Dokumentacja medyczna w chmurze

Wielokrotnie już zdarzało się, że szumnie zapowiadano wprowadzenie nowych rozwiązań dotyczących wykonywania zawodu lekarza, a potem – tuż przed terminem, od którego miały one obowiązywać – odsuwano je w czasie. Doskonałym przykładem jest wprowadzenie elektronicznej dokumentacji medycznej.

Foto: pixabay.com

W roku 2011, kiedy wchodziła w życie ustawa z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, papierowa dokumentacja medyczna miała zniknąć z gabinetów od 1 sierpnia 2014 r. Pod koniec czerwca 2014 r. termin ten pośpiesznie zmieniono na 1 sierpnia 2017 r., a w grudniu 2015 r. na 1 stycznia 2018 r.

O ile nic się nie zmieni, do tak zasadniczej zmiany pozostał niewiele ponad rok. Rozwiązania techniczne pozwalające sprostać nowym wymaganiom opierają się również na usługach w chmurach danych. Pozwala to na zmniejszenie kosztów dostosowania się do nowych wymagań. Ponieważ dokumentacja medyczna zawiera wrażliwe dane osobowe i objęta jest tajemnicą lekarską, warto przeanalizować prawną dopuszczalność takiego sposobu jej przetwarzania.

Zgodnie z ustawą o systemie informacji w ochronie zdrowia, elektroniczna dokumentacja medyczna to: dokument elektroniczny umożliwiający uzyskanie świadczenia opieki zdrowotnej określonego rodzaju, a także wytworzona w postaci elektronicznej dokumentacja medyczna indywidualna (z wyłączeniem skierowań) w rozumieniu przepisów wydanych na podstawie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta.

Do grudnia 2015 r. można było mieć uzasadnione wątpliwości co do dopuszczalności takich rozwiązań. Jednak ze zmianą art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta wprost dopuszczono możliwość powierzenia podmiotowi zewnętrznemu przetwarzania dokumentacji medycznej. Przepisy wymagają do tego spełnienia kilku warunków:

1) zapewnienia ochrony danych osobowych,

2) umożliwienia kontroli prawidłowości przetwarzania dokumentacji,

3) świadczenia tych usług w sposób, który nie będzie zakłócał udzielania świadczeń zdrowotnych, szczególnie zapewnienia niezwłocznego dostępu do dokumentacji medycznej.

Rozszerzono też krąg osób, które mogą mieć dostęp do dokumentacji medycznej o osoby wykonujące czynności związane z utrzymaniem systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna i zapewnieniem bezpieczeństwa tego systemu. Muszą one jednak wykonywać te czynności na podstawie upoważnienia administratora danych (w przypadku gabinetu – lekarza, który go prowadzi).

Są też zobowiązane do zachowania w tajemnicy danych związanych z pacjentem, także po jego śmierci. Powierzenie przetwarzania danych następuje w trybie przewidzianym w art. 31 ust. 1 ustawy o ochronie danych osobowych – poprzez zawarcie pisemnej umowy o powierzenie przetwarzania danych.

Podmiot przetwarzający na tej podstawie dane medyczne musi spełniać wymogi dotyczące zabezpieczenia danych określone w przepisach art. 36-39 ustawy o ochronie danych osobowych oraz w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r . w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Należy wobec tego wybrać podmiot spełniający takie warunki i zadbać, by zapewnienie o ich spełnieniu znalazło się w postanowieniach umowy. Konieczne jest też zmodyfikowanie wewnętrznej dokumentacji związanej z ochroną danych osobowych – w polityce bezpieczeństwa należy wskazać miejsca i zasoby wykorzystywane do przetwarzania danych. Wyklucza to możliwość przetwarzania dokumentacji w tzw. chmurach publicznych.

Szczegółowe wymagania stawiane dokumentacji elektronicznej określają przepisy §§ 80-86 rozporządzenia Ministra Zdrowia z 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania. Odsyłają one do Polskich Norm, których przedmiotem są zasady gromadzenia i wymiany informacji w ochronie zdrowia. Stają się one przez to obowiązującymi przepisami prawa w tym zakresie. Systemy przetwarzające dokumentację muszą wobec tego im odpowiadać.

Jarosław Klimek
Radca prawny OIL w Łodzi

Źródło: „Gazeta Lekarska” nr 11/2016

„Ignorantia iuris nocet” (łac. nieznajomość prawa szkodzi) – to jedna z podstawowych zasad prawa, pokrewna do „Ignorantia legis non excusat” (łac. nieznajomość prawa nie jest usprawiedliwieniem). Nawet jeśli nie interesuje cię prawo medyczne, warto regularnie śledzić dział Prawo w portalu „Gazety Lekarskiej”. Znajdziesz tu przydatne informacje o ważnych przepisach w ochronie zdrowia – zarówno już obowiązujących, jak i dopiero planowanych.