System e-WUŚ a ochrona danych osobowych

Udzielanie dostępu do systemu elektronicznej weryfikacji uprawnień świadczeniobiorców czyli systemu eWUŚ odbywa się na zasadach określonych prawem i jest związane z przestrzeganiem ustawy o ochronie danych osobowych.

System eWUŚ jest systemem informatycznym przetwarzającym dane osobowe osób fizycznych. Celem przetwarzania jest weryfikacja uprawnień świadczeniobiorców do korzystania ze świadczeń opieki zdrowotnej finansowanych ze środków publicznych.

Świdczeniodawca czyli na przykład lekarz prowadzący prywatną praktykę lekarską i udzielający świadczeń refundowanych przez NFZ, może wystąpić z wnioskiem do odpowiedniego oddziału NFZ o udzielenie mu dostępu do systemu informatycznego eWUŚ.

Po spełnieniu odpowiednich warunków m.in zaakceptowaniu regulaminu świadczenia usług drogą elektroniczną oraz podpisaniu oświadczeń dotyczących zobowiązania się do przestrzegania ustawy o ochronie danych osobowych, świadczeniodawca uzyskuje dostęp do systemu e-WUŚ.

NFZ w wydawanych oświadczeniach przypomina, iż upoważnienie do korzystania z systemu e-WUŚ musi być wykorzystywane wyłącznie w celu realizacji podstawowego celu, jakim jest weryfikacja uprawnienia konkretnego świadczeniobiorcy, który chce skorzystać ze świadczenia.

Wykorzystywanie dostępu w jakimkolwiek innym celu, czy umożliwienie dostępu osobom nieupoważnionym jest nieuprawnione i może skutkować cofnięciem upoważnienia dostępu do systemu, jak również innym konsekwencjami prawnymi.

Ponadto dostęp do systemu informatycznego eWUś przetwarzającego dane osobowe pacjentów powinien być uwzględniony w polityce bezpieczeństwa danych osobowych świadczeniodawcy czyli podmiotu udzielającego świadczeń.

Elektroniczna dokumentacja medyczna

Czasy, w których dane medyczne zapisywane są na różnego rodzaju kartach papierowych niebawem staną się przeszłością. Dla większych placówek informatyzacja już stała się faktem. Całej branży medycznej pozostawiony został jednak czas na oswojenie się z jej wizją oraz odpowiednie przygotowanie, w szczególności w zakresie zapewnienia odpowiednich narzędzi informatycznych. Z dniem 1 sierpnia 2017 r. obowiązek prowadzenia dokumentacji medycznej w formie elektronicznej obejmie wszystkie podmioty udzielające świadczeń zdrowotnych.

Dane medyczne przetwarzane będą obowiązkowo w formie elektronicznej tworząc elektroniczną dokumentację medyczną w dużym szpitalu publicznym, prywatnej przychodni lekarskiej czy tworzonej w ramach prywatnej praktyki lekarskiej, w dużym mieście, małym miasteczku czy wiejskim ośrodku zdrowia, bez wyjątku.

Systemy informatyczne przeznaczone do przetwarzania danych medycznych powinny oczywiście umożliwiać tworzenie zgodnej z prawem dokumentacji medycznej. Muszą też uwzględniać wymagania prawa ochrony danych osobowych, o czym twórcy aplikacji przeznaczonej do przetwarzania danych medycznych, powinni pamiętać już na etapie projektowania.

W kontekście elektronicznej dokumentacji medycznej wyłania się problem, który dotyczy outsourcingu IT przez podmioty udzielające świadczeń zdrowotnych. Wprowadzenie obowiązku prowadzenia dokumentacji elektronicznej implikuje bowiem szereg problemów w sferze prawnej oraz czysto praktycznej.

Każdy podmiot udzielający świadczeń zdrowotnych tak prywatny, jak publiczny będzie musiał wyposażyć swoją placówkę w odpowiednią infrastrukturę oraz oprogramowanie IT. Duże podmioty z pewnością postawią na własne IT gwarantujące wysoki poziom bezpieczeństwa przetwarzanym danym medycznym. Małe podmioty, w ogromnej większości, rozważać będą skorzystanie z usług zewnętrznych podmiotów oferujących gotową aplikację do tworzenia dokumentacji medycznej.

Na dzień dzisiejszy jest z tym pewien problem, gdyż przepisy dotyczące tajemnicy medycznej nie uwzględniają możliwości outsourcingu. Niemniej jednak, jak wynika z oświadczeń Dyrektora CSIOZ trwają prace legislacyjne mające na celu niezbędną zmianę przepisów prawnych. Warto wspomnieć, iż GIODO Wojciech R. Wiewiórowski wielokrotnie monitował odpowiednie organy państwowe wskazując na potrzebę uregulowania tej ważnej kwestii i stworzenia podstaw prawnych dla outsourcingu IT w branży medycznej.

Miejmy nadzieję, że do czasu wejścia w życie przepisów wprowadzających obowiązek w zakresie elektronicznej dokumentacji medycznej zostaną również uchwalone przepisy dające prawne podstawy dla bezpiecznego korzystania z outsourcingu IT w branży medycznej.

System Informacji Medycznej nadciąga

System informacji medycznej (SIM) to ogromne przedsięwzięcie finansowe, organizacyjne, informatyczne, ale też i mentalne. Założę się, że przeciętny obywatel nie ma o nim pojęcia. I upłynie pewnie wiele czasu, gdy obywatele zrozumieją, że cyfryzacja w ochronie zdrowia to fakt i to fakt, który dotyczy ich bezpośrednio. Kampanię informacyjne, komunikaty przekazywane w przystępnej formie to jedna strona medalu. Druga to taka mniej wygodna dotycząca bezpieczeństwa danych medycznych przetwarzanych przez SIM.

Aktualnie trwa budowa systemu P1 („Elektroniczna Platforma Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych”). Platforma będzie sercem SIM, docelowo zintegrowana z systemami informatycznymi usługodawców, umożliwiająca organom administracji publicznej i obywatelom gromadzenie, analizę i udostępnianie zasobów cyfrowych o zdarzeniach medycznych, zgodnie z ustawą o systemie informacji w ochronie zdrowia.

W Systemie P1 będzie znajdowała się informacja o zdarzeniach medycznych wszystkich obywateli Polski niezależnie od płatnika, a także obywateli Unii Europejskiej i innych krajów, którzy skorzystają ze świadczeń zdrowotnych na terenie Polski.

Zaplanowane do wdrożenia w ramach Projektu P1 rozwiązania zakładają:

  • Tworzenie, gromadzenie, analizowanie i udostępnianie elektronicznej dokumentacji medycznej pacjentów.
  • Elektroniczną obsługę recept, skierowań oraz wsparcia rezerwacji na porady lekarskie.
  • Udostępnienie podmiotom nadzorującym i kontrolującym sektor ochrony zdrowia w Polsce wiarygodnych i aktualnych informacji statystycznych pozwalających monitorować i planować działania w tej dziedzinie.
  • Wymianę niezbędnych danych medycznych pomiędzy różnymi systemami poszczególnych krajów Unii Europejskiej.

Realizacja Projektu ma na celu utworzenie rozwiązań informatycznych, które umożliwią gromadzenie i przetwarzane wiarygodnych danych o zdarzeniach medycznych. Dane te będą mogły być dalej wykorzystywane do celów profilaktyki i leczenia pacjenta, jak również do celów planowania opieki zdrowotnej i zarządzania kryzysowego.

System ma przyczynić się do poprawy jakości obsługi pacjentów przez wzmocnienie jakości świadczeń zdrowotnych poprzez podniesienie jakości i dostępności informacji o stanie zdrowia pacjenta i jego danych medycznych.

Dodatkowo ma nastąpić usprawnienie obsługi pacjenta poprzez umożliwienie realizacji elektronicznych usług związanych ze świadczeniem usług medycznych i ich rozliczaniem (np. elektroniczna recepta, elektroniczne skierowanie czy elektroniczne zwolnienie lekarskie) oraz telemedycyną.

Z punktu widzenia, który mnie interesuje System Informacji Medycznej będzie przetwarzał dane i to dane te najbardziej wrażliwe, bo dotyczące zdrowia i udzielanych w związku z jego ochroną świadczeń. Informatyzacja w ochronie zdrowia oczywiście jest zgodna z duchem czasu i co do zasady dobra. Dla pacjentów może to oznaczać oszczędność czasu, szybki i zdalny dostęp do danych przetwarzanych w dokumentacji medycznej. Nie zapominajmy jednak, że przy tego rodzaju danych wrażliwych kluczową kwestią jest zapewnienie odpowiedniego poziomu bezpieczeństwa, zapewnienia środków technicznych i organizacyjnych do zapewnienia tego poziomu, ale także podniesienia świadomości w tym zakresie u wszystkich podmiotów, osób, które w procesie przetwarzania danych będą uczestniczyć.

Świadomość wagi przetwarzanych danych medycznych ważna jest u samych pacjentów, którzy powinni być bezpośrednio zainteresowani zapewnieniem odpowiedniego bezpieczeństwa dla ich wrażliwych danych medycznych. Tymczasem według danych przedstawionych przez GIODO polscy obywatele wyżej cenią sobie informacje na temat danych ich identyfikujących jak imię i nazwisko niż dotyczące ich stanu zdrowia. Wydaje się to nieprawdopodbne a jednak.

Usługodawcy usług medycznych, pracownicy medyczni przetwarzający dane medyczne w związku z udzielaniem pacjentom świadczeń również muszą znać zasady zgodnego z prawem przetwarzania danych medycznych w systemach informatycznych. Jest to o tyle istotne, że spoczywa na nich szeroko pojęta odpowiedzialność prawna za zgodne z prawem przetwarzanie.

Niniejszy artykuł ma na celu wprowadzenie w bardzo szeroki temat informatyzacji w ochronie zdrowia i związane z tym przetwarzanie wrażliwych danych medycznych wszystkich obywateli. Temat ten postaram się na łamach mojego bloga stopniowo zgłębiać.

Papierowa dokumentacja medyczna do końca lipca 2017 r.

Placówki medyczne mogą prowadzić dokumentację medyczną pacjentów w formie papierowej do końca lipca 2017 r. Potwierdza to, uchwalona przez Sejm, nowelizacja ustawy o systemie informacji w ochronie zdrowia.

O trzy lata wydłużono termin na wprowadzenie dokumentacji medycznej wyłącznie w formie elektronicznej. Dotychczas obowiązujące nakładały na podmioty medyczne obowiązek prowadzenia dokumentacji medycznej wyłącznie w formule elektronicznej  od 1 sierpnia tego roku. Po nowelizacji do 1 sierpnia 2017 r. będzie możliwe prowadzenie dokumentacji w formie papierowej lub elektronicznej.

Argumentami za nowelizacją było także to, że bardzo wielu lekarzy praktykujących prywatnie, jest nieprzygotowanych do wyeliminowania dokumentacji w formie papierowej i przejścia wyłącznie na formę elektroniczną, dlatego zasadnym jest wydłużenie okresu przejściowego.

Obowiązek prowadzenia elektronicznej dokumentacji medycznej jest częścią systemu informatyzacji ochrony zdrowia; zakłada on także wprowadzenie elektronicznych kart pacjenta, e-recept i e-skierowań.

Internetowe Konta Pacjenta a dane osobowe

lekarze internet

Cyfryzacja służby zdrowia, która dotyczy każdego z nas – gdyż wszyscy jesteśmy lub możemy zostać pacjentami – według przyjetych założeń ma zostać wprowadzona w przyszłym roku. W ramach cyfryzacji powstają Internetowe Konta Pacjenta, IKP  to system, który gromadzi w jednym miejscu podstawowe dane medyczne na temat zdrowia pacjenta oraz wskazuje miejsce przechowywania rozszerzonych danych medycznych: zaświadczenia, orzeczenia lekarskie, opinie , skierowania, karty leczenia szpitalnego itd. Korzystając z systemu IKP  lekarz uzyska informacje gdzie znajduje się niezbędne w procesie leczenia badanie USG, dokumentację ze szpitala itd. Na szczęście to pacjent sam decyduje o zakresie udostępniania konkretnej placówce medycznej swoich danych medycznych. Jeżeli pacjent nie wyrazi zgody na dostęp do nich pracownikom danej placówki nie mają oni wówczas prawa.

Póki co poziom przetwarzania danych osobowych pacjentów w Polsce jest niewielki, jednakże ta sytuacja ma ulec zmianie począwszy od 1 sierpnia 2014 roku, jeśli oczywiście nie wsytąpią opóźnienienia. Od tego dnia wszystkie podmioty medyczne będą zobowiązane przechowywać dokumentacje w formie elektronicznej. Będzie to podstawa do tego żeby komletna dokumentacja medyczna każdego pacjenta bezpiecznie podążała za pacjentem do placówek medycznych, w których będzie się on leczyć. System umożliwi rónież umawianie wizyt u lekarzy danej specjalności, wypisywanie oraz obsługę skierowań i zwolnień. Wszystkie wymienione czynności będą wymagały zgody pacjenta, gdyż mówimy tutaj o danych wrażliwych.

 

Prywatność pacjenta

DLOBSWiększość z nas z pewnością spotkała się z sytuacją, gdy w przychodni lekarskiej została wywołana po nazwisku czy też nazwiska pacjentów zostały upublicznione na liście zawieszonej na drzwiach gabinetu lekarskiego. W świetle przepisów o ochronie danych osobowych taka praktyka jest niedozwolona jako, że narusza prawo pacjenta do prywatności. Generalny Inspektor Danych Osobowych uważa, że dane osobowe przetwarzane w sposób wskazany powyżej mogą chociażby pośrednio świadczyć o stanie zdrowia pacjenta  a dane dotyczące zdrowia należą do danych szczególnie przez prawo chronionych. GIODO radzi, aby przychodnie unikały takich praktyk wprowadzając na przykład numerki, zgodnie z którymi pacjenci są wywoływani.

Podobny problem dotyczy upubliczniania wokand sądowych poza sądem w internecie czy tworzenia ogólnodostępnych internetowych baz, na co GIODO kategorycznie nie wyraża zgody. GIODO nie jest zwolennikiem tworzenia systemów informacyjnych, w kórych znajdowałyby się wokandy z całej Polski. Inną sprawą oczywiście jest umieszczenie wewnątrz sądu informacji z czyim udziałem sprawa się toczy. Wokandy w tym przypadku bowiem są wyrazem jawności rozpraw sądowych.