Chmura a potrzeby podmiotów medycznych

Podziel się

Poniżej zamieszczam treść do zajawki artykułu zamieszczonego na łamach IT Professional. Aktualnie z tego cyklu ukazały się 3 artykuły, czwarty jest w trakcie drukowania.

Informatyzacja placówek szeroko pojętej ochrony zdrowia trwa w najlepsze. Mnogość różnego rodzaju projektów, regulacji prawnych, a także zbliżające się wielkimi krokami nowe rozporządzenie o zasadach przetwarzania danych osobowych (rodo) wywołuje duże poruszenie w branży. Czy chmura odpowiada potrzebom podmiotów medycznych? Czy warto przyjrzeć się tego typu rozwiązaniom? Jak wygląda sytuacja u samych zainteresowanych?

Z  doniesień medialnych wszyscy wiemy, że nasz system ochrony zdrowia od lat zmaga się z wieloma problemami organizacyjno-finansowymi. Podobna sytuacja występuje w przypadku informatyzacji sektora. Informatyzacji rozumianej jako spójny zestaw usług na poziomie ogólnopolskim, bo nie ma co ukrywać, że prywatne podmioty oferujące usługi medyczne (zwłaszcza te duże) mają dużą świadomość informatyczną i radzą sobie znakomicie. I to radzą sobie zarówno z wykorzystaniem najnowocześniejszych technologii w celu ułatwienia życia pacjentom, jak i sprawnością systemów IT w zakresie obsługi procesów wewnątrz organizacji. Dzięki środkom unijnym także duża liczba szpitali podległych resortom czy też władzom na różnego rodzaju szczeblach samorządowych wdrożyła, bądź wdraża, nowoczesne rozwiązania. Na szczeblu ogólnopolskim sprawa jednak nie jest taka prosta. Od lat trwają prace nad Elektroniczną Platformą Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych (tzw. system P1).

Na projekt ten wydano już ogromnie dużo pieniędzy, a z powodu wielu problemów został dla niego opracowany plan naprawczy. Przyjęto nowe założenia, które mówią o tym, co i kiedy ma zostać wdrożone i uruchomione.

Zgodnie z opublikowanym 9 maja 2017 r. komunikatem dotyczącym regulacji prawnych w zakresie Elektronicznej Dokumentacji Medycznej (tinyurl.com/mz-komunikat) „trwają prace legislacyjne dotyczące nowelizacji ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, których celem jest m.in. doprecyzowanie definicji elektronicznej dokumentacji medycznej (EDM) oraz obowiązku stosowania Polskiej Implementacji Krajowej (PIK) HL7 CDA (Clinical Document Architecture) oraz formatów EDM, które będą publikowane w Biuletynie Informacji Publicznej Ministerstwa Zdrowia, a także zmiana terminów dotyczących obowiązku stosowania EDM”. Ustalono też następujące terminy obowiązywania poszczególnych usług:

  • e-recepta – obowiązek wystawiania recepty w postaci elektronicznej – od 1 stycznia 2020 r.;
  • e-skierowanie – obowiązek wystawiania skierowania w postaci elektronicznej – od 1 stycznia 2021 r.;
  • pozostała część EDM (tj. dokumenty wskazane w rozporządzeniu wydanym na podstawie art. 13 ustawy):

– obowiązek prowadzenia w postaci elektronicznej – od 1 stycznia 2019 r.;
– obowiązek wymiany za pośrednictwem Platformy P1 – od 1 stycznia 2021 r.
Na „pierwszy ogień” idą zatem głównie szpitale. Nie możemy jednak zapominać o tym, że od lipca 2018 r. Zakład Ubezpieczeń Społecznych uruchamia obowiązek wystawiania elektronicznych zwolnień lekarskich dla wszystkich lekarzy. Dodatkowo pojawiają się legislacyjne ułatwienia dla rozwiązań telemedycznych. Zgodnie z wizją opracowaną na potrzeby nowo powstającej Strategii Rozwoju e-Zdrowia dla Polski na lata 2018–2022 „(…) dzięki spójnemu rozwojowi e-zdrowia do 2022 roku system opieki zdrowotnej w Polsce stanie się bardziej skuteczny, efektywny ekonomicznie i dostępny dla obywatela (…)”.

Nie bez wpływu na potrzeby placówek ochrony zdrowia jest także mające zastosowanie dla każdej branży wchodzące w życie od maja 2018 roku unijne ogólne rozporządzenie o ochronie danych osobowych (rodo), które reguluje zasady przetwarzania tego typu danych. Biorąc pod uwagę, że w środowiskach informatycznych ochrony zdrowia mamy dodatkowo dane medyczne, które są opatrzone klauzulą szczególnej wrażliwości, nie można przejść obojętnie obok potrzeb technicznych i możliwości, jakie dają nam rozwiązania informatyczne w tym kontekście.

Jak widać, wyzwań informatycznych jest bardzo dużo. Aby mieć pełny obraz sytuacji, należy jeszcze przyjrzeć się aktualnemu stanowi informatyzacji podmiotów ochrony zdrowia.

źródło: Artykuł pochodzi z czasopisma „IT Professional” nr 03/2018.

http://www.it-professional.pl/archiwum/art,7919,chmura-a-potrzeby-podmiotow-medycznych.html

0 Shares:
140 comments
  1. Pingback: viagra
  2. Pingback: levitra dosage
  3. Pingback: generic cialis
  4. Pingback: viagra for sale
  5. Pingback: tadalafil 20mg
  6. Pingback: thesis formatting
  7. Pingback: thesis editors
  8. Pingback: pharmacy online
  9. Pingback: tadalafil online
  10. Pingback: cialis coupon
  11. Pingback: viagra for sale
  12. Pingback: online viagra
  13. Pingback: Avapro
  14. Pingback: viagra
  15. Pingback: buy cialis generic
  16. Pingback: free brand viagra
  17. Pingback: otc viagra pills
  18. Pingback: duloxetine 50 mg
  19. Pingback: tadalafil otc usa
  20. Pingback: real viagra 100mg
  21. Pingback: riley reid viagra
  22. Pingback: viagra 100mg uk
  23. Pingback: cialis 50mg price
  24. Pingback: Zakhar Berkut hd
  25. Pingback: 4569987
  26. Pingback: news news news
  27. Pingback: psy
  28. Pingback: psy2022
  29. Pingback: projectio-freid
  30. Pingback: retin a uk
  31. Pingback: kinoteatrzarya.ru
  32. Pingback: topvideos
  33. Pingback: video
  34. Pingback: Ukrainskie-serialy
  35. Pingback: site
  36. Pingback: buy ativan uk
  37. Pingback: top
  38. Pingback: Colospa
  39. Pingback: cialis dose
  40. Pingback: canada viagra
  41. Pingback: cialis 10mg
  42. Pingback: womens viagra
  43. Pingback: viagra walmart
  44. Pingback: chelovek-iz-90-h
  45. Pingback: podolsk-region.ru
  46. Pingback: bender na4alo 2021
  47. Pingback: blogery_i_dorogi
  48. Pingback: chernaya vodova
  49. Pingback: 66181
  50. Pingback: Porno
  51. Pingback: vechernyy urgant
  52. Pingback: ukraine
  53. Pingback: A3ixW7AS
  54. Pingback: link
  55. Pingback: KremlinTeam
  56. Pingback: medunitsa.ru
  57. Pingback: kremlin-team.ru
  58. Pingback: psychophysics.ru
  59. Pingback: yesmail.ru
  60. Pingback: Suicide Squad 2
  61. Pingback: psiholog
Dodaj komentarz

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *

You May Also Like

Polityka bezpieczeństwa – wykaz budynków, pomieszczeń

Podziel się

Dzisiaj krótka i łatwa kontynuacja budowania naszej polityki bezpieczeństwa. Mamy zidentyfikowane zbiory danych, przypisane osoby oraz pomieszczenia w których te osoby się znajdują. Teraz, żeby wszystko było w porządku spróbujmy wyłuskać pomieszczenia z poprzedniego przykładu. Czyli np.:

recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1 .

Zastanówmy się czy to z pewnością wszystkie miejsca? Ułatwi to poniższa tabelka do której dla porządku dopiszmy sobie jeszcze oprogramowanie w których są przetwarzane dane osobowe.

1. Wykaz pomieszczeń, w których przetwarzane są dane osobowe (wskazanie konkretnych nr pomieszczeń) recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1
2. Wykaz pomieszczeń, w których znajdują się komputery stanowiące element systemu informatycznego recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1, pomieszczenie informatyka
3. Wykaz pomieszczeń, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1, serwerownia, archiwum, pomieszczenie informatyka
4. Wykaz pomieszczeń, w których składowane są uszkodzone komputerowe nośniki danych (taśmy, dyski, płyty CD, dyski przenośne, uszkodzone komputery) recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1, serwerownia, archiwum, pomieszczenie informatyka
5. Wykaz pomieszczeń archiwum pokój nr 6
6. Wykaz programów, w których przetwarzane są dane osobowe Symfonia, Płatnik, PSS

 

7. Wykaz podmiotów zewnętrznych, które mają dostęp do danych osobowych lub je przetwarzają na podstawie podpisanych umów (np. informatyk) – nazwa firmy, imię, nazwisko, adres, funkcja. Firma “Usługi IT” Michał Zieliński

ul. Długa 80, Warszawa

osoby: Michał Zieliński, Łukasz Madejski – informatycy


Usługi księgowe Bożena Słomiana

ul. Niska 100, Skierniewice

osoby: Bożena Słomiana

 

 

 

 

 

To bardziej szczegółowe zestawienie. Tutaj nie do końca interesują nas przetwarzane zbiory danych. Może być tak, że na przykład w danym pomieszczeniu nie są dane zbiory przetwarzane ale mimo wszystko jest tam dostęp (czy to fizyczny czy poprzez system IT) do danych osobowych i medycznych. Na komentarz zasługuje z pewnością punkt 3 w tabeli. Chodzi tutaj o np. szafy z dokumentacją papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe. W pkt. 6 nie mamy pomieszczeń tylko oprogramowanie. To także ważne, żeby wiedzieć i mieć świadomość w jakich aplikacjach wrażliwe dane są przetwarzane – chociażby w kontekście zabezpieczeń tych systemów. Uzupełnieniem tego spojrzenia jest wykaz podmiotów zewnętrznych, które czy to w naszej placówce (np. informatyk) czy na zewnątrz (np. biuro księgowe) przetwarzają dane naszych pracowników czy pacjentów.

Ostatnio na jednej z konferencji spotkałem się z prawniczą opinią, że zgodnie z nowymi przepisami RODO posiadanie polityki bezpieczeństwa nie jest konieczne (a do tej pory trzeba było ją mieć jakby ktoś nie wiedział :)) Moim zdaniem nie zmienia to faktu, że jest to dokument niezbędny do uporządkowania miejsc i zasad przetwarzania danych a także ujednolicenia na poziomie firmy poziomów zabezpieczeń i odpowiednich procedur (np. szkolenia pracowników). Powiem inaczej – 100% rzeczy, które powinny znajdować się w Polityce Bezpieczeństwa RODO wymaga. Dlatego przedstawiona opinia mnie poruszyła bo jest to niepotrzebne “zamydlanie oczu” i kolejna komplikacja dla osób odpowiedzialnych za porządek w placówce.

Biorąc pod uwagę powyższe z uporem maniaka będę przedstawiał kolejne aspekty, które taki dokument powinien zawierać.

Konsultacje społeczne projektu przepisów wdrażających ogólne rozporządzenie o ochronie danych (RODO)

Podziel się

Oczywiście musimy trzymać się wytycznych ogólnych na poziomie europejskim jeżeli chodzi o nowe zasady przetwarzania danych osobowych ale różne uwarunkowania wewnętrzne wymuszają na nas dostosowanie przepisów szczególnych pod nasze – specyficzne i wyjątkowe warunki i potrzeby. To akurat dobrze, bo jak dobrze wiemy niektórych przepisów w ogóle nie mamy 🙂 W związku z tym Ministerstwo Cyfryzacji ogłosiło kolejny już etap konsultacji społecznych dotyczących projektu ustawy  “Przepisy wprowadzające ustawę o ochronie danych osobowych oraz projektu ustawy o ochronie danych osobowych”.

Bardzo ważnymi obszarami w projektowanym dokumencie są rzeczy, których na naszym poziomie brak lub takie, które nie są jasno sprecyzowane. Często i wielu branżach – także w służbie zdrowia. Powoduje to ograniczenia możliwości w cyfryzacji systemów. Mam tutaj na myśli między innymi wymóg pisemności, który ma zostać zastąpiony tzw. wymogiem zgody wyraźnej. Dodatkowo projektowane przepisy po raz pierwszy określały będą również zasady przetwarzania danych biometrycznych czyli np. linii papilarnych, wizerunek twarzy, ton głosu czy tęczówka oka.

Konsultacje są otwarte zatem warto zabrać głos – ja z pewnością tak zrobię. Myślę, że jest to też dobra okazja na wyjaśnienie wątpliwości na około nowych przepisów. W razie potrzeby można pisać na adres konsultacyjny Konsultacje.odo@mc.gov.pl . Możliwe jest to do 13 października 2017. Gdyby ktoś miał jakieś pytania ja służę pomocą. Adres e-mail dostępny jest w zakładce O mnie.

Oficjalne info dostępne jest tutaj: https://mc.gov.pl/konsultacje/konsultacje-spoleczne-projektu-przepisow-wdrazajacych-ogolne-rozporzadzenie-o-ochronie

Elektroniczne zwolnienia lekarskie – nowa metoda autoryzacji

Podziel się

ZUS nie próżnuje. Miesiąc temu udostępnił swój kanał autoryzacji do portalu umożliwiającego wystawianie lekarzom elektronicznych zwolnień lekarskich. Warto przypomnieć, że od 1 lipca 2018 roku  lekarze mają wystawiać zwolnienia tylko w formie elektronicznej. Biorąc pod uwagę to, że wielu lekarzy (chociażby w praktykach lekarskich) nie ma komputera, nie mówiąc już o systemie do elektronicznej dokumentacji jest to pewnie jakieś ułatwienie. Jedyne co trzeba zrobić to założyć sobie konto. Oficjalna instrukcja dostępna jest na YouTube . Sprawa jest prosta, podobnie jak w przypadku ePUAPu trzeba się pofatygować do urzędu. Po utworzeniu i weryfikacji konta generujemy sobie ważny 5 lat certyfikat, który zabezpieczamy hasłem i możemy go wykorzystywać do podpisywania zwolnień generowanych na portalu ZUS lub w aplikacji, której używamy w placówce (szczegóły tutaj).

Jakby ktoś nie wiedział (jest to niewykluczone biorąc pod uwagę, że w roku 2017 tylko około 3% zwolnień było wystawionych w formie elektronicznej) w skrócie obieg dokumentu wygląda tak, że lekarz przekazuje zaświadczenie lekarskie e-ZLA (po jego podpisaniu z wykorzystaniem certyfikatu z ZUS, kwalifikowanego certyfikatu lub profilu zaufanego ePUAP) elektronicznie do ZUS. ZUS udostępnia e-ZLA płatnikowi składek (np. pracodawcy) na jego profilu na PUE ZUS nie później niż w dniu następującym po dniu otrzymania e-ZLA (bez podawania numeru statystycznego choroby). Informacja ta jest przekazywana także ubezpieczonemu (m.in. pracownikowi) posiadającemu profil ubezpieczonego/świadczeniobiorcy na PUE ZUS. W przypadku gdy pracodawca nie posiada konta PUE ZUS niezbędne jest wydrukowanie zwolnienia dla pacjenta.

Dostawcy oprogramowania oczywiście udostępniają możliwość wystawiania zwolnień z poziomu swojego oprogramowywania (przynajmniej mają taką możliwość – szczegóły znajdują się tutaj).

Platforma daje także możliwość “elektronizacji” zwolnienia (nie lubię tego określenia) czyli wygenerowania sobie do druku formularzy zwolnień in blanco, żeby móc je wypisać np. w terenie gdzie nie ma Internetu. Dokumenty te można później uzupełnić na platformie ZUS.

Wszystkie filmy instruktażowe dotyczące “obsługi” elektronicznych zwolnień można znaleźć tutaj:

Generalnie kierunek myślenia jest dobry. Małymi kroczkami (zwolnienia, recepty) trzeba iść do przodu. Nie wiem czy akurat mnogość opcji autoryzacji jest dobrym pomysłem, chyba nie. W każdym razie trzeba zwrócić uwagę na jeden, najważniejszy w tym momencie fakt. Wszystkie te czynności, oczywiście potrzebne i wymagane, dostarczą dużo dodatkowej pracy lekarzom. Dla wprawnego “komputerowca” będzie to chwila ale rzesza środowiska nie jest aż tak “za pan brat” z technikaliami. To trochę błędne koło, bo teoretycznie systemy EDM mają te rzeczy automatyzować swoimi mechanizmami ale z drugiej strony jak ktoś ich (jeszcze?) nie używa to pewnie pójdzie ścieżką korzystania chociażby z portalu ZUS. Trochę się boję, że to wszystko będzie odbywało się kosztem czasu poświęcanego pacjentom. Jaki jest na to ratunek? Jeden – równoczesne prace nad automatyzacją pracy tych systemów. Tak aby lekarze poświęcali jak najmniej czasu ale jednocześnie robili także w tej materii to, co jest niezbędne. Niemożliwe? Oczywiście, że możliwe. Wzorców w innych krajach jest mnóstwo. Nic, tylko korzystać!

Widzę w tym wszystkim także jeszcze jeden problem. Mianowicie wszystkie te systemy cały czas nie są nastawione na bycie pro-pacjenckimi. Po co te zwolnienia? W dużej mierze po to, żeby była po prostu kontrola nad ich zasadnością itp. Pewnie to także jest potrzebne ale widzę trochę zatracenie w tym. Bo te wszystkie mechanizmy powinny służyć też pacjentom. A tutaj pacjent będzie miał z tego tyle, że nie będzie brał odpowiedzialności za niedostarczenie zwolnienia, którego dostarczanie przez niego jest przecież ogromnym absurdem..

Read More

Znów dane medyczne udostępnione publicznie czyli kolejny “wyciek”

Podziel się

“Setki zrzutów ekranu i dokumentów z danymi osobowymi i medycznymi pacjentów oraz dane finansowe dziesiątek szpitali, w tym dane dostępowe do różnych systemów informatycznych oraz dane osobowe pracowników szpitali — takie informacje znajdowały się w publicznie dostępnym katalogu systemu stosowanego do obsługi placówek opieki zdrowotnej, obsługiwanego przez firmę Konsultant IT. Pobrać je mógł każdy. Ilość ujawnionych danych jest znaczna i może dotyczyć wielu szpitali z całej Polski, w tym szpitali psychiatrycznych.” – poinformował wczoraj serwis Niebezpiecznik.pl .

Pełną treść informacji można znaleźć tutaj: https://niebezpiecznik.pl/post/dane-pacjentow-i-szpitali-wyciekly-z-helpdesku-eskulapa-szpitale-powinny-zmienic-hasla/

Generalnie, podobnie jak w przypadku “wycieku” danych ze szpitala w Kole sprawa jest trywialna pod kątem bezpieczeństwa. Na koncie FTP na którym znajduje się system helpdeskowy firmy Konsultant IT udostępniony był przynajmniej do odczytu folder w którym znajdowały się wszystkie pliki załączników ze zgłoszeń systemu helpdeskowego firmy. Wśród tych załączników były m.in. zrzuty ekranu systemu Eskulap. Zrzuty zawierające między innymi dane osobowe pacjentów, rozpoznania chorób itp. Oprócz tego można tam było znaleźć dane finansowe w plikach Excel. Wśród tych plików były także dane osobowe pacjentów. Dodatkowo udostępniono dane dostępowe VPN do szpitali, pliki SQL.

Firma Konsultant IT wydała w tej sprawie oświadczenie, w którym poinformowano, że:

“System helpdesk zainstalowany jest na zewnętrznym serwerze, stworzyła go dla nas i realizuje nadzór autorski Firma DIMIMO. Do udostępnienia danych doszło na skutek błędu podczas migracji przez DIMIMO helpdesku, na nowy serwer. Katalog, który był zabezpieczony w oparciu o plik .htaccess został przeniesiony na serwer, na którym konfiguracja serwera www nie dopuszczała zmian w oparciu o ten plik. W ten sposób zabezpieczenie zostało zniwelowane. Po migracji zweryfikowano wiele zabezpieczeń, niestety prawdopodobnie z powodu rutyny popełniono błąd.”

Idąc za ciosem postanowiłem napisać maila do firmy Konsultant IT z pytaniami, które mnie nurtują:

Szanowni Państwo,
Zaniepokojony informacjami o umieszczeniu do publicznej wiadomości danych medycznych i osobowych w używanym przez Państwa systemie helpdeskowym, biorąc pod uwagę, że oprócz tego, że zawodowo zajmuję się ochroną danych osobowych i medycznych w systemach IT jestem także pacjentem kilku ośrodków w Polsce proszę o odpowiedzi na poniższe pytania ponieważ istnieje prawdopodobieństwo, że niepowołane osoby otrzymały dostęp m.in. do danych moich lub mojej rodziny na co kategorycznie nie wyrażałem zgody.

  1. Czy dla potrzeb świadczenia usług wsparcia użytkowników, biorąc pod uwagę, że jak mniemam mają Państwo dostęp do systemów zawierających dane osobowe i medyczne przetwarzane przez klienta, podpisywali Państwo ze współpracującymi szpitalami umowy powierzenia danych osobowych?
  2. Czy posiadają Państwo politykę bezpieczeństwa i instrukcję zarządzania systemami informatycznymi?
  3. Czy podpisują Państwo ze swoimi pracownikami jakiekolwiek klauzule poufności odnośnie danych przetwarzanych przez nich podczas świadczenia usług?
  4. Poproszę listę Państwa klientów korzystających z systemu helpdeskowego w woj. łodzkim i mazowieckim ponieważ tam korzystam usług ośrodków. Chcę wiedzieć czy szpitale, które przetwarzają moje dane stosują praktyki robienia zrzutów ekranu z danymi wrażliwymi do tego typu systemów jak Państwa helpdesk.
  5. Czy biorąc pod uwagę, że system helpdeskowy tworzyła dla Państwa firma zewnętrzna i jak się domyślam świadczyła usługi wsparcia mieli Państwo z nimi podpisaną przynajmniej umowę o powierzenie danych osobowych? Czy Państwa klienci wiedzieli o tym, że dane udostępniane są jeszcze komuś?

Proszę o pilne odniesienie się do zadanych pytań i potraktowanie sprawy poważnie. Przykro mi, że padło akurat na Państa ale w obliczu RODO temat ochrony tego typu danych jest szczególnie ważny i tego typu sytuacje pokazują jak wiele jeszcze jest w tym zakresie do zrobienia. Także w świadomości użytkowników i usługodawców..

Czekam na odpowiedź.

Zbierając to wszystko nasuwa mi się tylko jedno. Po raz kolejny przerażające jest jak wielka jest niewiedza i nieświadomość wszystkich osób zaangażowanych w tą sytuację.

Po pierwsze użytkowników systemów, co bardziej bolesne podejrzewam, że często także działów IT szpitali. Jak można załączać do systemu helpdeskowego takie dane? Zrozumiałe jest, że w pracy pewne rzeczy robi się na szybko, że problemy muszą być skutecznie rozwiązywane ale kompletnie nie jest to usprawiedliwieniem tego typu działań. Robienie zrzutów z hasłami dostępowymi do VPN itp. pozostawię bez komentarza.

Niestety w tej całej sytuacji nieprofesjonalna jest też postawa firmy udzielającej wsparcia a tłumaczenie się, że system ten robiła firma zewnętrzna jest śmieszne. Poza wszystkim już to właśnie oni powinni zwrócić uwagę swoim klientom na to, że takich rzeczy się robić nie powinno..

Dopóki nie zbudujemy we wszystkich na około świadomości i potrzeby bezpiecznego przetwarzania tego typu danych wszystkie konferencje odnośnie RODO, prawnicze wykłady na ten temat lub nawet próby egzekwowania nie dadzą żadnego efektu. Trzeba zacząć od zupełnych podstaw.

W jaki sposób uruchomić darmowy system wideokonferencyjny w placówce medycznej? część 2

Podziel się

W poprzedniej części przygotowaliśmy do pracy nasz system. Na zdefiniowanego dla swojego konta maila w poprzedniej części dostaliśmy pełną informację o swoim koncie i dostępach zarówno do konsoli zarządzania jak i do Webclienta – przeglądowej aplikacji, dzięki której możemy korzystać między innymi z wideokonferencji. Na tym się skupmy, przedtem jednak pokaże szybko w jaki sposób utworzyć nowego użytkownika z poziomu konsoli administratora – w przypadku, gdyby trzeba było to zrobić dla któregoś z lekarzy w naszej placówce, który zechce konsultować zdalnie z innym specjalistom lub gdybyśmy chcieli przygotować konto dla pacjenta. Nie jest to jednak konieczne – aby pacjent mógł korzystać z wideo konsultacji wystarczy wysłać mu unikalny link stworzonej wideokonferencji. Ale zacznijmy od początku.

Stworzenie nowego usera (extension) odbywa się z poziomu administratora i sprowadza się do wejścia w zakładkę Extension oraz klikniecie przycisku Add. Następnie podajemy dane nowego użytkownika – na potrzeby wideokonferencji wystarczy wpisać First name i Email address aby użytkownik mógł otrzymać informację o swoich danych logowania. Extension number jest generowany automatycznie. Na marginesie – to numer wewnętrzny użytkownika w “sieci telefonicznej”. Utwórzmy użytkownika CSK Kardiologia, później nam się przyda.

Jeżeli chodzi o wideokonferencje to w konsoli administracyjnej mamy też możliwości zmiany standardowej konfiguracji. Niektóre z tych opcji można zmienić na etapie tworzenia samego Webmeetingu. Ważnym aspektem przy tych parametrach jest Lokalizacja spotkania oraz Pasmo wideo. Ten pierwszy to wskazanie odpowiedniego serwera 3cx, który będzie odpowiadał za nasze spotkanie – tutaj z doświadczenia jeżeli jesteśmy w Polsce najlepiej wybrać Węgry lub Niemcy. Kolejny parametr to maksymalne pasmo wykorzystywane przez klientów i serwer podczas konferencji. W przypadku protokołu WebRTC używanego przez nasze rozwiązanie pasmo to jest zbliżone do podanej tutaj wartości, zatem trzeba pamiętać, że w przypadku połączenia większej ilości użytkowników oraz niestabilnego połączenia internetowego w niektórych przypadkach może się pojawić opóźnienie w dostarczaniu obrazu. Wtedy z reguły należy ten parametr po prostu zmniejszyć.

(opcje te są dostępne także z poziomu tworzenia przez użytkownika wideokonferencji – przy ustawieniach dostępnych obok opcji Profil webmeeting)

W ustawieniach tych możemy także zmodyfikować szablony wiadomości mailowych dla użytkowników zaplanowanych spotkań. Standardowo każdy użytkownik jest informowany mailowo po stworzeniu Webmeetingu oraz 30 minut przed jego rozpoczęciem. W przypadku anulowania spotkania także wysyłany jest mail.

Więcej wiedzy nie potrzebujemy. Przejdźmy teraz na nasze konto zwykłego użytkownika systemu logując się na link podany w mailu. Ma on postać: https://nasza-nazwa.3cx.pl:5001/webclient/ lub podobną.

Omówmy najpierw proponowaną logikę, bo dużo od tego zależy. Ja standardowo proponuję następującą realizację 3 scenariuszy:

  • telekonsultacja z lekarzem specjalistą z innej placówki – w tym przypadku zakładam (chociaż nie jest to konieczne), że nasza placówka (niech będzie to POZ) współpracuje z konkretnymi specjalistami w konkretnym ośrodku. W takim przypadku z pewnością potrzebne jest ustalanie z wyprzedzeniem terminów konsultacji poszczególnych przypadków. W 3cx możemy takie konsultacje zaplanować. W jaki sposób? Oczywiście za pomocą zakładki Zaplanuj konferencję. Wybieramy typ konferencji Wideo oraz czy ma się rozpocząć natychmiast czy Później. Nasza jest planowana, zatem wybieramy Później. Jeżeli wybierzemy później to podajemy dane rozpoczęcia oraz czas trwania. Do tego nazwę spotkania oraz ewentualny opis spotkania. Profil – Webmeeting. W zakładce kalendarz natomiast mamy do wyboru w jaki sposób poinformować zainteresowanych oraz gdzie w swoich zasobach zapisac info o spotkaniu. Mamy tutaj do wyboru Kalendarze Google, Office365, Outlook Online lub ewentualnie plik iCal (do zaimportowania do Outlooka zainstalowanego na komputerze). Możemy też po prostu podać użytkowników (utworzonych w systemie) lub adresy mail zewnętrznych, którzy ewentualnie mają w spotkaniu uczestniczyć. W omawianym przypadku wybieramy 3cx (direct email) i wybieramy stworzonego wcześniej użytkownika – nasz ośrodek konsultacyjny.

Po potwierdzeniu nasze spotkanie zostanie dodane do listy zaplanowanych. W razie potrzeby mamy dostępny bezpośredni link do niego, możemy dodać innych użytkowników i wykonywać inne podstawowe operacje.

Ten rodzaj konfiguracji może zostać także wykorzystany z powodzeniem dla wielodziałowych placówek w celu organizowania zebrań czy innego rodzaju wewnętrznych spotkań.

  • konsultacje lekarz-pacjent – w tym scenariuszu przyjmujemy, że jest to konsultacje jednorazowa – pacjent zatem nie musi mieć utworzonego konta w naszym systemie. Będzie on otrzymywał jednorazowy spersonalizowany link, który będzie unikalny w obrębie konsultacji. Można sobie wyobrazić także, że ma – może się to przydać chociażby w koordynacji jego opieki w przypadku cyklicznych zdalnych konsultacji, jednakże wtedy wygląda to dokładnie jak w przypadku powyżej i nie wymaga omówienia. W tym momencie zakładamy, że konto w systemie ma nasz lekarz i pacjent umówił konsultacje (czy to telefonicznie, czy przez stronę www czy osobiście). Musimy wtedy podać jego mail, tak aby dotarł do niego link oraz umówiony termin i aby otrzymał przed nim przypomnienie. W tym przypadku postępujemy podobnie jak powyżej, natomiast zamiast użytkownika naszego systemu podajemy maila pacjenta. Od tej pory wizyta jest umówiona.
  • szkolenia personelu, edukacja pacjentów – w tym przypadku mogą nam się przydać funkcjonalności typu tworzenie ankiet podczas wideokonferencji, udzielanie głosu osobą, które chcą go zabrać lub w ekstremalnych przypadkach wyrzucanie niepokornych użytkowników. W takim przypadku wybieramy jako profil spotkania – Webinar (classroom). Możemy jak w poprzednich przypadkach podać po prostu maile użytkowników ale możemy także skorzystać z zewnętrznego systemu – np. kalendarza Google z którego korzystamy w placówce do organizacji niektórych spraw operacyjnych (tak, jest to zgodne z RODO a do tego też darmowe). W takim przypadku w naszym terminarzu mamy już taką konferencję uwzględnioną.

Warto zaznaczyć, że wideokonferencje możemy organizować na dowolnym urządzeniu. Wymagana jest przeglądarka Chrome lub Firefox. W przypadku gdy korzystamy z Androida lub iOS musimy ściągnąć aplikację i też działa. Tak elastyczna forma pozwoli z pewnością na pełne wykorzystanie chociaż oczywiście dobrą praktyką byłoby zorganizowanie sobie w placówce chociażby jednego stanowiska skonfigurowanego pod nasze wideokonferencje – komputera PC wraz z zestawem wideokonferencyjnym. Po to, żeby nie rozwiązywać na cito problemów technicznych tylko zawsze być gotowym do wideo konsultacji.

W kolejnej części w końcu będziemy z nich korzystać i omawiać poszczególne funkcjonalności, które mogą przydać się podczas omówionych wyżej przykładowych spotkań.

Read More

Chmura w praktyce – część 1 – VPN

Podziel się

Na wstępnie chciałbym zaznaczyć, że żaden z moich wpisów nie jest wpisem sponsorowanym. Mam zamiar pokazywać tutaj różne produkty, ich wady i zalety. Nie będę ukrywał, że najczęściej będą to produkty, które sam wdrażam klientom – ale to chyba dobrze, bo na ich temat mam większą wiedzę. Mnogość rozwiązań w każdym temacie zmusza do skupienia się na czymś bo inaczej nie będę w stanie nic konkretnego pokazać. Przygodę z chmurą publiczną chciałbym zatem rozpocząć od rozwiązania Microsoftu – Azure. Dlaczego? Bo sam ją teraz testuje. W miarę wolnego czasu chętnie skupię się na innych rozwiązaniach, mogę też pokusić się o porównanie. W tym momencie jednak moim celem jest pokazanie na przykładzie tego, w jaki sposób usługi chmurowe mogą przyczynić się do usprawnienia pracy i zwiększenia bezpieczeństwa danych w placówce medycznej. Zaczynajmy zatem swoją przygodę z chmurą!

We wpisie “Co to jest chmura i czy może nam się przydać?” opowiedziałem (nic odkrywczego) o rodzajach chmury i sposobach jej wykorzystania. Zakładajmy zatem szybko konto i logujmy się do swojej chmury aby zobaczyć jak to wygląda w praktyce. Microsoft daje nam 170 euro i 30 dni na zabawę. Po tym czasie możemy korzystać z zasobów darmowych przez kolejny rok. W szczególnych przypadkach z pomocą resselera (np. mnie) można bez problemu testową usługę przedłużyć. Albo założyć nowe konto testowe 😉 Z minusów – w celach aktywacyjnych trzeba podać dane swojej karty kredytowej. Też się krzywiłem ale spokojnie, nic bez naszej wiedzy z konta nie ma prawa zostać zabrane i tak się nie stanie.

Pierwsze logowanie

Żeby zalogować się do usługi musimy  mieć swoje konto w MS. Wejdźmy najpierw na stronę https://azure.microsoft.com/pl-pl/free/ (tutaj można przeczytać więcej info o możliwościach testów) a następnie “Rozpocznij bezpłatnie”. Zostaniemy przekierowani na stronę logowania MS i jeżeli mamy konto wystarczy się zalogować. Jeżeli nie – musimy przejść do rejestracji nowego konta.

Możemy wybrać dwie metody weryfikacji konta – albo telefonicznie albo mailowo. Na wybrane medium przyjdzie nam hasło, które będziemy musieli wpisać potwierdzając, że to nasze. Później jeszcze tylko captcha (przepisanie tekstu z obrazka) i wypełnienie formularzy z danymi:

Na tym etapie musimy podać numer telefonu a następnie wybrać rodzaj weryfikacji (sms lub telefon):

Później zostają już (tylko) dane karty:

zatwierdzenie umowy licencyjnej i jesteśmy w domu.

Następnie po przekierowaniu, lub po wejściu na stronę https://portal.azure.com jesteśmy po raz pierwszy w swoich zasobach chmurowych. Oczom naszym ukaże się dashboard:

Proponuję poklikać tutaj z 10 minut i wiele rzeczy stanie się jasne. Możliwości dopasowania do swoich potrzeb są ogromne – zarówno pod kątem wyglądu jak i elementów wyświetlanych. W miarę dodawania nowych usług nasza strona główna będzie ewoluowała – musimy się po prostu tego nauczyć. Praca tutaj jest w miarę intuicyjna i przyjemna. Jak czegoś nie wiemy – Google wie wszystko a MS dokumentację ma.

Jak widzicie przeklikanie wszystkich usług graniczy z cudem. Tyle tego jest a do tego cały czas dodawane są kolejne. Warto też zaznaczyć, że w Azure nie są dostepne usługi Office365 – czyli popularnego pakietu do tworzenia i zarządzania dokumentami w chmurze. To odrębny i wbrew pozorom również bardzo rozbudowany temat.

Tworzenie VPN Point-to-Site do chmury

Długo zastanawiałem się od czego zacząć. Zdecydowałem, że zacznę od końca. Utworzymy sobie (jeden z wielu możliwych do utworzenia) szyfrowany kanał komunikacji pojedynczej stacji roboczej (czy serwera, to bez znaczenia) do naszej instancji chmurowej a konkretniej – do jednej z nowo utworzonych sieci wirtualnych. W tej sieci na dalszym etapie będziemy mogli tworzyć sobie maszyny wirtualne czy inne usługi do których będziemy chcieli mieć dostęp z poziomu komputerów w placówce. Jeżeli chodzi o pytania dotyczące bezpieczeństwa (bezpieczeństwo to raz a RODO dwa :)) to już  odpowiadam. Połączenia w tym modelu są szyfrowane na dwa sposoby:

  • Secure Socket Tunelling Protocol (SSTP) – używany głównie w systemach Windows protokół przenoszący ramki PPP (te, które odpowiadają za komunikację w modelu Point-to-Point i w naszym przypadku za Point-to-Site) poprzez bezpieczny kanał szyfrowania Transport Layer Security (TLS) i jego poprzednika – Secure Socket Layer (SSL)
  • Internet Key Exchange version 2 (IKEv2) – protokół transmisji danych poprzez protokół IpSec.

Opis działania tych protokołów jest tutaj zbędny. Proponuję po prostu przyjąć, że połączenie to jest bezpieczne na nasze potrzeby. W przypadkach szczególnych trzeba sytuację analizować i dopasowywać do szczególnych potrzeb a tutaj pole do popisu jest.

Aktualnie możliwe jest połączenie z następujących systemów operacyjnych:

  • Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64-bit only)
  • Windows 8 (32-bit and 64-bit)
  • Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (64-bit only)
  • Windows 10
  • OSX version 10.11 for Mac (El Capitan)
  • macOS version 10.12 for Mac (Sierra) .

Samych usług VPN Microsoft ma co najmniej kilka. Prawie każdą z konfiguracji możemy zrobić na różne sposoby (np. wyklikując lub korzystając z linii komend PowerShella). Więcej o tych sposobach a także o możliwościach konkretnych modeli a także o tym jak dany model połączenia skonfigurować można przeczytać tutaj: https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-plan-design . Jeżeli chodzi natomiast o pełną konfigurację tego co przestawiłem poniżej to wersję oficjalną na której bardzo mocno bazowałem znajdziecie pod tym adresem .

Dodawanie sieci wirtualnej i bramy dla VPN

Wejdźmy na Marketplace i wpiszmy “Virtual Network”. Zaznaczmy żądaną opcję , “deployment model” wybierzmy “Resource Manager”.

Wypełnijmy pola formularza w następujący sposób (subscription mamy do wyboru tylko Free Trial):

Czyli tworzymy wirtualną sieć o nazwie VNet1 (192.168.0.0 – 192.168.255.255) z podsiecią FrontEnd dla naszej infrastruktury (192.168.1.0 – 192.168.1.255). Następnie musimy stworzyć w naszej sieci wirtualnej  podsieć dla bramy domyślnej – klikjijmy na +Gateway subnet dla naszej podsieci. w ustawieniach sieci:

i podajmy jakąś wolną podsieć z zakresu naszej sieci. Niech to będzie 192.168.200.0/24:

Teraz stwórzmy wirtualną bramę dla swojej usługi. W znanym już menu +New wpiszmy “Virtual network gateway”. Uzupełnijmy pola wybierając i wpisując następujące ustawienia (subscription to oczywiście Free Trial):

W tym miejscu musimy się chociaż na chwilę zatrzymać. Jeżeli chodzi o Gateway type  to jak się domyślamy rodzaje bram. Te rodzaje różnią się od siebie (w skrócie) gwarantowanym transferem oraz ilościom kanałów, które można utworzyć a co za tym idzie ceną. Więcej informacji na temat cen i sposobów rozliczania dostępne jest tutaj . Jeżeli chodzi o standardowe wykorzystanie naszego VPNa – do połączeń dla użytkowników wybieramy po prostu VPN i odpowiedni typ i SKU (który mówi o cenie, transferze oraz ilości tuneli). W przypadku gdybyśmy potrzebowali większego transferu – na przykład chcąc robić migrację większej ilości danych przez narzędzie, lub jakieś mechanizmy backupu itp. ExpressRoute pozwala korzystać z bardziej zaawansowanych protokołów WAN niż zwykły Internet (np. MPLS) i osiągać transery do 10 Gbps. To już kwestia indywidualnych potrzeb, w każdym razie warto zapamiętać, że w przypadku gdy ktoś nie ma pewności czy wybrać chmurę ze względu  na potrzebę zapewniania stabilności i szybkości transferu to nie ma się o co martwić. Zawsze zrobi się tak, jak będzie trzeba . Więcej info o samym ExpressRoute znajdziecie tutaj .

Idąc dalej w konfiguracji wybierzmy naszą wirtualną sieć oraz kliknijmy w Create public IP adress i tam wybierzmy ustawienia Basic:

Następnie dajemy Create i rozpoczyna się proces tworzenia naszej bramy VPN.

Certyfikaty

Już sporo za nami – mamy utworzoną podsieć dla naszego środowiska z którym będziemy chcieli się łączyć, utworzyliśmy dla niego bramę domyślną. Teraz musimy zająć się certyfikatami. To zadanie musimy wykonać w dwóch etapach – po pierwsze wygenerować nasz główny certyfikat, który będzie miał za zadanie pilnować od strony platformy Azure naszych połączeń a następnie wygenerować certyfikat/certyfikaty dla klientów.

Zadania te możemy wykonać na dwa sposoby. Albo na jakimkolwiek PC z systemem operacyjnym Windows 10 (w przypadku gdy takowego nie mamy możemy na tą potrzebę utworzyć sobie na naszym koncie wirtualną maszynę na naszym Azure – ja tak zrobiłem) lub skorzystać z narzędzia MakeCert.

Jeżeli chodzi o bezpieczeństwo to nasze certyfikaty są oparte o algorytm hashujący sha256 a klucze zaszyfrowane są w schemacie Base64. Certyfikaty zapisane są w standardzie X.509 .

Procedura generowania została krok po kroku opisana tutaj i nie ma sensu jej powielać. W przypadku gdyby ktoś miał jakieś konkretne pytania zapraszam do ich zadawania. Jeżeli przejdziecie krok po kroku procedurę wszystko się uda.

Dokończenie konfiguracji na bramie domyślnej

Mając certyfikat główny możemy do dodać do konfiguracji naszej bramy.  W tym celu przechodzimy do jej konfiguracji – do zakładki Point-to-site Configuration:

Tam po pierwsze wpisujemy adres puli prywatnej dla bramy (adresy z tej puli będą dostawać komputery klientów i z tej sieci będzie routing do naszej sieci wirtualnej):

Następnie wybierzmy typy tuneli (opisane wcześniej) oraz nasz authentication type:

i kopiując nasz wygenerowany wcześniej root cert ze zwykłego notatnika:

nadajmy mu nazwę Rootcert1 i wklejmy go do konfiguracji bramy:

Instalacja certyfikatów u klientów

Teraz wystarczy wygenerowane wcześniej certyfikaty zainstalować u klientów. Dla Windows i Mac procedura opisana jest tutaj . Jest to dodawanie certyfikatów standardowe dla wszystkich usług i pewnie nie raz tak robiliśmy. Generowanie certyfikatów (jakby ktoś przeoczył) dostępne jest tutaj w sekcji na samym dole – Export a client certificate .

Pobieranie, konfiguracja i test klienta VPN

Sprowadza się to do ściągnięcia instalki z konfiguracji bramy (Download VPN Client na górze konfiguracji). Szczegóły opisane są tutaj (wrzucam ponieważ dla iOS wygląda to troszkę inaczej niż dla Windows gdzie wystarczy ściągnąć oprogramowanie,m zainstalować i mając zainstalowany już na kliencie certyfikat po prostu się podłączyć. Ale to też jest do zrobienia.

Finalnie (w Windowsie) odpalamy naszego klienta:

i połączenie zostanie utworzone:

Na tego potwierdzenia załączam screen ze swojego połączenia z jak widać przypisanym poprawnie adresem IP z puli:

Koszty

Wcześniej wspomniałem coś o kosztach i metodach rozliczeń tej usługi. Generalnie w celu estymacji jakichkolwiek cen w Azure i zapoznania się z metodami rozliczania polecam kalkulator znajdujący się pod tym linkiem: https://azure.microsoft.com/pl-pl/pricing/calculator/ . Będę go tutaj jeszcze używał.

Dla naszej usługi sprawa kosztów przedstawia się następująco:

Microsoft Azure Estimate
Twoje szacowanie
Service type Custom name Region Description SKU Estimated Cost
VPN Gateway West Europe Typ Bramy VPN Gateway, warstwa Podstawowa sieć VPN, godz. korzystania z bramy: 160, 50 GB, typ bramy VPN Gateway na wyjściu: VPN €8,16
Virtual Network Transfer danych z regionu Europa Zachodnia do regionu Europa Zachodnia: 50 GB €0,84
Support Free level Support €0,00
Monthly Total €9,00
Annual Total €108,03

 

 

 

 

Założyłem 50 GB miesięcznego transferu wychodzącego i tyle samo przychodzącego przy 160 godzinach w miesiącu działania bramy. To 38 zł przy transferze Basic (tutaj jeszcze raz pełny cennik) – 128 połączeń, transfer 100 Mb/s. Czy to dużo czy mało? Nie mnie odpowiadać na to pytanie. To kwestia indywidualnych potrzeb – w przypadku VPN potrzeb związanych z poziomem zapewnienia bezpieczeństwa, ilości połączeń, czasu dostępności połączenia (co także przekłada się na bezpieczeństwo), transferu miesięcznego a także szybkości. Jedno jest pewne. Możliwości dopasowania każdej z usług w tym modelu, także kosztowego dopasowania, są tak ogromne, że moim zdaniem każdy znajdzie optymalny dla siebie sposób.

Podumowanie

Uff udało się. Trochę tego było, prawda? Ale udało nam się skonfigurować naszą bazową usługę dla chmury. Jest to do przeklikania, trzeba tylko poznać strukturę i zależności. Jak widać bezpieczeństwo jest tutaj priorytetem. Aby jeszcze troszkę dołożyć odnośnie naszego słynnego RODO to istnieje możliwość uruchomienia swojej infrastruktury chmurowej w dwóch lokalizacjach w Niemczech. Jest to o tyle istotne, że lokalizacje te posiadają certyfikat ISO/IEC 27018:2014 charakteryzujący się spełnianiem podwyższonych norm z zakresu ochrony danych osobowych. Więcej można przeczytać tutaj. W innym przypadku zawsze można skorzystać z Holandii czy Irlandii. W każdym razie MS w zakresie bezpieczeństwa danych i wymogów RODO udostępnił (i stale rozwija) platformę na której możemy zobaczyć bardzo rozbudowaną dokumentację potwierdzającą zgodność z normami przetwarzania danych. Można tam także zobaczyć przykłady wdrożeń a także (narazie tylko dla o365 ale już wkrótce dla Azure) platformę, dzięki której sami będziemy mogli przeprowadzić audyt swojej chmury pod kątem konkretnych zapisów z RODO. Wszystko dostępne jest tutaj ale to biorąc pod uwagę, że jest oddzielnym i bardzo złożonym tematem czeka w kolejce na liście postów do napisania na blogu.

Zachęcam do testów!

P.S. Jak ktoś chciałby konto testowe bez podawania danych karty zapraszam 😉