Jednym z kluczowych zagadnień związanych z elektroniczną dokumentacją medyczną jest kwestia rodzaju stosowanego podpisu elektronicznego. Chociaż rozporządzenie z 2010 r. w sprawie dokumentacji medycznej zniosło obowiązek jego stosowania, to jednak jego zastosowanie w myśl przepisów ustawy o systemie informacji w ochronie zdrowia nadal jest konieczne, z tą jednak różnicą, że nie musi to być tzw. podpis kwalifikowany.

Co mówi rozporządzenie o dokumentacji medycznej?

Problemem, z którym borykają się placówki opieki zdrowotnej przymierzające się do wdrożenia elektronicznej dokumentacji medycznej jest kwestia wyboru sposobu autoryzacji elektronicznej dokumentacji medycznej. Z analizy przepisów rozporządzenia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania wynika, iż placówką opieki zdrowotnej pozostawiono w tej materii wybór. Może to być zarówno podpis elektroniczny, ale również inne narzędzia i sposoby polegające „na zastosowaniu odpowiednich do ilości danych i zastosowanej technologii rozwiązań technicznych zapewniających przechowywanie, używalność i wiarygodność dokumentacji znajdującej się w systemie informatycznym co najmniej do upływu okresu przechowywania dokumentacji” (§ 82 rozporządzenia),  czyli np. login i hasło oraz niekwalifikowany znacznik czasu. Ewentualne wątpliwości wydaje się rozwiewać brzmienie § 10 ust. 2 rozporządzenia, który stanowi, że dokumentacja może zawierać podpis elektroniczny. Chociaż cytowany paragraf dotyczy tylko dokumentacji indywidualnej, niemniej powołany przepis w kontekście treści całego rozdziału 8 rozporządzenia można rozumieć jako całkowitą rezygnację z wymogu obowiązkowego stosowania podpisu elektronicznego w elektronicznej dokumentacji medycznej. Nie oznacza to jednak wprowadzenia całkowitej dowolności w prowadzeniu dokumentacji elektronicznej.

Rozporządzenie w § 80 szczegółowo kataloguje warunki prowadzenia elektronicznej dokumentacji. System teleinformatyczny służący do obsługi elektronicznej dokumentacji medycznej musi m.in. pozwalać na identyfikację chwili i osoby dokonującej wpisu, a taka identyfikacja jest jednak możliwa z zastosowaniem również innych niż podpis elektroniczny rozwiązań. Również Polskie Normy, regulujące zasady gromadzenia i wymiany informacji w ochronie zdrowia, na które powołuje się rozporządzenie pozostawiają w tej materii wybór. Polska Norma ISO 10781:2011 System Elektronicznej Dokumentacji Zdrowotnej Model Funkcjonalny podkreśla konieczność zachowania niezaprzeczalności zapisu w Elektronicznej Dokumentacji Medyczne, która może być osiągnięta przez zastosowanie: (1) podpisu cyfrowego, (2) usługi potwierdzania wykorzystującej elektronicznego agenta przesyłającego komunikat do tworzenia cyfrowego dowodu oraz (3) znakowania czasem, które dowodzi, że dokument istniał w pewnym dniu i o pewnej godzinie. Norma stwierdza jednoznacznie, że system informatyczny obsługujący elektroniczną dokumentację medyczną musi znakować czasem początkowy wpis, modyfikację lub wymianę danych, oraz identyfikować osobę tworzącą elektroniczną dokumentację medyczną jednak bez wskazywania konkretnej technologii (np. podpis elektroniczny). Rozporządzenie z 2010 r. w sprawie dokumentacji medycznej było przyjęte przez wiele placówek opieki zdrowotnej z wielką ulga, gdyż wdrożenie infrastruktury podpisu elektronicznego na najwyższym poziomie zaawansowania i zabezpieczeń bardzo często wiązało się z niebagatelnymi wydatkami. Tylko zastosowanie kwalifikowanych znaczników czasu w średniej wielkości szpitalu szacowano na kilkadziesiąt tysięcy złotych rocznie.

Rozporządzenie Ministra Zdrowia

z dnia 21 grudnia 2006 r.

w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania

Rozporządzenie  Ministra Zdrowia

z dnia 21 grudnia 2010 r.

w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania

§ 55. 1. Sporządzenie i podpisanie dokumentacji prowadzonej w postaci elektronicznej polega na zapisaniu sekwencji danych na informatycznym nośniku danych i podpisaniu tych danych, zgodnie z ustawą z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. Nr 130, poz. 1450, z późn. zm.3)).

3. Dla oznaczenia daty sporządzenia dokumentu, złożenia podpisu na dokumencie oraz w celu zachowania chronologii wpisów w dokumentacji zbiorczej wewnętrznej stosuje się znacznik czasu.

§ 80.Dokumentacja może być prowadzona w postaci elektronicznej pod warunkiem prowadzenia jej w systemie teleinformatycznym zapewniającym:

(…)

4) identyfikację osoby udzielającej świadczeń zdrowotnych i rejestrowanych przez nią zmian, w szczególności dla odpowiednich rodzajów dokumentacji przyporządkowanie cech informacyjnych, zgodnie z § 10 ust. 1 pkt 3 lit a - d;

§ 56. Utrwalenie dokumentacji prowadzonej w postaci elektronicznej polega na jej zapisaniu na informatycznym nośniku danych w sposób zapewniający sprawdzenie jej integralności, możliwość weryfikacji podpisu elektronicznego lub danych identyfikujących oraz możliwość odczytania wszystkich informacji zawartych w tej dokumentacji aż do zakończenia okresu przechowywania dokumentacji.

§ 82. Utrwalenie dokumentacji prowadzonej w postaci elektronicznej polega na zastosowaniu odpowiednich do ilości danych i zastosowanej technologii rozwiązań technicznych zapewniających przechowywanie, używalność i wiarygodność dokumentacji znajdującej się w systemie informatycznym co najmniej do upływu okresu przechowywania dokumentacji.

§ 55.  4. W przypadku gdy do dokumentacji konieczne jest załączenie innych dokumentów, w tym wyników badań, zdjęć radiologicznych oraz dokumentów podpisanych odręcznie, osoba wskazana przez kierownika zakładu przenosi te dokumenty na informatyczny nośnik danych, potwierdza zgodność z oryginałem materiałów przetworzonych do postaci elektronicznej, opatrując je własnym podpisem elektronicznym, a następnie umieszcza w elektronicznych zbiorach danych w sposób zapewniający dostęp i powiązanie pomiędzy dokumentami.

§ 81. 1. W przypadku gdy do dokumentacji prowadzonej w postaci elektronicznej ma być dołączona dokumentacja utworzona w innej postaci, w tym zdjęcia radiologiczne lub dokumentacja utworzona w postaci papierowej, osoba upoważniona przez podmiot wykonuje odwzorowanie cyfrowe tej dokumentacji i umieszcza je w systemie informatycznym w sposób zapewniający czytelność, dostęp i spójność dokumentacji.

§ 57. 3. Dokumentacja udostępniana podmiotom lub organom, o których mowa w § 52 ust. 1, powinna być opatrzona bezpiecznym podpisem elektronicznym weryfikowanym za pomocą kwalifikowanego certyfikatu, z zastrzeżeniem ust. 4.

Brak

Tab. 1 Porównanie „starego” i „nowego” rozporządzenia o dokumentacji medycznej

Co mówi ustawa o informacji w ochronie zdrowia?

Analiza zapisów ustawy o systemie informacji w ochronie zdrowia oraz projektów rozporządzeń do ustawy nie pozostawiają jednak złudzeń. Stosowanie podpisu cyfrowego w placówce opieki zdrowotnej będzie obowiązkowe od 1 sierpnia 2014 r.. Osobnym zagadnieniem jest rodzaj tego podpisu. W tym zakresie placówkom opieki zdrowotnej pozostawiono pewien margines swobody. W art. 17 ust. 3 ustawa wskazuje przypadki zastosowania certyfikatu podpisu elektronicznego przez pracownika medycznego (lekarza, pielęgniarkę). Są to m.in.:  autoryzacja elektronicznej dokumentacji medycznej w placówce opieki zdrowotnej, jej wysłanie i odebranie w ramach procesu wymiany informacji zdrowotnej realizowanej przez placówki opieki zdrowotnej uczestniczące w procesie leczenia. W związku z tym, że ustawa nie mówi nic o rodzaju tego certyfikatu, może to być zarówno certyfikat kwalifikowany jak i niekwalifikowany.

 

Certyfikat Kwalifikowany

Certyfikat Niekwalifikowany

skutki prawne

skutki prawne podpisu odręcznego - zawsze

skutki prawne podpisu odręcznego jeśli strony zawarły wcześniej umowę lub porozumienie (np. w postaci regulaminu). W umowie/regulaminie powinny być zawarte zapisy o wzajemnym uznaniu podpisów weryfikowanych przy pomocy certyfikatów niekwalifikowanych

nośnik

urządzenie kryptograficzne (np. karta mikroprocesorowa). Urządzenie takie musi posiadać odpowiedni certyfikat bezpieczeństwa

mogą być przechowywane na komputerze użytkownika lub na urządzeniu kryptograficznym (karta mikroprocesorowa). Użytkownik ma pełna swobodę w wyborze nośnika certyfikatu

ograniczenia w użytkowaniu

jedynie do składania/weryfikacji podpisu elektronicznego. Ustawa o podpisie elektronicznym zabrania używania go do innych celów takich jak logowanie, szyfrowanie.

nie posiadają ograniczeń pod względem ich użyteczności

Tab. 2 Skutki użycia certyfikatów podpisu elektronicznego

Projekty rozporządzeń do ustawy o informacji w ochronie zdrowia również potwierdzają obowiązek korzystania z podpisu elektronicznego przez pracowników medycznych, choć w kilku miejscach (najprawdopodobniej w skutek nieuwagi ustawodawcy) są niejednoznaczne, co do rodzaju stosowanego podpisu. W projekcie rozporządzenia w sprawie wymagań dla Systemu Informacji Medycznej  w § 4 stwierdza się, że „udostępnianie elektronicznej dokumentacji medycznej odbywa się w sposób umożliwiający identyfikację uprawnionych osób zgodnie z  art. 20a ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, czyli . przez zastosowanie kwalifikowanego certyfikatu lub profilu zaufanego ePUAP. W tym samym rozporządzeniu w § 5 opisującym proces przygotowania i przesyłania wyciągów z elektronicznej dokumentacji medycznej do innej placówki opieki zdrowotnej oraz w § 8 dotyczącym przesyłania danych o zrealizowanych świadczeniach do Systemu Informacji Medycznej,  mówi się o bezpiecznym podpisie elektronicznym, co oznacza konieczność zastosowania tzw. bezpiecznych urządzeń do składania podpisu (czytnik, karta kryptograficzna), ale niekoniecznie musi oznaczać zastosowanie kwalifikowanego certyfikatu.

Wymiana elektronicznej dokumentacji medycznej pomiędzy placówkami opieki zdrowotnej byłaby o wiele łatwiejsza, gdyby polskie przepisy umożliwiały zastosowanie podpisu elektronicznego przyporządkowanego nie tyle pracownikowi medycznemu, ale placówce opieki zdrowotnej jako podmiotowi prawnemu (tzw. elektroniczna pieczątka). Wtedy wszelkie wyciągi z elektronicznej dokumentacji medycznej i sprawozdania do Systemu Informacji Medycznej podpisywane byłyby automatycznie przez system informatyczny, bez konieczności angażowania konkretnych pracowników medycznych. Takie rozwiązania przewiduje rządowy projekty nowej ustawy o podpisach elektronicznych, który jednak od listopada 2010 leży w „zamrażalce” sejmowej.

Jak wdrożyć technologię bezpiecznego podpisu elektronicznego ?

Jak już wcześniej udowodniliśmy nie musimy kupować kwalifikowanych certyfikatów. Wystarczy niekwalifikowany, ale wydany przez tzw. podmiot kwalifikowany czyli centrum certyfikacji wpisane do rejestru Ministerstwa Gospodarki. Aktualnie są to: Krajowa Izba Rozliczeniowa, Polska Wytwórnia Papierów Wartościowych, Unizeto Technologies, MobiCert, Enigma S.O.I. Tak więc, nie musimy organizować przetargu nieograniczonego, wystarczy zapytanie o cenę.

Umowa z dostawcą podpisu elektronicznego powinna przewidywać nie tylko wydanie niekwalifikowanych certyfikatów oraz dostarczenie określonej liczby zestawów do składania bezpiecznego podpisu elektronicznego, ale również opracowanie procedur pozyskiwania podpisów elektronicznych, opracowanie i dostarczenie tzw. polityki podpisu, wsparcie placówki opieki zdrowotnej w opracowaniu regulaminu wewnętrznego stosowania podpisów elektronicznych, niezbędne szkolenia. W placówce powinien być uruchomiony tzw. punkt rejestracji (np. w komórce ds. kadr), którego zadaniem będzie kompletowanie dokumentów potrzebnych do zamówienia certyfikatu niekwalifikowanego oraz zestawu do składania bezpiecznego podpisu elektronicznego (oświadczenia, kopie dokumentów tożsamości potwierdzonych za zgodność z oryginałem), wysłanie i odebranie zamówienia, a następnie przekazanie kart kryptograficznych z certyfikatem oraz zestawów do składania podpisu elektronicznego konkretnym pracownikom medycznym.

Czy wydruk z elektronicznej dokumentacji medycznej powinien być podpisany odręcznie przez lekarza?

Wiele pytań budzi kwestia odręcznego podpisywania wydruków papierowych z elektronicznej dokumentacji medycznej. Rozporządzenie w tej kwestii nie zawiera zapisów, które wprowadzałyby taki wymóg. § 83 rozporządzenia mówi jedynie, iż udostępnienie dokumentacji elektronicznej odbywa się m.in. poprzez przekazanie papierowych wydruków na żądanie uprawnionych podmiotów lub organów. Wydruk taki powinien zgodnie z § 10 rozporządzenia zawierać następujące dane identyfikacyjne lekarza lub pielęgniarki i położnej: nazwisko i imię, tytuł zawodowy, specjalizacja, numer prawa wykonywania zawodu. Takie rozwiązanie jest zresztą bardzo logiczne. Wydruk z elektronicznej dokumentacji medycznej nie jest bowiem dokumentem medycznym sensu stricte, ale potwierdzeniem, że elektroniczna dokumentacja medyczna istnieje w konkretnej placówce opieki zdrowotnej, na podobnej zasadzie jak wyciąg bankowy potwierdza, że bank dokonał konkretnej operacji.

 

Streszczenie wystąpienia autora bloga na konferencji „e-Usługi – e-Organizacja pakiet rozwiązań informatycznych dla jednostek organizacyjnych Województwa kujawsko-Pomorskiego” będącego częścią składową Kujawsko-Pomorskiego Programu Społeczeństwa Informacyjnego . Spotkanie odbyło się w dniu 21 sierpnia 2012 r. w Urzędzie Marszałkowskim w Toruniu