Chociaż nowe rozporządzenie dotyczące dokumentacji medycznej, które obowiązuje od 1 stycznia 2011 r. zniosło obowiązek stosowania podpisu elektronicznego podczas tworzenia elektronicznej dokumentacji medycznej, jego zastosowanie i tak będzie konieczne, gdyż w przeciwnym razie placówka nie będzie w stanie włączyć w procesy wymiany dokumentacji medycznej za pośrednictwem Elektronicznej Platformy Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych, którą ustanawia ustawa z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (wykorzystanie przez usługodawców platformy, jako narzędzia umożliwiającego przekazywanie dokumentacji medycznej, skierowań, recept i zleceń będzie możliwe od 1 sierpnia 2014 r.). Stosowanie podpisu elektronicznego w celach niezawodnej i unikalnej identyfikacji (za pomocą danych identyfikacyjnych, takich jak imię i nazwisko, data urodzenia, adres itp.) oraz uwierzytelnienia pacjentów oraz pracowników medycznych w systemach obsługujących elektroniczną dokumentację medyczną jest ponadto zgodne z zaleceniem Grupy Roboczej ds. Ochrony Danych Komisji Europejskiej[1] (dalej: grupa robocza)[2]. Grupa robocza zwróciła przy tym uwagę, że uwierzytelnienie za pomocą podpisu elektronicznego  - dla uprawnionych użytkowników, w połączeniu z prawidłową formalną identyfikacją, np. przy użyciu inteligentnych kart – powinno być przewidziane w perspektywie długookresowej. Zgodnie z zaleceniem grupy roboczej system identyfikacji  i uwierzytelniania powinien potwierdzać nie tylko tożsamość, lecz także funkcję, jaka jest przypisana danemu pracownikowi medycznemu w systemie elektronicznym

W celu identyfikacji podmiotów uczestniczących w procesie przekazywania elektronicznej dokumentacji medycznej ustawodawca utworzył trzy nowe rejestry: usługodawców, usługobiorców oraz pracowników medycznych[3].

Dwa pierwsze będą miały charakter wtórny, co oznacza, że będą zasilane danymi pochodzącymi z innych rejestrów i ewidencji (np. rejestry ubezpieczonych, rejestr aptek, rejestr podmiotów leczniczych, centralny wykaz świadczeniodawców) bez bezpośredniego angażowania w ten proces placówek opieki zdrowotnej.

Rejestr pracowników medycznych będzie miał natomiast charakter pierwotny i zasilany będzie przez usługodawców. Będzie obejmować tylko pracowników obecnie zatrudnionych. Wszystkie trzy rejestry będą przede wszystkim spełniać funkcje identyfikacyjne, a ich charakter będzie typowo administracyjny.

W rejestrze usługodawców oraz pracowników medycznych oprócz danych identyfikacyjnych takich jak: numer księgi rejestrowej, imię i nazwisko, PESEL, numer prawa wykonywania zawodu, ewidencjonowane będą certyfikaty klucza publicznego. Zgodnie z ustawą z 18 września 2001 r. o podpisie elektronicznym przez certyfikat należy rozumieć: elektroniczne zaświadczenie, za pomocą którego dane służące do weryfikacji podpisu elektronicznego są przyporządkowane do osoby składającej podpis elektroniczny i które umożliwiają identyfikację tej osoby.

W przypadku rejestru usługodawców będą to certyfikaty przyznane placówkom opieki zdrowotnej jako podmiotom prawnym, a w przypadku rejestru pracowników medycznych – certyfikaty przyznane osobom wykonującym zawód medyczny jako osobom fizycznym. Przy pomocy certyfikatów usługodawcy będą uwierzytelniać w SIM dane o udzielonych usługobiorcom świadczeniach opieki zdrowotnej oraz dane dotyczących pracowników medycznych udzielających świadczeń opieki zdrowotnej. Pracownicy medyczni będą ich natomiast używać w celu autoryzacji elektronicznej dokumentacji medycznej udostępnianej podmiotom uprawnionym oraz uzyskania dostępu do elektronicznej dokumentacji medycznej wytworzonej w innych placówkach opieki zdrowotnej.

Nieco inaczej przedstawia się sytuacja w przypadku nowego rejestru pod nazwą Centralny Wykaz Usługobiorców. Chociaż jego charakter, podobnie jak pozostałych centralnych rejestrów wtórnych, będzie głownie administracyjny (realizacja funkcji identyfikacyjnej), będzie on spełniał również funkcje weryfikacyjne.

Podmioty świadczące usługi zdrowotne będą mogły odwoływać się do niego, jako wiarygodnego źródła danych, w celu weryfikacji uprawnień do świadczeń (ubezpieczenia publiczne oraz komercyjne), stopnia niepełnosprawności, uprawnień do świadczeń szczególnego rodzaju (honorowi dawcy krwi i szpiku kostnego, honorowi dawcy narządów). Obok danych identyfikacyjnych w rejestrze gromadzone mają być również dane dotyczące wykształcenia, stanu cywilnego, płci, przyczyny zgonu oraz jednostkowe dane medyczne. Wszystkie trzy rejestry mają zostać uruchomione 1 listopada 2012 r.

Kwestia stosowania certyfikatów przez osoby fizyczne została uregulowana w istniejącej ustawie o podpisie elektronicznym, natomiast nieuregulowany pozostaje  problem stosowania podpisu elektronicznego przez instytucje jako osoby prawne. Polskie prawo na razie nie dopuszcza możliwości stosowania tzw. pieczątki elektronicznej.  Takie rozwiązania przewidują m.in. przepisy unijne, w tym dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE z 13 grudnia 2009 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych oraz rządowy projekt nowej ustawy o podpisach elektronicznych, nad którym właśnie pracuje Sejm. W tym kontekście niezwykle ważny będzie zapis art. 6 ust. 3 projektu tej ustawy, na podstawie którego przyjmować się będzie, „że podpis elektroniczny podpisującego niebędącego osobą fizyczną został złożony przez organ tego podpisującego, zgodnie ze sposobem reprezentacji ujawnionym we właściwym rejestrze”.

Artykuł opublikowany przez autora bloga w listopadowym numerze "Serwis kadry zarządzajacej ZOZ" Numer 24 - listopad 2011


[1] Grupa robocza, która została ustanowiona na mocy art. 29 dyrektywy 95/46/WE, jest niezależnym europejskim organem doradczym w zakresie ochrony danych i prywatności. Jej zadania zostały opisane w art. 30 dyrektywy 95/46/WE i art. 15 dyrektywy 2002/58/WE.

[2] Dokument roboczy w sprawie przetwarzania danych osobowych dotyczących zdrowia w elektronicznej dokumentacji zdrowotnej (EHR) przyjęty przez Grupę Roboczą ds. Ochrony Danych KE z dnia 15 lutego 2007 r. , 00323/07/PL WP 131, str. 16

[3] Ustawa o informacji w ochronie zdrowia wprowadziła nowe pojęcia: usługodawcy, usługobiorcy oraz pracownika medycznego. Pojęcia usługodawcy i usługobiorcy różnią się od dotychczas obowiązujących pojęć: świadczeniodawca, świadczeniobiorca. Za usługodawcę uważa się świadczeniodawcę w rozumieniu ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych oraz aptekę. Usługobiorcą jest natomiast każda osoba fizyczna korzystająca lub uprawniona do korzystania ze świadczeń opieki zdrowotnej, w tym świadczeniobiorca w rozumieniu ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych. Pracownik medyczny, w rozumieniu ustawy to osoba wykonującą zawód medyczny, w rozumieniu ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej) oraz dodatkowo  osoba uprawniona do świadczenia usług farmaceutycznych, udzielająca świadczeń opieki zdrowotnej oraz świadcząca usługi farmaceutyczne w ramach stosunku pracy lub umowy cywilnoprawnej;