Na studiach kładli mi do głowy, że najważniejszym narzędziem lekarza w tych ciekawych czasach jest długopis. Dokumentacja papierowa jednak powoli przechodzi do lamusa. Zgodnie z rozporządzeniem Ministra Zdrowia z dnia 6 kwietnia 2020 r. (pozycja 666 w Dzienniku Ustaw – przypadek?) dokumentacja powinna być prowadzona w formie elektronicznej. Tam gdzie jest to niemożliwe ze względów technicznych możliwe jest prowadzenie jeszcze dokumentacji w wersji papierowej. (Do czasu wdrożenia odpowiednich rozwiązań). Nigdy jednak nie powinno się prowadzić obu naraz tudzież naprzemiennie. Zatem albo wóz albo przewóz!
Implikuje to sytuacje, w których my, lekarze, lekarze dentyści, właściciele praktyk lekarskich czy podmiotów leczniczych musimy wdrażać rozwiązania, o których nie mamy pojęcia. No cóż, człowiek uczy się w końcu całe życie, prawda?
Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta mówi o tym, że podmiot wykonujący działalność leczniczą powinien przechowywać dokumentację medyczną przez 20 lat licząc od końca roku kalendarzowego, w którym dokonano w niej ostatniego wpisu. Są oczywiście wyjątki, kiedy taką dokumentację powinniśmy przechowywać dłużej (chociażby zgon z powodu zatrucia) lub krócej (np. skierowania czy zdjęcia radiologiczne) ale ja nie o tym chciałem…
Wracając jeszcze do wymienionego rozporządzenia z roku 2020 – prowadząc dokumentację elektroniczną musimy zadbać o bezpieczeństwo naszych danych. Wymienionych jest kilka ogólnikowych frazesów:
„Zabezpieczanie dokumentacji medycznej wymaga w szczególności: (…) stosowania środków bezpieczeństwa adekwatnych do zagrożeń, uwzględniających najnowszy stan wiedzy”
oraz
„(…) bieżącego kontrolowania funkcjonowania organizacyjnych i techniczno-informatycznych sposobów zabezpieczenia, a także okresowego dokonywania oceny skuteczności tych sposobów.”
Very fucking helpful. Równie dobrze mogli napisać, że potrzebujecie kogoś dobrego do ogarnięcia IT.
Pierwsza myśl jaka się nasuwa – kopia danych w chmurze! I tu pojawiają się schody. Po pierwsze – czy nasze dane, a w zasadzie danych pacjentów będą bezpieczne na czyimś serwerze? Czy możemy danej firmie bezkarnie powierzyć dane pacjentów? Nie jest to do końca uregulowane prawnie, ale z tego co wiem przechowywanie danych na serwerach zza wielkiej wody to nie jest fantastyczny pomysł. Najpopularniejsi giganci informatyczni mają swoje serwerownie właśnie tam a europejskie regulacje dotyczące danych osobowych rozmijają się nieco z amerykańskimi. Przechowywanie danych na europejskich serwerach jest nieco lepiej postrzegane pod kątem ich bezpieczeństwa, chociaż…
Kojarzycie pożar serwerowni OVH w Strasbourgu w północno wschodniej Francji? Kilka firm miało przez to kłopoty, niektóre strony internetowe przestały działać. Sam doświadczyłem sytuacji, w której w związku z tym zdarzeniem „wyłożyła się” jedną z często używanych przeze mnie aplikacji mobilnych. Dane z chmury przeniosły się dosłownie do chmury. Czarnego dymu. Większość z tych danych prawdopodobnie udało się odzyskać dzięki kopii zapasowej jednak część z nich przepadła bezpowrotnie. A na spalonych serwerach znajdowały się dane rządowe Francji, Wybrzeża Kości Słoniowej, dane aplikacji do automatyzacji sprzedaży na naszym rodzimym Allegro a nawet dane dotyczące przetargów w naszym kraju.
Jak się więc zabezpieczać?
Chodzi oczywiście o dane, świntuszki, wiem co sobie pomyśleliście…
Temat ten spędza mi sen z powiek od jakiegoś czasu. Wystarczy powiedzieć, że zabezpieczenie danych medycznych to nasz obowiązek, za którego niespełnienie grozi nam:
– możliwości nałożenia kary pieniężnej przez Rzecznika Praw Pacjenta;
– możliwości nałożenia kary finansowej przez NFZ, a w skrajnych przypadkach również rozwiązania kontraktu przez NFZ z winy podmiotu leczniczego;
– odpowiedzialność cywilna podmiotu leczniczego i konieczności zapłaty odszkodowania lub zadośćuczynienia z tytułu naruszenia praw pacjenta;
– odpowiedzialność cywilna za wyrządzoną szkodę majątkową lub niemajątkową z tytułu naruszenia przepisów o ochronie danych osobowych;
– możliwości nałożenia kary pieniężnej przez Prezesa Urzędu Ochrony Danych Osobowych;
– w skrajnych przypadkach – odpowiedzialności karnej na podstawie przepisów Kodeksu karnego.
Na samą myśl, robi mi się cieplutko jak w Strasbourgu w nocy z 9 na 10 marca br.
Może jednak warto dobrze to rozegrać? Tak wiecie, raz a dobrze?
Mamy do wyboru dwa podstawowe rodzaje oprogramowania. Z lokalną bazą danych lub z danymi pacjentów umieszczonymi właśnie w chmurze (firma dostarczająca oprogramowanie odpowiada za bezpieczeństwo tych danych na co podpisuje się stosowną umowę). Chmura ma tę zaletę, że płaci się stosunkowo niewielki abonament co miesiąc bez opłaty początkowej i e-dokumentację można wdrożyć już następnego dnia. Jest to bezsprzeczna wygoda… Czy to się jednak opłaca w dłuższej perspektywie? Średnio po roku uiszczania opłaty miesięcznej moglibyśmy pozwolić sobie na zakup rozbudowanego programu z własną bazą danych. Tylko… gdzie ją trzymać?
Czas na hardware! Jeszcze niedawno to też był dla mnie „hardcore”.
Czemu by nie postawić własnego serwera w gabinecie? Jest kilka wiodących firm, które produkują urządzenia – tzw. NAS (Network Access Server) na których możemy „postawić” swoją bazę danych. Posiadają one często kilka kieszeni na dyski o dużej pojemności. Można je ustawiać w różne tryby RAID (Redundant Array of Independent Disks – nadmiarowa macierz niezależnych dysków). Polega to na współpracy dysków ze sobą w różnoraki sposób. Można je skonfigurować tak, żeby z jeden dysk był dokładną kopią tego drugiego. W wypadku awarii jednego dysku – wciąż dysponujemy wszystkimi swoimi danymi! (RAID w trybie 1). Czyż to nie wspaniałe rozwiązanie? Owszem. Ale serwer w gabinecie też może spłonąć. (Papierowe karty palą się w sumie równie dobrze a może nawet lepiej…?). Dlatego ważne jest, żeby regularnie robić backup danych na dysk zewnętrzny (na przykład szyfrowany) i trzymać go w bezpiecznym miejscu. Albo skonfigurować sobie drugi NAS w domu, który będzie zapasową chmurą dla pierwszego.
Ale jak podłączyć te wszystkie kabelki? Jak to wszystko do jasnej anielki skonfigurować?
Nie wiem.
Ale wiem, kto wie! I to mi wystarczy!
