Wyjaśnienia do artykułu dotyczącego zabezpieczania danych medycznych pacjentów, gromadzonych w postaci elektronicznej

W związku z artykułem „Informatyzacja szpitali po polsku. Dane o naszych chorobach nie są zabezpieczane nawet hasłem” opublikowanym w dniu 23 listopada 2016 r. na portalu www.tokfm.pl oraz artykułem „GIODO powinno pójść do lekarza” opublikowanym w Dzienniku Gazecie Prawnej wyjaśniamy, że stwierdzenie zawarte w powyższych artykułachCentrum Systemów Informacyjnych Ochrony Zdrowia nie martwi się tym, że dostęp do danych medycznych pacjentów nie jest wystarczająco chroniony, nie jest prawdą.

Centrum Systemów Informacyjnych Ochrony Zdrowia prowadzi szereg działań mających na celu zwiększenie świadomości i poprawę sytuacji związanej z bezpieczeństwem i ochroną danych osobowych w dokumentacji medycznej. W 2013 r. Centrum opublikowało dokument „Wytyczne, zasady i rekomendacje dla usługodawców dotyczące bezpiecznego przetwarzania elektronicznej dokumentacji medycznej”. Informacje zawarte w dokumencie są nieustannie monitorowane i uaktualnianie, do końca bieżącego roku planowana jest publikacja zaktualizowanej wersji dokumentu. Ponadto, stale współpracujemy z organami założycielskimi podmiotów leczniczych, gdzie podejmujemy rozmowy podczas których podkreślamy jak ważną kwestią jest ochrona danych osobowych. Dodatkowo prowadzimy działania edukacyjne, w tym roku rozpoczęliśmy organizację warsztatów dla pracowników działów IT podmiotów leczniczych, na których również przekazujemy informacje związane z bezpieczeństwem i ochroną danych osobowych w systemach teleinformatycznych.

Interpretacja wyników badań ankietowych opublikowanych na stronie CSIOZ przez autorów artykułów jest niewłaściwa. Wyjaśnienia wymaga podstawowa różnica pomiędzy autoryzacją dokumentacji medycznej a uwierzytelnieniem do systemu informatycznego. W przytoczonym badaniu CSIOZ pytało wyłącznie o autoryzację dokumentacji medycznej, a nie o uwierzytelnienie do systemu.

Autoryzacja dokumentacji  medycznej jest to potwierdzenie przez pracownika medycznego  niezaprzeczalności i integralności informacji zawartych w dokumentacji medycznej natomiast uwierzytelnienie do systemu, jest to zapewnienie że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom, jest  to zapewnienie poufności, dostępności i rozliczalności oraz niezaprzeczalności.

Dokumentacja medyczna przetwarzana w systemach informatycznych, przetwarzana jest zgodnie z zapewnieniem  podstawowych atrybutów bezpieczeństwa jakimi są poufność, dostępność i integralność. Powyższe wymaganie zawarte jest w polityce bezpieczeństwa informacji podmiotów świadczących usługi medyczne, każda polityka zawiera sposób dostępu do dokumentacji medycznej. Wg danych zebranych w ramach opublikowanego przez CSIOZ badania wynika, że polityki bezpieczeństwa informacji posiada  82% ankietowanych szpitali.

Zapewnienie bezpieczeństwa przetwarzanych informacji, w tym danych osobowych wrażliwych jakimi są dane medyczne pacjentów, powinno być realizowane za pomocą wdrożenia niezbędnych zabezpieczeń  na poziomie organizacyjnym, technicznym i fizycznym. 

Wdrożone zabezpieczenia zapewniają autoryzację dokumentacji poprzez ich niezaprzeczalność i rozliczalność realizowaną za pomocą mechanizmów uwierzytelniających i metod kryptograficznych (kwalifikowany podpis elektroniczny, profil zaufany). Podmioty zapytane o stosowanie jednej ze wskazanych w ankiecie metod autoryzacji elektronicznych dokumentów medycznych w rozumieniu ustawy o SIOZ odpowiadały: tylko poprzez uwierzytelnienie użytkownika w lokalnym systemie informatycznym- 470 szpitali, podpis elektroniczny potwierdzony profilem zaufanym ePUAP- 43 szpitale oraz kwalifikowany podpis elektroniczny- 73 szpitale.

Uwierzytelnienie do systemów informatycznych umożliwiający dostęp uprawnionych użytkowników do dokumentacji medycznej realizowane może być za pomocą kilku sposobów takich jak mechanizmy uwierzytelniające kryptograficzne, wykorzystujące certyfikaty, mechanizmy podwójnego uwierzytelnienia np. identyfikator użytkownika i hasło generowane za pomocą tokena lub otrzymywane drogą sms oraz tradycyjne login i hasło realizowane poprzez przydzielenie niepowtarzalnego identyfikatora użytkownikowi oraz hasła spełniającego wymagania Rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

Powyższe zgodne jest z obowiązującym prawem.

Aktualności

  • Szanowni Państwo,Informujemy, że została przywrócona możliwość złożenia wniosku o Państwowy Egzamin Specjalizacyjny dla grup zawodowych: farmaceuci i diagności laboratoryjni w Systemie Monitorowania Kształcenia Pracowników Medycznych.Za niedogodności przepraszamy.

  • Szanowni Państwo,Informujemy, że z przyczyn technicznych w chwili obecnej brak jest możliwości złożenia wniosku o Państwowy Egzamin Specjalizacyjny dla grup zawodowych: farmaceuci i diagności laboratoryjni w Systemie Monitorowania Kształcenia Pracowników Medycznych.CSIOZ intensywnie pracuje nad jak najszybszym rozwiązaniem problemu. O dostępności ww. funkcjonalności powiadomimy Państwa niezwłocznie odrębnym komunikatem po jej przywróceniu.Za niedogodności przepraszamy.

  • Centrum Systemów Informacyjnych Ochrony Zdrowia informuje, że dane gromadzone w Systemie Monitorowania Kształcenia (SMK) przetwarzane są w celu i w zakresie realizacji zadań ustawowych, w szczególności umożliwienia podmiotom zaangażowanym w proces kształcenia podyplomowego kadr medycznych skuteczną organizację, planowanie i monitorowanie tego procesu. Na podstawie danych zbieranych w systemie prowadzone są również analizy dotyczące zapotrzebowania w zakresie kadr medycznych w systemie służby zdrowia oraz oceniana jest jakość i skuteczność kształcenia.Zgodnie z art. 30 ust. 3 i 4 ustawy o systemie informacji w ochronie zdrowia administratorem danych przetwarzanych w SMK, w rozumieniu ustawy o ochronie danych osobowych, jest minister zdrowia (adres siedziby: ul. Miodowa 15, 00-952 Warszawa) natomiast administratorem systemu, tj.

  • W dniach 5 i 6 czerwca w warszawskim hotelu Hilton odbyła się I Konferencja AKADEMIA CSIOZ „Informatyzacja podmiotów leczniczych – korzyści z wdrażania i plany na przyszłość”. Podczas dwudniowego spotkania uczestnicy debatowali na temat procesów wdrażania systemów informatycznych w podmiotach leczniczych, cyberbezpieczeństwa polskiej służby zdrowia oraz dzielili się doświadczeniami towarzyszącymi implementacji elektronicznej dokumentacji medycznej.Konferencję otworzył minister zdrowia Konstanty Radziwiłł, który podkreślił konieczność informatyzacji jako czynnika niezbędnego do przeprowadzenia procesu zmian w opiece medycznej oraz przedstawił plany strategiczne związane z dalszym rozwojem procesu informatyzacji służby zdrowia w Polsce.

  • W poniedziałek 5 czerwca, w warszawskim hotelu Hilton wystartowała dwudniowa konferencja organizowana przez Centrum Systemów Informacyjnych Ochrony Zdrowia. Spotkanie poświęcone jest przede wszystkim zagadnieniom informatyzacji podmiotów leczniczych. - Bardzo się cieszę, że Akademia CSIOZ podejmuje temat informatyzacji podmiotów leczniczych. Obecnie niewiele ponad 40 procent szpitali jest zinformatyzowanych. Komputery stoją w każdym zakładzie, ale ich systemy nie są odpowiednio przygotowane. To wynik daleki od naszych ambicji – powiedział minister zdrowia, Konstanty Radziwiłł, otwierając konferencję.  -Informatyzacja jest niezbędna w zakresie wprowadzenia zmian w opiece medycznej. Posiadanie dostępu do pełnej informacji o pacjencie, jak również proces koordynacji podmiotów medycznych na różnych poziomach, to zasadnicze warunki, by wcielić zmiany w życie – dodał.

  • Centrum Systemów Informacyjnych Ochrony Zdrowia informuje, że na potrzeby budowy lub dostosowania systemów usługodawców do komunikacji z systemem P1 została udostępniona pierwsza wersja dokumentacji integracyjnej w zakresie zapisu i odczytu elektronicznych recept. Publikacje kolejnych wersji będą zawierać pozostałe usługi niezbędne do obsługi e-Recepty, w tym realizacji.Dokumentacja integracyjna obejmuje: Specyfikację usług Kody błędów Opis i strukturę dokumentu elektronicznej recepty (zgodnego z HL7 CDA oraz IHE PRE) Zasady otrzymania dostępu do środowiska integracyjnego Ponadto, w dniu 1 lipca br. uruchomione zostanie środowisko integracyjne pozwalające na ewaluację poprawności implementacji usług sieciowych, których specyfikacja jest przedmiotem niniejszej publikacji.

  • Proces podłączenia do Zintegrowanego Systemu Monitorowania Obrotu Produktami Leczniczymi (ZSMOPL) podzielony jest na 2 etapy: weryfikacja na środowisku ewaluacyjnym;praca na środowisku produkcyjnym. Centrum Systemów Informacyjnych Ochrony Zdrowia (CSIOZ) w celu umożliwienia podmiotom raportującym weryfikacji poprawności wysyłanych komunikatów, udostępnia środowisko ewaluacyjne Zintegrowanego Systemu Monitorowania Obrotu Produktami Leczniczymi pod adresem: https://ewa-zsmopl.ezdrowie.gov.pl/  Sposób podłączenia systemów lokalnych do ZSMOPL na środowisku ewaluacyjnym oraz uzyskania certyfikatu, opisuje dokument "Procedura nadawania uprawnień na środowisku ewaluacyjnym ZSMOPL" oraz „Procedura uzyskania certyfikatu do ZSMOPL na potrzeby ewaluacji” (procedurę uzyskania certyfikatu zaktualizowano dnia 2017-01-31).

  • Centrum Systemów Informacyjnych Ochrony Zdrowia zaprasza na dwudniową konferencję pn. AKADEMIA CSIOZ. I Konferencja „Informatyzacja podmiotów leczniczych – korzyści z wdrożenia i plany na przyszłość", która odbędzie się w dniach 5-6 czerwca 2017 r. w Warszawie.Konferencja adresowana jest do osób odpowiedzialnych za przygotowywanie i wdrażanie rozwiązań informatycznych w podmiotach leczniczych, w szczególności do: kadry zarządzającej i managerów IT w podmiotach leczniczych oraz przedstawicieli samorządów wojewódzkich.Dwudniowa konferencja jest zaproszeniem do debaty nt. doświadczeń i trudności jakie towarzyszą przy wdrażaniu elektronicznej dokumentacji medycznej w podmiotach leczniczych przy obecnych uwarunkowaniach, zarówno legislacyjnych jak i technologicznych. Podczas konferencji zaprezentowane zostaną również korzyści płynące z wdrażania rozwiązań IT w podmiotach leczniczych.Zapraszamy do udziału.

  • Szanowni Państwo, Serdecznie zapraszamy przedstawicieli dostawców systemów informatycznych dla sektora ochrony zdrowia na spotkanie w sprawie Rady ds. Interoperacyjności, które odbędzie się 24 maja o godz. 10:30 w siedzibie Centrum Systemów Informacyjnych Ochrony Zdrowia, przy ul. Stanisława Dubois 5A, 00-184 Warszawa.  Jednocześnie uprzejmie informujemy, iż zgodnie z ustaleniami jest to cykliczne spotkanie podmiotów z sektora ICT przed najbliższym posiedzeniem Rady ds. Interoperacyjności. Spotkanie dotyczyć będzie dokumentacji Projektu P1 dla Etapu 2 oraz Etapu 3. Uprzejmie prosimy o zapoznanie się z zamieszczoną poniżej dokumentacją.Zgłoszenia do wzięcia udziału w spotkaniu należy przesyłać do 23 maja do godz. 12:00 na adres e-mail: j.wiszniewska@csioz.gov.pl .Zapraszamy.

Szukasz starszych aktualności, przejdź do ARCHIWUM