1. Obowiązek prowadzenia e-dokumentacji medycznej

Obecnie świadczeniodawcy mają prawo prowadzenia dokumentacji medycznej zarówno w wersji papierowej, jak i elektronicznej. Taki stan prawny ulegnie jednak zmianie z dniem 1 stycznia 2018 r. Wynika to z faktu, iż dnia 1 stycznia 2012 r. weszła w życie ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia – dalej u.s.i.o.z. Zgodnie z jej art. 56 u.s.i.o.z., do dnia 31 grudnia 2017 r. dokumentacja może być prowadzona zarówno w wersji papierowej, jak i elektronicznej. Podsumowując zatem, od dnia 1 stycznia 2018 r. cała dokumentacja medyczna pacjentów będzie musiała być prowadzona wyłącznie w postaci elektronicznej.

Powyższa zmiana wiąże się w sposób bezpośredni z wprowadzanym przez ustawę o systemie informacji w ochronie zdrowia Systemem Informacji Medycznej, który ma stanowić spójną bazę danych i informacji związanych z udzielonymi lub planowanymi świadczeniami opieki zdrowotnej. Jak można przeczytać w uzasadnieniu do projektu tej ustawy: „System Informacji Medycznej SIM umożliwia wymianę danych i informacji pomiędzy usługodawcami – w zakresie wymiany drogą elektroniczną dokumentacji medycznej, automatycznego dostępu do dokumentów elektronicznych związanych z kontynuacją leczenia (e-skierowanie, e-recepta, e-zlecenie) oraz dostępu usługodawców do informacji o stanie zdrowia usługobiorcy lub stosowanych poprzednio metodach leczenia – co pozwoli na przyspieszenie wymiany informacji, ograniczy koszty związane np. z powtarzaniem badań diagnostycznych w celu ustalenia stanu zdrowia usługobiorcy”.

Na tle powyższej zmiany powstaje jednak istotne pytanie praktyczne. Skoro bowiem ustawodawca wprowadza z dniem 1 stycznia 2018 r. obowiązek prowadzenia dokumentacji medycznej wyłącznie w formie elektronicznej, a jak wiadomo proces leczenia pacjenta ma zwykle charakter ciągły, zatem co należy zrobić z dokumentacją, która powstanie przed wyżej wskazaną datą. W praktyce spotykamy się z wątpliwościami wyrażanymi przez świadczeniodawców, dotyczącymi zaistnienia ewentualnego obowiązku jej skanowania i umieszczania w spójnym systemie elektronicznym. Powyższe wątpliwości można rozwiać opierając się na dwóch argumentach. Po pierwsze, brak jest jakiegokolwiek przepisu prawa, który ustanawiałby obowiązek elektronicznej archiwizacji dokumentacji medycznej w związku z brzmieniem art. 56 u.s.i.o.z.. Po drugie, wydaje się, iż wprowadzenie powyższego obowiązku, a tym samym narażenie podmiotów prowadzących działalność leczniczą na wysokie koszty związane z jego realizacją, byłoby sprzeczne z zasadą racjonalnego ustawodawcy. Podsumowując zatem, w ocenie komentatorów brak jest podstaw prawnych określających obowiązek świadczeniodawców do umieszczania archiwalnej papierowej dokumentacji pacjenta w systemie elektronicznym po dniu 1 stycznia 2018 r., np. w formie skanów.

2.Pojęcie należytej staranności

Omawiając zagadnienie należytego prowadzenia dokumentacji medycznej, trzeba w pierwszej kolejności zadać pytanie, jak rozumieć pojęcie należytego jej prowadzenia, zwłaszcza biorąc pod uwagę fakt, iż przepisy prawa nie wskazują jasnej definicji w tym zakresie. Słuszne wydaje się stanowisko, iż należyte prowadzenie dokumentacji to inaczej prowadzenie jej z należytą starannością. Definiując z kolei pojęcie należytej staranności, pomocne mogą okazać się regulacje kodeksu cywilnego.

Za podstawę rozważań należy przyjąć treść art. 355 § 1 ustawy z dnia 23 kwietnia 1964 r. – Kodeks cywilny – dalej k.c., zgodnie z którym: „Dłużnik obowiązany jest do staranności ogólnie wymaganej w stosunkach danego rodzaju (należyta staranność)”. Analiza dostępnego piśmiennictwa i orzecznictwa w zakresie pojęcia należytej staranności prowadzi do wniosku, iż przez należytą staranność rozumie się pewien sposób postępowania, który ma prowadzić do spełnienia świadczenia. Ma on charakter modelu lub wzorca, który jest skonstruowany z reguł postępowania (powinności). Zwracamy uwagę czytelników na użycie przez ustawodawcę sformułowania „ogólnie wymaganej” w treści cytowanego przepisu kodeksu cywilnego. W zakresie omawianego przez nas zagadnienia oznacza to, iż podstawę dla oceny, czy w danym stanie faktycznym dołożono należytej staranności przy prowadzeniu dokumentacji medycznej, stanowią wymagania o charakterze ogólnym mające postać powszechnej opinii o należytym postępowaniu w danej sytuacji, nie zaś wymagania czy oczekiwania pojedynczej osoby, np. pacjenta. Ponadto należy zwrócić uwagę, iż wskazany wzorzec postępowania winien mieć charakter obiektywny, co oznacza, że od dłużnika oczekuje się postępowania powszechnie uważanego za prawidłowe, bez względu na jego indywidualne cechy (tak m.in. E. Gniewek, Kodeks cywilny. Komentarz, Warszawa 2011; A. Kidyba, Kodeks cywilny. Komentarz, t. 3: Zobowiązania – część ogólna, Warszawa 2010).

W sposób szczególny jednak akcentujemy fakt, iż lekarze objęci są dużo surowiej określonym wzorcem postępowania, także w zakresie prowadzenia dokumentacji medycznej. Jest to efekt powszechnie przyjętego stanowiska, zgodnie z którym są oni członkami profesjonalnej grupy zawodowej, w stosunku do której wzorzec postępowania w ramach prowadzonej działalności gospodarczej lub zawodowej powinien być skonstruowany w sposób dużo bardziej surowy niż wobec osób podejmujących określone działania poza taką działalnością. Pogląd ten znajduje oparcie zarówno w piśmiennictwie, jak i w obowiązującym orzecznictwie, czego dowodem może być między innymi wyrok Sądu Apelacyjnego w Poznaniu z dnia 8 marca 2006 r., I ACa 1018/05, zgodnie z którym: „Należyta staranność dłużnika określana przy uwzględnieniu zawodowego charakteru prowadzonej przez niego działalności gospodarczej uzasadnia zwiększone oczekiwania co do umiejętności, wiedzy, skrupulatności i rzetelności, zapobiegliwości i zdolności przewidywania. Obejmuje także znajomość obowiązującego prawa oraz następstw z niego wynikających w zakresie prowadzonej działalności gospodarczej”.

Ocena, czy w danym stanie faktycznym doszło do naruszenia zasad należytej staranności, polega zatem na porównaniu konkretnego zachowania lub działania z ukształtowanym wzorcem postępowania, o którym była mowa we wcześniejszej części niniejszego komentarza. Wzorzec taki może wynikać bezpośrednio z przepisów prawa czy ze zbiorów norm etycznych, czego przykładem może być chociażby kodeks etyki lekarskiej. Powstaje zatem pytanie, według jakiego wzorca należy oceniać fakt należytego prowadzenia dokumentacji medycznej.

3.Należyte prowadzenie dokumentacji medycznej

Określając wzorzec postępowania w zakresie należytego prowadzenia dokumentacji medycznej, trzeba odwołać się do przepisów zawartych w rozporządzeniu Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania – dalej r.d.m. Analiza powyższego rozporządzenia pozwala na postawienie tezy, iż generalne zasady należytego prowadzenia dokumentacji medycznej pacjenta są następujące (§ 4, 5 i 6 r.d.m.):

1. wpis w dokumentacji dokonywany jest niezwłocznie po udzieleniu świadczenia;

2. każdy wpis oznaczony jest danymi osoby, która go dokonała;

3. wpis dokonany w dokumentacji nie może być z niej usunięty, możliwa jest natomiast jego zmiana w przypadku popełnienia błędu, jednakże w tym zakresie musi zostać zamieszczona szczegółowa adnotacja określająca przyczynę błędu oraz oznaczenie osoby, która dokonała zmiany wpisu;

4. strony dokumentacji medycznej muszą być ponumerowane;

5. dokumentacja powinna być wypełniana w sposób czytelny;

6. wpisy powinny być dokonywane chronologicznie;

7. każda strona dokumentacji danego pacjenta powinna być oznaczona przynajmniej jego imieniem i nazwiskiem; jeśli tożsamości pacjenta nie da się ustalić, zamieszcza się oznaczenie „NN” z podaniem przyczyn takiego stanu rzeczy;

8. dokument, który został włączony do dokumentacji, nie może być z niej usunięty.

Należy zauważyć, iż powyższe zasady odnoszą się do należytego prowadzenia dokumentacji zarówno w wersji papierowej, jak i elektronicznej. Jednakże w zakresie e-dokumentacji ustawodawca uznał za konieczne uzupełnienie katalogu zasad dotyczących jej prowadzenia, wprowadzając w treści rozporządzenia odrębny rozdział w tym zakresie. Zgodnie z § 80 r.d.m. elektroniczna dokumentacja medyczna jest prowadzona w ramach systemu teleinformatycznego. System ten musi zapewniać:

1. zabezpieczenie dokumentacji przed uszkodzeniem lub utratą – zabezpieczenia takie można podzielić na dwie grupy: pierwszą stanowią zabezpieczenia technologiczne, np. programy antywirusowe czy tzw. zapory sieciowe uniemożliwiające nieautoryzowany dostęp do danych z zewnątrz, drugą natomiast tworzą zabezpieczenia mechaniczne, do których zaliczyć można na przykład fakt, iż serwery, na których gromadzone są dane w ramach e-dokumentacji, znajdują się w pomieszczeniach zamkniętych, do których dostęp mają wyłącznie osoby upoważnione przez osobę kierującą danym podmiotem prowadzącym działalność leczniczą;

2. zachowanie integralności dokumentacji – dokumentacja musi być spójna i zgodna z faktycznym stanem zdrowia pacjenta;

3. stały dostęp dla osób uprawnionych oraz zabezpieczenie przed dostępem osób nieposiadających uprawnień – obecna praktyka pokazuje, iż ten warunek spełniany jest poprzez przyznanie każdej osobie pracującej w ramach systemu obsługującego e-dokumentację odrębnego loginu i hasła;

4. możliwość identyfikacji, w ramach systemu, osoby dokonującej wpisu jak i tej, która udzieliła świadczenia zdrowotnego – również ten warunek realizowany jest w ramach własnego loginu i hasła, gdy system dokonuje rejestracji wszelkich działań prowadzonych przez pracującą na nim osobę;

5. możliwość wyeksportowania danych z systemu do plików w formatach XML i PDF – zapis ten jest bardzo istotny z punktu widzenia wcześniej wspomnianej ustawy o systemie informacji w ochronie zdrowia, bowiem utworzony System Informacji Medycznej ma w założeniu ustawodawcy stanowić spójną platformę zawierającą dane dotyczące płatnika, usługodawców i usługobiorców, a zatem niewątpliwie bardzo istotnym i koniecznym elementem będzie możliwość przesyłania danych zawartych w dokumentacji medycznej w ramach całej platformy;

6. możliwość drukowania dokumentacji – z zachowaniem ogólnych zasad dotyczących obowiązku numerowania stron wydruku.

Podsumowując powyższe rozważania, należy stwierdzić, iż z należytym prowadzeniem elektronicznej dokumentacji medycznej będziemy mieli do czynienia wyłącznie w sytuacji łącznego spełnienia zasad zarówno ogólnych wynikających z § 4, 5 i 6 r.d.m., jak i tych określonych w § 80 r.d.m. Jednakże zdaniem autorów komentarza konieczne jest zwrócenie szczególnej uwagi czytelników na zagadnienie, które niewątpliwie wiąże się z prowadzeniem e-dokumentacji. Mowa tu o ochronie danych osobowych pacjenta. Podstawę dla dalszych rozważań stanowi norma prawna określona w § 83 ust. 1 r.d.m., zgodnie z którą dokumentację prowadzoną w postaci elektronicznej udostępnia się z zachowaniem jej integralności oraz ochrony danych osobowych.

4.Ochrona danych osobowych

Analiza ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych – dalej u.o.d.o. – pozwala stwierdzić, iż dane stanowiące informacje o stanie zdrowia pacjenta, czyli dane medyczne, zalicza się do tzw. wrażliwych danych osobowych (art. 27 u.o.d.o.). Dane te podlegają szczególnej ochronie i objęte są zakazem przetwarzania. Zakaz ten nie ma jednak charakteru bezwzględnego, gdyż zgodnie z art. 27 ust. 2 u.o.d.o. przetwarzanie ich dopuszczalne jest między innymi w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych. Tym samym ustawodawca dopuszcza przetwarzanie danych medycznych pacjenta także w ramach prowadzonej dokumentacji medycznej przez podmioty wykonujące działalność leczniczą. Ustawa jednak wyraźnie określa, że takie działania są dopuszczalne jedynie pod warunkiem stworzenia pełnych gwarancji dla ochrony danych osobowych. Zatem placówka medyczna będąca niewątpliwie administratorem danych osobowych, prowadząc e-dokumentację medyczną pacjenta i przetwarzając w jej ramach dane medyczne, zobowiązana jest do należytego ich zabezpieczenia.

W celu określenia zasad zapewniających odpowiedni poziom bezpieczeństwa danych medycznych, jakie powinien zagwarantować podmiot wykonujący działalność leczniczą, należy odwołać się do przepisów rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – dalej r.d.p.d.

Powyższe rozporządzenie definiuje trzy poziomy bezpieczeństwa przetwarzania danych osobowych w systemie informatycznym, w zależności od kategorii przetwarzanych danych:

1) poziom podstawowy – w sytuacji kiedy w systemie informatycznym nie są przetwarzane wrażliwe dane osobowe, a sam system nie ma połączenia z publiczną siecią informatyczną,

2) poziom podwyższony – w sytuacji kiedy w systemie informatycznym są przetwarzane wrażliwe dane osobowe, a sam system nie ma połączenia z publiczną siecią informatyczną,

3) poziom wysoki – w sytuacji kiedy w systemie informatycznym są przetwarzane wrażliwe dane osobowe, a sam system ma połączenie z publiczną siecią informatyczną.

Uwzględniając powyższe, trzeba stwierdzić, iż systemy informatyczne funkcjonujące w placówkach medycznych wyczerpują przesłanki do zastosowania wysokiego poziomu bezpieczeństwa przetwarzania danych osobowych pacjentów. Aby zatem zapewnić ochronę danych na właściwym poziomie, zgodnie z rozporządzeniem w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych podmiot prowadzący działalność leczniczą zobowiązany jest do przestrzegania następujących zasad:

1. zabezpieczenie budynków i pomieszczeń, w których przetwarzane są dane, przed dostępem osób nieuprawnionych;

2. stosowanie w systemie informatycznym mechanizmów kontroli dostępu – login i hasło;

3. zmiana haseł nie rzadziej niż co 30 dni – zmiana taka powinna być wymuszana przez system;

4. hasło musi każdorazowo zawierać co najmniej osiem znaków, w tym małe i wielkie litery oraz cyfry lub znaki specjalne;

5. zabezpieczenie przed nieuprawnionym dostępem do danych pochodzącym również z sieci publicznej oraz przed awarią zasilania;

6. wykonywanie kopii zapasowych zbioru danych oraz oprogramowania służącego do przetwarzania danych;

7. obowiązek niszczenia wszelkich elektronicznych nośników informacji, które zawierają dane osobowe, niestanowiących kopii zapasowych;

8. obowiązek stosowania środków kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

5. Certyfikat akredytacyjny a dokumentacja medyczna

Autorzy komentarza podkreślali już walor informacyjny i dowodowy dokumentacji prowadzonej w ramach placówek medycznych. Należy jednak zauważyć, iż należyte prowadzenie dokumentacji medycznej pacjentów stanowi również bardzo istotny element w ramach procedury uzyskania certyfikatu akredytacyjnego, który jest potwierdzeniem wysokiej oceny usług świadczonych w ramach danej placówki ochrony zdrowia. Ocena ta dokonywana jest w oparciu o zestaw tzw. standardów akredytacyjnych. Listę standardów określa obwieszczenie Ministra Zdrowia z dnia 18 stycznia 2010 r. w sprawie standardów akredytacyjnych w zakresie udzielania świadczeń zdrowotnych oraz funkcjonowania szpitali.

Analizując powyższe obwieszczenie, trzeba stwierdzić, iż w ramach grupy standardów „Ocena Stanu Pacjenta” jeden z nich oznaczony jest jako OS 5 i dotyczy elementów, jakie powinna zawierać dokumentacja medyczna pacjenta. Standard ten można zatem również traktować jako wzorzec dla określenia należycie prowadzonej dokumentacji medycznej. A zatem zgodnie z OS 5 dokumentacja powinna zawierać:

1. dane identyfikacyjne – imię, nazwisko, płeć, numer PESEL, dane kontaktowe pacjenta;

2. oświadczenie zawierające wskazanie osób lub osoby upoważnionej do uzyskiwania informacji o stanie zdrowia pacjenta;

3. wyniki badania podmiotowego – przeprowadzony wywiad z pacjentem;

4. ocenę stanu psychicznego pacjenta;

5. ocenę stanu społecznego pacjenta;

6. wyniki badania przedmiotowego – co najmniej wynik rutynowego badania fizykalnego wykonywanego w ramach danej placówki;

7. ocenę potrzeb żywieniowych pacjenta;

8. rozpoznanie;

9. codzienną ocenę lekarską;

10. ocenę pielęgniarską;

11. zapis określający lekarza odpowiadającego za opiekę nad pacjentem;

12. epikryzę ustaloną w czasie wypisu;

13. zalecenia końcowe.