Logowanie do profilu lekarza
Przez login.gov
Nie masz konta? Zarejestruj się
Przez login.gov
Nie masz konta? Zarejestruj się
W obliczu napływających do Biura Rzecznika Praw Lekarza informacji o nienależytym wykonywaniu usług związanych z funkcjonowaniem programów do prowadzenia dokumentacji medycznej, Rzecznik Praw Lekarza Okręgowej Izby Lekarskiej w Warszawie podjęła szereg działań mających na celu poprawę nadzoru nad firmami świadczącymi tego rodzaju usługi, bezpieczeństwa systemów informatycznych oraz skuteczniejsze zabezpieczenie interesów lekarzy, podmiotów leczniczych i pacjentów.
Dokumentacja medyczna podlega szczególnej ochronie prawnej, a odpowiedzialność za jej bezpieczeństwo spoczywa przede wszystkim na lekarzach oraz podmiotach wykonujących działalność leczniczą. W praktyce dane te często przechowywane są na serwerach prywatnych firm świadczących usługi z zakresu dostarczania i serwisowania programów do prowadzenia dokumentacji medycznej. Może to rodzić niebezpieczeństwo – szczególnie że ramowe umowy narzucane przez firmy przenoszą ciężar odpowiedzialności za bezpieczeństwo danych pacjentów na lekarzy lub podmioty medyczne udzielające świadczeń zdrowotnych.
W pierwszej kolejności Rzecznik Praw Lekarza wystąpiła do Ministerstwa Cyfryzacji z prośbą o zajęcie stanowiska w sprawie nadzoru nad firmami świadczącymi usługi w zakresie dostarczania i serwisowania programów do prowadzenia dokumentacji medycznej. Rzecznik poprosiła o odpowiedzi na pytania dotyczące warunków i wymogów, jakie podmioty świadczące tego rodzaju usługi muszą spełniać oraz obowiązujących standardów w zakresie bezpieczeństwa danych zawartych w programach do prowadzenia dokumentacji medycznej.
W odpowiedzi Ministerstwo Cyfryzacji przedstawiło szereg wyjaśnień i zaleceń. Wskazano m.in. że relacje między podmiotami leczniczymi a dostawcami oprogramowania mają charakter cywilnoprawny, dlatego kluczowe znaczenie ma treść zawieranych umów. Powinny one precyzować m.in. warunki dotyczące: migracji danych, przenoszenia praw autorskich, dostosowywania systemu do zmian prawa, poprawiania błędów czy dostosowania oprogramowania do standardów bezpieczeństwa.
W celu zabezpieczenia interesów podmiotów leczniczych resort zaleca, by w postępowaniach przetargowych wymagano od firm przedłożenia certyfikatów bezpieczeństwa (np. ISO 27001), wyników ostatnich testów penetracyjnych (OWASP v.4 lub wyższych) i wybierania na tej podstawie rozwiązań bez wykazanych w raporcie podatności wyższych niż niskie (bez średnich, wysokich i krytycznych).
Jak podkreśla ministerstwo, cennym źródłem wiedzy dla zamawiających są wytyczne Centrum e-Zdrowia, w tym dokument: Minimalne wymagania techniczne i funkcjonalne dla systemów usługodawców, a odpowiednie ukształtowanie warunków współpracy z dostawcami jest obecnie podstawowym narzędziem ochrony interesów placówek medycznych.
Po analizie odpowiedzi Ministerstwa, Rzecznik Praw Lekarza wystąpiła do Najwyższej Izby Kontroli z wnioskiem o przeprowadzenie kontroli jakości usług świadczonych przez dostawców oprogramowania do prowadzenia dokumentacji medycznej oraz skuteczności zabezpieczenia interesów podmiotów leczniczych oraz lekarzy w umowach zawieranych z tymi dostawcami.
W swoim wniosku, opierając się na stanowisku Centrum e-Zdrowia przesłanym do Biura RPL, rzecznik wskazała, że w umowach z dostawcami brakuje właściwych zapisów (m.in. dotyczących migracji danych i aktualizacji prawnych). Ponadto oprogramowanie w wielu przypadkach funkcjonuje nieprawidłowo, nie spełnia minimalnych wymagań technicznych i funkcjonalnych, co prowadzi do problemów z dostępem do dokumentacji medycznej i wpływa na jakość świadczeń zdrowotnych.
Co więcej, jak wskazuje rzecznik we wniosku do NIK, brakuje skutecznych mechanizmów egzekwowania odpowiedzialności dostawców, a niedostateczna kontrola nad jakością oprogramowania i brak jednolitych standardów w zakresie bezpieczeństwa danych osobowych mogą prowadzić do naruszeń ochrony danych pacjentów.
Zakres postulowanej przez RPL kontroli:
Rzecznik zwróciła się też do NIK z prośbą o rozważenie przedstawienia rekomendacji dotyczących konieczności wprowadzenia ewentualnych zmian legislacyjnych, które mogłyby poprawić sytuację w zakresie jakości oprogramowania stosowanego w placówkach medycznych oraz zabezpieczenia praw podmiotów leczniczych w umowach z dostawcami.
W odpowiedzi, NIK poinformowała, że wniosek został szczegółowo przeanalizowany i włączony do zasobu sygnałów, które mogą stanowić podstawę planowania przyszłych działań kontrolnych. Jak podkreśla NIK, wybór obszarów kontroli odbywa się na podstawie analizy ryzyka, z uwzględnieniem sygnałów od obywateli, instytucji i własnego doświadczenia NIK, a każdorazowe rozpatrzenie i sposób załatwienia wniosku należy do wyłącznej kompetencji NIK. Wyniki kontroli są publikowane w Biuletynie Informacji Publicznej po zakończeniu procedur.
NIK zaznacza, że zgłoszona przez RPL problematyka zostanie wzięta pod uwagę przy planowaniu przyszłych działań kontrolnych, szczególnie w obszarze wydatkowania środków publicznych w ochronie zdrowia.
Rzecznik Praw Lekarza OIL w Warszawie będzie nadal monitorować sytuację i informować środowisko medyczne o dalszym rozwoju sprawy.
