Czy placówka może w zgodzie z przepisami prawa przenieść dane medyczne na zewnętrzne serwery, którymi administruje firma Mediporta? Tak!

Dane medyczne poza placówką

Aktualnie obowiązujące Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania nakłada na placówkę pełną odpowiedzialność za dane, wskazując że dokumentacja wewnętrzna jest przechowywana przez podmiot, który ją sporządził (par. 72). Rozporządzenie jednocześnie umożliwia jednak skorzystanie z zewnętrznego wsparcia w spełnianiu pozostałych wymogów prawnych, wskazując że miejsce przechowywania bieżącej dokumentacji wewnętrznej określa podmiot (par. 74). Spełnienie cytowanych zapisów nie stanowi problemu w prawidłowo zrealizowanej chmurze obliczeniowej, takiej jak Mediporta, ponieważ korzystająca z niej placówka pozostaje wyłącznym administratorem danych, przechowującym je w oparciu o zewnętrzną infrastrukturę.

Kwestię tę rozwiniemy w jednym z kolejnych artykułów – Miejsce przechowywania dokumentacji medycznej:

Chmura Mediporta korzysta ze wszystkich opisanych w artykule sposobów zabezpieczania danych przed ich utratą. Jednocześnie decyzję co do zakresu stosowanych technik oraz dozwolonych miejsc przetwarzania danych pozostawiamy naszym klientom, spełniając w pełni postanowienie Rozporządzenia.

Ochrona danych osobowych

Należy jednak pamiętać o tym, że dane medyczne stanowią szczególny przypadek danych osobowych. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w ogólności zabraniaprzetwarzania danych (…) o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym(art. 27, ust. 1), wskazuje jednak szereg wyjątków, w tym dotyczący podmiotów wykonujących działalność leczniczą (pkt. 7), przetwarzających dane w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych.

Cytowany wyżej przepis należy analizować w kontekście całego rozdziału 3 ustawy:

Artykuł Treść
Art. 23 postanowienia ogólne
Art. 24 W przypadku (…) administrator danych jest obowiązany (…)*
Art. 25 W przypadku (…) administrator danych jest obowiązany (…)
Art. 26 Administrator danych przetwarzający dane powinien (…)
Art. 27 przetwarzanie danych wrażliwych
Art. 28 ograniczenia numerów porządkowych
Art. 29-30 uchylone
Art. 31 Administrator danych może powierzyć innemu podmiotowi (…)

Jak widzimy rozdział 3 ustawy określa możliwe pole działania administratora danych, wskazując jednocześnie dozwolone dla niego przetwarzanie danych może zostać powierzone innemu podmiotowi, w zakresie i celu określonym w pisemnej umowie.

Dodatkowe powody, dla których warto zawrzeć pisemną umowę z dostawcą usług chmurowych przedstawimy w jednym z artykułów w ramach cyklu Na co zwrócić uwagę wybierając oprogramowanie w chmurze – Część 3 – Zawarcie umowy:

Analizując ofertę usługi chmurowej warto zwrócić uwagę na zakres i sposób uregulowania kwestii równie istotnych co powierzenie:

  • Co w chodzi w skład usługi? Jakie są funkcje systemu?
  • Jakie są gwarancje bezpieczeństwa i dostępności?
  • W jaki sposób warunki świadczenia usługi mogą się zmieniać?

Chmura nie tylko dozwolona, ale również korzystna finansowo

W kolejnym artykule – Rzeczywiste koszty informatyzacji – zajmiemy się stroną finansową rozwiązań opartych zarówno o przetwarzanie w chmurze, jak i lokalnie instalowane oprogramowanie:

Ile tak naprawdę kosztuje wprowadzenie oprogramowania do zarządzania placówką medyczną? Odpowiedź na to pytanie zależy od wielu czynników, spośród których zakup aplikacji jest tylko jednym, w dodatku rzadko największym. Najważniejsze z tych czynników wskażemy w dzisiejszym artykule, zwracając szczególną uwagę na te, o których wybierający oprogramowanie często zapominają. Omówione zostaną następujące obszary:

  • koszty infrastruktury serwerowej,
  • koszty stacji roboczych,
  • koszty wdrożenia,
  • koszty licencyjne,
  • koszty utrzymania systemu.

Ważna aktualizacja dotycząca outsourcingu

W związku z ukazaniem się projektu założeń do ustawy zmieniającej Ustawę o systemie informacji w ochronie zdrowia, które zakładają m.in. dosłowne przyzwolenie na outsourcing przetwarzania danych medycznych, zachęcamy do zapoznania się z artykułem Uregulowanie outsourcingu danych medycznych.

Założenia projektowanych przepisów są następujące:

(…) Ze względu na konieczność zapewnienia należytej ochrony danych osobowych i informacji o stanie zdrowia, proponuje się wprowadzenie w ustawie instytucji powierzenia przechowywania dokumentacji medycznej, wzorowanej na rozwiązaniach przewidzianych w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.), co umożliwi podmiotom udzielającym świadczeń zdrowotnych skorzystanie z wiedzy, infrastruktury i technologii, jakimi dysponują specjalistyczne podmioty zewnętrzne (np. informatyczne). (…)