Wyjaśnienia do artykułu dotyczącego zabezpieczania danych medycznych pacjentów, gromadzonych w postaci elektronicznej

W związku z artykułem „Informatyzacja szpitali po polsku. Dane o naszych chorobach nie są zabezpieczane nawet hasłem” opublikowanym w dniu 23 listopada 2016 r. na portalu www.tokfm.pl oraz artykułem „GIODO powinno pójść do lekarza” opublikowanym w Dzienniku Gazecie Prawnej wyjaśniamy, że stwierdzenie zawarte w powyższych artykułachCentrum Systemów Informacyjnych Ochrony Zdrowia nie martwi się tym, że dostęp do danych medycznych pacjentów nie jest wystarczająco chroniony, nie jest prawdą.

Centrum Systemów Informacyjnych Ochrony Zdrowia prowadzi szereg działań mających na celu zwiększenie świadomości i poprawę sytuacji związanej z bezpieczeństwem i ochroną danych osobowych w dokumentacji medycznej. W 2013 r. Centrum opublikowało dokument „Wytyczne, zasady i rekomendacje dla usługodawców dotyczące bezpiecznego przetwarzania elektronicznej dokumentacji medycznej”. Informacje zawarte w dokumencie są nieustannie monitorowane i uaktualnianie, do końca bieżącego roku planowana jest publikacja zaktualizowanej wersji dokumentu. Ponadto, stale współpracujemy z organami założycielskimi podmiotów leczniczych, gdzie podejmujemy rozmowy podczas których podkreślamy jak ważną kwestią jest ochrona danych osobowych. Dodatkowo prowadzimy działania edukacyjne, w tym roku rozpoczęliśmy organizację warsztatów dla pracowników działów IT podmiotów leczniczych, na których również przekazujemy informacje związane z bezpieczeństwem i ochroną danych osobowych w systemach teleinformatycznych.

Interpretacja wyników badań ankietowych opublikowanych na stronie CSIOZ przez autorów artykułów jest niewłaściwa. Wyjaśnienia wymaga podstawowa różnica pomiędzy autoryzacją dokumentacji medycznej a uwierzytelnieniem do systemu informatycznego. W przytoczonym badaniu CSIOZ pytało wyłącznie o autoryzację dokumentacji medycznej, a nie o uwierzytelnienie do systemu.

Autoryzacja dokumentacji  medycznej jest to potwierdzenie przez pracownika medycznego  niezaprzeczalności i integralności informacji zawartych w dokumentacji medycznej natomiast uwierzytelnienie do systemu, jest to zapewnienie że informacja nie jest udostępniana lub ujawniana nieautoryzowanym osobom, podmiotom lub procesom, jest  to zapewnienie poufności, dostępności i rozliczalności oraz niezaprzeczalności.

Dokumentacja medyczna przetwarzana w systemach informatycznych, przetwarzana jest zgodnie z zapewnieniem  podstawowych atrybutów bezpieczeństwa jakimi są poufność, dostępność i integralność. Powyższe wymaganie zawarte jest w polityce bezpieczeństwa informacji podmiotów świadczących usługi medyczne, każda polityka zawiera sposób dostępu do dokumentacji medycznej. Wg danych zebranych w ramach opublikowanego przez CSIOZ badania wynika, że polityki bezpieczeństwa informacji posiada  82% ankietowanych szpitali.

Zapewnienie bezpieczeństwa przetwarzanych informacji, w tym danych osobowych wrażliwych jakimi są dane medyczne pacjentów, powinno być realizowane za pomocą wdrożenia niezbędnych zabezpieczeń  na poziomie organizacyjnym, technicznym i fizycznym. 

Wdrożone zabezpieczenia zapewniają autoryzację dokumentacji poprzez ich niezaprzeczalność i rozliczalność realizowaną za pomocą mechanizmów uwierzytelniających i metod kryptograficznych (kwalifikowany podpis elektroniczny, profil zaufany). Podmioty zapytane o stosowanie jednej ze wskazanych w ankiecie metod autoryzacji elektronicznych dokumentów medycznych w rozumieniu ustawy o SIOZ odpowiadały: tylko poprzez uwierzytelnienie użytkownika w lokalnym systemie informatycznym- 470 szpitali, podpis elektroniczny potwierdzony profilem zaufanym ePUAP- 43 szpitale oraz kwalifikowany podpis elektroniczny- 73 szpitale.

Uwierzytelnienie do systemów informatycznych umożliwiający dostęp uprawnionych użytkowników do dokumentacji medycznej realizowane może być za pomocą kilku sposobów takich jak mechanizmy uwierzytelniające kryptograficzne, wykorzystujące certyfikaty, mechanizmy podwójnego uwierzytelnienia np. identyfikator użytkownika i hasło generowane za pomocą tokena lub otrzymywane drogą sms oraz tradycyjne login i hasło realizowane poprzez przydzielenie niepowtarzalnego identyfikatora użytkownikowi oraz hasła spełniającego wymagania Rozporządzenia ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024).

Powyższe zgodne jest z obowiązującym prawem.

Aktualności

  • W czwartek 19 października w godzinach 18.00 – 24.00 prowadzone będą prace techniczne systemu administracji P2 SA. W związku z tym mogą wystąpić czasowe utrudnienia polegające na braku możliwości logowania w systemach udostępnianych przez CSIOZ.Za utrudnienia przepraszamy.

    Czytaj więcej
  • W zakładce interoperacyjność udostępniamy wersję 2.12 dokumentu specyfikacji technicznej Zintegrowanego Systemu Monitorowania Obrotu Produktami Leczniczymi.Aktualna wersja specyfikacji  zawiera zmiany w sposobie identyfikacji podmiotu odpowiedzialnego raportującego do systemu oraz podmiotu odpowiedzialnego będącego drugą stroną transakcji.

    Czytaj więcej
  • 16 października CSIOZ dokonało otwarcia ofert złożonych w postępowaniu na Dokończenie budowy Projektu pn. Elektroniczna Platforma Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych (Projekt P1), jego utrzymanie i rozwój, które zostało podzielone na części.

    Czytaj więcej
  • W związku z zakończeniem prac optymalizujących procesy związane z zasileniami słownikami środowiska ewaluacyjnego ZSMOPL informujemy, że z dniem 18 października  usunięte zostaną komunikaty, które do tej pory podmioty raportujące przesłały do ZSMOPL.Prosimy o kontynuację testów na środowisku ewaluacyjnym ZSMOPL, które zostało zasilone pełnym słownikiem produktów leczniczych.

    Czytaj więcej
  • Informujemy, że w piątek 13 października po godzinie 12.00 mogą wystąpić utrudnienia w kontakcie telefonicznym z konsultantami infolinii systemów udostępnianych przez CSIOZ. W związku z powyższym uprzejmie prosimy o mailowe przekazywanie zgłoszeń i zapytań.

    Czytaj więcej
  • Centrum Systemów Informacyjnych Ochrony Zdrowia zostało partnerem Projektu TUKAN, realizowanego przez Polskie Stowarzyszenie HL7.Platforma Tukan ma umożliwiać niezależną weryfikację systemów IT stosowanych w ochronie zdrowia pod kątem ich zgodności z profilami oraz standardami interoperacyjności. Użytkownikami platformy są producenci i odbiorcy oprogramowania.

    Czytaj więcej
  • Informujemy, że funkcjonalność polegająca na zakładaniu kont w SMK została przywrócona.

    Czytaj więcej
  • Szanowni Państwo, Informujemy, że w związku z wdrożeniem nowej wersji aplikacji Systemu Monitorowania Kształcenia wystąpił problem z zakładaniem nowych kont. Aktualnie trwają prace nad jak najszybszym rozwiązaniem problemu. O dostępności ww. funkcjonalności powiadomimy Państwa niezwłocznie odrębnym komunikatem po jej przywróceniu.Przepraszamy za utrudnienia.

    Czytaj więcej
  • Informujemy, że dzisiaj w godz. 13.10-13:25 System Monitorowania Kształcenia będzie niedostępny. Przerwa w dostępie do systemu wynika z zaplanowanych prac serwisowych.Za utrudnienia przepraszamy.

    Czytaj więcej

Szukasz starszych aktualności, przejdź do ARCHIWUM