Konieczność jednoznacznej identyfikacji serwera, gdzie przechowywane i przetwarzane są dane medyczne, to bezwzględny wymóg bezpieczeństwa tego procesu w placówkach medycznych

Serwer do przetwarzania danych medycznych  powinien  być tzw. serwerem dedykowanym, co oznacza odrębny komputer (maszynę fizyczną) skonfigurowany dla potrzeb konkretnego świadczeniodawcy. Najlepiej byłoby, gdyby taki serwer był formalnie własnością świadczeniodawcy, a outsourcing polegał tylko na powierzeniu firmie zewnętrznej zarządzania nim w specjalistycznym ośrodku przetwarzania danych (tzw. usługa kolokacji). Rozwiałoby to ostatecznie wszelkie wątpliwości prawne związane z udostępnianiem danych medycznych podmiotom nieuprawnionym (np. administratorom systemów zatrudnionym przez firmy zewnętrzne)

Alternatywnym rozwiązaniem mogłaby być usługa tzw. hostingu polegająca na dzierżawie konkretnego serwera (tzw. serwer dedykowany) lub części jego przestrzeni dyskowej (tzw. wirtualny serwer dedykowany).

Rozwiązania bazujące na hostingu również nie powinny wzbudzać wątpliwości prawnych, wszak podmiot leczniczy (wykonujący zgodnie z art. 2 ust. 1 pkt. 8 ustawy z 15 kwietnia 2011 r. o działalności leczniczej działalność w formie przedsiębiorstwa) zachowuje określone prawo do miejsca, gdzie przetwarzane są dane medyczne jego pacjentów. Zgodnie z rozumieniem przedsiębiorstwa (art. 55 Kodeksu cywilnego) przedsiębiorstwo to zorganizowany zespół składników niematerialnych i materialnych przeznaczonym do prowadzenia działalności gospodarczej obejmujący przede wszystkim prawa wynikające z umów najmu i dzierżawy nieruchomości lub ruchomości oraz prawa do korzystania z nieruchomości lub ruchomości wynikające z innych stosunków prawnych.

 

Publiczna chmura obliczeniowa - niedopuszczalna

Praktycznie wykluczona jest większość rozwiązań bazujących na modnym ostatnio tzw. public cloud computingu (publiczna chmura obliczeniowa), gdzie przetwarzanie danych odbywa się na serwerach wirtualnych w środowisku współdzielonym. Przy takich rozwiązaniach zleceniodawca nie ma bowiem do czynienia z odrębną maszyną fizyczną (komputerem), a jedynie z wyodrębnionym logicznie środowiskiem, w którym klient otrzymuje określoną przestrzeń dyskową, liczbę serwerów lub moc obliczeniową. W związku z tym, że przydzielanie zasobów w postaci przestrzeni dyskowej odbywa się przy takim rozwiązaniu dynamicznie na wielu równocześnie funkcjonujących komputerach, trudno jest mówić o konkretnym miejscu przechowywania danych. Na problem ten zwróciła niedawno uwagę również Komisja Europejska, która w komunikacie z 4 listopada 2010 pt „Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej” przyznała, że „przetwarzanie w chmurze” stanowi szczególnie wyzwanie dla ochrony danych, ponieważ „wiąże się z utratą przez jednostki kontroli nad ich potencjalnie poufnymi informacjami w sytuacji, w której przechowują one te dane korzystając z programów zainstalowanych na urządzeniach osób trzecich.”  (KOM(2010) 609 wersja ostateczna Komunikat Komisji Do Parlamentu Europejskiego, Rady, Europejskiego Komitetu Ekonomiczno-Społecznego Oraz Komitetu Regionów „Całościowe podejście do kwestii ochrony danych osobowych w Unii Europejskiej” Bruksela, dnia 4.11.2010)

 

Prywatna chmura obliczeniowa

Dopuszczalny byłby natomiast tzw. private cloud computingu (prywatna chmura obliczeniowa), która zakłada, że cała infrastruktura IT stworzona w „chmurze” jest przydzielona tylko dla jednego przedsiębiorstwa. Może ona być przygotowana i zarządzana przez firmę zewnętrzną lub przez wewnętrzne IT danej firmy.

Prywatna chmura danego przedsiębiorstwa

Dla podmiotów leczniczych, zwłaszcza tych, które mają rozbudowane struktury organizacyjne oraz dobrze funkcjonujące działy IT bardzo interesującym rozwiązaniem jest tzw. Enterprise private cloud, (prywatna chmura danego przedsiębiorstwa), która zakłada udostępnienie usług IT działom biznesowym (komórkom organizacyjnym) i partnerom (spółkom zależnym itp.) oraz pozwala na wykorzystanie istniejących już zasobów do lepszej pracy całego IT w firmie. Dodatkowo, może być to oszczędnością pieniędzy za prąd i klimatyzację przez redukcję liczby fizycznych maszyn czy implementację wysokiej dostępności. Jest to połączenie możliwości jakie daje wirtualizacja z bardzo wygodnym sposobem zarządzania maszynami wirtualnymi. Można także zrealizować samoobsługowy portal, w którym użytkownicy na żądanie mogą sobie uruchamiać kolejne maszyny.

Regulacje prawne dotyczące archiwizacji danych medycznych

Opisane obostrzenia, wynikają z tego, że świadczeniodawca musi wiedzieć, na którym dokładnie serwerze będą archiwizowane jego dane medyczne. Wynika to wprost z zapisów § 74 rozporządzenia Ministra Zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania, w którym stwierdza się, że „miejsce przechowywania bieżącej dokumentacji wewnętrznej określa podmiot, a w placówce medycznej - kierownicy poszczególnych komórek organizacyjnych tego zakładu w porozumieniu z kierownikiem zakładu”.
Konieczność identyfikacji miejsca przetwarzania danych wynika również z wymogów ustawy z 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, która poprzez odwołanie się do norm Polskich Norm oraz innych dokumentów normalizacyjnych zatwierdzonych przez krajową jednostkę normalizacyjną, zobowiązuje podmioty publiczne, w tym samodzielne publiczne zakłady opieki zdrowotnej do opracowania i wdrożenia tzw. polityki bezpieczeństwa.
Jedną z informacji, którą należy umieścić w polityce bezpieczeństwa jest bowiem wykaz pomieszczeń, w których przetwarzane są dane.

Wymagania Normy PN-EN ISO 10781

Niezależnie od tego, czy elektroniczna dokumentacja zdrowotna jest  gromadzona w systemie informatycznym znajdującym się w siedzibie świadczeniodawcy, czy w siedzibie specjalizującego się w outsourcingu podmiotu, system ten powinien spełniać wymagania opisane w normie PN-EN ISO 10781. Norma ta dotyczy modelu funkcjonalnego systemu elektronicznej dokumentacji zdrowotnej (EHR-S – Electronic Health Record System ) i zawiera listę referencyjną funkcji dla  tych systemów.
Zgodnie z nią, opis  funkcji jest tworzony z perspektywy użytkownika i jest niezależny od technologii oraz strategii implementacji.  W związku z tym, wybierając system informatyczny do gromadzenia dokumentacji medycznej oraz podmiot świadczący usługi outsourcingu, należy wziąć pod uwagę obligatoryjne funkcje infrastruktury informacyjnej  z zakresu bezpieczeństwa dla systemu EHR opisane w normie

 

Tekst opublikowany przez autora bloga w październikowym numerze Serwisu Kadry Zarządzajacej ZOZ (Październik 2011 Nr 23)