Powszechna informatyzacja coraz bliżej

Coraz powszechniejsza świadomość zapisów Ustawy o systemie informacji w ochronie zdrowia sprawia, że wielu przedstawicielom placówek leczniczych nie trzeba już przypominać o dniu 1 sierpnia 2014 r. – terminie wejścia w życie obowiązku prowadzenia nowej dokumentacji medycznej wyłącznie w postaci elektronicznej. O ile można mieć jeszcze nadzieję na nieznaczne przesunięcie tego terminu, o tyle sam kierunek zmian – przejście na elektroniczną dokumentację medyczną – jest już nieuchronny.

Rozstrzygnięcia wymaga jedynie kwestia: jak przygotować się do prowadzenia dokumentacji w tej postaci?

Próbując odpowiedzieć na to pytanie najczęściej porusza się jedynie problem wyboru i zakupu komputerów, drukarek i oprogramowania. Spróbujmy odpowiedzieć sobie jednak na bardziej fundamentalne pytanie: jak w oparciu o te elementy zbudować oraz – co ważniejsze – utrzymać bezpieczne, niezawodne i przyjazne użytkownikowi środowisko przetwarzania danych medycznych, nie narażając się jednocześnie na nadmierne koszty?

Bezpieczeństwo danych wrażliwych

Nikogo nie trzeba przekonywać o tym, jak ważne jest zapewnienie absolutnego bezpieczeństwa danych medycznych, objętych szczególnymi restrykcjami w Ustawie o ochronie danych osobowych, a także chronionych odwieczną i prawnie skodyfikowaną tajemnicą lekarską.

Rozważając kwestię bezpieczeństwa danych, należy zwrócić uwagę na jego trzy główne obszary, wynikające wprost z wymagań Rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania:

  • ochrona przed niepowołanym dostępem,
  • zapewnienie stałej dostępności systemu informatycznego,
  • ochrona przed trwałą utratą danych.

Poniższa tabela przedstawia potencjalne zagrożenia w poszczególnych obszarach oraz możliwe środki ochrony przed nimi:

Przykładowe zagrożenia Przykładowe środki ochrony
Ochrona przed niepowołanym dostępem
  • Dostęp przypadkowych osób (pacjenci w poczekalni, rodzina po godzinach pracy)
  • Hasła na żółtych karteczkach
  • Ataki socjotechniczne
  • Ataki zdalne (wirusy, konie trojańskie)
  • Błędy w oprogramowaniu
  • Indywidualne konta i hasła
  • Uwierzytelnienie dwufazowe
  • Zabezpieczenie przed kradzieżą sprzętu
  • Blokowanie komputerów
  • Automatyczne wylogowanie
  • Monitoring fizyczny i programowy
  • Aktualizacje oprogramowania
Zapewnienie stałej dostępności systemu informatycznego
  • Zanik zasilania
  • Awarie sprzętu
  • Zasilacze awaryjne
  • Macierze dyskowe
  • Zwielokrotnione serwery
Ochrona przed trwałą utratą danych
  • Awarie sprzętu i oprogramowania
  • Przepięcia w sieci energetycznej
  • Kataklizmy: pożary, powodzie
  • Przypadkowe usunięcie danych
  • Celowe uszkodzenie danych
  • Ochrona energetyczna
  • Ochrona fizyczna
  • Kopie zapasowe
  • Aktualizacje oprogramowania

Najważniejsza zasada bezpieczeństwa mówi, że każdy system informatyczny jest w całości tak bezpieczny jak jego najsłabszy, najmniej zabezpieczony element. Odpowiedzialne prowadzenie elektronicznej dokumentacji medycznej wymaga zatem nie jednokrotnego wdrożenia części z środków ochrony wymienionych w Rozporządzeniu i powyższej tabeli, ale nieustannego utrzymywania wszystkich z nich, a także wielu innych.

Przygotowanie i utrzymanie profesjonalnej infrastruktury serwerowej, a także odpowiednie skonfigurowanie oprogramowania komputerowego wymaga jednak posiadania zaawansowanej wiedzy informatycznej i poświęcenia dużej ilości wolnego czasu – lub zarezerwowania sporego budżetu na odpowiednie usługi zewnętrznych konsultantów.

Rozsądne bezpieczeństwo nie musi być drogie

Z pomocą może przyjść tzw. cloud computing, który opiszemy w kolejnym artykule – Chmura obliczeniowa w placówce medycznej:

Poprzez dostarczanie wielu odbiorcom bardzo zbliżonego zestawu usług, możliwa jest daleko idąca optymalizacja kosztów na poziomie usługodawcy, na czym mogą dużo zyskać również placówki medyczne.