Wyjaśnienia do artykułu dotyczącego zabezpieczania danych medycznych pacjentów, gromadzonych w postaci elektronicznej

W związku z artykułem „Informatyzacja szpitali po polsku. Dane o naszych chorobach nie są zabezpieczane nawet hasłem” opublikowanym w dniu 23 listopada 2016 r. na portalu www.tokfm.pl oraz artykułem „GIODO powinno pójść do lekarza” opublikowanym w Dzienniku Gazecie Prawnej wyjaśniamy, że stwierdzenie zawarte w powyższych artykułachCentrum Systemów Informacyjnych Ochrony Zdrowia nie martwi się tym, że dostęp do danych medycznych pacjentów nie jest wystarczająco chroniony, nie jest prawdą.

Centrum Systemów Informacyjnych Ochrony Zdrowia prowadzi szereg działań mających na celu zwiększenie świadomości i poprawę sytuacji związanej z bezpieczeństwem i ochroną danych osobowych w dokumentacji medycznej. W 2013 r. Centrum opublikowało dokument „Wytyczne, zasady i rekomendacje dla usługodawców dotyczące bezpiecznego przetwarzania elektronicznej dokumentacji medycznej”. Informacje zawarte w dokumencie są nieustannie monitorowane i uaktualnianie, do końca bieżącego roku planowana jest publikacja zaktualizowanej wersji dokumentu. Ponadto, stale współpracujemy z organami założycielskimi podmiotów leczniczych, gdzie podejmujemy rozmowy podczas których podkreślamy jak ważną kwestią jest ochrona danych osobowych. Dodatkowo prowadzimy działania edukacyjne, w tym roku rozpoczęliśmy organizację warsztatów dla pracowników działów IT podmiotów leczniczych, na których również przekazujemy informacje związane z bezpieczeństwem i ochroną danych osobowych w systemach teleinformatycznych.

Interpretacja wyników badań ankietowych opublikowanych na stronie CSIOZ przez autorów artykułów jest niewłaściwa. Wyjaśnienia wymaga podstawowa różnica pomiędzy autoryzacją dokumentacji medycznej a uwierzytelnieniem do systemu informatycznego. W przytoczonym badaniu CSIOZ pytało wyłącznie o autoryzację dokumentacji medycznej, a nie o uwierzytelnienie do systemu.

Autoryzacja dokumentacji  medycznej jest to potwierdzenie przez pracownika medycznego  niezaprzeczalności i integralności informacji zawartych w dokumentacji medycznej natomiast uwierzytelnienie do systemu, jest to zapewnienie że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom, jest  to zapewnienie poufności, dostępności i rozliczalności oraz niezaprzeczalności.

Dokumentacja medyczna przetwarzana w systemach informatycznych, przetwarzana jest zgodnie z zapewnieniem  podstawowych atrybutów bezpieczeństwa jakimi są poufność, dostępność i integralność. Powyższe wymaganie zawarte jest w polityce bezpieczeństwa informacji podmiotów świadczących usługi medyczne, każda polityka zawiera sposób dostępu do dokumentacji medycznej. Wg danych zebranych w ramach opublikowanego przez CSIOZ badania wynika, że polityki bezpieczeństwa informacji posiada  82% ankietowanych szpitali.

Zapewnienie bezpieczeństwa przetwarzanych informacji, w tym danych osobowych wrażliwych jakimi są dane medyczne pacjentów, powinno być realizowane za pomocą wdrożenia niezbędnych zabezpieczeń  na poziomie organizacyjnym, technicznym i fizycznym. 

Wdrożone zabezpieczenia zapewniają autoryzację dokumentacji poprzez ich niezaprzeczalność i rozliczalność realizowaną za pomocą mechanizmów uwierzytelniających i metod kryptograficznych (kwalifikowany podpis elektroniczny, profil zaufany). Podmioty zapytane o stosowanie jednej ze wskazanych w ankiecie metod autoryzacji elektronicznych dokumentów medycznych w rozumieniu ustawy o SIOZ odpowiadały: tylko poprzez uwierzytelnienie użytkownika w lokalnym systemie informatycznym- 470 szpitali, podpis elektroniczny potwierdzony profilem zaufanym ePUAP- 43 szpitale oraz kwalifikowany podpis elektroniczny- 73 szpitale.

Uwierzytelnienie do systemów informatycznych umożliwiający dostęp uprawnionych użytkowników do dokumentacji medycznej realizowane może być za pomocą kilku sposobów takich jak mechanizmy uwierzytelniające kryptograficzne, wykorzystujące certyfikaty, mechanizmy podwójnego uwierzytelnienia np. identyfikator użytkownika i hasło generowane za pomocą tokena lub otrzymywane drogą sms oraz tradycyjne login i hasło realizowane poprzez przydzielenie niepowtarzalnego identyfikatora użytkownikowi oraz hasła spełniającego wymagania Rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

Powyższe zgodne jest z obowiązującym prawem.

Aktualności

  • 25 kwietnia br. podczas konferencji "Włączenie Cyfrowe. Dostępne e-Usługi", która odbyła się w Sejmie RP, Fundacja Widzialni przedstawiła wyniki badania „Raport Dostępności 2017”.Raport jest rezultatem kompleksowych badań stron internetowych administracji publicznej pod kątem ich zgodności z wymaganiami standardu WCAG 2.0 AA.Tegoroczne badania wykazały, że blisko połowa ( 48,7 %) publicznych stron www jest już dostosowana do potrzeb osób z niepełnosprawnością.Tym bardziej czujemy się wyróżnieni, że strona www.csioz.gov.pl zajęła pierwsze miejsce w rankingu i uzyskała ocenę bardzo dobrą. Wg ekspertów „serwis csioz.gov.pl został wykonany wzorcowo. Podczas badania nie znaleziono elementu, który wymagałby poprawy zarówno od strony funkcjonalnej jak i redakcyjnej”.Dziękując za uznanie, zapewniamy, że w dalszym ciągu pracujemy nad tym, aby poziom dostępności naszego serwisu był niezmiennie wysoki.

  • Centrum Systemów Informacyjnych Ochrony Zdrowia udostępnia po konsultacjach wersję 1.2 reguł biznesowych i walidacyjnych dla opracowanych typów elektronicznych dokumentów medycznych. Zaktualizowany w wyniku konsultacji dokument w wersji 1.2, zwany Regułami, zawiera Polską Implementację standardu HL7 CDA na potrzeby elektronicznych dokumentów medycznych:  Dokumenty przetwarzane na platformie P1 - status w trakcie tworzenia: e-Recepta, e-Skierowanie. Dokumenty indeksowane na platformie P1, wytwarzane na podstawie jednostkowych danych medycznych przetwarzanych w systemach informatycznych Podmiotów Wykonujących Działalność Leczniczą – status aktywny: karta informacyjna leczenia szpitalnego, karta odmowy przyjęcia do szpitala, konsultacja lekarska, karta indywidualnej opieki pielęgniarskiej, opis badania diagnostycznego, sprawozdanie z badania laboratoryjnego, protokół operacyjny, wpis do karty uodpornienia.

  • Z uwagi na bardzo duże zainteresowanie konsultacjami dokumentu „Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej" oraz wnioski o przedłużenie terminu, które wpłynęły do Centrum, informujemy, że przedłużamy termin konsultacji  do dnia 31 maja 2017 r.Prosimy o przesyłanie uwag na adres e-mail: koordynator@csioz.gov.pl, w temacie maila wpisując „Aktualizacja reguł bezpieczeństwa - uwagi”.

  • Szanowni Państwo, Zapraszamy przedstawicieli dostawców systemów informatycznych dla sektora ochrony zdrowia na spotkanie w sprawie Rady ds. Interoperacyjności, które odbędzie się 27 kwietnia o godz. 15:00 w siedzibie Centrum Systemów Informacyjnych Ochrony Zdrowia, przy ul. Stanisława Dubois 5A, 00-184 Warszawa.  Zgłoszenia do wzięcia udziału w spotkaniu należy przesyłać do 26 kwietnia do godz. 12:00 na adres e-mail: j.wiszniewska@csioz.gov.pl.Zapraszamy.

  • Zapraszamy na bezpłatne warsztaty dla pracowników działów IT podmiotów leczniczych organizowane przez Centrum Systemów Informacyjnych Ochrony Zdrowia. Jest to druga edycja warsztatów skierowanych do informatyków pracujących w podmiotach leczniczych, poprzednia edycja zorganizowana w październiku ubiegłego roku cieszyła się dużym zainteresowaniem.Zgodnie z przyjętymi założeniami zaplanowano organizację czterech spotkań ( min. jeden warsztat w miesiącu): Standardy interoperacyjności systemów teleinformatycznych. Projektowanie, architektura i integracja systemów teleinformatycznych. Podstawy HL7 CDA i praktyka implementacji standardu. Systemy teleinformatyczne do obsługi procesów biznesowych podmiotu leczniczego. Pierwszy z cyklu warsztatów odbędzie się 27 kwietnia 2017 r. w godz. od 9:00 do 15:00 w siedzibie Centrum Systemów Informacyjnych Ochrony Zdrowia przy ul. Stanisława Dubois 5A w Warszawie.

  • Szanowni Państwo, Z okazji nadchodzących Świąt Wielkanocnych składamy Państwu najserdeczniejsze życzenia.

  • Centrum Systemów Informacyjnych Ochrony Zdrowia udostępnia do konsultacji projekt dokumentu pn. „Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej".Uwagi do opublikowanych materiałów należy zgłaszać w terminie do 30 kwietnia 2017 r.  na adres e-mail: koordynator@csioz.gov.pl , w temacie maila wpisując „Aktualizacja reguł bezpieczeństwa - uwagi”.Komunikat o przedłużeniu terminu konsultacji do dnia 31 maja 2017 r.

  • W dniach 3-6 kwietnia br. przedstawiciele Centrum uczestniczyli w Connectathon 2017w Wenecji,  wydarzeniu organizowanym przez IHE-Europe. Connectathon to coroczny maraton testowy w czasie którego twórcy rozwiązań informatycznych testują systemy pod kątem ich zgodności z profilami integracyjnymi IHE.W programie Connectathon 2017 zaplanowanych było kilka wydarzeń, w których uczestniczyli przedstawiciele CSIOZ, m.in.: VIP Tours, podczas którego uczestnicy mieli możliwość  obserwowania organizacji testujących interoperacyjność opartą na standardach w ramach regionalnych lub krajowych projektów e-Zdrowia oraz omówienia różnych kwestii z ekspertami IHE, IHE Symposium – spotkanie poświęcone omówieniu „Interoperacyjności w e-Zdrowiu” m.in. kwestii dot. europejskiej strategii na rzecz e-Zdrowia i interoperacyjności w usługach e-Zdrowia.

  • Informujemy, że od dnia 7 kwietnia 2017 r. w systemie ePUAP zostanie wyłączona możliwość autoryzacji użytkownika przy użyciu haseł jednorazowych przesyłanych na wskazany przez użytkownika adres poczty elektronicznej. Tym samym autoryzacja w systemie ePUAP możliwa będzie wyłącznie za pośrednictwem haseł jednorazowych przesyłanych na wskazany przez użytkownika numer telefonu komórkowego albo za pomocą środków identyfikacji elektronicznej stosowanych do uwierzytelnienia w systemie teleinformatycznym podmiotu niepublicznego. Dotyczy to wszystkich użytkowników Profilu Zaufanego ePUAP: osób fizycznych, jak i pracowników administracji publicznej wykorzystujących Profil Zaufany ePUAP do celów służbowych.By nadal mieć możliwość korzystania z profilu zaufanego ePUAP, należy uzupełnić numer telefonu komórkowego oraz zmienić metodę autoryzacji na jednorazowe kody sms. W tym celu należy zalogować się w serwisie pz.gov.

Szukasz starszych aktualności, przejdź do ARCHIWUM