Nikogo nie dziwi fakt, że dane gromadzone w systemie elektronicznej dokumentacji medycznej, pozwalające na weryfikację pacjenta, muszą być przechowywane zgodne z wymogami Generalnego Inspektora Ochrony Danych Osobowych.
Warto podkreślić, że w EDM dostępne są dane wrażliwe objęte ustawą z 27 sierpnia 1997 r. o ochronie danych osobowych. Niezbędne jest zatem ustalenie, jak właściwie zabezpieczyć sprzęt komputerowy, serwerownię, sieć internetową i w jaki sposób przygotować pracowników służby zdrowia, aby zapobiec naruszeniu przepisów. Według rozporządzenia Ministra Zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania, z dniem 1 sierpnia 2017 r. w każdej placówce służby zdrowia, dokumentację medyczną będzie można prowadzić tylko w formie elektronicznej.
Osoba zarządzająca placówką medyczną winna zawrzeć umowę z firmą informatyczną, w której szczegółowo sformułuje celowość przetwarzania danych osobowych pacjentów oraz dokument pod nazwą „Polityka bezpieczeństwa” i „Instrukcja zarządzania systemem informatycznym”. Do kluczowych zapisów tej pisemnej umowy należy m.in.:
– możliwość dokonania audytu w firmie informatycznej,
– stosowanie kar umownych za przetwarzanie danych osobowych, które jest sprzeczne z obowiązującym prawem,
– pozwolenie na dalsze powierzenie przetwarzania danych chorych,
– forma wydawania upoważnień.
Zapisy dotyczące przechowywania zasobów elektronicznej dokumentacji medycznej, jak i określonych warunków technicznych, traktują o bezpieczeństwie sposobu transmisji informacji pomiędzy poszczególnymi systemami. Warto nadmienić, że skoro firma informatyczna ma zdalny dostęp do informacji zawartych w elektronicznej dokumentacji medycznej oraz przechowuje kopie zapasowe, to siedziba tej firmy musi być traktowana jako drugie miejsce przetwarzania danych pacjentów. W mediach mówi się o aferach związanych z wyciekiem danych, które były przetwarzane w niezabezpieczonych systemach. Aby uniknąć nieprzyjemnych konsekwencji, niezbędne jest zatem zapewnienie środków technicznych i zainwestowanie w szkolenia personelu medycznego w zakresie procedur ochrony danych osobowych.
Podmiot, którego zadaniem jest przetwarzanie danych osobowych, jest zobowiązany do podjęcia działań polegających na ochronie informacji, opracowaniu dokumentacji ochrony danych osobowych pacjentów, jak i zagwarantowaniu warunków technicznych oraz organizacyjnych, którym powinny odznaczać się sprzęty, i systemy informatyczne wykorzystywane do przetwarzania danych osobowych chorych. Gwarancja bezpieczeństwa i poufności informacji zawartych w systemie elektronicznej dokumentacji medycznej to priorytet przetwarzania takich informacji. Istotne jest zatem posiadanie świadomości wrażliwości danych, o których mowa. W świetle prawa, „kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych, udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.”