Bezpieczeństwo Elektronicznej Dokumentacji Medycznej

W świetle Normy 13606 – 4:2007 Informatyka w ochronie zdrowia. Przesyłanie elektronicznej

dokumentacji zdrowotnej. część 4 Bezpieczeństwo danych

Krzysztof Nyczajekspert Izby Gospodarczej Medycyna Polska, konsultant w Gabinecie Prezesa Głównego Urzędu Statystycznegodziennikarz tygodnika Służba Zdrowia

Zasady ogólne (1) • Norma 13606 – 4:2007 wychodzi z założenia, że w idealnym rozwiązaniu w

zakresie bezpieczeństwa elektronicznej dokumentacji medycznej powinna istnieć możliwość skojarzenia każdej drobnej pozycji w dokumentacji pacjenta z listą kontrolną dostępu osób, uprawnionych do przeglądania tych informacji.

• Lista taka powinna być tworzona przez pacjenta lub przynajmniej przez niego zatwierdzana oraz uwzględniać prawo innych osób zobowiązanych ustawowo do sprawowania opieki nad pacjentem lub ochroną jego życia.

• Według normy na liście kontroli dostępu powinny znajdować się również osoby, które mają prawo uzyskać dostęp do tych danych z innych powodów niż sprawowanie opieki nad pacjentem (takich jak zarządzanie ochroną zdrowia, epidemiologia i zdrowie publiczne, badania, na które wyrażono zgodę), ale z wyłączeniem wszelkich informacji, które nie są im potrzebne lub które w odczuciu pacjenta są zbyt osobiste.

Zasady ogólne (2) • Norma wychodzi również z założenia, że w idealnym rozwiązaniu, jeśli informacje

są, przez pacjentów lub ich przedstawicieli, oznaczane jako osobiste albo prywatne, nie powinno to krępować tych, którzy w nagłych przypadkach mają prawo zapoznać się informacją, ani tych dostawców opieki zdrowotnej, którzy mając zawężoną perspektywę w procesie leczenia, mogliby przypadkowo być wprowadzeni w błąd i niewłaściwie pokierować pacjentem.

• Norma zakłada, że poglądy pacjentów co do dostępności do danych medycznych innych osób mogą ewoluować w miarę jak następuje ich osobiste zaniepokojenie stanem zdrowia. Pacjenci powinni móc zaoferować kilka poziomów dostępu do dokumentacji medycznej członkom rodziny, przyjaciołom, opiekunom.

• Norma zakłada, że warunkiem utrzymania wymienialności dokumentacji oraz spójnego przesyłania danych medycznych pomiędzy dostawcami opieki medycznej jest automatyzacja procesu podejmowania decyzji, czy osoba zamawiająca dane medyczne powinna uzyskać zezwolenie na ich utrzymanie. Brak takiej automatyzacji może spowodować znaczące opóźnienia i obciążenie pracą ludzi podejmujących decyzje, a co za tym idzie brak wymienialności danych.

Zasady ogólne (3) • Norma 13606 – 4:2007 nie precyzuje, kto powinien mieć

dostęp i do jakiego zakresu danych medycznych oraz jakie mechanizmy bezpieczeństwa należy zastosować.

• Norma wychodzi z założenia, że szczegóły w tym zakresie powinny być ustalone przez społeczności użytkowników oraz wytyczne i ustawodawstwo państwowe.

• Norma definiuje jednak podstawowe ramy, które mogą być stosowane jako minimalna specyfikacja polityki dostępu do EDM. Norma podejmuje tematykę zabezpieczenia danych na tle tzw. scenariuszy przesyłania danych.

Zasadnicze scenariusze przesyłania danych i związane z bezpieczeństwem procesy biznesowe

Źródło: PN-EN 13606-4 Informatyka w ochronie zdrowia. Przesyłanie elektronicznej dokumentacji zdrowotnej. Część 4: Bezpieczeństwo danych.

Zamawianie danych EHR

• Norma zwraca uwagę, że interfejs zamawiania wymaga włączenia tzw. profilu zamawiającego, który umożliwiłby dostawcy EHR (np. placówce opieki zdrowotnej) podjecie decyzji o udostępnieniu dokumentacji medycznej lub jej fragmentu.

• Zakłada się, że w niektórych przypadkach zamawiający EHR może nie być tą samą stroną co odbiorca EHR. Przykładowo dostawca oprogramowania może automatycznie wywoływać wysyłanie do pracownika ochrony zdrowia komunikaty zawierające dane EHR. W takich przypadkach decyzje o przyznaniu dostępu określone są w dokumentach uwierzytelniających odbiorcy EHR.

• Norma zakłada, że do zamówienia EHR może być potrzebne powołanie się na specjalne upoważnienie pacjenta np. przez dostarczenie formularza z wyraźną zgoda pacjenta.

• Norma zakłada również, że kwestia uzgodnień między zamawiającym a dostawcą EHR będą w coraz większym stopniu zautomatyzowane, systemy obsługujące EHR powinny umożliwiać „skomputeryzowaną politykę negocjacji”. Wymagania co do minimalnego zakresu informacyjnego dla interakcji zamawianie danych EHR zostały zawarte w części 5 normy (PN-EN ISO 13606-5 Informatyk w ochronie zdrowia – Przesyłanie dokumentacji zdrowotnej – Część 5: Specyfikacja interfejsu)

Podjecie decyzji o dostępie, filtrowanie danych EHR

• Norma zakłada, że podczas przetwarzania zamówienia EHR, podczas określania zakresu wyciągu danych z EHR, powinno brać się pod uwagę obowiązujące polityki dostępu do EHR, wywodzące się z ustawodawstwa państwowego, specyficznego dla danej organizacji lub zawodu.

• W normie odstąpiono od określania ogólnego zestawu polityk. Przedstawiono jednak ogólne ramy przedstawiania polityk dostępu w sposób zapewniający współdziałanie.

• Polityki te nie powinny być wg Normy przechowywane fizycznie w systemie obsługującym EHR. Mogą być jednak integrowane poprzez odwoływanie się systemu informatycznego obsługującego EHR do odrębnego serwera, na którym takie polityki byłyby przechowywane.

Odmowa wyciągu danych z EHR

• Norma zakłada wydzielenie zestawów odpowiedzi udzielanych przez dostawcę EHR. Odpowiedzi te nie mogą sugerować zamawiającemu, że dane EHR istnieją.

• Zakłada się, że szkodliwe dla pacjenta mogłoby być samo przekazanie informacji czy dane medyczne jego dotyczące istnieją bądź nie istnieją.

• Norma nie zakłada wyjątkowych uwarunkowań w zakresie bezpieczeństwa.

• Model interfejsu został przedstawiony w części 5 normy (PN-EN ISO 13606-5 Informatyk w ochronie zdrowia – Przesyłanie dokumentacji zdrowotnej – Część 5: Specyfikacja interfejsu).

Dostarczenie wyciągu EHR

• Norma zakłada, że odbiorca wyciągu EHR nie musi być zamawiającym EHR, a fakt dostarczenia wyciągu EHR nie musi być efektem zamówienia.

• Wyciąg z EHR może być dostarczony odbiorcy przez dostawcę EHR (placówka opieki zdrowotnej) z własnej inicjatywy np. w ramach procesu leczenia albo po to aby dodać nowe dane do istniejącego EHR.

• Norma zakłada zgodność wyciągu EHR z modelem referencyjnym zdefiniowanym w części I normy PN-EN ISO 13606-1 Informatyka w ochronie zdrowia – Przesyłanie dokumentacji zdrowotnej – Część 1: Model referencyjny)oraz z modelem interfejsu zdefiniowanym w części V normy (PN-EN ISO 13606-5 Informatyk w ochronie zdrowia – Przesyłanie dokumentacji zdrowotnej – Część 5: Specyfikacja interfejsu).

• Ponadto Norma zakłada, że wyciąg z EHR powinien zawierać albo powoływać się na polityki dostępu, aby regulować dalsze rozprzestrzenianie się przesłanych danych EHR.

kontrola zdarzeń EHR

• Norma zakłada dokonanie zapisu dotyczącego udostępnienia danych EHR, ale nie wprowadza normatywu w tym zakresie

• Pacjenci powinni mieć możliwość uzyskania dostępu do informacji aby stwierdzić kto uzyskał dostęp do części albo całości EHR.

• Pacjent powinien mieć możliwość zamówienia zapisu kontroli zdarzeń informujący: kto uzyskał dostęp do jakich części EHR i kiedy.

• Generalnie zapis kontroli zdarzeń powinien być dostarczony w kompletnej i niezmodyfikowanej postaci. Jednak istnieją sytuacje, kiedy konieczne jest przefiltrowanie takiego wyciągu i ograniczenie udostępnianych danych o te, do których pacjenci nie mają wglądu.

• Konieczne jest określenie z góry zestawu powodów odmowy dostępu w zapis kontroli. Powody te nie mogą jednak sugerować, że dane EHR istnieją. Zakłada się, że szkodliwe dla pacjenta mogłoby być samo przekazanie informacji czy dane medyczne jego dotyczące istnieją bądź nie istnieją

Wymagania i przesłanki bezpieczeństwa

• Przesyłanie danych EHR powinno spełniać następujące wymagania bezpieczeństwa: – Uwierzytelnianie jednostek (ludzi, oprogramowania, urządzeń), które

zgodnie z prawem mogą zamawiać lub dostarczać dane EHR – Autoryzacja, zarządzanie uprawnieniami i kontrola dostępu – Integralność przechowywanych, przetwarzanych i przesyłanych

informacji EHR– Klasyfikację bezpieczeństwa informacji EHR– Definicje, negocjacje i polityki pośredniczące między jednostkami

zamawiającymi i dostarczającymi dane EHR – Możliwość skontrolowania i śledzenia udostępnianej, przetwarzanje i

przesyłanej informacji – Ogólne procedury zapewnienia i bezpieczeństwa jakości

Określanie wrażliwości danych EHR (1)

• Norma wychodzi z założenia, że w praktyce bardzo trudne jest podejście zindywidualizowane w procesie kształtowania polityk dostępu. Chociaż teoretycznie byłoby możliwe określenie wielopoziomowych ram dostępu dodanego EHR bezpośrednio przez pacjenta w danej placówce opieki zdrowotnej, to od strony praktycznej w placówkach klinicznych działa się, bazując na domyślnych prawach do całości dokumentacji zdrowotnej przysługującemu każdemu profesjonaliście opieki zdrowotnej, który ma uzasadniony interes aby uzyskać dostęp do dokumentacji.

• Norma zauważa jednak, że pacjenci i profesjonaliści czasami mogą chcieć ograniczyć dostęp do dokumentacji do bardziej osobistych i wrażliwych danych EHR (np. dane seksuologiczne).

Określanie wrażliwości danych EHR (2)

• Zauważa się również, że jednym z aspektów przyporządkowywania uprawnień do dostępu do dokumentacji medycznej powinno być wyznaczanie klinicystom ról, które mogą być wykonywane w sytuacjach krytycznych, polegające na przyznaniu uprawnień, przewyższających te wynikające z ich normalnej roli. Przyznanie nowych uprawnień w sytuacjach krytycznych mogłoby dawać dostęp do szerszego zestawu dokumentacji pacjentów niż przy standardowym procesie leczenia realizowanym przez tego klinicystę.

• Norma wychodzi z założenia, że indywidualizacja procesu definiowania polityk w stosunku do danego pacjenta lub grupy pacjentów, przy uwzględnieniu rozproszonego modelu EHR, jest nieefektywna w tym sensie, że będzie bardzo trudna do wdrożenia, nawet w sytuacji kiedy polityki będą definiowane w sposób normatywny. Dlatego też w normie zaproponowano klasyfikację umożliwiającą określanie wrażliwości danych EHR zawartych w wyciągu EHR. Norma nie wymaga od systemów obsługujących EHR przechowywania danych stosownie do poziomów wrażliwości, ale wymaga aby podczas procesu generowania wyciągów EHR uwzględniano poziomy wrażliwości danych wg zaproponowanej klasyfikacji.

Wartości możliwych poziomów wrażliwości danych EHR

Role funkcjonalne związane z dostępem do danych EHR

• Norma zakłada, że aby podjąć decyzję o udzieleniu dostępu do danych EHR profil odbiorcy należy dopasować do polityk mających zastosowanie do EHR otrzymywanego przez dostawcę (placówkę opieki zdrowotnej)., łącznie z wrażliwością poszczególnych komponentów EHR, które zostały zamówione w postaci wyciągu.

• Norma wymaga aby profil zamawiającego i odbiorcy wyciągu EHR był określony w trybie interoperacyjnym. W tym celu proponuje zestaw kilku ról funkcjonalnych.

Przyznawanie oraz odmowa dostępu do danych EHR

• Norma określa zależności pomiędzy rolami funkcjonalnymi a wrażliwością poszczególnych komponentów EHR.

• To odwzorowanie powinno być wykorzystywane w podstawowej metodzie ograniczania zakresu dostępu do EHR.

WYMAGANIA POD KATEM BEZPIECZEŃSTWA W ŚWIETLE STANDARDÓW HL 7 (NORMA PN-EN ISO 10781)

Wymagania ogólne

• Niezależnie od tego, czy elektroniczna dokumentacja zdrowotna jest gromadzona w systemie informatycznym znajdującym się w siedzibie świadczeniodawcy, czy w siedzibie specjalizującego się w outsourcingu podmiotu, system ten powinien spełniać wymagania opisane w normie PN-EN ISO 10781.

• Norma ta dotyczy modelu funkcjonalnego systemu elektronicznej dokumentacji zdrowotnej (EHR-S – Electronic Health Record System ) i zawiera listę referencyjną funkcji dla tych systemów.

• Zgodnie z nią, opis funkcji jest tworzony z perspektywy użytkownika i jest niezależny od technologii oraz strategii implementacji.

• W związku z tym, wybierając system informatyczny do gromadzenia dokumentacji medycznej, należy wziąć pod uwagę obligatoryjne funkcje infrastruktury informacyjnej z zakresu bezpieczeństwa dla systemu EHR opisane w tej normie.

IN.1.1 Uwierzytelnianie Podmiotu

• System powinien uwierzytelniać podmioty przed ich dostępem do aplikacji lub danych systemu EHR

• System powinien zapobiegać dostępowi do aplikacji lub danych systemu EHR przez wszystkie podmioty nieuwierzytelnione.

• Jeżeli brak odpowiednich mechanizmów uwierzytelniania, system powinien uwierzytelniać podmioty wykorzystując co najmniej jeden z następujących mechanizmów uwierzytelniania: nazwa użytkownika/hasło, certyfikat cyfrowy, bezpieczny token lub biometria.

IN.1.2 Autoryzacja Podmiotu

• System powinien zapewniać możliwość tworzenia i aktualizacji zbiorów zezwoleń kontroli dostępu przyznanych podmiotowi.

• System powinien zapewniać administratorom bezpieczeństwa Systemu EHR możliwość przyznawania autoryzacji podmiotom zgodnie z zakresem zastosowania, polityką organizacyjną lub prawem.

• System powinien zapewniać administratorom bezpieczeństwa Systemu EHR możliwość przyznawania autoryzacji dla ról zgodnie z zakresem zastosowania, polityką organizacyjną lub prawem.

IN.1.3 Kontrola Dostępu dla Podmiotu

• System powinien egzekwować reguły dostępu do systemu i danych dla wszystkich zasobów Systemu EHR (na poziomie komponentu, aplikacji lub użytkownika, lokalnie albo zdalnie).

IN.1.4 Zarządzanie Dostępem Pacjenta

• System powinien być zgodny z funkcją IN.1. 3 (Kontrola Dostępu dla Podmiotu) w celu umożliwienia organizacji świadczącej ochronę zdrowia zarządzania dostępem pacjenta do swoich informacji związanych z ochroną zdrowia.

IN.1.5 Niezaprzeczalność

• System powinien znakować czasem początkowy wpis, modyfikację lub wymianę danych, oraz identyfikować aktora/podmiot biorącego w tym udział zgodnie z wymaganiami zakresu zastosowania przez użytkowników, polityki organizacyjnej i prawa.

• System powinien zapewniać dodatkową funkcjonalność niezaprzeczalności tam, gdzie jest to wymagane przez zakres zastosowania przez użytkowników, politykę organizacyjną i prawo.

IN.1.6 Bezpieczna Wymiana Danych

• System powinien zabezpieczać wszystkie tryby wymiany danych EHR.• System powinien szyfrować i deszyfrować dane EHR wymieniane

niezabezpieczonym łączem.• Jeżeli do bezpiecznej wymiany danych wykorzystywane jest szyfrowanie, system

powinien wspierać oparte na normach szyfrowanie zgodnie z polityką organizacyjną lub prawem.

• System powinien automatycznie przekazywać elektronicznie wymieniane dane EHR tylko od i do znanych źródeł i miejsc przeznaczenia i tylko bezpiecznymi sieciami.

IN.1.8 Poświadczanie Informacji • System powinien zapewniać możliwość powiązania każdej poświadczonej treści

dodanej lub zmienionej w EHR z autorem tej treści.• System powinien zapewniać możliwość poświadczania treści EHR podlegającej

poświadczaniu przez autora tej treści.• System powinien wskazywać status podlegających poświadczaniu danych, które nie

zostały poświadczone. IN.1.9 Prywatność i Poufność Pacjenta • System powinien zapewniać możliwość uzyskania pełnej zgodności z wymaganiami

dotyczącymi prywatności i poufności pacjenta zgodnie z zakresem zastosowania przez użytkownika, polityką organizacyjną i prawem.

Dziękuję za uwagękrzysztof.nyczaj@sluzbazdrowia.com.pl

Zapraszam do dyskusjiwww.nyczaj.blog.onet.pl