Systemy Unified Communication (w chmurze) dla placówek medycznych na przykładzie 3cx w środowisku Azure

Podziel się

Poniedziałek, jesienna aura. Godzina po 9 a praktycznie ciemno. Cały świat wydaje się senny, zamroczony po weekendzie. W niemalże każdego rodzaju placówce medycznej to jednak szczyt, epicentrum zamieszania – kolejka w rejestracji bo przecież w weekend wszyscy się pochorowali, telefony się urywają i nie ma nawet czasu ich odbierać. Pacjenci niezadowoleni, rejestracja zatkana. I tak przynajmniej do południa. Hmm.. a gdyby tak zautomatyzować pewne procesy związane z telefoniczną obsługą pacjenta? Gdyby tak odciążyć rejestrację oraz zwiększyć obieralność telefonów tak, żeby pacjent się aż tak bardzo nie złościł? Tyle się mówi przecież o usprawnieniach w placówkach medycznych o e-receptach i w ogóle wszystkim “e-“. Dlaczego zatem nie zrobić tego także w obsłudze głosowej? To prostsze i bardziej oczywiste niż się wydaje.

W artykule opisałem podstawy funkcjonalności systemów Unified Communication w placówkach medycznych oraz przykładową konfigurację głosowej realizacji e-recepty za pomocą narzędzia Call Flow Designer, którego bardzo często używamy przy wdrożeniach. Zapraszam!

 

“W artykule prezentujemy możliwości wykorzystania systemów unified communication do usprawnienia pracy personelu medycznego oraz procesu obsługi pacjenta. Przedstawiamy również, jak integrację tego typu systemów z rozwiązaniami chmurowymi zrealizować w praktyce.

Systemy unified communications na dobre zagościły wśród standardowych rozwiązań IT w wielu branżach. Są one pomocne nie tylko w procesie usprawniania komunikacji pomiędzy pracownikami i klientami, ale także pozwalają na automatyzację wielu zadań. Nie inaczej jest w branży medycznej, w różnego rodzaju placówkach ochrony zdrowia. W przypadku tego typu działalności mamy do czynienia z ciągłym kontaktem z pacjentem – nie tylko bezpośrednim, ale także telefonicznym, a ostatnio coraz częściej także zdalnym poprzez mechanizmy pozwalające na zdalne konsultacje.

W jakim zakresie systemy unified communication mogą usprawnić pracę personelu medycznego i procesy obsługi pacjenta, ułatwiając zarządzanie całym systemem IT w tego typu podmiotach? W jaki sposób zintegrować je z rozwiązaniami chmurowymi? Odpowiedzi na te pytanie przedstawimy na przykładzie systemu 3cx, który oferuje możliwość integracji z wieloma dostawcami usług typu cloud computing, m.in. z Microsoft Azure. Argumentem przemawiającym za wykorzystaniem tego właśnie oprogramowania jest to, że każdy z czytelników może samodzielnie sprawdzić jego funkcjonalność zupełnie za darmo, korzystając z bezpłatnego, 30-dniowego okresu próbnego na usługi Azure (z limitem kwotowym niemal 200 dolarów), oraz darmowej wersji systemu 3CX (w pierwszym roku użytkowania, w wersji Standard, do 16 jednoczesnych połączeń). Warto wiedzieć, że 3cx jest rozwiązaniem bardzo często wybieranym przez placówki medyczne, głównie ze względu na łatwość konfiguracji i wspomniane możliwości integracji.

> Definicja i sposoby wykorzystania

Jednolitą komunikację (unified communications) określa się jako proces, w którym wszystkie środki komunikacji, urządzenia i media są zintegrowane, pozwalając użytkownikom pozostawać ze sobą w kontakcie w czasie rzeczywistym bez względu na miejsce pobytu.

W środowisku takim jak szpital lub nawet mała przychodnia tego typu możliwości są bardzo przydatne zarówno z punktu widzenia pacjentów, jak i personelu. Oto lista funkcji, z których możemy skorzystać:

  • chat pomiędzy personelem – pracownicy mogą komunikować się ze sobą, korzystając z klientów na telefony komórkowe lub komputery stacjonarne, dzięki czemu komunikacja staje się szybsza i efektywniejsza;
  • komunikaty głosowe – pozwalają na znaczną oszczędność czasu personelu. Często zdarzają się sytuacje, w których pacjenci dzwonią w sprawach oczywistych, np. próbując sprawdzić godziny otwarcia placówki. Tego typu informacje można zawrzeć w komunikatach głosowych, pojawiających się np. na początku połączenia. Dodatkową zaletą tego typu rozwiązania jest brak sygnału zajętości tuż po wybraniu numeru placówki, który działa deprymującego na pacjentów;
  • kolejki dzwoniących – funkcja pozwalająca uporządkować połączenia przychodzące do placówki i przekierować je do konkretnych osób, które zajmują się zapisami do danych specjalistów czy też udzielają określonych porad;
  • IVR (Interactive voice response) – funkcja, którą można określić jako „interaktywna obsługa pacjenta”. Dzięki IVR możliwe jest „sterowanie” rozmową przez pacjenta w celu otrzymania konkretnych informacji, wywoływania konkretnych akcji lub np. uzyskania połączenia w konkretnej sprawie – do rejestracji czy do laboratorium, gdzie pacjent może sprawdzić status wyników swoich badań. Funkcja ta zyskuje na znaczeniu szczególnie w świetle projektu e-zwolnień lekarskich, które od wakacji będą jedynym sposobem przekazywania informacji o zwolnieniach, zastępując druk L-4, a także w kontekście trwającego pilotażu wdrożenia recept elektronicznych (e-recept);
  • nagrywanie i archiwizacja rozmów – dzięki tej funkcji możemy tworzyć archiwum, pozwalające na odtworzenie nagrań w przypadku wątpliwości dotyczących udzielanych informacji;
  • eliminacja nieobsłużonych połączeń – (w omawianym systemie 3CX zrealizowana np. za pomocą funkcji CallBack) – jeśli pacjent z powodu zbyt długiego oczekiwania zainicjował prośbę o oddzwonienie, otrzyma telefon zwrotny zaraz po zakończeniu rozmowy przez pierwszego wolnego konsultanta;
  • wideokonferencje – używane pomiędzy oddziałami placówek albo lekarzami różnych specjalności do omówienia danego przypadku lub też do komunikacji pomiędzy lekarzem a pacjentem. Dodając do tego możliwość załączenia dokumentów czy prezentowania treści, uzyskamy jednolitą platformę wymiany informacji;
  • raporty – dla osób zarządzających placówką to nie tylko możliwość zliczania połączeń przychodzących od pacjentów, ale również szczegółowe statystyki czasu trwania poszczególnych rozmów, nawet zapis powodów nawiązania połączenia (np. umówienie wizyty, uzyskanie informacji o dostępności danego specjalisty itp.), a także narzędzie do oceny wydajności pracy placówki medycznej.

> Tworzymy system UC

Aby poprawnie wdrożyć środowisko zintegrowane, musimy posiadać aktywną subskrypcję Azure. Pominiemy tu opis czynności koniecznych do jej założenia, gdyż proces ten jest prosty, szybki i nie wymaga komentarza. Do dalszych działań będziemy potrzebować identyfikatora aktywnej subskrypcji Azure. Aby go pobrać, przechodzimy do menu Cost Management + Billing (rys. 2.), gdzie do naszej dyspozycji dostępna jest lista subskrypcji, z której możemy skopiować interesujący nas identyfikator.

Następnie udajemy się na stronę 3cx.com, wybieramy opcję Try i wypełniamy formularz rejestracyjny.

Po poprawnym wykonaniu operacji zostaniemy przekierowani na stronę, na której znajdziemy pliki z oprogramowaniem dla różnych systemów operacyjnych, wersje klientów oraz dokumentację. Pocztą elektroniczną zostanie do nas wysłany odsyłacz weryfikujący, po kliknięciu którego otrzymujemy informację o poprawności wykonania procesu oraz o możliwych do zainicjowania akcjach. […]”

 

źródło:  Artykuł pochodzi z czasopisma „IT Professional” nr 06/2018.

(http://www.it-professional.pl/archiwum/art,8023,zunifikowana-komunikacja-w-placowkach-medycznych.html)

2 Shares:
117 comments
  1. Pingback: viagra online
  2. Pingback: viagra for sale
  3. Pingback: viagra for sale
  4. Pingback: cialis generic
  5. Pingback: buy generic viagra
  6. Pingback: dissertation title
  7. Pingback: thesis services
  8. Pingback: buy viagra
  9. Pingback: canadian cialis
  10. Pingback: pfizer viagra
  11. Pingback: online pharmacy
  12. Pingback: Hydrea
  13. Pingback: viagra
  14. Pingback: viagra on line
  15. Pingback: daily cialis
  16. Pingback: viagra erection
  17. Pingback: azithromycin 250mg
  18. Pingback: celebrex 24 hour
  19. Pingback: amoxicillin clav
  20. Pingback: lyrica celebrex
  21. Pingback: viagra canada
  22. Pingback: cheap viagra 100mg
  23. Pingback: vardenafil dosage
  24. Pingback: cheap levitra
  25. Pingback: low cost viagra
  26. Pingback: sildenafil reviews
  27. Pingback: cialis reviews
  28. Pingback: free viagra
  29. Pingback: viagra natural
  30. Pingback: sildenafil 5343
  31. Pingback: sildenafil otc us
  32. Pingback: buy cialis drug
  33. Pingback: Zakhar Berkut hd
  34. Pingback: 4569987
  35. Pingback: buy insurance
  36. Pingback: news news news
  37. Pingback: psy
  38. Pingback: psy2022
  39. Pingback: projectio-freid
Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

You May Also Like

Jak jest part II – szybka analiza przygotowania placówek do spełnienia wymagań związanych z EDM

Podziel się

Mamy harmonogram, wiemy co w zakresie podstawowym jest do zrobienia. Żeby zebrać wszystko “do kupy” należałoby jeszcze krótko powiedzieć o tym jak wygląda sytuacja w placówkach w danym momencie.  Najaktualniejsze dane mamy sprzed roku – to “BADANIE STOPNIA PRZYGOTOWANIA PODMIOTÓW WYKONUJĄCYCH DZIAŁALNOŚĆ LECZNICZĄ DO OBOWIĄZKÓW WYNIKAJĄCYCH Z USTAWY Z DNIA 28 KWIETNIA 2011 R. O SYSTEMIE INFORMACJI W OCHRONIE ZDROWIA” przeprowadzone od kwietnia do sierpnia 2017 roku przez CSIOZ.

Nie będę omawiał wszystkich (opisanych dość szczegółowo) elementów raportu. Postaram się z niego wyłuskać co najważniejsze, żeby nie zanudzać. Zainteresowanych szczegółami odsyłam do dokumentu. Jeżeli przeoczyłem coś istotnego można marudzić. 🙂

Raport został opracowany na podstawie otrzymanych 4101 ankiet – wypełnionych i pozytywnie zweryfikowanych. Ankiety były przekazywane w lipcu i sierpniu 2016. W badaniu wzięło udział ponad 18% wszystkich podmiotów, które jako główny rodzaj działalności wskazały Ambulatoryjne Świadczenia Zdrowotne, ponad 57% wszystkich szpitali (656 placówek) oraz ponad 51% całodobowych świadczeń zdrowotnych innych niż szpitale. W przypadku dwóch ostatnich zatem można mówić o tym, że wyniki zostały opublikowane na podstawie grupy reprezentatywnej. Jeżeli chodzi o AŚZ to grupa reprezentatywna jest dla zakładów (96% wszystkich AŚZ biorących udział w ankiecie). Tej grupy nie osiągnęły ani POZ-y ani  praktyki lekarskie i pielęgniarskie.

Otóż okazuje się, że prawie 60% badanych podmiotów nie posiada w ogóle żadnej strategii informatyzacji placówki w ciągu najbliższych lat. To w kontekście wpisu: http://itwmedycynie.pl/2017/08/23/jak-jest/ jest co najmniej ciekawe. Można się domyśleć, że spośród tych, którzy posiadają, większość to szpitale chociaż wcale nie jest ich tak dużo jak przynajmniej ja się spodziewałem. Tylko 48% ankietowanych szpitali.

Co chyba niestety nie dziwi – tylko 29% ankietowanych posiada własną, wyodrębnioną w strukturze jednostkę IT. Większość to oczywiście szpitale, najgorzej w tym zestawieniu wypadają AŚZ-y.

Jeżeli ktoś nie ma IT to powinien mieć jakąś zaprzyjaźnioną firmę lub wykupione usługi, które dawały by możliwość poprawnego działania. Dla mnie suma tych podmiotów, które mają IT i tych które korzystają z jakiejś formy outsourcingu powinna wynosić przynajmniej 100%. Jest jednak inaczej. Tylko 24% szpitali, ponad 18% stacjonarnych i całodobowych świadczeń innych niż szpitalne i nieco ponad 16% AŚZ-tów korzysta z tego typu usług.

Nieco większą świadomość w temacie outsourcingu usług IT wykazały te placówki, które mają wyodrębnioną komórkę IT. Ale i tak jest ich bardzo mało. Dokładając do tego jeszcze to, że ponad 60% AŚZ-ów, prawie 10% szpitali i ponad 40% stacjonarnych i całodobowych świadczeń zdrowotnych innych niż szpitalne nie posiada własnej serwerowni łatwo można dojść do wniosku, że w wielu placówkach dane medyczne są przetwarzane “na kolanie” lub na komputerze Pani Basi w recepcji. Pozwólcie, że nie będę brnął dalej jeżeli chodzi o stan istniejących serwerowni… A nadmienić jeszcze należy, że większość ankietowanych nie przeprowadziła nawet analizy finansowej związanej z koniecznością dostosowania się do norm, większość także nie ma zaplanowanych na ten cel żadnych środków finansowych. Czyżby chcieli zacząć planować gdy skończą się środki unijne? 🙂

W temacie wdrożonej polityki bezpieczeństwa teleinformatycznego CSIOZ twierdzi, że jest “nie najgorzej”. Ja twierdzę, że nie jest najlepiej 🙂 Pomimo tego, że trzeba ją mieć (http://itwmedycynie.pl/2017/08/28/elektroniczna-dokumentacja-medyczna-podstawowe-zasady-przetwarzania-obowiazujace-wszystkich/) ma ją tylko 82% szpitali, ponad 56% AŚZ-tów i 63% innych. Aż się boję jaka sytuacja jest w POZ-tach, nie myślę już o praktykach lekarskich. Z mojego doświadczenia wynika, że wszyscy twierdzą, że jakoś to będzie i nawet się tym nie przejmują i ani myślą generować sobie koszty. Błąd – bo poprawnie zaprojektowana nawet najmniejsza struktura tego typu nie jest zbędnym kosztem tylko zapewnia bezpieczeństwo i ułatwia pracę.

Jakby ktoś nie wiedział od jakiegoś czasu obowiązuje nas posiadanie e-rejestracji dla pacjenta. Stosowny dokument i wymogi (troszkę przesadzone ale jednak obowiązujące) można znaleźć tutaj. Na załączonym poniżej diagramie z raportu widać, że w tym zakresie też nie jest kolorowo:

Strasznie mi szkoda CSIOZ. Mają oni dobry dokument zawierający właściwie pigułkę tego co każdy podmiot powinien zrobić w zakresie dostosowania się do norm. Podane tam są różne ścieżki i możliwości do wyboru (będę to omawiał w kolejnych wpisach). Można z tego dokumentu wyciągnąć naprawdę wiele (pomijając fakt, że to już z trzecia jego wersja, ale jeżeli lepsza to ok). Okazuje się natomiast, że prawie 77% ankietowanych do tego dokumentu nawet nie zajrzało. A powinno ponieważ 84% ankietowanych, którzy czytali ten dokument uznało, że był on dla nich pomocny. (13,28% odpowiedziało w tym pytaniu “nie dotyczy”. Do tej pory nie wiem co to oznacza ale znaczące jest, że “nie” odpowiedziało tylko trochę ponad 1%)

Jeżeli chodzi o zastosowanie telemedycyny w zakresie swojej działalności to pomimo prężnego jej rozwoju i dużych pieniędzy wydawanych na PR 91% podmiotów nie wykorzystuje jej dobrodziejstw. Ciekawostką jest też to, że od poprzedniej ankiety (wykonywanej w 2014 roku) nic się nie zmieniło w tym zakresie.

Jaki z tego wszystkiego nasuwa się wniosek? Przecież tyle się o “e-zdrowiu” w środowisku mówi, są organizowane konferencje, prelekcje, debaty, jest tyle firm, które oferują rozwiązania.. ba! są nawet pieniądze unijne w ramach Regionalnych Programów Operacyjnych na wdrożenia. A jednak chyba cały czas największym problemem jest świadomość powagi problemu a właściwie jej brak.. ciężko jest przyjąć, że jak coś do tej pory funkcjonowało to było to źle i trzeba ponieść jakieś koszty, żeby było dobrze.. Nie pomaga też niestety to co się dzieje na szczeblu państwowym z projektami mającymi się przyczynić do poprawy stanu rzeczy. Co i rusz słychać jest o zmianach harmonogramu, zmianach treści rozporządzeń, ustaw, nieprzystosowaniu przepisów już istniejących. Słyszy się też ile wydano już na P1 pieniędzy i widać jakie są tego efekty. Mało tego, wszyscy wiemy jak ogromne są potrzeby służby zdrowia w innych obszarach i jak niektóre rzeczy są źle zorganizowane i nie funkcjonują jak należy.. Nie ma się zatem co dziwić, że ludzie nie podchodzą do sprawy poważnie skoro można odnieść wrażenie, że odgórnie następuje próba wymuszenia czegoś, czego u źródła nikt nie ogarnia. Sytuację pewnie ratuje trochę próba edukacji środowiska, szereg inicjatyw mających na celu popularyzację wiedzy w temacie bezpieczeństwa przetwarzania tak wrażliwych danych jak dane medyczne oraz PR często wielkich korporacji zajmujących się sprzedażą rozwiązań informatycznych zarówno sprzętu jak i oprogramowania. Oni jednak wiadomo – są nastawieni na zysk. Myślę, że jak w całym świecie IT można odnieść wrażenie, że dobro samego klienta na pierwszym miejscu nie jest.

Nie można jednak powiedzieć, że nie dzieje się nic – coraz więcej placówek decyduje się na pochylenie się nad wyzwaniem zwanym Elektroniczna Dokumentacja Medyczna. I dla nich z tego miejsca gratulacje! Do pozostałych trzeba po prostu dotrzeć, i tempo tego docierania trzeba jednak znacznie przyspieszyć bo w przeciwnym razie myślę, że zejdzie się nam jeszcze ze 30 lat.

CSIOZ udostępnił dokumentację integracyjną w zakresie e-skierowania

Podziel się

Dokumentację można znaleźć pod adresem https://www.csioz.gov.pl/interoperacyjnosc/interfejsy/ . Obejmuje ona:

Dokumentacja integracyjna obejmuje:

  1. Specyfikację usług
  2. Opis i strukturę dokumentu elektronicznego skierowania
  3. Reguły biznesowe
  4. Kody wyników operacji
  5. Zasady otrzymania dostępu do środowiska integracyjnego .

Obiecano także, że pod koniec czerwca pojawi się środowisko testowe dla tej funkcjonalności.

Zintegrowany Informator (Pacjenta?)

Podziel się

Witam,

dzisiejszy wpis miał dotyczyć czegoś innego, jednak o zaistniałej sytuacji warto wspomnieć.

Dawno już, bo zaraz na początku wdrożenia w 2013 roku, nosiłem się z zamiarem założenia konta w Zintegrowanym Informatorze Pacjenta dostępnym na stronie https://zip.nfz.gov.pl . Nazwa nasuwa dość dużo i brzmi zachęcająco. Wtedy jednak sobie to darowałem z braku czasu – w celu założenia konta wymagana była wizyta w oddziale NFZ (do najbliższego miałem wtedy 60 km).

Nasunęła mi się gdzieś kilka dni temu informacja o tym, że uruchomiono integrację z ePUAPem. Widać to popularne teraz (patrz chociażby poprzedni wpis o e-ZLA). To akurat dobrze.

Od uruchomienia systemu upłynęło około 5 lat można przypuszczać, że teraz to dopiero warto tam zajrzeć! Tak właśnie pomyślałem a biorąc pod uwagę, ze ePUAP mam postanowiłem to wykorzystać z premedytacją. Założyłem sobie konto na ZIP. Następnie cierpliwie czekałem około 24 godzin na synchronizację danych i w końcu  jest! I to  nawet z historią od 2008 roku.

Kilka tych usług typu “świadczenie medyczne” miałem od tego czasu jak się okazuje 🙂 Suma kosztów pokaźna jednak nie jest. Podejrzewam, że to dlatego, że tak naprawdę nie znam dokładnych kosztów większości tych usług. Co ma pacjentowi mówić koszt świadczenia “ryczałt/kapitalizacja” ?

Zakładka Deklaracje POZ potwierdziła mi, że jestem zapisany do danego lekarza (12,40 zł to koszt miesięczny). I nawet mam jakąś Panią pielęgniarkę za którą płacę 13,13 zł miesięcznie.

Jedyna jeszcze zakładka z której mógłbym skorzystać to Leki refundowane. Biorąc pod uwagę, że leczę się przewlekle cyklicznie biorę leki refundowane. Historia realizacji tych recept jest. Tyle, że kończy się na maju 2011 roku, zatem 7 lat temu. Ładnych parę razy później korzystałem z nawet tych samych leków na tych samych zasadach refundacji. Nie widzę tego jednak na swoim koncie, zatem suma refundacji także nie odpowiada wartości faktycznej. Z innych zakładek nie korzystałem bo brak tam moich danych. Co jest zgodne ze stanem faktycznym. Są to Uzdrowiska, Kolejki oczekujących, Zaopatrzenie ortopedyczne, Endoprotezo-plastyka.

W systemie możemy też odnaleźć ostatnie zarejestrowane składki w ZUS (zdrowotne jak rozumiem). Tutaj sytuacja się zgadza jednakże integracja odbywa się chyba rzadko – ostatnia zarejestrowana składka jest z listopada 2017.

W temacie integracji jeszcze – 9.01.2018 byłem na wizycie u lekarza POZ. Informacji o tym w systemie nie ma do tej pory..

Reasumując z perspektywy pacjenta. Informator to delikatnie mówiąc średni, zintegrowany też nie za dobrze. Co i rusz słyszy się, że ludzie mają wizyty czy leki, których nie mieli. Nie wnikałem (ale postaram się to zrobić) jak ma sprawa wyglądać w kontekście jego integracji z P1, chociażby w zakresie recept. Może po uruchomieniu P1 recepty znowu zaczną mi wskakiwać? 🙂 A tak poważnie to trochę się boję tego, że NFZ chce zmieniać swój system do rozliczeń. Zaczynam też uważać, że chyba pacjenci powinni się bardziej zainteresować swoim losem i informacjami o swoim leczeniu w kontekście dostępu do informacji oraz samego procesu przetwarzania ich danych w tym zakresie. Bo w tym momencie do jakiegokolwiek zintegrowanego systemu informacji dla pacjenta jest nam jeszcze bardzo daleko.

Chmura w praktyce część 2 – bezpieczeństwo danych w chmurze (na przykładzie SQL databases w Azure)

Podziel się

 

We wpisie

Co to jest chmura i czy może nam się przydać?

jako jeden ze sposobów wykorzystania chmury w naszym środowisku informatycznym podałem wykorzystanie jej dość szeroko pojętej funkcjonalności nazwanej “baza danych”. Wpis ten jednak nie będzie roztrząsał rodzajów tego typu mechanizmów w poszczególnych typach chmury czy mechanizmów rozliczania. Uznajmy, że tego typu aspekty są do przedyskutowania na konkretnym przykładzie biznesowym. Tym wpisem chciałem zwrócić uwagę na bezpieczeństwo danych przechowywanych w mechanizmach chmurowych na przykładzie bazy danych. Wiadomo, rozwiązań chmurowych jest wiele i generalnie dostawcy radzą sobie z aspektami bezpieczeństwa na różne sposoby.

Na co warto zwrócić uwagę z punktu widzenia administratora danych osobowych i/lub pracowników działu IT w placówce medycznej?

Przepisy RODO regulują i dopuszczają powierzenie danych osobowych podmiotom trzecim, także w kontekście uwarunkowań formalno-prawnych przetwarzanie danych placówki ochrony zdrowia w chmurze nie jest wykluczone. Komisja Europejska w motywie 81 preambuły RODO wskazuje na konieczność korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby, odpowiadających wymaganiom bezpieczeństwa przetwarzania, w tym wymaganiom określonym przez RODO.

Najlepszą wskazówką w szukaniu odpowiedniego usługodawcy usług chmurowych (także zgodnie z zaleceniami CZIOZ) mogą być międzynarodowe standardy postępowania z danymi osobowymi a zatem normy takie jak ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 22301 oraz normy „branżowe” np. ISO 13606-1, ISO 13606-4.

Warto zwrócić też uwagę na normę ISO/IEC 27018, która nakłada następujące wymagania względem dostawców rozwiązań chmurowych:

  • Dane osobowe mogą być przetwarzane tylko i wyłącznie za wyrażeniem zgody przez klienta oraz wyłącznie do celów nieosobistych, oprócz sytuacji wyrażenia zgody przez klienta na tego rodzaju działanie.
  •  Należy zdefiniować procesy określające: zwrot, przekazanie, zniszczenie danych osobowych.
  •  Przed zakończeniem umowy należy ujawnić wszelkie podzlecenia usług przetwarzania oraz wszystkie kraje, w których występuje przetwarzanie danych.
  • Każdego rodzaju naruszenie ochrony danych należy udokumentować – łącznie z ustalonymi krokami rozwiązywania problemów i możliwymi następstwami.
  • Naruszenie ochrony danych należy niezwłocznie zgłosić klientowi
  • Należy wspierać klientów w zakresie postrzegania swoich praw: klientom, których dane przetwarzane są w chmurze należy oferować narzędzia, pozwalające by końcowi użytkownicy mogli uzyskać dostęp do swoich danych osobowych, w celu ich zmiany, usunięcia lub korekcji.
  • Przekazanie danych osobowych organom ścigania może nastąpić tylko i wyłącznie w przypadku istnienia prawnych zobowiązań w tym zakresie. Należy poinformować klienta, objętego takim postępowaniem, o ile informacja ta nie została utajniona.
  • Oferowane usługi „danych w chmurze” należy poddać regularnym kontrolom przez osoby trzecie.

Praktyka

Normy można sprawdzić i to istotne. Warto jednak wiedzieć jak to wygląda w praktyce. Aby od tego zacząć umieszczam poniżej do obejrzenia krótki filmik Microsoftu o tym w jaki sposób wygląda fizyczne i proceduralne zabezpieczenie do centrów danych będących częścią platformy Azure. Czy w szpitalu też tak macie? 🙂

Z ciekawostek – trwają ostre przygotowania do uruchomienia w Polsce platformy Azure Stack ( https://itreseller.com.pl/wspolna-oferta-microsoft-i-beyond-pl-w-oparciu-o-azure-stack-polscy-klienci-z-mozliwoscia-przetwarzania-danych-w-chmurze-z-lokalnego-polskiego-centrum-danych/ ). W centrum danych Beyond w Poznaniu powstanie zatem nasza “lokalna” platforma Azure`owa – gdyby ktoś się uparł na trzymanie danych u nas w kraju to idealne rozwiązanie. Ja jednak takiej potrzeby nie widzę, chociaż chętnie zmigruję kogoś do PL 🙂

Dlaczego Azure?

Działam na platformie Azure po pierwsze dlatego, że ją znam i wiem w jaki sposób wykorzystać niezliczone funkcjonalności do spełnienia naszych wymagań biznesowych w szeroko pojętym świecie medycyny. Po drugie dlatego, że bogactwo funkcjonalności i tempo rozwoju platformy jest ogromne. Świadczą o tym chociażby funkcjonalności, które poniżej zaprezentuję – jeszcze niedawno ich po prostu nie było. Po trzecie dlatego, że uważam, że to jest dobry wybór. I wcale nie oznacza to, że ograniczam się w swoich rozważaniach z klientami tylko do tej platformy. Znam wiele rozwiązań (OVH, Aruba Cloud, 3s DataCenter, Infomex DC) i w większym lub mniejszym stopniu z nich korzystam. Biorąc jednak pod uwagę funkcjonalności typowo usługowe – zwłaszcza mechanizmy PaaS Azure i AWS przodują i z pewnością będą.

Meritum

Wracając jednak do tematu. Jedną z przynajmniej kilku możliwości utworzenia bazy danych w Azure jest skorzystanie z usługi SQL database. Utwórzmy zatem nową instancję. W “Select source” wybrałem “Sample” – aby jakieś dane już były. Załóżmy, że to nasza baza pacjentów (a, że w tym przykładzie dane osobowe są to dobry przykład).

Po utworzeniu bazy możemy wejść w jej Dashboard:

Pragnę skupić się na następujących aspektach:

  • Set server firewall
  • Auditing and Threat Detection
  • Vulnerability Assesment
  • Data discovery and classifications
  • Dynamic Data Masking
  • Transparent data encryption.

Set server firewall – prosta funkcjonalność pozwalająca ustalić sobie zasady dostępu do bazy danych. W ustawieniach defaultowych mając server name (his1.database.windows.net) oraz użytkownika i hasło z bazą się po prostu połączymy. Można to okroić – do konkretnych adresów IP lub do konkretnych sieci wirtualnych. W tym wypadku prosta droga do skorzystania z mechanizmów opisanych we wpisie:

Chmura w praktyce – część 1 – VPN

Auditing and Threat Detection

Opcja inspekcji i wykrywania zagrożeń może zostać uruchomiona na poziomie pojedynczej instancji bazy danych lub na poziomie całego serwera. Domyślnie opcja Server-level jest wyłączona zarówno dla audytowania jak i wykrywania zagrożeń. Przy uruchamianiu tej opcji można podać także adres e-mail, na który będą przychodzić powiadomienia z alertami. Możemy wybrać tez wybrane zagrożenia, które mają być monitorowane.

Aha.. oto tabele w naszej bazie danych. Jak wcześniej wspomniałem to przykładowa baza, wypełniona danymi.

Po konfiguracji możemy sobie wyklinać pierwszy raport. Zawiera on wszystkie monitorowane przez nas aktywności wraz ze szczegółami – czyli. np który użytkownik jaką instrukcję lub operację na bazie danych wykonał lub chciał wykonać, z jakiego adresu ip itp. Dane możemy dowolnie filtrować a w przypadku gdy chcemy skorzystać z tych danych możemy podłączyć się do mechanizmu poprzez REST API.

Vulnerability Assesment

Ocena luk w zabezpieczeniach czy jak kto woli po prostu ocena podatności pozwala na automatyczny skan konfiguracji serwera bazy danych oraz danych zawartych w bazie. Wynikiem takiego skanowania jest rozbudowany raport zabezpieczeń bazy danych w następujących obszarach:

  • inspekcja i rejestrowanie
  • uwierzytelnianie i autoryzacja
  • zmniejszenie obszaru powierzchni
  • ochrona danych.

Jak widać na zrzucie powyżej mamy wyszczególnione wszystkie zadeklarowane i przeprowadzone kontrole oraz finalny status ich wykonania a także podsumowanie ryzyk wg. statusów (wysokie, niskie średnie). Szczegółowy raport rodzaju sprawdzanego zabezpieczenia, jego kategorii, instancji której dotyczy pozwala przyjrzeć się dokładnie wszystkim obszarom ryzyka. Mało tego – klikając na dane ryzyko otrzymujemy szczegółowy opis problemu a także zalecenie jego rozwiązania. Dla naszej bazy na przykład mamy informację, że niektóre kolumny w tabelach mogą zwierać dane wrażliwe (w rozumieniu Azure – mogą to być zatem dane osobowe lub inne). Dzięki temu możemy zareagować dokładając należytej staranności w opiece nad swoimi danymi. W opisanym przypadku w celu skorygowania tego problemu zostaniemy przeniesieni do Dynamic Data Masking, którą opisałem poniżej.

Data discovery and classifications

Kolejnym obszarem do analizy pod kątem bezpieczeństwa naszych danych w bazie jest mechanizm odnajdowania i klasyfikacji danych. Jest to narzędzie pozwalające nam na oznaczenie wszystkich kolumn w tabelach typem informacji która jest w danej kolumnie zawarta (np. Contact Info, Name, CreditCard) oraz nadania etykiet poufności. Dostępne na ten moment etykiety to:

Dodatkowo system sam rozpoznaje nam według swoich algorytmów typy danych i daje propozycje konfiguracji, którą możemy zaakceptować w całości lub częściowo wykorzystać. W razie konieczności system podpowiada nam także zalecenia do wykonania dla skonfigurowanej klasyfikacji danych.

Po zapisaniu klasyfikacji otrzymujemy rozkład przydzielonych etykiet oraz rozkład typu informacji w naszej bazie danych w przystępnej, graficznej formie. Raport ten możemy wyeksportować do Excela i dołączyć do swojej dokumentacji związanej z RODO.

Dynamic Data Masking

W skrócie dynamiczne maskowanie danych pomaga zapobiegać nieautoryzowanemu dostępowi do poufnych danych, umożliwiając klientom określenie, jak wiele wrażliwych danych ma się ujawnić przy minimalnym wpływie na warstwę aplikacji. Funkcja ta pozwala przykładowo wyświetlenie tylko części danych osobowych w recepcji placówki. W celu weryfikacji rozmówcy telefonicznego w systemie osobie obsługującej zgłoszenie mogą pojawić się wybrane dane osoby dzwoniącej – np. nazwisko, miejscowość zamieszkania oraz pierwsza i trzy ostatnie cyfry numeru PESEL. Myślę, że biznesowych zastosowań tej funkcjonalności w obliczu RODO czy po prostu mając świadomość wrażliwości tego typu danych (także proceduralną) można znaleźć wiele.

Transparent data encryption

Funkcjonalność ta wykonuje w czasie rzeczywistym szyfrowanie i deszyfrowanie bazy danych, powiązanych kopii zapasowych i plików dziennika transakcji bez konieczności wprowadzania zmian w aplikacji. Do realizacji tego zadania możemy wykorzystać zdefiniowane samodzielnie klucze znajdujące się w Key Picker. Dzięki wykorzystaniu tego mechanizmy mamy pewność, że wszystkie aplikacje i sposoby komunikowania się z naszą bazą danych otrzymują i wysyłają do niej dane zaszyfrowane.


Podsumowanie

Mam nadzieję, że opisane powyżej możliwości konfiguracji i dostosowania bazy danych do swoich restrykcyjnych potrzeb odnośnie przetwarzania danych rzucą nowe światło na ten temat. Zaznaczam, że wzięta na tapetę została tutaj tylko jedna z funkcjonalności – baza danych. Mechanizmów tych, dla różnych typów usług jest dużo więcej i postaram się o nich sukcesywnie pisać. Gdyby ktoś chciał poklikać sobie na żywo zapraszam do kontaktu – udostępnię subskrypcje testową bez konieczności podawania namiarów na swoją kartę kredytową 😉

Read More

Chmura w praktyce – część 1 – VPN

Podziel się

Na wstępnie chciałbym zaznaczyć, że żaden z moich wpisów nie jest wpisem sponsorowanym. Mam zamiar pokazywać tutaj różne produkty, ich wady i zalety. Nie będę ukrywał, że najczęściej będą to produkty, które sam wdrażam klientom – ale to chyba dobrze, bo na ich temat mam większą wiedzę. Mnogość rozwiązań w każdym temacie zmusza do skupienia się na czymś bo inaczej nie będę w stanie nic konkretnego pokazać. Przygodę z chmurą publiczną chciałbym zatem rozpocząć od rozwiązania Microsoftu – Azure. Dlaczego? Bo sam ją teraz testuje. W miarę wolnego czasu chętnie skupię się na innych rozwiązaniach, mogę też pokusić się o porównanie. W tym momencie jednak moim celem jest pokazanie na przykładzie tego, w jaki sposób usługi chmurowe mogą przyczynić się do usprawnienia pracy i zwiększenia bezpieczeństwa danych w placówce medycznej. Zaczynajmy zatem swoją przygodę z chmurą!

We wpisie “Co to jest chmura i czy może nam się przydać?” opowiedziałem (nic odkrywczego) o rodzajach chmury i sposobach jej wykorzystania. Zakładajmy zatem szybko konto i logujmy się do swojej chmury aby zobaczyć jak to wygląda w praktyce. Microsoft daje nam 170 euro i 30 dni na zabawę. Po tym czasie możemy korzystać z zasobów darmowych przez kolejny rok. W szczególnych przypadkach z pomocą resselera (np. mnie) można bez problemu testową usługę przedłużyć. Albo założyć nowe konto testowe 😉 Z minusów – w celach aktywacyjnych trzeba podać dane swojej karty kredytowej. Też się krzywiłem ale spokojnie, nic bez naszej wiedzy z konta nie ma prawa zostać zabrane i tak się nie stanie.

Pierwsze logowanie

Żeby zalogować się do usługi musimy  mieć swoje konto w MS. Wejdźmy najpierw na stronę https://azure.microsoft.com/pl-pl/free/ (tutaj można przeczytać więcej info o możliwościach testów) a następnie “Rozpocznij bezpłatnie”. Zostaniemy przekierowani na stronę logowania MS i jeżeli mamy konto wystarczy się zalogować. Jeżeli nie – musimy przejść do rejestracji nowego konta.

Możemy wybrać dwie metody weryfikacji konta – albo telefonicznie albo mailowo. Na wybrane medium przyjdzie nam hasło, które będziemy musieli wpisać potwierdzając, że to nasze. Później jeszcze tylko captcha (przepisanie tekstu z obrazka) i wypełnienie formularzy z danymi:

Na tym etapie musimy podać numer telefonu a następnie wybrać rodzaj weryfikacji (sms lub telefon):

Później zostają już (tylko) dane karty:

zatwierdzenie umowy licencyjnej i jesteśmy w domu.

Następnie po przekierowaniu, lub po wejściu na stronę https://portal.azure.com jesteśmy po raz pierwszy w swoich zasobach chmurowych. Oczom naszym ukaże się dashboard:

Proponuję poklikać tutaj z 10 minut i wiele rzeczy stanie się jasne. Możliwości dopasowania do swoich potrzeb są ogromne – zarówno pod kątem wyglądu jak i elementów wyświetlanych. W miarę dodawania nowych usług nasza strona główna będzie ewoluowała – musimy się po prostu tego nauczyć. Praca tutaj jest w miarę intuicyjna i przyjemna. Jak czegoś nie wiemy – Google wie wszystko a MS dokumentację ma.

Jak widzicie przeklikanie wszystkich usług graniczy z cudem. Tyle tego jest a do tego cały czas dodawane są kolejne. Warto też zaznaczyć, że w Azure nie są dostepne usługi Office365 – czyli popularnego pakietu do tworzenia i zarządzania dokumentami w chmurze. To odrębny i wbrew pozorom również bardzo rozbudowany temat.

Tworzenie VPN Point-to-Site do chmury

Długo zastanawiałem się od czego zacząć. Zdecydowałem, że zacznę od końca. Utworzymy sobie (jeden z wielu możliwych do utworzenia) szyfrowany kanał komunikacji pojedynczej stacji roboczej (czy serwera, to bez znaczenia) do naszej instancji chmurowej a konkretniej – do jednej z nowo utworzonych sieci wirtualnych. W tej sieci na dalszym etapie będziemy mogli tworzyć sobie maszyny wirtualne czy inne usługi do których będziemy chcieli mieć dostęp z poziomu komputerów w placówce. Jeżeli chodzi o pytania dotyczące bezpieczeństwa (bezpieczeństwo to raz a RODO dwa :)) to już  odpowiadam. Połączenia w tym modelu są szyfrowane na dwa sposoby:

  • Secure Socket Tunelling Protocol (SSTP) – używany głównie w systemach Windows protokół przenoszący ramki PPP (te, które odpowiadają za komunikację w modelu Point-to-Point i w naszym przypadku za Point-to-Site) poprzez bezpieczny kanał szyfrowania Transport Layer Security (TLS) i jego poprzednika – Secure Socket Layer (SSL)
  • Internet Key Exchange version 2 (IKEv2) – protokół transmisji danych poprzez protokół IpSec.

Opis działania tych protokołów jest tutaj zbędny. Proponuję po prostu przyjąć, że połączenie to jest bezpieczne na nasze potrzeby. W przypadkach szczególnych trzeba sytuację analizować i dopasowywać do szczególnych potrzeb a tutaj pole do popisu jest.

Aktualnie możliwe jest połączenie z następujących systemów operacyjnych:

  • Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64-bit only)
  • Windows 8 (32-bit and 64-bit)
  • Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 (64-bit only)
  • Windows Server 2012 R2 (64-bit only)
  • Windows Server 2016 (64-bit only)
  • Windows 10
  • OSX version 10.11 for Mac (El Capitan)
  • macOS version 10.12 for Mac (Sierra) .

Samych usług VPN Microsoft ma co najmniej kilka. Prawie każdą z konfiguracji możemy zrobić na różne sposoby (np. wyklikując lub korzystając z linii komend PowerShella). Więcej o tych sposobach a także o możliwościach konkretnych modeli a także o tym jak dany model połączenia skonfigurować można przeczytać tutaj: https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-plan-design . Jeżeli chodzi natomiast o pełną konfigurację tego co przestawiłem poniżej to wersję oficjalną na której bardzo mocno bazowałem znajdziecie pod tym adresem .

Dodawanie sieci wirtualnej i bramy dla VPN

Wejdźmy na Marketplace i wpiszmy “Virtual Network”. Zaznaczmy żądaną opcję , “deployment model” wybierzmy “Resource Manager”.

Wypełnijmy pola formularza w następujący sposób (subscription mamy do wyboru tylko Free Trial):

Czyli tworzymy wirtualną sieć o nazwie VNet1 (192.168.0.0 – 192.168.255.255) z podsiecią FrontEnd dla naszej infrastruktury (192.168.1.0 – 192.168.1.255). Następnie musimy stworzyć w naszej sieci wirtualnej  podsieć dla bramy domyślnej – klikjijmy na +Gateway subnet dla naszej podsieci. w ustawieniach sieci:

i podajmy jakąś wolną podsieć z zakresu naszej sieci. Niech to będzie 192.168.200.0/24:

Teraz stwórzmy wirtualną bramę dla swojej usługi. W znanym już menu +New wpiszmy “Virtual network gateway”. Uzupełnijmy pola wybierając i wpisując następujące ustawienia (subscription to oczywiście Free Trial):

W tym miejscu musimy się chociaż na chwilę zatrzymać. Jeżeli chodzi o Gateway type  to jak się domyślamy rodzaje bram. Te rodzaje różnią się od siebie (w skrócie) gwarantowanym transferem oraz ilościom kanałów, które można utworzyć a co za tym idzie ceną. Więcej informacji na temat cen i sposobów rozliczania dostępne jest tutaj . Jeżeli chodzi o standardowe wykorzystanie naszego VPNa – do połączeń dla użytkowników wybieramy po prostu VPN i odpowiedni typ i SKU (który mówi o cenie, transferze oraz ilości tuneli). W przypadku gdybyśmy potrzebowali większego transferu – na przykład chcąc robić migrację większej ilości danych przez narzędzie, lub jakieś mechanizmy backupu itp. ExpressRoute pozwala korzystać z bardziej zaawansowanych protokołów WAN niż zwykły Internet (np. MPLS) i osiągać transery do 10 Gbps. To już kwestia indywidualnych potrzeb, w każdym razie warto zapamiętać, że w przypadku gdy ktoś nie ma pewności czy wybrać chmurę ze względu  na potrzebę zapewniania stabilności i szybkości transferu to nie ma się o co martwić. Zawsze zrobi się tak, jak będzie trzeba . Więcej info o samym ExpressRoute znajdziecie tutaj .

Idąc dalej w konfiguracji wybierzmy naszą wirtualną sieć oraz kliknijmy w Create public IP adress i tam wybierzmy ustawienia Basic:

Następnie dajemy Create i rozpoczyna się proces tworzenia naszej bramy VPN.

Certyfikaty

Już sporo za nami – mamy utworzoną podsieć dla naszego środowiska z którym będziemy chcieli się łączyć, utworzyliśmy dla niego bramę domyślną. Teraz musimy zająć się certyfikatami. To zadanie musimy wykonać w dwóch etapach – po pierwsze wygenerować nasz główny certyfikat, który będzie miał za zadanie pilnować od strony platformy Azure naszych połączeń a następnie wygenerować certyfikat/certyfikaty dla klientów.

Zadania te możemy wykonać na dwa sposoby. Albo na jakimkolwiek PC z systemem operacyjnym Windows 10 (w przypadku gdy takowego nie mamy możemy na tą potrzebę utworzyć sobie na naszym koncie wirtualną maszynę na naszym Azure – ja tak zrobiłem) lub skorzystać z narzędzia MakeCert.

Jeżeli chodzi o bezpieczeństwo to nasze certyfikaty są oparte o algorytm hashujący sha256 a klucze zaszyfrowane są w schemacie Base64. Certyfikaty zapisane są w standardzie X.509 .

Procedura generowania została krok po kroku opisana tutaj i nie ma sensu jej powielać. W przypadku gdyby ktoś miał jakieś konkretne pytania zapraszam do ich zadawania. Jeżeli przejdziecie krok po kroku procedurę wszystko się uda.

Dokończenie konfiguracji na bramie domyślnej

Mając certyfikat główny możemy do dodać do konfiguracji naszej bramy.  W tym celu przechodzimy do jej konfiguracji – do zakładki Point-to-site Configuration:

Tam po pierwsze wpisujemy adres puli prywatnej dla bramy (adresy z tej puli będą dostawać komputery klientów i z tej sieci będzie routing do naszej sieci wirtualnej):

Następnie wybierzmy typy tuneli (opisane wcześniej) oraz nasz authentication type:

i kopiując nasz wygenerowany wcześniej root cert ze zwykłego notatnika:

nadajmy mu nazwę Rootcert1 i wklejmy go do konfiguracji bramy:

Instalacja certyfikatów u klientów

Teraz wystarczy wygenerowane wcześniej certyfikaty zainstalować u klientów. Dla Windows i Mac procedura opisana jest tutaj . Jest to dodawanie certyfikatów standardowe dla wszystkich usług i pewnie nie raz tak robiliśmy. Generowanie certyfikatów (jakby ktoś przeoczył) dostępne jest tutaj w sekcji na samym dole – Export a client certificate .

Pobieranie, konfiguracja i test klienta VPN

Sprowadza się to do ściągnięcia instalki z konfiguracji bramy (Download VPN Client na górze konfiguracji). Szczegóły opisane są tutaj (wrzucam ponieważ dla iOS wygląda to troszkę inaczej niż dla Windows gdzie wystarczy ściągnąć oprogramowanie,m zainstalować i mając zainstalowany już na kliencie certyfikat po prostu się podłączyć. Ale to też jest do zrobienia.

Finalnie (w Windowsie) odpalamy naszego klienta:

i połączenie zostanie utworzone:

Na tego potwierdzenia załączam screen ze swojego połączenia z jak widać przypisanym poprawnie adresem IP z puli:

Koszty

Wcześniej wspomniałem coś o kosztach i metodach rozliczeń tej usługi. Generalnie w celu estymacji jakichkolwiek cen w Azure i zapoznania się z metodami rozliczania polecam kalkulator znajdujący się pod tym linkiem: https://azure.microsoft.com/pl-pl/pricing/calculator/ . Będę go tutaj jeszcze używał.

Dla naszej usługi sprawa kosztów przedstawia się następująco:

Microsoft Azure Estimate
Twoje szacowanie
Service type Custom name Region Description SKU Estimated Cost
VPN Gateway West Europe Typ Bramy VPN Gateway, warstwa Podstawowa sieć VPN, godz. korzystania z bramy: 160, 50 GB, typ bramy VPN Gateway na wyjściu: VPN €8,16
Virtual Network Transfer danych z regionu Europa Zachodnia do regionu Europa Zachodnia: 50 GB €0,84
Support Free level Support €0,00
Monthly Total €9,00
Annual Total €108,03

 

 

 

 

Założyłem 50 GB miesięcznego transferu wychodzącego i tyle samo przychodzącego przy 160 godzinach w miesiącu działania bramy. To 38 zł przy transferze Basic (tutaj jeszcze raz pełny cennik) – 128 połączeń, transfer 100 Mb/s. Czy to dużo czy mało? Nie mnie odpowiadać na to pytanie. To kwestia indywidualnych potrzeb – w przypadku VPN potrzeb związanych z poziomem zapewnienia bezpieczeństwa, ilości połączeń, czasu dostępności połączenia (co także przekłada się na bezpieczeństwo), transferu miesięcznego a także szybkości. Jedno jest pewne. Możliwości dopasowania każdej z usług w tym modelu, także kosztowego dopasowania, są tak ogromne, że moim zdaniem każdy znajdzie optymalny dla siebie sposób.

Podumowanie

Uff udało się. Trochę tego było, prawda? Ale udało nam się skonfigurować naszą bazową usługę dla chmury. Jest to do przeklikania, trzeba tylko poznać strukturę i zależności. Jak widać bezpieczeństwo jest tutaj priorytetem. Aby jeszcze troszkę dołożyć odnośnie naszego słynnego RODO to istnieje możliwość uruchomienia swojej infrastruktury chmurowej w dwóch lokalizacjach w Niemczech. Jest to o tyle istotne, że lokalizacje te posiadają certyfikat ISO/IEC 27018:2014 charakteryzujący się spełnianiem podwyższonych norm z zakresu ochrony danych osobowych. Więcej można przeczytać tutaj. W innym przypadku zawsze można skorzystać z Holandii czy Irlandii. W każdym razie MS w zakresie bezpieczeństwa danych i wymogów RODO udostępnił (i stale rozwija) platformę na której możemy zobaczyć bardzo rozbudowaną dokumentację potwierdzającą zgodność z normami przetwarzania danych. Można tam także zobaczyć przykłady wdrożeń a także (narazie tylko dla o365 ale już wkrótce dla Azure) platformę, dzięki której sami będziemy mogli przeprowadzić audyt swojej chmury pod kątem konkretnych zapisów z RODO. Wszystko dostępne jest tutaj ale to biorąc pod uwagę, że jest oddzielnym i bardzo złożonym tematem czeka w kolejce na liście postów do napisania na blogu.

Zachęcam do testów!

P.S. Jak ktoś chciałby konto testowe bez podawania danych karty zapraszam 😉

Elektroniczna Dokumentacja Medyczna – podstawowe zasady przetwarzania obowiązujące wszystkich – czy się chce czy nie

Podziel się

 

No właśnie.. RODO, GIODO, ABI, IOD, wytyczne CSIOZ odnośnie przetwarzania danych medycznych, dziesiątki przepisów, ustaw, rozporządzeń dotyczących definicji danych osobowych, danych medycznych i kwestii ich prawidłowego przetwarzania, różne interpretacje – jednym słowem nie wiadomo czym się kierować w przypadku chęci prawidłowego podejścia do tematu. Spróbujmy wyłuskać z powyższego absolutne must have dla wszystkich przetwarzających dane medyczne.

A co to tak właściwie są te dane medyczne? Niestety w Polskim prawodawstwie, jak to często bywa jest kilka nieścisłości w kwestii prawidłowego uszeregowania danych medycznych w kontekście danych osobowych itp. Na szczęście nie jest to blog prawniczy, bo te kwestie wydają się nierozstrzygalne i są często kwestią interpretacji. Szczegółowe informacje na ten temat można znaleźć chociażby tutaj . Na nasze potrzeby – nazwijmy je organizacyjno-informatycznymi, przyjmijmy, że dane medyczne są danymi osobowymi o charakterze wrażliwym. I z takim przeświadczeniem powinniśmy je przetwarzać.

I tutaj trzeba zacząć od RODO – tak, trzymajmy się tej wersji bo na nią trzeba być przygotowanym – od 25 maja 2018 będzie obowiązywało wszystkich. Co to jest RODO? RODO czyli GDPR, zwane także „Ogólnym Rozporządzeniem o Ochronie Danych” to Rozporządzenie Parlamentu Europejskiego i Rady (UE)2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Nie możemy zapomnieć także o UODO ponieważ dokument ten nakłada na podmioty przetwarzające tego typu dane liczne zobowiązania, które należy uwzględnić podczas projektowania systemów informatycznych mających przetwarzać dane osobowe w tym dane wrażliwe.

Idąc od najwyższego poziomu abstrakcji Art. 5 ust. RODO wskazuje na sześć podstawowych zasad przetwarzania danych osobowych:

1. Zasada zgodności z prawem, rzetelności i przejrzystości przetwarzania – w skrócie oznacza ona, że podmiot przetwarzający zawsze i na każdym etapie
przetwarzania danych jest zobowiązany dbać o interesy osoby, której dane dotyczą

2. Zasada ograniczoności celu – dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach

3. Zasada minimalizacji danych – przetwarzane dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Nie wolno zbierać i przetwarzać danych, które nie są niezbędne do osiągnięciu celu przetwarzania i są w stosunku do niego nadmiarowe. Czyli w przypadku danych medycznych numer buta nie jest nam potrzebny 🙂

4. Zasada prawidłowości – przetwarzane dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane – wydaje się oczywiste ale niech rzuci kamieniem ten, który jest bez winy. Dbanie o aktualność danych jest zawsze zmorą w organizacjach.

5. Zasada ograniczoności przechowywania – dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. To jest bardzo ciekawe zagadnienie, które mam nadzieje będzie jeszcze okazja poruszyć. Ciekawa ponieważ jednocześnie mając na uwadze zapisy art. 25 ust. 1 oraz art. 32 ust. 1 RODO w zakresie uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych i
bezpieczeństwa przetwarzania, placówka medyczna prowadząca dokumentację w postaci elektronicznej powinna zorganizować sposób gromadzenia informacji w taki sposób, aby nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji pod warunkiem, że informacje te są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi
ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Trochę się to wyklucza ale to zagadnienie (dotyczące pseudonimizacji) to temat na oddzielny wpis.

Co trzeba zrobić, żeby to spełniać? Oczywiście niezależnie od tego czy przetwarzamy dane w praktyce lekarskiej, małej przychodni, większej placówce chociażby specjalistycznej czy szpitalu. Obowiązek ten wymusza sam fakt przetwarzania danych.

 

1. Powołanie IOD (Inspektora Ochrony Danych) w starej nomenklaturze (jeszcze obowiązującej ) to mniej więcej ABI (Administrator Bezpieczeństwa Informacji).

 

Administrator danych może nie powoływać takiego kogoś – wtedy sam przejmuje jego obowiązki. Jeżeli jest to osoba zatrudniona w danej placówce powinna ona mieć to wpisane w zakres obowiązków, w przypadku gdy zdecydujemy się powierzyć tę rolę osobie/firmie zewnętrznej potrzebujemy umowy powierzenia.

 

2. Identyfikacja wszystkich osób, które przetwarzają dane osobowe

 

Osoby te powinny otrzymać upoważnienia do przetwarzania danych osobowych zgodnie z art. 37 UODO, jednocześnie powinny zostać zapoznane z przepisami o ochronie danych osobowych. Zapoznanie z przepisami powinno zostać potwierdzone przez pracownika upoważnianego stosownym oświadczeniem a oświadczenie to powinno zostać dołączone do akt osobowych pracownika zgodnie z art. 36a ust. 2 pkt 1 lit. c UODO a od 2018 r zgodnie z art. 39 ust. 1 pkt a i b  RODO. Wszystkie osoby, które zostały upoważnione i dopuszczone do przetwarzania danych osobowych, powinny zostać zobowiązane do zachowania danych oraz sposobu ich zabezpieczenia w tajemnicy jednocześnie zapewniając spisanie potwierdzenia takiego zobowiązania oraz dołączenia go do akt pracowniczych (art. 39 ust. 2 UODO).

 

3. Ustalenie procedur mających na celu cykliczne sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych

 

Sprawdzenia takiego dokonuje nasz Inspektor Ochrony Danych. Najpierw musi on jednak ustalić plan sprawdzeń obejmujących minimalnie kwartał a maksymalnie rok – w tym okresie musi odbyć się co najmniej jedna taka analiza.

 

Powinna ona obejmować 4 elementy:

 

  • inwentaryzację zbiorów
  • sprawdzenie, czy są realizowane obowiązki z ustawy o ochronie danych osobowych UODO,
  • sprawdzenie, czy zbiory i systemy przetwarzające dane osobowe są odpowiednio
    zabezpieczone,
  • weryfikacja i aktualizacja dokumentacji z zakresu ochrony danych osobowych oraz weryfikacja przestrzegania zasad i procedur w niej zawartych.

Procedura ta składa się z przepisów zawartych w UODO oraz w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
(Dz.U. 2004 r. Nr 100 poz. 1024). Trochę tego jest, dlatego tutaj sczegóły odpuszczam – w razie potrzeby proszę pytać.

Należy pamiętać, że trzeba prowadzić sprawozdania z wykonywania tych czynności.

4. Opracowanie polityki bezpieczeństwa ochrony danych osobowych

Musi ona zawierać:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
  • sposób przepływu danych pomiędzy poszczególnymi systemami
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

4. Opracowanie instrukcji zarządzania systemami informatycznymi zawierająca w szczególności:

  •  procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
  • sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
  • sposób realizacji wymogów w zakresie odnotowywania przez system informacji o odbiorcach,w rozumieniu art. 7 pkt 6 UODO, którym dane osobowe zostały udostępnione, dacie i 50 zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych
  • sposób realizacji wymogów w zakresie odnotowywania przez system informacji o odbiorcach, w rozumieniu art. 7 pkt 6 UODO, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

5. Bezpieczeństwo fizyczne w obszarach przetwarzania danych osobowych i wrażliwych

Na podstawie przeprowadzonej analizy ryzyka i planu postępowania z ryzykiem, których obowiązek przeprowadzenia wynika z art. 36 ust. 1 UODO każdy podmiot ma obowiązek wdrożenia odpowiednich środków bezpieczeństwa. W związku z tym w zakresie ochrony fizycznej należy rozważyć wyznaczenie obszarów bezpiecznych oraz podział na strefy w zależności od ich dostępności zarówno dla personelu, jak i pacjentów oraz przedstawicieli podmiotów współpracujących.

Podział na strefy umożliwia dobór stosowanych zabezpieczeń fizycznych (np. identyfikatory osobowe, system kontroli dostępu, zarządzanie kluczami tradycyjnymi oraz elektronicznymi w postaci kart dostępu, system monitorowania wizyjnego, systemy przeciwwłamaniowe,, zabezpieczenie okien i drzwi, służba ochrony całodobowa lub po godzinach pracy, systemy przeciwpożarowe lub gaśnice, klimatyzacja, czujniki temperatury i wilgotności.

6. Wdrożenie Systemu Zarządzania Bezpieczeństwem informacji

System ten w telegraficznym skrócie zbiera wszystko co powyżej, identyfikuje zagrożenia związane z przetwarzaniem danych oraz tworzy plan postępowania z ryzykiem i politykę zarządzania incydentami bezpieczeństwa.

Mniej więcej tyle trzeba mieć na początek. A właściwie inaczej – teraz można przejść do wybierania odpowiedniego dla nas modelu przetwarzania danych informatycznych bo wszystkie formalności i organizację pracy mamy załatwione. Szczerze mówiąc sam zebrałem to do kupy w jednym miejscu po raz pierwszy i widzę, że jest tego sporo i sporo rzeczy wymaga uszczegółowienia i głębszej analizy. Będziemy nad tym pracować 😉

Źródła:

  1. Ustawa o Ochronie danych osobowych 
  2. Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej
  3. Sylwia Czub – blog
  4. Ochrona danych medycznych – bartakalinski.pl
  5. Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz.U. z 2016r. poz. 1535)
  6. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2016 r. poz. 113)
  7. Rozporządzenie Ministra Cyfryzacji z dnia 5 października 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (Dz.U.2016 poz. 1626)
  8. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 25 lutego 2016 r. w sprawie rodzajów, zakresu i wzorów oraz sposobu przetwarzania dokumentacji medycznej w podmiotach leczniczych utworzonych przez ministra właściwego do spraw wewnętrznych (Dz.U. 2016 poz. 249)
  9. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW
  10. Norma PN-EN 13609-1:2007 Informatyka w ochronie zdrowia