and Threat Detection

Opcja inspekcji i wykrywania zagrożeń może zostać uruchomiona na poziomie pojedynczej instancji bazy danych lub na poziomie całego serwera. Domyślnie opcja Server-level jest wyłączona zarówno dla audytowania jak i wykrywania zagrożeń. Przy uruchamianiu tej opcji można podać także adres e-mail, na który będą przychodzić powiadomienia z alertami. Możemy wybrać tez wybrane zagrożenia, które mają być monitorowane.

Aha.. oto tabele w naszej bazie danych. Jak wcześniej wspomniałem to przykładowa baza, wypełniona danymi.

Po konfiguracji możemy sobie wyklinać pierwszy raport. Zawiera on wszystkie monitorowane przez nas aktywności wraz ze szczegółami – czyli. np który użytkownik jaką instrukcję lub operację na bazie danych wykonał lub chciał wykonać, z jakiego adresu ip itp. Dane możemy dowolnie filtrować a w przypadku gdy chcemy skorzystać z tych danych możemy podłączyć się do mechanizmu poprzez REST API.

Vulnerability Assesment

Ocena luk w zabezpieczeniach czy jak kto woli po prostu ocena podatności pozwala na automatyczny skan konfiguracji serwera bazy danych oraz danych zawartych w bazie. Wynikiem takiego skanowania jest rozbudowany raport zabezpieczeń bazy danych w następujących obszarach:

  • inspekcja i rejestrowanie
  • uwierzytelnianie i autoryzacja
  • zmniejszenie obszaru powierzchni
  • ochrona danych.

Jak widać na zrzucie powyżej mamy wyszczególnione wszystkie zadeklarowane i przeprowadzone kontrole oraz finalny status ich wykonania a także podsumowanie ryzyk wg. statusów (wysokie, niskie średnie). Szczegółowy raport rodzaju sprawdzanego zabezpieczenia, jego kategorii, instancji której dotyczy pozwala przyjrzeć się dokładnie wszystkim obszarom ryzyka. Mało tego – klikając na dane ryzyko otrzymujemy szczegółowy opis problemu a także zalecenie jego rozwiązania. Dla naszej bazy na przykład mamy informację, że niektóre kolumny w tabelach mogą zwierać dane wrażliwe (w rozumieniu Azure – mogą to być zatem dane osobowe lub inne). Dzięki temu możemy zareagować dokładając należytej staranności w opiece nad swoimi danymi. W opisanym przypadku w celu skorygowania tego problemu zostaniemy przeniesieni do Dynamic Data Masking, którą opisałem poniżej.

Data discovery and classifications

Kolejnym obszarem do analizy pod kątem bezpieczeństwa naszych danych w bazie jest mechanizm odnajdowania i klasyfikacji danych. Jest to narzędzie pozwalające nam na oznaczenie wszystkich kolumn w tabelach typem informacji która jest w danej kolumnie zawarta (np. Contact Info, Name, CreditCard) oraz nadania etykiet poufności. Dostępne na ten moment etykiety to:

Dodatkowo system sam rozpoznaje nam według swoich algorytmów typy danych i daje propozycje konfiguracji, którą możemy zaakceptować w całości lub częściowo wykorzystać. W razie konieczności system podpowiada nam także zalecenia do wykonania dla skonfigurowanej klasyfikacji danych.

Po zapisaniu klasyfikacji otrzymujemy rozkład przydzielonych etykiet oraz rozkład typu informacji w naszej bazie danych w przystępnej, graficznej formie. Raport ten możemy wyeksportować do Excela i dołączyć do swojej dokumentacji związanej z RODO.

Dynamic Data Masking

W skrócie dynamiczne maskowanie danych pomaga zapobiegać nieautoryzowanemu dostępowi do poufnych danych, umożliwiając klientom określenie, jak wiele wrażliwych danych ma się ujawnić przy minimalnym wpływie na warstwę aplikacji. Funkcja ta pozwala przykładowo wyświetlenie tylko części danych osobowych w recepcji placówki. W celu weryfikacji rozmówcy telefonicznego w systemie osobie obsługującej zgłoszenie mogą pojawić się wybrane dane osoby dzwoniącej – np. nazwisko, miejscowość zamieszkania oraz pierwsza i trzy ostatnie cyfry numeru PESEL. Myślę, że biznesowych zastosowań tej funkcjonalności w obliczu RODO czy po prostu mając świadomość wrażliwości tego typu danych (także proceduralną) można znaleźć wiele.

Transparent data encryption

Funkcjonalność ta wykonuje w czasie rzeczywistym szyfrowanie i deszyfrowanie bazy danych, powiązanych kopii zapasowych i plików dziennika transakcji bez konieczności wprowadzania zmian w aplikacji. Do realizacji tego zadania możemy wykorzystać zdefiniowane samodzielnie klucze znajdujące się w Key Picker. Dzięki wykorzystaniu tego mechanizmy mamy pewność, że wszystkie aplikacje i sposoby komunikowania się z naszą bazą danych otrzymują i wysyłają do niej dane zaszyfrowane.


Podsumowanie

Mam nadzieję, że opisane powyżej możliwości konfiguracji i dostosowania bazy danych do swoich restrykcyjnych potrzeb odnośnie przetwarzania danych rzucą nowe światło na ten temat. Zaznaczam, że wzięta na tapetę została tutaj tylko jedna z funkcjonalności – baza danych. Mechanizmów tych, dla różnych typów usług jest dużo więcej i postaram się o nich sukcesywnie pisać. Gdyby ktoś chciał poklikać sobie na żywo zapraszam do kontaktu – udostępnię subskrypcje testową bez konieczności podawania namiarów na swoją kartę kredytową 😉

Read More

Dofinansowanie NFZ na informatyzację POZ – szczegóły

Podziel się

Zgodnie z zamieszczonym 6 listopada Zarządzaniem Prezesa NFZ “w sprawie warunków rozliczania środków pochodzących z dotacji celowej z budżetu państwa na dofinansowanie zakupu urządzeń informatycznychi oprogramowania oraz kosztów niezbędnego szkolenia świadczeniodawców” możliwe stało się ubieganie o zwrot kosztów na informatyzację. Proces obwarowany jest kilkoma wymogami a maksymalna kwota zwrotu o jaką można się ubiegać to 3500 zł na “stanowisko lekarza”, maksymalnie na 4 stanowiska w placówce. Po Polsku – maksymalnie 14000 zł.

Pierwotnie pieniądze  były “konkretnie” na:

  • wydatki poniesione przez świadczeniodawców na zakup urządzeń informatycznych i oprogramowania oraz niezbędnego szkolenia świadczeniodawcy w 2018 r., pod warunkiem, że zostały sfinansowane ze środków własnych świadczeniodawcy, przed złożeniem wniosku o udzielenie dofinansowania
  • wydatki poniesione przez świadczeniodawców na szkolenia z zakresu kompetencji cyfrowych osób wystawiających zaświadczenia lekarskie i osób upoważnionych do wystawiania takich zaświadczeń

W związku z wieloma zapytaniami i niezgodnościami co do możliwości zwrotu poniesionych kosztów NFZ opublikował wczoraj komunikat dla świadczeniodawców POZ ubiegających się o dofinansowanie informatyzacji ze środków pochodzących z dotacji celowej z budżetu państwa gdzie precyzyjniej wskazano co autor w pierwotnym zarządzaniu miał na myśli. Cytując źródło:

“W związku z licznymi pytaniami kierowanymi do Narodowego Funduszu Zdrowia w zakresie prawidłowej kwalifikacji urządzeń informatycznych i oprogramowania do dofinansowania ze środków z dotacji celowej z budżetu państwa Narodowy Fundusz Zdrowia uprzejmie informuje:

Urządzenia informatyczne to:

  • maszyny przenośne do automatycznego przetwarzania danych o masie do 10 kg, tj.: laptopy, notebooki,
  • komputery kieszonkowe (np. notesy komputerowe) i podobne,
  • maszyny do automatycznego przetwarzania danych w formie systemów,
  • pozostałe maszyny do automatycznego przetwarzania danych, zawierające lub nie w tej samej obudowie jedno lub dwa urządzenia następującego typu: urządzenia pamięci, urządzenia wejścia i wyjścia,
  • urządzenia peryferyjne wyjścia (klawiatura, mysz itp.),
  • skanery (z wyłączeniem urządzeń wielofunkcyjnych zawierających drukarkę, skaner, kopiarkę i/lub faks),
  • drukarki atramentowe używane z urządzeniami do przetwarzania danych,
  • drukarki laserowe używane z urządzeniami do przetwarzania danych,
  • pozostałe drukarki używane z urządzeniami do przetwarzania danych,
  • jednostki wykonujące co najmniej dwie z następujących funkcji: drukowanie, skanowanie, kopiowanie, faksowanie,
  • pozostałe peryferyjne urządzenia wejścia lub wyjścia,
  • urządzenia pamięci do nieruchomych nośników informacji,
  • urządzenia pamięci do ruchomych nośników informacji,
  • pozostałe jednostki do maszyn do automatycznego przetwarzania danych,
  • części i akcesoria do maszyn liczących,
  • półprzewodnikowe urządzenia pamięci trwałej.

Oprogramowanie to:

  • systemy operacyjne
  • programy użytkowe (aplikacje) wykorzystywane do obsługi poradni,
  • oprogramowanie zabezpieczające właściwe oprogramowanie wykorzystywane do obsługi poradni (antywirus, firewall, itp.)”

Sprawa zatem powinna się bardziej rozjaśnić (podejrzewam, że dla obu stron). I nie czepiajmy się nomenklatury: “maszyny przenośne do automatycznego przetwarzania danych o masie do 10 kg, tj.: laptopy, notebooki” 🙂

Odpowiadając na pytania Klientów – tak – wdrożenie naszego rozwiązania usprawniającego pracę recepcji i koordynację kontaktu z pacjentem (3cx) zgodnie z zamieszczonym uszczegółowieniem “łapie się” do tego dofinansowania.

Miłego weekendu!

Zabezpieczenia danych medycznych w chmurze

Podziel się

I idąc za ciosem kolejny artykuł (żeby nie było, że nic nie publikuje ;)) Tym razem o sposobach zabezpieczeń danych medycznych na przykładzie konkretnych mechanizmów w Azure.

Przyglądamy się rozwiązaniom chmurowym pod kątem zabezpieczenia danych w sektorze medycznym w podziale na ogólnie przyjęte rodzaje platform chmurowych oraz mechanizmy, dzięki którym to bezpieczeństwo można zwiększyć, a także wykazać się zasadą rozliczalności, o której tak wiele mówi się w kontekście nowego unijnego rozporządzenia o ochronie danych osobowych.

Bardzo ważnym aspektem pojawiającym się u każdego managera IT, którego organizacja przetwarza dane o szczególnym priorytecie, jest kwestia zapewnienia bezpieczeństwa tych danych. Nie inaczej jest i w przypadku danych medycznych – ich bezpieczeństwo powinno być priorytetem. „No jak to, przecież się nie da”, „przecież muszę mieć możliwość fizycznego audytu danych, za które odpowiadam”, „trzymanie danych medycznych gdzieś za granicą jest niemożliwe i niebezpieczne” – często na konferencjach w oficjalnych pytaniach czy kuluarowych rozmowach słychać takie wątpliwości. Przyjrzyjmy się zatem w pierwszej kolejności temu, co mówią nam nowe regulacje odnośnie do wymagań, jakie trzeba spełnić z perspektywy podmiotu przetwarzającego dane osobowe w chmurze.

Zarówno przepisy uodo, jak i rodo regulują i dopuszczają powierzenie danych osobowych. Trzeba pamiętać o tym, że Komisja Europejska w motywie 81 preambuły rodo wskazuje na konieczność korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby, odpowiadających wymaganiom bezpieczeństwa przetwarzania, w tym wymaganiom określonym przez rodo. Najlepszą wskazówką w szukaniu odpowiedniego usługodawcy usług chmurowych (także zgodnie z dokumentem „Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej”) mogą być międzynarodowe standardy postępowania z danymi osobowymi, a zatem normy takie jak: ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 22301 oraz normy branżowe, np. ISO 13606-1, ISO 13606-4. Warto zwrócić też uwagę na normę ISO/IEC 27018.

Oczywiście trzeba zdawać sobie sprawę z możliwych incydentów bezpieczeństwa, które są nieco odmienne dla rozwiązań chmurowych w porównaniu z rozwiązaniami on premise. Rozważaniami na ten temat na poziomie europejskim zajęła się Grupa Robocza art. 29, która w opinii 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej przyjętej w dniu 1 lipca 2012 r. przeanalizowała kwestie istotne dla dostawców usług przetwarzania danych w chmurze działających w Europejskim Obszarze Gospodarczym (EOG) oraz ich klientów, określając wszystkie mające zastosowanie zasady z dyrektywy o ochronie danych UE (95/46/WE) oraz dyrektywy o prywatności i łączności elektronicznej 2002/58/WE (zrewidowanej dyrektywą 2009/136/WE). Wtedy nie było jeszcze mowy o rodo, ale specjaliści wskazują, że w tym zakresie nie zachodzą żadne zmiany w opinii.

Główne opisane zagrożenia obejmują brak kontroli oraz brak przejrzystości (różne aspekty, m.in.: brak dostępności, brak integralności, brak odizolowania). W ramach grupy roboczej opracowano także wytyczne dla klientów i dostawców usług przetwarzania danych w chmurze. To ważny aspekt związany z bezpieczeństwem przetwarzania danych osobowych i wrażliwych (a zatem także medycznych), ponieważ właśnie te wytyczne powinny być dla działów IT podstawą do opracowywania procedur ochrony danych przetwarzanych w środowiskach, za które odpowiadają. Są one także podstawą do zrozumienia, na jakich zasadach przetwarzać w chmurze dane swojej organizacji, aby zapewnić im bezpieczeństwo oraz sobie kontrolę nad nimi. Zgodnie ze wspominanym wcześniej dokumentem opracowanym przez CSIOZ najważniejsze z nich to:

  • Odpowiedzialność klienta usługi w chmurze jako administratora – klient powinien wybrać dostawcę usługi w chmurze, który gwarantuje zgodność z przepisami w zakresie ochrony danych, co odzwierciedlają odpowiednie zabezpieczenia umowne;
  • Zabezpieczenia w przypadku powierzenia – przepisy dla podmiotów, którym powierzono realizację usług, powinny być przewidziane w każdej umowie pomiędzy dostawcą usługi w chmurze i jego klientami;
  • Przestrzeganie podstawowych zasad ochrony danych – klientowi należy zapewnić zrozumiałe informacje na temat środków technicznych i organizacyjnych wdrożonych przez dostawcę; klient w ramach dobrych praktyk powinien przekazać osobom, których dane dotyczą, informacje na temat dostawcy usługi w chmurze, jak również dane na temat lokalizacji, w których dane mogą być przechowywane lub przetwarzane;
  • Określenie i ograniczenie celu – klient powinien zapewnić zgodność z zasadami określenia i ograniczenia celu przetwarzania danych oraz zadbać o to, aby żadne dane nie były przetwarzane do innych celów przez dostawcę;
  • Zatrzymywanie danych – klient jest odpowiedzialny za zapewnienie, aby dane osobowe zostały usunięte ze wszystkich miejsc, w których są przechowywane, w przypadku gdy ich przetwarzanie nie odbywa się lub realizowane jest prawo (do zapomnienia) osoby, której dane dotyczą;
  • Zabezpieczenia umowne – umowa z dostawcą powinna zapewniać wystarczające gwarancje pod względem technicznych środków bezpieczeństwa i środków organizacyjnych;
  • Dostęp do danych – tylko upoważnione osoby powinny mieć dostęp do danych. W umowie powinna być zawarta klauzula poufności w odniesieniu do dostawcy i jego pracowników;
  • Zobowiązania do współpracy – klient powinien zapewnić, aby dostawca był zobowiązany do współpracy w związku z prawem klienta do monitorowania operacji przetwarzania, do ułatwiania realizacji praw osób, których dane dotyczą, do dostępu do/poprawiania/usuwania ich danych oraz do powiadamiania klienta usługi w chmurze o wszelkich naruszeniach ochrony danych mających wpływ na dane klienta;

źródło:  Artykuł pochodzi z czasopisma „IT Professional” nr 04/2018.

(http://www.it-professional.pl/archiwum/art,7951,zabezpieczenia-danych-medycznych-w-chmurze.html)

Read More

Systemy Unified Communication (w chmurze) dla placówek medycznych na przykładzie 3cx w środowisku Azure

Podziel się

Poniedziałek, jesienna aura. Godzina po 9 a praktycznie ciemno. Cały świat wydaje się senny, zamroczony po weekendzie. W niemalże każdego rodzaju placówce medycznej to jednak szczyt, epicentrum zamieszania – kolejka w rejestracji bo przecież w weekend wszyscy się pochorowali, telefony się urywają i nie ma nawet czasu ich odbierać. Pacjenci niezadowoleni, rejestracja zatkana. I tak przynajmniej do południa. Hmm.. a gdyby tak zautomatyzować pewne procesy związane z telefoniczną obsługą pacjenta? Gdyby tak odciążyć rejestrację oraz zwiększyć obieralność telefonów tak, żeby pacjent się aż tak bardzo nie złościł? Tyle się mówi przecież o usprawnieniach w placówkach medycznych o e-receptach i w ogóle wszystkim “e-“. Dlaczego zatem nie zrobić tego także w obsłudze głosowej? To prostsze i bardziej oczywiste niż się wydaje.

W artykule opisałem podstawy funkcjonalności systemów Unified Communication w placówkach medycznych oraz przykładową konfigurację głosowej realizacji e-recepty za pomocą narzędzia Call Flow Designer, którego bardzo często używamy przy wdrożeniach. Zapraszam!

 

“W artykule prezentujemy możliwości wykorzystania systemów unified communication do usprawnienia pracy personelu medycznego oraz procesu obsługi pacjenta. Przedstawiamy również, jak integrację tego typu systemów z rozwiązaniami chmurowymi zrealizować w praktyce.

Systemy unified communications na dobre zagościły wśród standardowych rozwiązań IT w wielu branżach. Są one pomocne nie tylko w procesie usprawniania komunikacji pomiędzy pracownikami i klientami, ale także pozwalają na automatyzację wielu zadań. Nie inaczej jest w branży medycznej, w różnego rodzaju placówkach ochrony zdrowia. W przypadku tego typu działalności mamy do czynienia z ciągłym kontaktem z pacjentem – nie tylko bezpośrednim, ale także telefonicznym, a ostatnio coraz częściej także zdalnym poprzez mechanizmy pozwalające na zdalne konsultacje.

W jakim zakresie systemy unified communication mogą usprawnić pracę personelu medycznego i procesy obsługi pacjenta, ułatwiając zarządzanie całym systemem IT w tego typu podmiotach? W jaki sposób zintegrować je z rozwiązaniami chmurowymi? Odpowiedzi na te pytanie przedstawimy na przykładzie systemu 3cx, który oferuje możliwość integracji z wieloma dostawcami usług typu cloud computing, m.in. z Microsoft Azure. Argumentem przemawiającym za wykorzystaniem tego właśnie oprogramowania jest to, że każdy z czytelników może samodzielnie sprawdzić jego funkcjonalność zupełnie za darmo, korzystając z bezpłatnego, 30-dniowego okresu próbnego na usługi Azure (z limitem kwotowym niemal 200 dolarów), oraz darmowej wersji systemu 3CX (w pierwszym roku użytkowania, w wersji Standard, do 16 jednoczesnych połączeń). Warto wiedzieć, że 3cx jest rozwiązaniem bardzo często wybieranym przez placówki medyczne, głównie ze względu na łatwość konfiguracji i wspomniane możliwości integracji.

> Definicja i sposoby wykorzystania

Jednolitą komunikację (unified communications) określa się jako proces, w którym wszystkie środki komunikacji, urządzenia i media są zintegrowane, pozwalając użytkownikom pozostawać ze sobą w kontakcie w czasie rzeczywistym bez względu na miejsce pobytu.

W środowisku takim jak szpital lub nawet mała przychodnia tego typu możliwości są bardzo przydatne zarówno z punktu widzenia pacjentów, jak i personelu. Oto lista funkcji, z których możemy skorzystać:

  • chat pomiędzy personelem – pracownicy mogą komunikować się ze sobą, korzystając z klientów na telefony komórkowe lub komputery stacjonarne, dzięki czemu komunikacja staje się szybsza i efektywniejsza;
  • komunikaty głosowe – pozwalają na znaczną oszczędność czasu personelu. Często zdarzają się sytuacje, w których pacjenci dzwonią w sprawach oczywistych, np. próbując sprawdzić godziny otwarcia placówki. Tego typu informacje można zawrzeć w komunikatach głosowych, pojawiających się np. na początku połączenia. Dodatkową zaletą tego typu rozwiązania jest brak sygnału zajętości tuż po wybraniu numeru placówki, który działa deprymującego na pacjentów;
  • kolejki dzwoniących – funkcja pozwalająca uporządkować połączenia przychodzące do placówki i przekierować je do konkretnych osób, które zajmują się zapisami do danych specjalistów czy też udzielają określonych porad;
  • IVR (Interactive voice response) – funkcja, którą można określić jako „interaktywna obsługa pacjenta”. Dzięki IVR możliwe jest „sterowanie” rozmową przez pacjenta w celu otrzymania konkretnych informacji, wywoływania konkretnych akcji lub np. uzyskania połączenia w konkretnej sprawie – do rejestracji czy do laboratorium, gdzie pacjent może sprawdzić status wyników swoich badań. Funkcja ta zyskuje na znaczeniu szczególnie w świetle projektu e-zwolnień lekarskich, które od wakacji będą jedynym sposobem przekazywania informacji o zwolnieniach, zastępując druk L-4, a także w kontekście trwającego pilotażu wdrożenia recept elektronicznych (e-recept);
  • nagrywanie i archiwizacja rozmów – dzięki tej funkcji możemy tworzyć archiwum, pozwalające na odtworzenie nagrań w przypadku wątpliwości dotyczących udzielanych informacji;
  • eliminacja nieobsłużonych połączeń – (w omawianym systemie 3CX zrealizowana np. za pomocą funkcji CallBack) – jeśli pacjent z powodu zbyt długiego oczekiwania zainicjował prośbę o oddzwonienie, otrzyma telefon zwrotny zaraz po zakończeniu rozmowy przez pierwszego wolnego konsultanta;
  • wideokonferencje – używane pomiędzy oddziałami placówek albo lekarzami różnych specjalności do omówienia danego przypadku lub też do komunikacji pomiędzy lekarzem a pacjentem. Dodając do tego możliwość załączenia dokumentów czy prezentowania treści, uzyskamy jednolitą platformę wymiany informacji;
  • raporty – dla osób zarządzających placówką to nie tylko możliwość zliczania połączeń przychodzących od pacjentów, ale również szczegółowe statystyki czasu trwania poszczególnych rozmów, nawet zapis powodów nawiązania połączenia (np. umówienie wizyty, uzyskanie informacji o dostępności danego specjalisty itp.), a także narzędzie do oceny wydajności pracy placówki medycznej.

> Tworzymy system UC

Aby poprawnie wdrożyć środowisko zintegrowane, musimy posiadać aktywną subskrypcję Azure. Pominiemy tu opis czynności koniecznych do jej założenia, gdyż proces ten jest prosty, szybki i nie wymaga komentarza. Do dalszych działań będziemy potrzebować identyfikatora aktywnej subskrypcji Azure. Aby go pobrać, przechodzimy do menu Cost Management + Billing (rys. 2.), gdzie do naszej dyspozycji dostępna jest lista subskrypcji, z której możemy skopiować interesujący nas identyfikator.

Następnie udajemy się na stronę 3cx.com, wybieramy opcję Try i wypełniamy formularz rejestracyjny.

Po poprawnym wykonaniu operacji zostaniemy przekierowani na stronę, na której znajdziemy pliki z oprogramowaniem dla różnych systemów operacyjnych, wersje klientów oraz dokumentację. Pocztą elektroniczną zostanie do nas wysłany odsyłacz weryfikujący, po kliknięciu którego otrzymujemy informację o poprawności wykonania procesu oraz o możliwych do zainicjowania akcjach. […]”

 

źródło:  Artykuł pochodzi z czasopisma „IT Professional” nr 06/2018.

(http://www.it-professional.pl/archiwum/art,8023,zunifikowana-komunikacja-w-placowkach-medycznych.html)