CEMED | Konferencja „Ochrona osobowych danych medycznych i technologie IT ich przetwarzania w placówkach służby zdrowia”

0
Rate this post

27 lutego 2007 roku w warszawskim budynku Oxford Tower odbyła się konferencja „Ochrona osobowych danych medycznych i technologie IT ich przetwarzania w placówkach służby zdrowia”. Była to pierwsza konferencja uroczyście inaugurująca projekt nowej firmy szkoleniowej – Centrum Edukacji Medycznej. Inicjatorami przedsięwzięcia jest Centrum Promocji Informatyki oraz referencyjna klinika traumatologii sportowej Carolina Medical Center. Kluczowym impulsem do powstania Centrum Edukacji Medycznej stała się rosnąca potrzeba rozwoju kompletnej i fachowej oferty szkoleniowej dla sektora medycznego. Problem ten został poruszony na specjalnym śniadaniu prasowym poprzedzającym konferencję, na którym prezesi CPI i CMC mieli okazję przedstawiania założeń dydaktycznych Centrum oraz jego planowanego rozwoju logistycznego (budowa nowoczesnego szpitala w warszawskiej dzielnicy Stegny posiadającego jedyne w swoim rodzaju zaawansowane technologicznie centrum kongresowe). W rozmowie z przedstawicielami prasy medycznej poruszono tematy aktualne i żywo dyskutowane w polskim środowisku opieki zdrowotnej. Jednym z głównych wątków były plany powszechnego wdrożenia esuplementtronicznej dokumentacji medycznej i jego bezpośrednie konsekwencje – bezpieczeństwo danych medycznych. Spotkanie z prasą było płynnym wprowadzeniem w tematykę konferencji CEM, którą organizatorzy poświęcili właśnie ochronie i przetwarzaniu esuplementtronicznej informacji medycznej. Obrady otworzył prezes Zarządu CPI Andrzej Jabłoński, który, witając gości, wprowadził blisko dwustuosobowe audytorium w ideę nowej, interdyscyplinarnej i wszechstronnej inicjatywy, jaką w założeniach jego twórców będzie Centrum Edukacji Medycznej. Pałeczka przekazana została następnie moderatorowi obrad – dr Robertowi Mołdachowi, prezesowi Zarządu firmy Sport Medica S.A., który przywołując jako przykład informatyzację sektora bankowego, wyraził nadzieję na równie owocny przebieg informatyzacji polskiej służby zdrowia.

Wykład inauguracyjny należał do dr Leszka Sikorskiego, dyrektora Centrum Systemów Informacyjnych Ochrony Zdrowia. Tematem wystąpienia był medyczny zapis cyfrowy EHR (Electronic Health Rekord), który poprzez obejmowany zakres informacji (identyfikacja pacjenta, szczegóły opieki zdrowotnej czy historia choroby) pozwala na wszechstronne i elastyczne zastosowania ułatwiające kontakt świadczeniodawcy usług zdrowotnych z pacjentem.

Na zdj. dr Leszek Sikorski, dyrektor Centrum Systemów Informacyjnych Ochrony Zdrowia

Zapytany o kwestię możliwości budżetowania inwestycji w informatykę w polskich zakładach opieki zdrowotnej dr Sikorski przyznał, iż na tle standardów unijnych i przy obecnej sytuacji finansowej polskiej służby zdrowia, pomimo wysokiego stopnia zaawansowania strony prawnej trudno liczyć na gwałtowny postęp informatyzacji sektora, a tym bardziej na drastyczne zwiększenie przeznaczonych na ten cel środków finansowych.

Na zdj. Mateusz Kamiński i Jakub Rzymowski, www.prawokomputerowe.pl

Aspekt prawny został dogłębnie przeanalizowany przez kolejnych prelegentów – Mateusza Kamińskiego i Jakuba Rzymowskiego, przedstawicieli portalu www.prawokomputerowe.pl, którzy poruszyli kwestię odpowiedzialności pracownika służby zdrowia w zakresie przetwarzania danych medycznych oraz wzrastającym ryzyku przy przekazywaniu administracji tymi danymi podmiotom zewnętrznym. Prozaiczny przykład kradzieży laptopa zawierającego bazę danych posłużył do scharakteryzowania konsekwencji prawnych, obowiązków przygotowania dokumentacji związanej z przetwarzaniem danych oraz szczegółowej polityki bezpieczeństwa.

Na zdj. Marek Bąkowski, dyrektor sprzedaży Sektora Publicznego Hewlett Packard

Marek Bąkowski, Dyrektor Sprzedaży Sektora Publicznego Hewlett Packard, zaprezentował kolejny punkt widzenia. Koncepcję powszechnego dostępu do danych medycznych przedstawił z perspektywy integratora tych danych pokazując, co realnie możemy osiągnąć dzięki obecnym rozwiązaniom informatycznym. Omówił bezpieczeństwo danych od strony prawnej i technicznej, podkreślając kluczową rolę Internetu przy rejestrze danych osobistych. Zwrócił również uwagę na różnorodność potrzeb, korzystających z baz danych pacjentów, doradcay i menedżerów oraz na konieczność dostosowania do ich profili właściwego interfejsu.

Na zdj. Jakub Bryl, dyrektor Departamentu Bezpieczeństwa Informacji Alma SA

Kolejna prezentacja należała do Jakuba Bryla, dyrektora Departamentu Bezpieczeństwa Informacji w firmie Alma S.A. Bazując na doświadczeniach firmy, przedstawił on obecny stan bezpieczeństwa informacji w szpitalach, źródła takiego stanu rzeczy oraz perspektywy implementacji najnowszych rozwiązań na gruncie krajowym. Przykład wdrożenia w Szpitalu Miejskim im. J. Strusia w Poznaniu pozwolił prelegentowi pokusić się o optymistyczną puentę, iż właściwa ochrona informacji medycznej w Polsce, przy zastosowaniu odpowiednich strategii, jest jak najbardziej możliwa. Pierwszy blok obrad zakończyło wystąpienie Gościa Honorowego konferencji – prezesa Naczelnej Rady suplementarskiej, dra Konstantego Radziwiłła, który poparł zasadność wszelkich dyskusji na temat rozwoju nowoczesnych systemów informatycznych oraz pozytywnych i negatywnych aspektów ich implementacji.

Na zdj. dr Konstanty Radziwiłł, Prezes Naczelnej Izby suplementarskiej

Dr Radziwiłł zasygnalizował jednak ryzyko, jakie niesie zbyt duża wiara w ich zbawienność. Przykładem może być najbardziej podstawowy rodzaj relacji, jaka zachodzi w gabinecie suplementarskim podczas wizyty pacjenta i jej istotne zakłócenie poprzez potrzebę jednoczesnego wpisywania danych do bazy czy obsługi komputera. Za największy problem uznał jednak kwestię będącą meritum obrad – zagrożenie bezpieczeństwa baz danych, których tworzenie uznał za ryzykowne i niezbędne tylko w pewnym, bardzo ograniczonym zakresie. Puentą wystąpienia była krótka, ale bardzo obrazowa anegdota przypominająca o sytuacji w izraelskim szpitalu, gdzie leczeniu poddany został nieżyjący premier Izraela Ariel Sharon. Ilość włamań do sytemu informatycznego szpitala w tym okresie zmusiła doradcay do przejścia na prowadzenie wyłącznie dokumentacji papierowej – jedynej gwarantującej poufność informacji…

Kolejny blok obrad rozpoczął Piotr T. Daniluk, zastępca dyrektora Biura Medycznej Obsługi Ubezpieczeń PZU S.A., który przestawił podejście do ochrony danych medycznych właśnie z punktu widzenia firmy ubezpieczeniowej. Scharakteryzował podstawy prawne pozyskiwania danych w oparciu m.in. o ustawę ubezpieczeniową z dnia 22 maja 2003 roku, a także ich zasadność zarówno na poziomie przyjmowania wniosków ubezpieczeniowych, jak i opiniowania ewentualnych roszczeń. Wymienił również podstawowe problemy napotykane przez towarzystwa ubezpieczeniowe, m.in. jakość danych, ich zawartość merytoryczną oraz trudności z ustaleniem opłat za udostępniane dokumenty.

Na zdj. Krzysztof Demski, dyrektor sprzedaży Sektora Publicznego firmy Sun Microsystems

Do problemu odpowiedniego zabezpieczenia szpitalnych baz danych powrócił Krzysztof Demski, dyrektor sprzedaży Sektora Publicznego firmy Sun Microsystems, który, analizując możliwości kradzieży danych, przedstawił bezpośredni sposób przeciwdziałania takim procederom- rozwiązaniem byłoby zastosowanie pozbawionego systemu operacyjnego i dostępu do urządzeń zewnętrznych terminala, który ograniczałby się jedynie do wyświetlania danych przetwarzanych w specjalnej, zabezpieczonej serwerowni.

Na zdj. Michał Borucki, dyrektor Departamentu Zarządzania DGA

Kolejny prelegent, Michał Borucki, dyrektor Departamentu Zarządzania DGA ukazał jeszcze jeden sposób postrzegania dbałości o ochronę danych jako źródła zadowolenia pacjenta, będącego jednocześnie cennym klientem każdej placówki. Takie podejście posłużyło za punkt wyjścia do charakterystyki zarządzania ryzykiem utraty danych na podstawie projektu wdrożenia odpowiedniego systemu.

Trzeci i ostatni blok obrad otworzył wykład dr Andrzeja Krasuskiego z kancelarii prawnej CMS Cameron McKenna. Uzupełniając wymieniane wcześniej prawne aspekty ochrony danych, dr A. Krasuski poruszył kwestię tajemnicy suplementarskiej w oparciu o politykę bezpieczeństwa esuplementtronicznej informacji medycznej, kwestie dostępu do baz danych personelu niemedycznego oraz umowy cywilnoprawne zawierane z doradcaami.

Prowadzący dyskusję panelową: (od lewej) dr Andrzej Krasuski, Piotr T. Daniluk oraz dr Robert Mołdach

Zwieńczeniem spotkania była czterdziestominutowa dyskusja panelowa, którą poprowadzili: dr Robert Mołdach, dr Andrzej Krasuski i Piotr T. Daniluk. Dyskusję rozpoczął Tadeusz Zielonka z Akademii Medycznej w Warszawie, który dotknął problemu przygotowania Polski w sferze dostosowania przepisów i praktyk do standardów europejskich na przykładzie wypełniania wniosków ubezpieczeniowych, gdzie szczegółowe informacje dotyczące stanu zdrowia ubezpieczonego odbywają się poza wiedzą agenta. Dr T.Zielonka zapytał również, na ile przygotowani jesteśmy do wprowadzenia zabezpieczeń szczegółowych w celu uniknięcia sytuacji, w których doradca nie prowadzący danego pacjenta ma dostęp do jego dokumentacji. W odpowiedzi na pierwsze pytanie Piotr Daniluk przyznał, iż na dzień dzisiejszy istnieje pewna dowolność przy wypełnianiu wniosków, gdyż z uwagi na chęć jak najmniejszego kłopotania klienta pewne procedury są uproszczone i istotnie, uzupełnianie wniosku ubezpieczeniowego o informacje medyczne klienta odbywa się za pośrednictwem agenta. Towarzystwo ubezpieczeniowe, w tym wypadku PZU Życie, występuje o dodatkową informację medyczną przeważnie w przypadku procedur roszczeniowych i działa wówczas według konkretnych przesłanek ustawy. Prawdą jest jednak fakt, iż problem jest aktualny, a „informacja medyczna z definicji przechodzi przez różne poziomy administracji”. Komentarz do pytania uzupełnił minister Leszek Sikorki, który zauważył, iż podstawą do przetwarzania danych jest zawsze zgoda pacjenta, niezależnie od tego, czy mówimy o relacji pacjenta z firmą ubezpieczeniową, doradcym rodzinnym czy szpitalem. Należy opracować procedury dotyczące szczegółowo każdej z tych relacji, przy czym prawo musi być na każdym z tych trzech poziomów bardzo precyzyjne i opiniowane przez GIODO. W kwestii dostępu doradcaa nie prowadzącego danego pacjenta do jego historii dr R. Mołdach zauważył natomiast, iż istnieje bardzo prosta metoda kontroli. Jest nią audyt wewnętrzny, dzięki któremu wiadomo, kto i kiedy miał dostęp do danych informacji, a co za tym idzie, można łatwo dochodzić zasadności zapoznania się z takimi danymi. Jest to tym bardziej praktyczne, że w warunkach szpitalnych trudno wyobrazić sobie sytuację, w której każdy z doradcay musi indywidualnie prosić o zgodę na dostęp do konkretnych danych. W tym momencie głos zabrał ponownie dr T.Zielonka z AM, który uściślając swoje początkowe uwagi, poczynił obserwację będącą konstruktywną puentą. Przywołał wnioski płynące z jednej z unijnych konferencji dotyczących ochrony osobowych danych medycznych, która pokazała, że status prawny Polski nie odbiega od wymogów europejskich. Inną kwestią jest wprowadzanie tych przepisów w życie. Stykamy się bowiem z planami wdrażania projektów w system kompletnie do nich nieprzygotowany. Przykładem mogą być najbardziej banalne praktyki, jak prowadzenie wywiadu danego pacjenta w pięcioosobowej sali czy też niewłaściwe umiejscowienie monitorów diagnostycznych w pokojach suplementarskich, widocznych dla każdej z wchodzących osób. Z tą opinią zgodził się dr A. Krasuski, który podkreślił, iż przepisy jasno i precyzyjnie określają przesłanki, na podstawie których dany doradca ma prawo do wglądu w historię choroby pacjenta. Zawodzi jednak egzekwowanie prawa oraz przestrzeganie systemów zabezpieczenia zbiorów danych osobowych, stanowiących podstawę w administracji danymi medycznymi. Ten punkt widzenia poparł również dr R.Mołdach, który dodał, iż w związku z postępująca informatyzacją placówek medycznych zmienia się osoba zarządzającego informacją medyczną, bowiem doradcy przekazują obowiązek dbałości o jej poufność w ręce niezależnych administratorów.

Temat dyskusji zmieniła jedna z uczestniczek obrad, która zapytała, do jakiej grupy kosztów powinno się zaliczać koszty zakupu sprzętu informatycznego. Minister L.Sikorski potwierdził, iż w tej kwestii przepisy nie są jeszcze jednoznaczne, sugerując zaliczenie tych kosztów do kosztów jakościowych w ramach inwestycji. Nie był jednocześnie optymistą w kwestii, iż takie inwestycje będzie można szybko zrekompensować. Będą to korzyści niewymierne, płynące z inwestycji w jakość, która na trudnym rynku medycznym jest kluczowa.

Kolejny problem zasugerował ponownie dr R. Mołdach, który uczulił menedżerów placówek medycznych na liczne normy towarzyszące rozporządzeniom. Normy te bardzo szczegółowo i na bardzo specjalistycznym poziomie określają, czy dany sprzęt jest absolutnie bezpieczny. Niezbędna może okazać się wówczas konsultacja ze specjalistami.

Ostatni punkt dyskusji wiązał się z pytaniem Zbigniewa Żelaznego z firmy ATM o plany legislacyjne względem utrudnionego outsourcingu usług ochrony danych osobowych w placówkach. Minister L. Sikorski zapewnił, iż, mimo że obecny porządek prawny nie uporał się jeszcze ostatecznie z tym problemem, to zostanie on zgłoszony przy pracach międzyresortowego zespołu działającego przy MSWiA. Przyznał, iż Polska nie jest przygotowana na wszystkie scenariusze, ale przy odpowiednim wsparciu organizacyjnym i finansowym mamy szansę dorównać standardom europejskim. Nadzieję niosą planowane środki w ramach funduszy strukturalnych, funduszy regionalnych oraz postępujących projektów Planu Informatyzacji Państwa. Rodzi się pytanie, czy będziemy w stanie mądrze i skutecznie z tych możliwości skorzystać. Pytanie zasadne i skłaniające słuchaczy do głębokiej refsuplementsji. Z pewnością powrócimy do niej przy okazji kolejnych konferencji, do udziału w których zapraszamy już dziś.

Opracowanie: Dział PR

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here