Informatyzacja ochrony zdrowia i bezpieczeństwo danych pacjentów

Już raz zastanawiałem się nad zasadami gromadzenia dokumentacji medycznej w tekście Informatyzacja, akty wykonawcze, delegacje i ich konstytucyjność. Po wyroku Trybunału Konstytucyjnego przyjęto nowe rozporządzenie "w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania". Z punktu widzenia "neutralności technologicznej" wiele się nie zmieniło w stosunku do projektu. Próba analizy przepisów w kontekście innych, które dotyczą informatyzacji, powoduje migotanie przedsionków... Tym razem jednak warto zwrócić uwagę na inne aspekty przechowywania danych o pacjentach. Czy dane medyczne ważnych w naszym państwie osób zostały przejęte przez obce wywiady, dzięki zmodyfikowanemu na zlecenie WSI oprogramowaniu?

Gazeta Polska w tekście Medyczne "haki" WSI przedstawia mrożącą krew w żyłach historię wycieku danych medycznych dotyczących ważnych osób w państwie ze szpitala MSWiA. "Według materiałów, do których dotarła "GP", Wojskowe Służby Informacyjne miały od 1999 r. dostęp do bazy danych najważniejszych osób w państwie, leczonych w szpitalu Ministerstwa Spraw Wewnętrznych i Administracji przy ul. Wołoskiej w Warszawie oraz w zlikwidowanej klinice rządowej przy ul. Karowej. Dzięki temu mogły wpływać na sposób leczenia VIP-ów, szantażować ich, a nawet "eliminować" z negocjacji polityczno-gospodarczych. Według naszych informatorów system zbudowany na bazie nielegalnego modułu działa do dziś, a bazy danych mogą być zdeponowane w szwajcarskim banku. Niewykluczone, że już znalazły się w rękach obcych wywiadów" - pisze Gazeta Polska.

Wspomniane wyżej rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2006 r. w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania zawiera w sobie rozdział 7, zatytułowany "Dokumentacja prowadzona w postaci elektronicznej". Rozdział ten wejdzie w życie 6 miesięcy po publikacji rozporządzenia, czyli 28 czerwca 2007 roku. Można tam np. przeczytać, iż zbiory informacji objętych dokumentacją mogą być sporządzane w postaci elektronicznej pod warunkiem: 1) zachowania selektywności dostępu do zbioru informacji; 2) zabezpieczenia zbioru informacji przed dostępem osób nieuprawnionych; 3) zabezpieczenia zbioru informacji przed zniszczeniem, uszkodzeniem lub utratą; 4) rejestrowania historii zmian i ich autorów...

Czytając to rozporządzenie mam niezwykle mieszane uczucia. Wydawać by się mogło, że przecież mamy już ustawę z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, więc wystarczyłoby się do niej odwołać, i tak też się stało, ale już w samym odwołaniu mamy problem. Rozporządzenie stanowi, iż "Dokumentacja, o której mowa w ust. 1, jest prowadzona w postaci pisemnej lub elektronicznej w rozumieniu ustawy z dnia 17 lutego 2005 r. o informatyzacji...", no a w przywołanej ustawie próżno szukać "rozumienia" terminu "postać elektroniczna" albo "dokumentacja w postaci elektronicznej". Jest - owszem - artykuł 61 ust. 1 pkt. 2: "Ilekroć w przepisach dotyczących informatyzacji zawartych w odrębnych ustawach jest mowa o (...) danych elektronicznych, danych w postaci elektronicznej, danych w formie elektronicznej, danych informatycznych, informacjach w postaci elektronicznej albo informacjach w formie elektronicznej - należy przez to rozumieć, w przypadku wątpliwości interpretacyjnych, dokument elektroniczny, o którym mowa w art. 3 pkt 2 niniejszej ustawy." To jak? Ja się czepiam, czy ustawodawca jest racjonalny?

Jaki jest wzajemny stosunek przepisów ustawy o informatyzacji i ustawy z dnia 30 sierpnia 1991 r. o zakładach opieki zdrowotnej i przepisów rozporządzeń wydanych na gruncie jednej i drugiej ustawy? Jak się ma ustawa o ZOZ do ustawy o podpisie elektronicznym, ustawy o ochronie danych osobowych? Jak się mają do siebie przepisy aktów wykonawczych wydane na gruncie tych ustaw? Ciarki przechodzą...

W rozporządzeniu nt. dokumentacji medycznej czytam: "W celu zachowania czytelności i standaryzacji zapisu danych dokumentacja, o której mowa w ust. 1, powinna być sporządzona w formacie XML, z zastrzeżeniem ust. 4.". Czy dokumentacja może być "w formacie XML" stworzona? Czy jest w ogóle "format XML"? Chyba raczej nie ma. Dodatkowo - jest generalna zasada i od razu odstępstwo od niej - "W przypadku gdy do dokumentacji konieczne jest załączenie innych dokumentów, w tym wyników badań, zdjęć radiologicznych oraz dokumentów podpisanych odręcznie, osoba wskazana przez kierownika zakładu przenosi te dokumenty na informatyczny nośnik danych, potwierdza zgodność z oryginałem materiałów przetworzonych do postaci elektronicznej, opatrując je własnym podpisem elektronicznym, a następnie umieszcza w elektronicznych zbiorach danych w sposób zapewniający dostęp i powiązanie pomiędzy dokumentami". A to wszystko w nawiasie odstępstwa od przepisów ogólnych dotyczących informatyzacji?

Rozporządzenie stwierdza: "W sprawach nieuregulowanych stosuje się przepisy wydane na podstawie art. 18 pkt 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne". A ja się zastanawiam, czy w kwestiach uregulowanych rozporządzeniem ustawa i akty wykonawcze do niej nie mają zastosowania? Przecież rozporządzenie nie może zmienić ustawy, a system prawa jest spójny. Czy trzeba było odwoływać się pośrednio do Rozporządzenia Rady Ministrów z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla systemów teleinformatycznych (bo to są właśnie przepisy wydane na podstawie art. 18 pkt 1 ustawy o informatyzacji), by to rozporządzenie obowiązywało? Czy wobec tego, że w rozporządzeniu nie odwołano się (chociażby pośrednio) do aktu wydanego na podstawie art. 18 pkt 2, czyli Rozporządzenia Rady Ministrów z dnia 11 października 2005 r. w sprawie minimalnych wymagań dla rejestrów publicznych i wymiany informacji w formie elektronicznej to to rozporządzenie nie ma zastosowania do dokumentacji medycznych? Przypomnijmy Art. 3. ustawy o informatyzacji...: "Użyte w ustawie określenia oznaczają: (...) 5) rejestr publiczny - rejestr, ewidencję, wykaz, listę, spis albo inną formę ewidencji, służące do realizacji zadań publicznych, prowadzone przez podmiot publiczny na podstawie odrębnych przepisów ustawowych"...

Ehhh. No i ten wyciek danych. Rozdział 7 rozporządzenia nie obowiązuje jeszcze, ale czy to znaczy, że nie obowiązują przepisy ustawy o ochronie danych osobowych i rozporządzenia wydane na jej podstawie?

A może te wszystkie dywagacje na temat niespójnych przepisów nie mają większego znaczenia? Gazeta Polska cytuje Dr Marka Durlika, do niedawna dyrektora szpitala MSWiA: "Mnie nic na ten temat nie było wiadomo, poza tym w ogóle nie znam się na komputerach".

Opcje przeglądania komentarzy

Wybierz sposób przeglądania komentarzy oraz kliknij "Zachowaj ustawienia", by aktywować zmiany.

tych kontrowersji jest jeszcze więcej

Tym razem te, związane z wprowadzeniem XML. Historia jest długa, więc najlepiej poczytać na forum NFZ w jaki sposób implementowano rozporządzenie zdrowia dotyczące "otwartych formatów".

Najbardziej ubawiła mnie wypowiedź urzędnika NFZ "Proszę was - zapomnijcie o rozporządzeniu. Załóżcie, że nic się nie zdarzyło. Nadal macie po prostu obowiązek rozliczania się przy pomocy SWD lub PS. Za pół roku (a może za rok) wrócicie sobie do tematu na spokojnie. A na razie pozwólcie ryzykantom poszaleć."

Dla przypomnienia SWD i PS to oprogramowanie odpowiednio Kamsoftu i Computerland zamówione przez NFZ za publiczne pieniądze. W związku z "uwolnieniem" formatów ma nastąpić również "uwolnienie" swobody wyboru oprogramowania (powyższe programy nie będą obowiązkowe, ale również nie będą rozdawane za darmo). Lekarze będą musieli dokonać niedługo wyboru, który program zakupić i w tej sytuacji nie trzeba chyba mówić, kto w kontekście powyższej wypowiedzi będzie stoi na uprzywilejowanej pozycji.

Przy okazji śledzenia tej sprawy powstało jeszcze jedno ważne pytanie. Kto jest właścicielem oprogramowania SWD i PŚ, które jakby nie było zostało zakupione przez NFZ ? Jesli prawa autorskie do tych programów przysługują NFZ czy ich producent może wprowadzać je na rynek powtórnie ? To chyba tak, jakby zapłata za program odbyła się podwójnie ?

PŚ już teraz nie jest

PŚ już teraz nie jest całkiem za darmo. Zewnętrzna pomoc techniczna jest płatna (NFZ zawsze radzi "przecież musicie mieć jakiegoś informatyka w tej waszej przychodni"), płatne są też dodatkowe stanowiska przy wersji sieciowej. Za darmo są "uaktualnienia" (czasami po dwa w tygodniu), ale oczywiście NFZ jest tylko zainteresowany uaktualnieniami dla swoich merytorycznych celów (nowe funkcje). O naprawie błędów systemowych i debugowaniu można zapomnieć.

Bezpieczne dane, to dane rozproszone.

Ceny pamięci USB spadają. Pojemność pamięci masowych / bryloczków rośnie. Jeśli ktoś nie jest często poddawany leczeniu związanemu z wykonywaniem bardzo dużej ilości zdjęć, wówczas 1GB na przechowywanie danych medycznych powinien każdemu wystarczyć na całe życie. Czy nie można rozproszyć danych, tak żeby w szpitalach i przychodniach / lecznicach weryfikować tylko klucze? - (podpis elektroniczny)
Używane oprogramowanie musiałoby być z zasady neutralne technologicznie, bo każdy może się wszędzie leczyć. Żadna placówka nie byłaby skazana na jedynego dostawcę usług. Każdy by chronił swoje dane medyczne.
Dlaczego powyższe rozwiązanie jest niemożliwe?

To se ne da

Dwa słowa: śledzenie kopii

Dane medyczne byłyby porozrzucane po wszystkich placówkach, które odwiedziliśmy (bo łatwiej jest wykonać kopię danych i na niej operować) do tego dochodzi problem nieautoryzowanych kopii rozsyłanych wewnątrz jednej placówki (bo łatwiej jest udostępnić cały cache wszystkim laboratoriom/pracowniom wewnątrz szpitala niż patrzeć kto z jakich badań korzysta).

Do tego dochodzi problem aktualności danych. Chodzi głównie o synchronizację danych które były dodawane do dwóch kopii równolegle.

I jeszcze kopie zapasowe. Co jak pendrive przestanie działać? Kto odpowiada za utracone 20-60lat danych medycznych?

O ile się nie mylę w Niemczech wprowadzono pilotażowo karty RFID w placówkach medycznych, ale nie wiem co dokładnie jest przechowywane na karcie, a co w systemie i co wyszło z tego pilotażu.

a może

Od lat istnieją już mechanizmy sprawdzające się w takich zadaniach. Np. Lotus Notes IBM. Ma naprawdę dobre mechanizmy replikacyjne.

Czyli mógłby istnieć centralny serwer, a oprócz tego każda placówka miałaby swój serwer, lekarz miałby swój komputer. Dane byłyby ściągane tylko wtedy kiedy są potrzebne (np. wg klucza pacjenta). O synchronizację dbałyby wewnętrzne mechanizmy lotusa. Dostęp do danych - da się napisać aplikację dla wielooddziałowej korporacji, da się też do obsługi danych medycznych.

Tylko że lotus jest drogi...

telemedycyna i e-zdrowie

Serwis jest bardzo ok. Może dzięki niemu znajdę osoby, które są zainteresowane uregulowaniami prawnymi w zakresie telemedycyny i e-zdrowia...wspólnie łatwiej odkrywać nowe tematy

pozdrawiam

Gdyby miała Pani jakieś interesujące fakty...

VaGla's picture

Gdyby miała Pani jakieś interesujące fakty dotyczące proponowanego przez Pania zagadnienia - chętnie będę o nich pisał na tych łamach - o ile podzieli się Pani ze mną informacjami. Wcześniej jedynie zainteresowałem się problemem leków dystrybuowanych via Sieć, ale przecież w medycynie wykorzystującej nowe techniki komunikacyjne chodzić może o coś więcej.

--
[VaGla] Vigilent Android Generated for Logical Assasination

e-health

Pisałam pracę mgr na temat uregulowań prawnych dotyczących telemedycyny w prawie polskim i UE. Praca była ogólna-przybliżała problemtykę i temat:ogólna charakterystyka telemedycyny i systemów telemed. w ochronie zdrowia, inicjatywy UE w zakresie rozwoju nowoczesnych technologii informatycznych i telekomunikacyjnych w ochronie zdrowia, prawne aspekty systemów telemedycznych w UE, prawne aspekty systemów telemedycznych na gruncie parwa polskiego(przekaz informacji o chorym, relacja pacjent-lekarz, relacja lekarz-lekarz, telekonsultacje w czasie rzeczywistym przy pomocy systemu wideotelekonferencyjnego) Teraz chcę zająć się konkretnym zagadnieniem w ramach tej tematyki. Zacznę od tego co mnie najbardziej interesuje-od połączenia prawa Internetu z usługami telemedycznymi i e-health. Chcę przeanalizować zastosowanie i wykorzystanie Internetu w świadczeniu usług e-health. Mam nadzieję że to dobrze obrana droga do uściślenia i wybrania specjalizacji. Dziękuję za reakcję na moje info.

Pozdrawiam

A może miałaby Pani ochotę?

VaGla's picture

Tak nieśmiało się zastanawiam - być może miałaby Pani ochotę opublikować swoją pracę magisterską? Służe przestrzenią dyskową - jeśli chciałaby Pani zrobić to np. w tym serwisie :) Chętnie też podlinkowałbym taką pracę, gdyby zdecydowała sie Pani opublikować ją gdzieś indziej w Sieci :)
--
[VaGla] Vigilent Android Generated for Logical Assasination

Dziękuję za propozycję, al

Dziękuję za propozycję, ale nie jestem na tyle zadowolona z mojej pracy mgr aby ją publikować. Traktuję ją jako prezentację tematu oraz zaledwie wstęp do dalszej pracy.
Chęć poszerzania wiedzy sprowadziła mnie do Krakowa i mam rok na zebranie materiałów oraz podjęcie decyzji co do...pozostania w Krakowie czy powrotu do Łodzi. Chętnie pozostanę jednak w kontakcie jeśli chodzi o zagadnienia aspektów prawnych telematyki ochrony zdrowia i będę dzielić się wnioskami z Panem i innymi gośćmi serwisu. Należy uznać że jestem na początku długiej drogi...:)

Jak mawiają. "Nic dodać. Nic ująć."

Jak ja uwielbiam takie błyskotliwe wypowiedzi osób odpowiedzialnych m.in. za zakupy w przetargach publicznych finansowanych z pieniędzy podatników.

Gazeta Polska cytuje Dr Marka Durlika, do niedawna dyrektora szpitala MSWiA:

"... poza tym w ogóle nie znam się na komputerach".

To skoro się nie zna na "komputerach" to czemu komputer na dyrektorskim biurku był niezbędnym zakupem? Jakoś trudno zrozumieć zasadność zakupu czegoś co nie będzie efektywnie wykorzystywane.

Natomiast jak coś się posypie w inwestycji czy nadzorze nad komputerami, to zawsze można się zasłonić sloganem:


"w ogóle nie znam się na komputerach"

i "pozamiatane". Pozostaje problem kozła ofiarnego. Nie trudno go znaleźć, bo komputery to informatyka, a zatem winny jest informatyk. Szkoda tylko, że jakoś rozwiązania organizacyjne nie wymagają znajomości komputerów, a jedynie znajomości obowiązujących przepisów prawa. Ale prawnik też stosuje slogan:


"w ogóle nie znam się na komputerach"

i "pozamiatane".

Zastanawiającym jest tylko, że skoro taka jest ta "znajomość komputerów", to czemu każdy dyrektor czy prawnik ma służbowego laptopa i to często z tej wyższej półki.

Zatem co się dziwić, że informatyzacja państwa wygląda jak wygląda. Zakupy komputerów idą pełną parą, co było wskazane w raporcie UBIKBC cytowanym w tym vortalu, a użytkownicy deklarują oficjalnie i w mediach, że

"w ogóle nie znam się na komputerach"

Wobec powyższego nasuwa się tylko jedno stwierdzenie:

"Polska to jednak bardzo dziwny kraj."

Pozdrawiam.

Piotr VaGla Waglowski

VaGla
Piotr VaGla Waglowski - prawnik, publicysta i webmaster, autor serwisu VaGla.pl Prawo i Internet. Członek Rady ds Cyfryzacji przy Ministrze Cyfryzacji, ekspert w Departamencie Oceny Ryzyka Regulacyjnego Ministerstwa Rozwoju, felietonista miesięcznika "IT w Administracji" (wcześniej również felietonista miesięcznika "Gazeta Bankowa" i tygodnika "Wprost"). Uczestniczył w pracach Obywatelskiego Forum Legislacji, działającego przy Fundacji im. Stefana Batorego w ramach programu Odpowiedzialne Państwo. W 1995 założył pierwszą w internecie listę dyskusyjną na temat prawa w języku polskim, Członek Założyciel Internet Society Poland, pełnił funkcję Członka Zarządu ISOC Polska i Członka Rady Polskiej Izby Informatyki i Telekomunikacji. Był również Członkiem Rady Informatyzacji przy MSWiA, członkiem Zespołu ds. otwartych danych i zasobów przy Komitecie Rady Ministrów do spraw Cyfryzacji oraz Doradcą społecznym Prezesa Urzędu Komunikacji Elektronicznej ds. funkcjonowania rynku mediów w szczególności w zakresie neutralności sieci. W latach 2009-2014 Zastępca Przewodniczącego Rady Fundacji Nowoczesna Polska, w tym czasie był również Członkiem Rady Programowej Fundacji Panoptykon. Więcej >>