Rozporządzenie Ministra Zdrowia z dnia 11 grudnia 2012 r. w sprawie sposobu i trybu przeprowadzania kontroli podmiotów prowadzących bazy danych w zakresie ochrony zdrowia to jedno z pierwszych rozporządzeń wykonawczych do ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia. Jednym z celów ustawy było uporządkowanie prowadzenia rejestrów w ochronie zdrowia oraz innych baz danych medycznych, których prowadzenie w związku z brakiem odpowiedniej delegacji ustawowej były wielokrotnie kwestionowane przez GIODO jako niezgodne z zasadami ogólnie obowiązujących przepisów na temat ochrony danych osobowych. Ustawa określiła procedurę „legalizacji rejestrów i baz danych medycznych”. Podmiot , który nadal chciał prowadzić rejestry np. w celach prowadzenia badań medycznych lub musiał wypełniać obowiązki wynikające z ustawy o statystyce publicznej musiał opracować odpowiedni wniosek do Ministra Zdrowia zwierający szczegółową analizę potrzeb utworzenia rejestru, zakres jego wykorzystania; opis spodziewanych efektów zdrowotnych, charakterystykę populacje, dla której dany rejestr medyczny ma być stosowany, analizę ekonomiczną umożliwiającą ocenę rzeczywistych konsekwencji stosowania danego rejestru medycznego w warunkach codziennej praktyki klinicznej, ocenę nowatorstwa obejmującą problematykę kliniczna oraz zagadnienia funkcjonalno-eksploatacyjne, przy czym pomiar nowoczesności badany ma być z uwzględnieniem zaleceń wynikających z norm europejskich i miedzynarodowych dotyczących zabezpieczenia informacji oraz metodyki jej kodowania. W analizie należy podać również przewidywany horyzont czasowy funkcjonowania rejestru medycznego, wskazać źródła finansowania rejestru, w tym uzasadnienie konieczności współfinansowania rejestru przez Ministra Zdrowia oraz kalkulację kosztów niezbędnych do otworzenia i prowadzenia rejestru. Kolejnym etapem było przygotowanie rozporządzenia dotyczącego formalnego ustanowienia rejestru. Wszystkie rozporządzenia „legalizujące” rejestry wydawane są na podstawie delegacji zawartych w ustawie o systemie informacji w ochronie zdrowia. Jednym z pierwszych rozporządzeń jest rozporządzenie dotyczące Krajowego Rejestru Nowotworów. Ustawa o systemie informacji w ochronie zdrowia oprócz zasad formalizacji rejestrów ochrony zdrowia ustanowiła procedury kontroli podmiotów prowadzących takie rejestry. Wyrazem tego jest właśnie rozporządzenie w sprawie sposobu i trybu przeprowadzania kontroli podmiotów prowadzących bazy danych w zakresie ochrony zdrowia oraz przekazywania danych w nich zawartych do systemu informacji w ochronie zdrowia. Ten rodzaj kontroli nie był do chwili obecnej uregulowany przepisami prawa, a w związku z bardzo specjalistycznym obszarem (elektroniczne przetwarzanie danych, ochrona danych wrażliwych), wymagających specjalistycznej wiedzy na pograniczu prawa oraz informatyki, nie było możliwe wykorzystanie innych przepisów dotyczących kontroli. Ustawodawca założył, że kontrole przeprowadzane będą w szczególności w przypadkach gdy zaistnieje potrzeba stałej oceny realizacji zadań w zakresie prowadzenia baz danych, oceny stanu systemów teleinformatycznych, w których prowadzone są bazy danych z zakresu ochrony zdrowia, jak również spełnienia wymagań przewidzianych dla podmiotów prowadzących bazy danych z zakresu ochrony danych (rejestry) określonych odrębnymi przepisami. Rozporządzenie zawiera m.in. obowiązek planowania kontroli. Plany kontroli ma przygotowywać Centrum Systemów Informacyjnych Ochrony Zdrowia i będą zatwierdzane przez Ministra Zdrowia. Rozporządzenie wyróżnia kontrole: planowe, doraźne i następcze. Kontrole doraźne mają być przeprowadzane wtedy, gdy dane przekazywane przez podmiot prowadzący bazy danych będą niepełne lub nierzetelne, jak również w sytuacji gdy podmiot prowadzący bazy danych w zakresie ochrony zdrowia, w tym tzw. rejestry podmiotowe i przedmiotowe, pomimo ciążącego na nim obowiązku nie przekazuje danych do systemu informacji zgodnie z przepisami ustawy, a także w przypadkach gdy Minister Zdrowia uzyska wiadomość o występowaniu nieprawidłowości w zakresie prowadzenia baz danych (np. niezgodność z zasadami ochrony danych wrażliwych). Kontrole następcze przeprowadzane będą w przypadku, gdy w wyniku przeprowadzonych kontroli planowych lub doraźnych zostały wydane zalecenia pokontrolne nakazujące usunięcie stwierdzonych nieprawidłowości. W ramach czynności kontrolnych podejmowanych przez kontrolerów zakłada się, możliwość zabezpieczenia dowodów w stosunku do dokumentów, ewidencji, informacji sprzętu, urządzeń elektronicznych i innych dowodów, istotnych dla przeprowadzanej kontroli. Sposób i tryb przeprowadzania kontroli nie odbiega od ogólnie obowiązujących zasad. Jest on bardzo podobny chociażby do procedur zawartych w rozporządzeniu Ministra Zdrowia z dnia 20 grudnia 2012 r. w sprawie sposobu i trybu przeprowadzania kontroli podmiotów leczniczych. Fragment artykułu autora bloga, który ukazał się w lutowym numerze "Serwisu Kadry Zarządzającej ZOZ"