Jedną z kluczowych zmian, którą przyniosło nowe rozporządzenie w sprawie dokumentacji medycznej to liberalizacja zasad przetwarzania elektronicznych danych medycznych (EDM) poza siedzibą świadczeniodawcy. Zapisy rozporządzenia z 2006 r.  w tej kwestii były dość restrykcyjne i większość ekspertów nie miało wątpliwości, że sformułowanie zawarte w rozporządzeniu „Dokumentacja wewnętrzna jest przechowywana w zakładzie, w którym została sporządzona” oznaczało, iż dokumentacja medyczna nie mogła być archiwizowana poza terenem zakładu, rozumianym w sensie strukturalnym tj. jako zbiór jego jednostek i komórek organizacyjnych. W przypadku elektronicznej dokumentacji medycznej, której samodzielne wdrożenie i utrzymanie jest dość kosztowne, takie uwarunkowania były poważnym ograniczeniem, zwłaszcza dla mniejszych placówek opieki zdrowotnej. Nowe rozporządzenie zliberalizowało te przepisy, m.in. poprzez zastąpienie słów „w” na „przez” oraz zamianie słów „zakład” na „podmiot”. Aktualnie zapis brzmi: „dokumentacja wewnętrzna jest przechowywana przez podmiot, który ją sporządził" (§ 72 rozporządzenia), co niekoniecznie musi oznaczać tożsamość miejsca położenia podmiotu oraz miejsca lokalizacji składowania dokumentacji medycznej.

Umożliwienie zlecania przetwarzania i archiwizowania EDM  - wyspecjalizowanym firmom i instytucjom, stawia przed świadczeniodawcami konieczność zwrócenia szczególnej uwagi na treść zawieranych umów. Muszą one zawierać obostrzenia w zakresie ochrony danych medycznych, co najmniej na takim samym poziomie, jaki obowiązuje placówki ochrony zdrowia, zwłaszcza jeśli chodzi o zachowanie tajemnicy lekarskiej.

Miejsce przechowywania dokumentacji elektronicznej

Zlecając przetwarzanie i archiwizację elektronicznej dokumentacji medycznej wyspecjalizowanej firmie należy zwrócić uwagę na konieczność jednoznacznej identyfikacji miejsca przetwarzania danych medycznych. Świadczeniodawca musi posiadać wiedzę, na którym dokładnie serwerze będą archiwizowane jego dane medyczne. W zasadzie powinien to być tzw. serwer dedykowany, oznaczający odrębny komputer (maszynę fizyczną) skonfigurowany dla potrzeb konkretnego świadczeniodawcy. Najlepiej byłoby, gdyby taki serwer był formalnie własnością świadczeniodawcy, a outsourcing polegał tylko na powierzeniu firmie zewnętrznej zarządzania nim w specjalistycznym ośrodku przetwarzania danych (Data Center). Rozwiałoby to ostatecznie wszelkie wątpliwości prawne związane z udostępnianiem danych medycznych podmiotom nieuprawnionym. Alternatywnym rozwiązaniem mogłaby być ewentualnie dzierżawa albo konkretnego serwera (tzw. serwer dedykowany) albo części jego przestrzeni dyskowej (tzw. wirtualny serwer dedykowany). Wirtualizacja serwera dedykowanego polega na logicznym podziale maszyny fizycznej (komputera) na kilka mniejszych serwerów wirtualnych, które zachowują funkcjonalność serwerów dedykowanych Dla potrzeb świadczeniodawcy przydzielona zostaje gwarantowana część zasobów maszyny fizycznej. Takie rozwiązanie również nie powinno wzbudzać  wątpliwości prawnych, wszak świadczeniodawca zachowuje określone prawo do miejsca gdzie przetwarzane są dane medyczne jego pacjentów. Można to porównać do sytuacji, kiedy placówka ochrony zdrowia wykonuje świadczenia zdrowotne w użyczonym pomieszczeniu lub budynku. Korzystanie z wirtualnych serwerów dedykowanych może być szczególnie korzystne dla małych placówek ochrony zdrowia np. indywidualnych praktyk: lekarskich, pielęgniarek i położnych. Praktycznie wykluczone są wszelkie rozwiązania oparte na tzw. serwerach wirtualnych w środowisku współdzielonym. Przy takich rozwiązaniach mamy bowiem do czynienia nie z odrębną maszyną fizyczną (komputerem), a jedynie wyodrębnionym logicznie środowiskiem, w ramach którego klient otrzymuje określoną przestrzeń dyskową. W związku z tym, że przydzielanie zasobów w postaci przestrzeni dyskowej odbywa się przy takim rozwiązaniu dynamicznie w ramach wielu równocześnie funkcjonujących maszyn (komputerów), trudno jest mówić o konkretnym miejscu przechowywania danych, co w przypadku dokumentacji medycznej jest sprawą kluczową w świetle § 74 rozporządzenia, który mówi, że miejsce przechowywania bieżącej dokumentacji wewnętrznej określa podmiot, a w zakładzie opieki zdrowotnej - kierownicy poszczególnych komórek organizacyjnych tego zakładu w porozumieniu z kierownikiem zakładu”.

Jak zachować tajemnicę lekarską kiedy archiwum elektroniczne znajduje się poza zakładem opieki zdrowotnej

Przetwarzanie danych medycznych na zasadach outsourcingu niesie za sobą konieczność zabezpieczenia danych medycznych przed dostępem osób nieuprawnionych, do których zgodnie z ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta oraz ustawami o zawodach: lekarza i lekarza dentysty, pielęgniarki i położnej, zaliczyć należy również administratorów danych firm oferujących outsourcing. Stawia to dodatkowe wymagania funkcjonale pod kątem systemu informatycznego obsługującego elektroniczną dokumentację medyczną, wykraczające ponad to co zostało wskazane w rozporządzeniu. O ile stosowanie podpisu elektronicznego podczas procesu tworzenia dokumentacji medycznej nie jest już obowiązkowe, o tyle zastosowanie PKI w zakresie szyfrowania dokumentów medycznych archiwizowanych w podmiocie zewnętrznym to najskuteczniejszy sposób zabezpieczenia dokumentacji przed dostępem osób nieuprawnionych. W związku z tym, że dostęp do zaszyfrowanej dokumentacji medycznej musi posiadać nie tylko lekarz dokonujący wpisu w dokumentacji, ale praktycznie cały upoważniony personel medyczny danego zakładu opieki zdrowotnej, najefektywniejszym rozwiązaniem mogłoby być zastosowanie tzw. certyfikatu korporacyjnego (w przeciwnym razie lekarz dokonujący wpisu byłby zmuszony użyczać swojej karty zawierającej jego klucz prywatny w celu odczytania dokumentu medycznego przez innego lekarza). Przy zastosowaniu certyfikatu korporacyjnego dokument medyczny jest szyfrowany kluczem publicznym przyporządkowanym do instytucji jako całości, a deszyfrowany za pomocą jej klucza prywatnego, w momencie odczytywania przez upoważnionego pracownika instytucji. Takie m.in. rozwiązania przewidują przepisy unijne, w tym dyrektywa Parlamentu Europejskiego i Rady 1999/93/WE z dnia 13 grudnia 2009 r. w sprawie wspólnotowych ram w zakresie podpisów elektronicznych oraz rządowy projekt nowej ustawy o podpisach elektronicznych, który właśnie jest procedowany przez Sejm. W związku, z tym, że w przypadku outsourcingu archiwizacji dokumentacji medycznej mamy do czynienia przede wszystkim z dokumentacją wewnętrzną placówki opieki zdrowotnej i jej przepływem wewnątrz instytucji, nic nie stoi na przeszkodzie, aby takie rozwiązania zastosować już teraz, zwłaszcza, że oficjalnie działające na polskim rynku centra certyfikacji (Certum, Sigilum, Krajowa Izba Rozliczeniowa) są przygotowane do świadczenia takich usług. Zastosowanie certyfikatu korporacyjnego powinno być elementem tzw. polityki bezpieczeństwa danej placówki opieki zdrowotnej (najlepiej uregulowanej wewnętrznym dokumentem w postaci regulaminu), regulującej całościowo kwestie stosowania podpisów elektronicznych i szyfrowania wewnątrz placówki opieki zdrowotnej. Warto również wspomnieć, że użycie przez usługodawcę certyfikatu korporacyjnego zostało przewidziane przez ustawę z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia. Zgodnie z art. 16 ust. 1 ustawy, informacja o certyfikacie korporacyjnym podlegać ma ewidencjonowaniu w nowoutworzonym Centralnym Wykazie Usługodawców. Ustawa przewiduje użycie jej w celu uwierzytelniania w Systemie Informacji Medycznej: 1) danych o udzielonych usługobiorcom świadczeniach opieki zdrowotnej przekazywanych z systemu ewidencyjno-informatycznego usługodawcy, 2) korekty błędnych danych o udzielonych i planowanych świadczeniach opieki zdrowotnej, 3) danych dotyczących pracowników medycznych udzielających świadczeń opieki zdrowotnej, przekazywanych do Centralnego Rejestru Pracowników Medycznych.

Udostępnianie dokumentacji medycznej pacjentom

Nowe rozporządzenie o dokumentacji medycznej umożliwia jej udostępnianie poprzez: (1) przekazanie informatycznego nośnika danych z zapisaną dokumentacją, (2) dokonanie elektronicznej transmisji dokumentacji oraz (3) przekazanie papierowych wydruków. Dodatkowo w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta, niedawno wprowadzono możliwość jej udostępnienia poprzez wgląd do „baz danych w siedzibie podmiotu udzielającego świadczeń zdrowotnych”. Ten sposób jednak przeznaczony jest przede wszystkim dla uprawnionych instytucji oraz organów np. dla NFZ. Najbardziej efektywnym i przyjaznym dla pacjentów sposobem jest oczywiście sposób drugi, jednak na jego pełne zastosowanie będzie można liczyć w momencie wejścia w życie nowej ustawy o podpisach elektronicznych, która przewiduje możliwość użycia  tzw. elektronicznej pieczątki do podpisywania dokumentów wychodzących z instytucji zamiast podpisów odręcznych konkretnych osob. W przypadku dokumentacji składowanej w zewnętrznym archiwum elektronicznym, wszystko odbywać się będzie automatycznie. Nie będzie konieczności ich powtórnego podpisywania przez osoby uprawnione w placówkach opieki zdrowotnej, gdyż każdy dokument medyczny szyfrowany kluczem publicznym placówki opieki zdrowotnej w momencie jego składowania, będzie mógł być podpisywany jej kluczem prywatnym i w ten sposób automatycznie zyskiwać wartość równą dokumentowi papierowemu podpisanemu odręcznie.

Do czasu wejścia w życie nowej ustawy o podpisach elektronicznych  elektroniczne dokumenty medyczne wydawane pacjentom powinny być jednak, co do zasady, podpisywane z wykorzystaniem kwalifikowanego certyfikatu przyporządkowanego do konkretnej osoby. Ogranicza to możliwość automatycznej transmisji dokumentu do pacjenta, choć całkowicie jej nie eliminuje. Osoba uprawniona (np. lekarz, pracownik rejestracji) w momencie konieczności wysłania pacjentowi dokumentu będzie musiała zalogować się do archiwum zewnętrznego, pobrać dokument, podpisać go za pomocą osobistego kwalifikowanego certyfikatu a następnie z powrotem umieścić w archiwum. Pacjent otrzyma dokument albo bezpośrednio z placówki opieki zdrowotnej (np. za pośrednictwem e-maila) albo poprzez dostęp do archiwum elektronicznego.

Tekst autora bloga opublikowany w "Slużbie Zdrowia" nr 43-50 (4044-4051) z 13 czerwca 2011 r.