Jak stwierdza GIODO, w poddanych kontroli podmiotach udzielających świadczeń zdrowotnych sposób zabezpieczenia dokumentacji medycznej często nie zapewnia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych.
Zgodnie z § 72 ust. 1 rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (Dz. U. Nr 252, poz. 1697) dokumentacja wewnętrzna powinna być przechowywana przez podmiot, który ją sporządził.
Dokumentacja zewnętrzna w postaci zleceń lub skierowań powinna być przechowywana przez podmiot, który zrealizował zlecone świadczenie zdrowotne.
Podmiot powinien zapewnić odpowiednie warunki zabezpieczające dokumentację przed zniszczeniem, uszkodzeniem lub utratą i dostępem osób nieupoważnionych, a także umożliwiające jej wykorzystanie bez zbędnej zwłoki. Przepisy nie precyzują, jakie warunki i użycie jakich środków czyni zadość bezpieczeństwu przechowywania dokumentacji. Mogą to być zatem dowolne środki, które zapewnią realizację tej normy. W sprawozdaniach ze swej działalności Generalny Inspektor Ochrony Danych Osobowych zauważa, iż w przypadku podmiotów udzielających świadczeń zdrowotnych podjęcie działań mających na celu właściwe zabezpieczenie danych jest o tyle istotne, że podmioty te przetwarzają dane o stanie zdrowia, które na gruncie przepisów o ochronie danych osobowych korzystają ze wzmożonej ochrony.
Publikacja "Dokumentacja medyczna" przedstawia zasady sporządzania, przechowywania, udostępniania i niszczenia dokumentacji medycznej. Autorzy przedstawili rolę i znaczenie dokumentacji nie tylko w aspekcie administracyjno-prawnym, ale także w obszarze stricte medycznym, związanym z procesami diagnostycznymi i terapeutycznymi zachodzącymi w placówkach medycznych.
Tymczasem GIODO zauważa, że w poddanych kontroli podmiotach sposób zabezpieczenia dokumentacji medycznej często nie zapewnia odpowiedniego poziomu bezpieczeństwa przetwarzanych danych. Uchybienia w tym zakresie polegają m.in. na przechowywaniu dokumentacji zawierającej dane osobowe, w tym dane o stanie zdrowia, na odkrytych regałach oraz w szafach niewyposażonych w zamki, a także w pomieszczeniach, do których dostęp mają osoby trzecie.
Miejsce przechowywania bieżącej dokumentacji wewnętrznej powinien określać podmiot, a w podmiocie leczniczym – kierownicy poszczególnych komórek organizacyjnych tego podmiotu w porozumieniu z kierownikiem podmiotu.
W przypadku likwidacji podmiotu leczniczego miejsce przechowywania dokumentacji określa:
1) podmiot, który utworzył zakład;
2) organ prowadzący rejestr podmiotów wykonujących działalność leczniczą, w przypadku gdy wykreślenie zakładu z rejestru nastąpiło w trybie i na zasadach określonych w ustawie o działalności leczniczej.
Jeżeli zadania zlikwidowanego podmiotu leczniczego przejmuje inny podmiot, podmiot ten przejmuje dokumentację tego zakładu.
Opracowano na podstawie fragmentów książki "Dokumentacja medyczna", autorzy: Tomasz Banaś , Tomasz Filarski , Marcin Mikos , Piotr Pochopień
\