Przejdź do treści

Wyjaśnienia do artykułu dotyczącego zabezpieczania danych medycznych pacjentów, gromadzonych w postaci elektronicznej

W związku z artykułem „Informatyzacja szpitali po polsku. Dane o naszych chorobach nie są zabezpieczane nawet hasłem” opublikowanym w dniu 23 listopada 2016 r. na portalu www.tokfm.pl oraz artykułem „GIODO powinno pójść do lekarza” opublikowanym w Dzienniku Gazecie Prawnej wyjaśniamy, że stwierdzenie zawarte w powyższych artykułachCentrum Systemów Informacyjnych Ochrony Zdrowia nie martwi się tym, że dostęp do danych medycznych pacjentów nie jest wystarczająco chroniony, nie jest prawdą.

Centrum Systemów Informacyjnych Ochrony Zdrowia prowadzi szereg działań mających na celu zwiększenie świadomości i poprawę sytuacji związanej z bezpieczeństwem i ochroną danych osobowych w dokumentacji medycznej. W 2013 r. Centrum opublikowało dokument „Wytyczne, zasady i rekomendacje dla usługodawców dotyczące bezpiecznego przetwarzania elektronicznej dokumentacji medycznej”. Informacje zawarte w dokumencie są nieustannie monitorowane i uaktualnianie, do końca bieżącego roku planowana jest publikacja zaktualizowanej wersji dokumentu. Ponadto, stale współpracujemy z organami założycielskimi podmiotów leczniczych, gdzie podejmujemy rozmowy podczas których podkreślamy jak ważną kwestią jest ochrona danych osobowych. Dodatkowo prowadzimy działania edukacyjne, w tym roku rozpoczęliśmy organizację warsztatów dla pracowników działów IT podmiotów leczniczych, na których również przekazujemy informacje związane z bezpieczeństwem i ochroną danych osobowych w systemach teleinformatycznych.

Interpretacja wyników badań ankietowych opublikowanych na stronie CSIOZ przez autorów artykułów jest niewłaściwa. Wyjaśnienia wymaga podstawowa różnica pomiędzy autoryzacją dokumentacji medycznej a uwierzytelnieniem do systemu informatycznego. W przytoczonym badaniu CSIOZ pytało wyłącznie o autoryzację dokumentacji medycznej, a nie o uwierzytelnienie do systemu.

Autoryzacja dokumentacji  medycznej jest to potwierdzenie przez pracownika medycznego  niezaprzeczalności i integralności informacji zawartych w dokumentacji medycznej natomiast uwierzytelnienie do systemu, jest to zapewnienie że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom, jest  to zapewnienie poufności, dostępności i rozliczalności oraz niezaprzeczalności.

Dokumentacja medyczna przetwarzana w systemach informatycznych, przetwarzana jest zgodnie z zapewnieniem  podstawowych atrybutów bezpieczeństwa jakimi są poufność, dostępność i integralność. Powyższe wymaganie zawarte jest w polityce bezpieczeństwa informacji podmiotów świadczących usługi medyczne, każda polityka zawiera sposób dostępu do dokumentacji medycznej. Wg danych zebranych w ramach opublikowanego przez CSIOZ badania wynika, że polityki bezpieczeństwa informacji posiada  82% ankietowanych szpitali.

Zapewnienie bezpieczeństwa przetwarzanych informacji, w tym danych osobowych wrażliwych jakimi są dane medyczne pacjentów, powinno być realizowane za pomocą wdrożenia niezbędnych zabezpieczeń  na poziomie organizacyjnym, technicznym i fizycznym. 

Wdrożone zabezpieczenia zapewniają autoryzację dokumentacji poprzez ich niezaprzeczalność i rozliczalność realizowaną za pomocą mechanizmów uwierzytelniających i metod kryptograficznych (kwalifikowany podpis elektroniczny, profil zaufany). Podmioty zapytane o stosowanie jednej ze wskazanych w ankiecie metod autoryzacji elektronicznych dokumentów medycznych w rozumieniu ustawy o SIOZ odpowiadały: tylko poprzez uwierzytelnienie użytkownika w lokalnym systemie informatycznym- 470 szpitali, podpis elektroniczny potwierdzony profilem zaufanym ePUAP- 43 szpitale oraz kwalifikowany podpis elektroniczny- 73 szpitale.

Uwierzytelnienie do systemów informatycznych umożliwiający dostęp uprawnionych użytkowników do dokumentacji medycznej realizowane może być za pomocą kilku sposobów takich jak mechanizmy uwierzytelniające kryptograficzne, wykorzystujące certyfikaty, mechanizmy podwójnego uwierzytelnienia np. identyfikator użytkownika i hasło generowane za pomocą tokena lub otrzymywane drogą sms oraz tradycyjne login i hasło realizowane poprzez przydzielenie niepowtarzalnego identyfikatora użytkownikowi oraz hasła spełniającego wymagania Rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

Powyższe zgodne jest z obowiązującym prawem.

Drukuj PDF Poleć

Inne aktualności

Aktualności

Szukasz starszych aktualności, przejdź do ARCHIWUM