Zdrowie
Czy elektroniczna dokumentacja medyczna zapewnia bezpieczeństwo przetwarzania danych?

Czy elektroniczna dokumentacja medyczna zapewnia bezpieczeństwo przetwarzania danych?

Prawo.pl

Aktualności

Data dodania: 08.08.2013

Doświadczenia we wdrożeniach, ale także w tworzeniu systemów informatycznych służących przetwarzaniu danych medycznych ukazują, że problem gwarancji prawdziwości i niemodyfikowalności wpisów w EDM jest dość znaczący. Polski prawodawca dość oszczędnie gospodaruje regulacjami prawnymi w tym zakresie. Te regulacje, które istnieją są tak dalece lakoniczne, że aż wydają się być niedostrzegalne.

1. Wymagania formalne EDM wg rozporządzenia dokumentacyjnego

Prawodawca zamknął wymagania formalne EDM w krótkim rozdziale 8 rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U. Nr 252, poz. 1697 z późn. zm.) - dalej r.d.m.Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (tekst jedn.: Dz. U. z 2012 r. poz. 159 z późn. zm.) - dalej u.p.p., która w art. 30 ust. 1 u.p.p. zawiera ustawowe upoważnienie do wydania rozporządzanie w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania także milczy na temat wymagań formalnych elektronicznej dokumentacji medycznej. Autorka ma w tym zakresie bardzo poważne wątpliwości o charakterze legislacyjnym. Czy potrzeba chronienia danych osobowych, w tym danych sensytywnych, powinna w całości być domeną aktu wykonawczego? W obszarze, przez Autorkę oznaczanym jako prawo ochrony zdrowia brak jakichkolwiek przepisów rangi ustawowej regulujących zasady obrotu danymi medycznymi. Nawet ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. Nr 113, poz. 657 z późn. zm.) - dalej u.s.i.m. nie zawiera w tym zakresie wyczerpujących regulacji. Stąd koniecznym jest odwoływanie się do reguł ogólnych. Fakt ten dziwi albowiem medycyna stanowi bardzo specyficzny rynek, także rynek obrotu danymi osobowymi.
Jak wskazuje Autorka, wymagania formalne dla elektronicznej dokumentacji medycznej zawarte są w rozporządzeniu w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania. Kluczowym jest w tym zakresie § 80 r.d.m. Dla tematyki niniejszego opracowania Autorka wskazuje na wymóg zawarty w § 80 pkt 2 r.d.m., który stanowi, że dokumentacja może być prowadzona w postaci elektronicznej, pod warunkiem prowadzenia jej w systemie teleinformatycznym zapewniającym zachowanie integralności i wiarygodności dokumentacji. Rozporządzenie w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania nie zawiera żadnego słownika czy też innego przepisu precyzującego znaczenie cytowanych terminów. Zgodnie z zasadami wykładni prawa należy zatem sięgać do reguł znaczeniowych języka polskiego. I tak, termin „integralność" według Słownika Języka Polskiego oznacza „integralny charakter czegoś, stan całkowity jakiejś rzeczy; nienaruszalność, niepodzielność" (http://sjp.pwn.pl/haslo.php?id=20277). W oparciu o wykładnię językową należy zatem rozumieć, że dokumentacja medyczna może być prowadzona w postaci elektronicznej pod warunkiem, że dane przypisane do konkretnego pacjenta, konkretnej procedury, konkretnej grupy pacjentów, itp. zawsze pozostają niezmienione. Naturalnie owa niezmienność nie dotyczy dodawania informacji. Konieczność dodawania informacji do już istniejącego zbioru jest istotą dokumentacji medycznej jako takiej. Innymi słowy wymogiem rozporządzenia w sprawie dokumentacji medycznej jest stała dostępność do pełnego zbioru uporządkowanych informacji, które nie mogą być modyfikowane retrospektywnie.
O ile odczytanie znaczenia terminu „integralność" nie przysparzało większych problemów, o tyle drugi z terminów użytych w § 80 pkt 2 r.d.m., tj.: „wiarygodność" stwarza znaczące wątpliwości. Według Słownika Języka Polskiego „wiarygodny" to „godny wiary, zasługujący na zaufanie". Wykładnia językowa nie przynosi zatem żadnego wyjaśnienia w zakresie spełnienia wymogu wiarygodności. Warto w tym miejscu sięgnąć do treści § 10 ust. 2 r.d.m., zgodnie z którym wpis w dokumentacji medycznej nie musi zawierać podpisu elektronicznego. W tym obszarze rodzi się pytanie o to, jak według prawodawcy należy zapewnić wiarygodność EDM i poszczególnego wpisu? O tym Autorka będzie wspominać w dalszej części opracowania.

2. Wymagania formalne EDM wg rozporządzenia MSWiA

Obok rozporządzenia w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania najważniejszym aktem prawnym regulującym zasady funkcjonowania systemów informatycznych przetwarzających dane medyczne jest rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 z późn. zm.) - dalej r.w.t.s.i. Powoływany akt prawny także stawia systemom informatycznym przetwarzającym dane osobowe, w tym służącym do przetwarzania danych medycznych, wymagania formalne. Zgodnie z postanowieniami § 4 pkt 5 w związku z § 3 r.w.t.s.i. jednym z obowiązków podmiotu przetwarzającego dane osobowe jest opracowanie polityki bezpieczeństwa. W ramach zaś polityki bezpieczeństwa należy określić środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. W odróżnieniu od rozporządzeniu w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania przepisy rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych zawierają legalne definicje. Poniżej Autorka dokona przeglądu wymagań formalnych ujętych w rozporządzeniu w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

2.1 Integralność

Według słownika zawartego w § 2 r.w.t.s.i. pod pojęciem „integralności danych" rozumie się właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany. Jak łatwo można dostrzec istnieje różnica między wykładnią dokonaną w części 1 niniejszego opracowania a cytowaną definicją z rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. W ocenie Autorki jednak nie należy dokonywać ocen wartościujących każdą z definicji, lecz uznać, że oba rozumienia pojęcia „integralność" muszą być spełnione łącznie w systemach informatycznych przetwarzających dane medyczne. Należy jednak podkreślić, że definicja zawarta w rozporządzeniu jest bliska technologicznie systemom informatycznym. Rozumienie integralności możliwe do odczytania na jego gruncie nie wprowadza żadnej modyfikacji w porównaniu z wymaganiami stawianymi dokumentacji papierowej. Tym bardziej należy dokonać syntezy obu definicji (językowej i zawartej w przedmiotowym rozporządzaniu) i uznać, że integralność to zwartość danych i gwarancja, że nie zostały zmodyfikowane w sposób niewidoczny w systemie. W ten sposób system gwarantuje, że dane nie zostały przerobione i nie zawierają informacji niekompletnych lub nieprawdziwych. Jest to jeden z obszarów wiarygodności EDM.

(...)

Fragment komentarza zamieszczonego w całości w publikacji Serwis Prawo i Zdrowie

Aktualności

Data dodania: 2013-08-08

Żeby widzieć komentarze musisz:

być zalogowanym do Facebooka
mieć zaakceptowaną politykę prywatności (pliki cookies)
korzystać z przeglądarki Chrome