Przechowywanie Danych

e-DOKUMENTACJA » Przechowywanie Danych

 

Wytyczne i rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie budowania i stosowania systemu bezpiecznego przetwarzania EDM (elektronicznej dokumentacji medycznej):

 

  • Model Klasyczny (placówka medyczna świadcząca usługi medyczne posiada własną infrastrukturę informatyczną, tj. sprzęt, oprogramowanie, odpowiednie pomieszczenia do przechowywania danych. Jej obowiązkiem jest również zapewnienie personelu do obsługi systemu i infrastruktury sprzętowej).
  • Outsourcing - Kolokacja (usługa polegająca na przekazaniu firmie zewnętrznej serwerów lub innych urządzeń teleinformatycznych do dedykowanych do tego celu pomieszczeń).
  • Outsourcing - Hosting (usługa polegająca na dzierżawie serwera lub części jego przestrzeni dyskowej).
  • Cloud computing  IaaS (usługa polegająca na korzystaniu ze sprzętu informatycznego za pośrednictwem Internetu).
  • Cloud computing PaaS (usługa, w ramach której odbiorca uzyskuje dostęp  do infrastruktury oraz do środowiska w tym platformy programistycznej).
  • Cloud computing SaaS (usługa, w ramach której odbiorca uzyskuje dostęp  do infrastruktury sprzętowej wraz ze środowiskiem operacyjnym oraz do określonych aplikacji).

Rozporządzenie Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. (Dz.U.04.100.1024) w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych

Ustawodawca postanowił w § 6 ust. 4 ww rozporządzenia poziom wysoki stosuje się wtedy, gdy przynajmniej jedno urządzenie systemu informatycznego, służącego do przetwarzania danych osobowych, połączone jest z siecią publiczną. Oznacza to konieczność identyfikowania użytkowników systemu za pomocą odrębnego identyfikatora. Identyfikator powinien być rejestrowany w systemie. Dostęp do danych powinien być możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia. Uwierzytelnienie powinno odbywać się za pośrednictwem certyfikatu wydanego przez kwalifikowane centrum certyfikacji. W przypadku, gdy do uwierzytelnienia będzie wykorzystywane hasło to powinno ono składać się przynajmniej z 8 znaków i zawierać małe i wielkie litery oraz cyfry lub znaki specjalne a jego zmiana powinna następować nie rzadziej niż co 30 dni.

Ważnym zagadnieniem związanym z elektroniczną dokumentacją medyczną jest kwestia wyboru sposobu autoryzacji elektronicznej dokumentacji medycznej, gdyż obecnie obowiązujące akty prawne: rozporządzenie Ministra Zdrowia oraz ustawa o  systemie informacji w ochronie zdrowia pozostawiają placówkom swobodę wyboru w tej materii.

W art. 17 ust. 3 ustawa wymienia przypadki, w których należy zastosować certyfikat podpisu elektronicznego przez pracownika medycznego. Jest to:

  • autoryzacja elektronicznej dokumentacji medycznej,
  • uzyskanie dostępu do danych umożliwiających pobranie z SIM dokumentów elektronicznych wystawionych przez innego usługodawcę oraz pobrania danych z tych dokumentów, w zakresie niezbędnym do prowadzenia diagnostyki, zapewnienia ciągłości leczenia oraz zaopatrzenia usługobiorców w produkty lecznicze i wyroby medyczne;
  • uzyskanie dostępu do danych zgromadzonych w SIM umożliwiających wymianę pomiędzy usługodawcami danych zawartych w elektronicznej dokumentacji medycznej.

Ustawa nic nie mówi o rodzaju certyfikatu, dlatego można przyjąć, że może to być zarówno certyfikat kwalifikowany, zgodnie z ustawą z dnia 18 września 2001 r o podpisie elektronicznym jak i certyfikat niekwalifikowany, wydany przez tzw. podmiot kwalifikowany czyli centrum certyfikacji wpisane do rejestru Ministerstwa Gospodarki. Aktualnie są to m.in: Krajowa Izba Rozliczeniowa, Unizeto Technologies.

Możliwość stosowania certyfikatu niekwalifikowanego potwierdza również art. 8 ustawy o podpisie elektronicznym z dnia 18 września 2001 r: Nie można odmówić ważności i skuteczności podpisowi elektronicznemu tylko na tej podstawie, że istnieje w postaci elektronicznej lub dane służące do weryfikacji podpisu nie mają kwalifikowanego certyfikatu, lub nie został złożony za pomocą bezpiecznego urządzenia służącego do składania podpisu elektronicznego.