Transcript Podpis elektroniczny w elektronicznej dokumentacji medycznej

Bezpieczeństwo
Elektronicznej Dokumentacji
Medycznej
W świetle Normy 13606 – 4:2007
Informatyka w ochronie zdrowia.
Przesyłanie elektronicznej dokumentacji
zdrowotnej. część 4 Bezpieczeństwo danych
Krzysztof Nyczaj
ekspert Izby Gospodarczej Medycyna Polska,
konsultant w Gabinecie Prezesa Głównego Urzędu Statystycznego
dziennikarz tygodnika Służba Zdrowia
Zasady ogólne (1)
• Norma 13606 – 4:2007 wychodzi z założenia, że w idealnym
rozwiązaniu w zakresie bezpieczeństwa elektronicznej dokumentacji
medycznej powinna istnieć możliwość skojarzenia każdej drobnej
pozycji w dokumentacji pacjenta z listą kontrolną dostępu osób,
uprawnionych do przeglądania tych informacji.
• Lista taka powinna być tworzona przez pacjenta lub przynajmniej
przez niego zatwierdzana oraz uwzględniać prawo innych osób
zobowiązanych ustawowo do sprawowania opieki nad pacjentem
lub ochroną jego życia.
• Według normy na liście kontroli dostępu powinny znajdować się
również osoby, które mają prawo uzyskać dostęp do tych danych z
innych powodów niż sprawowanie opieki nad pacjentem (takich
jak zarządzanie ochroną zdrowia, epidemiologia i zdrowie publiczne,
badania, na które wyrażono zgodę), ale z wyłączeniem wszelkich
informacji, które nie są im potrzebne lub które w odczuciu pacjenta
są zbyt osobiste.
Zasady ogólne (2)
• Norma wychodzi również z założenia, że w idealnym rozwiązaniu, jeśli
informacje są, przez pacjentów lub ich przedstawicieli, oznaczane jako
osobiste albo prywatne, nie powinno to krępować tych, którzy w nagłych
przypadkach mają prawo zapoznać się informacją, ani tych dostawców
opieki zdrowotnej, którzy mając zawężoną perspektywę w procesie
leczenia, mogliby przypadkowo być wprowadzeni w błąd i niewłaściwie
pokierować pacjentem.
• Norma zakłada, że poglądy pacjentów co do dostępności do danych
medycznych innych osób mogą ewoluować w miarę jak następuje ich
osobiste zaniepokojenie stanem zdrowia. Pacjenci powinni móc
zaoferować kilka poziomów dostępu do dokumentacji medycznej
członkom rodziny, przyjaciołom, opiekunom.
• Norma zakłada, że warunkiem utrzymania wymienialności dokumentacji
oraz spójnego przesyłania danych medycznych pomiędzy dostawcami
opieki medycznej jest automatyzacja procesu podejmowania decyzji, czy
osoba zamawiająca dane medyczne powinna uzyskać zezwolenie na ich
utrzymanie. Brak takiej automatyzacji może spowodować znaczące
opóźnienia i obciążenie pracą ludzi podejmujących decyzje, a co za tym
idzie brak wymienialności danych.
Zasady ogólne (3)
• Norma 13606 – 4:2007 nie precyzuje, kto powinien mieć
dostęp i do jakiego zakresu danych medycznych oraz jakie
mechanizmy bezpieczeństwa należy zastosować.
• Norma wychodzi z założenia, że szczegóły w tym zakresie
powinny być ustalone przez społeczności użytkowników
oraz wytyczne i ustawodawstwo państwowe.
• Norma definiuje jednak podstawowe ramy, które mogą być
stosowane jako minimalna specyfikacja polityki dostępu do
EDM. Norma podejmuje tematykę zabezpieczenia danych
na tle tzw. scenariuszy przesyłania danych.
Zasadnicze scenariusze przesyłania danych i związane z
bezpieczeństwem procesy biznesowe
Źródło: PN-EN 13606-4
Informatyka w ochronie
zdrowia. Przesyłanie
elektronicznej dokumentacji
zdrowotnej. Część 4:
Bezpieczeństwo danych.
Zamawianie danych EHR
•
•
•
•
Norma zwraca uwagę, że interfejs zamawiania wymaga włączenia tzw. profilu
zamawiającego, który umożliwiłby dostawcy EHR (np. placówce opieki zdrowotnej)
podjecie decyzji o udostępnieniu dokumentacji medycznej lub jej fragmentu.
Zakłada się, że w niektórych przypadkach zamawiający EHR może nie być tą samą
stroną co odbiorca EHR. Przykładowo dostawca oprogramowania może
automatycznie wywoływać wysyłanie do pracownika ochrony zdrowia komunikaty
zawierające dane EHR. W takich przypadkach decyzje o przyznaniu dostępu
określone są w dokumentach uwierzytelniających odbiorcy EHR.
Norma zakłada, że do zamówienia EHR może być potrzebne powołanie się na
specjalne upoważnienie pacjenta np. przez dostarczenie formularza z wyraźną
zgoda pacjenta.
Norma zakłada również, że kwestia uzgodnień między zamawiającym a dostawcą
EHR będą w coraz większym stopniu zautomatyzowane, systemy obsługujące EHR
powinny umożliwiać „skomputeryzowaną politykę negocjacji”. Wymagania co do
minimalnego zakresu informacyjnego dla interakcji zamawianie danych EHR zostały
zawarte w części 5 normy (PN-EN ISO 13606-5 Informatyk w ochronie zdrowia –
Przesyłanie dokumentacji zdrowotnej – Część 5: Specyfikacja interfejsu)
Podjecie decyzji o dostępie, filtrowanie danych EHR
• Norma zakłada, że podczas przetwarzania zamówienia EHR,
podczas określania zakresu wyciągu danych z EHR, powinno
brać się pod uwagę obowiązujące polityki dostępu do EHR,
wywodzące się z ustawodawstwa państwowego,
specyficznego dla danej organizacji lub zawodu.
• W normie odstąpiono od określania ogólnego zestawu
polityk. Przedstawiono jednak ogólne ramy przedstawiania
polityk dostępu w sposób zapewniający współdziałanie.
• Polityki te nie powinny być wg Normy przechowywane
fizycznie w systemie obsługującym EHR. Mogą być jednak
integrowane poprzez odwoływanie się systemu
informatycznego obsługującego EHR do odrębnego
serwera, na którym takie polityki byłyby przechowywane.
Odmowa wyciągu danych z EHR
• Norma zakłada wydzielenie zestawów odpowiedzi
udzielanych przez dostawcę EHR. Odpowiedzi te nie
mogą sugerować zamawiającemu, że dane EHR istnieją.
• Zakłada się, że szkodliwe dla pacjenta mogłoby być
samo przekazanie informacji czy dane medyczne jego
dotyczące istnieją bądź nie istnieją.
• Norma nie zakłada wyjątkowych uwarunkowań w
zakresie bezpieczeństwa.
• Model interfejsu został przedstawiony w części 5 normy
(PN-EN ISO 13606-5 Informatyk w ochronie zdrowia –
Przesyłanie dokumentacji zdrowotnej – Część 5:
Specyfikacja interfejsu).
Dostarczenie wyciągu EHR
• Norma zakłada, że odbiorca wyciągu EHR nie musi być zamawiającym EHR,
a fakt dostarczenia wyciągu EHR nie musi być efektem zamówienia.
• Wyciąg z EHR może być dostarczony odbiorcy przez dostawcę EHR
(placówka opieki zdrowotnej) z własnej inicjatywy np. w ramach procesu
leczenia albo po to aby dodać nowe dane do istniejącego EHR.
• Norma zakłada zgodność wyciągu EHR z modelem referencyjnym
zdefiniowanym w części I normy PN-EN ISO 13606-1 Informatyka w
ochronie zdrowia – Przesyłanie dokumentacji zdrowotnej – Część 1: Model
referencyjny)oraz z modelem interfejsu zdefiniowanym w części V normy
(PN-EN ISO 13606-5 Informatyk w ochronie zdrowia – Przesyłanie
dokumentacji zdrowotnej – Część 5: Specyfikacja interfejsu).
• Ponadto Norma zakłada, że wyciąg z EHR powinien zawierać albo
powoływać się na polityki dostępu, aby regulować dalsze
rozprzestrzenianie się przesłanych danych EHR.
kontrola zdarzeń EHR
• Norma zakłada dokonanie zapisu dotyczącego udostępnienia
danych EHR, ale nie wprowadza normatywu w tym zakresie
• Pacjenci powinni mieć możliwość uzyskania dostępu do informacji
aby stwierdzić kto uzyskał dostęp do części albo całości EHR.
• Pacjent powinien mieć możliwość zamówienia zapisu kontroli
zdarzeń informujący: kto uzyskał dostęp do jakich części EHR i kiedy.
• Generalnie zapis kontroli zdarzeń powinien być dostarczony w
kompletnej i niezmodyfikowanej postaci. Jednak istnieją sytuacje,
kiedy konieczne jest przefiltrowanie takiego wyciągu i ograniczenie
udostępnianych danych o te, do których pacjenci nie mają wglądu.
• Konieczne jest określenie z góry zestawu powodów odmowy
dostępu w zapis kontroli. Powody te nie mogą jednak sugerować, że
dane EHR istnieją. Zakłada się, że szkodliwe dla pacjenta mogłoby
być samo przekazanie informacji czy dane medyczne jego dotyczące
istnieją bądź nie istnieją
Wymagania i przesłanki bezpieczeństwa
• Przesyłanie danych EHR powinno spełniać następujące
wymagania bezpieczeństwa:
– Uwierzytelnianie jednostek (ludzi, oprogramowania, urządzeń),
które zgodnie z prawem mogą zamawiać lub dostarczać dane
EHR
– Autoryzacja, zarządzanie uprawnieniami i kontrola dostępu
– Integralność przechowywanych, przetwarzanych i przesyłanych
informacji EHR
– Klasyfikację bezpieczeństwa informacji EHR
– Definicje, negocjacje i polityki pośredniczące między
jednostkami zamawiającymi i dostarczającymi dane EHR
– Możliwość skontrolowania i śledzenia udostępnianej,
przetwarzanje i przesyłanej informacji
– Ogólne procedury zapewnienia i bezpieczeństwa jakości
Określanie wrażliwości danych EHR (1)
• Norma wychodzi z założenia, że w praktyce bardzo trudne jest
podejście zindywidualizowane w procesie kształtowania polityk
dostępu. Chociaż teoretycznie byłoby możliwe określenie
wielopoziomowych ram dostępu dodanego EHR bezpośrednio przez
pacjenta w danej placówce opieki zdrowotnej, to od strony
praktycznej w placówkach klinicznych działa się, bazując na
domyślnych prawach do całości dokumentacji zdrowotnej
przysługującemu każdemu profesjonaliście opieki zdrowotnej, który
ma uzasadniony interes aby uzyskać dostęp do dokumentacji.
• Norma zauważa jednak, że pacjenci i profesjonaliści czasami mogą
chcieć ograniczyć dostęp do dokumentacji do bardziej osobistych i
wrażliwych danych EHR (np. dane seksuologiczne).
Określanie wrażliwości danych EHR (2)
• Zauważa się również, że jednym z aspektów przyporządkowywania
uprawnień do dostępu do dokumentacji medycznej powinno być
wyznaczanie klinicystom ról, które mogą być wykonywane w sytuacjach
krytycznych, polegające na przyznaniu uprawnień, przewyższających te
wynikające z ich normalnej roli. Przyznanie nowych uprawnień w
sytuacjach krytycznych mogłoby dawać dostęp do szerszego zestawu
dokumentacji pacjentów niż przy standardowym procesie leczenia
realizowanym przez tego klinicystę.
• Norma wychodzi z założenia, że indywidualizacja procesu definiowania
polityk w stosunku do danego pacjenta lub grupy pacjentów, przy
uwzględnieniu rozproszonego modelu EHR, jest nieefektywna w tym
sensie, że będzie bardzo trudna do wdrożenia, nawet w sytuacji kiedy
polityki będą definiowane w sposób normatywny. Dlatego też w normie
zaproponowano klasyfikację umożliwiającą określanie wrażliwości danych
EHR zawartych w wyciągu EHR. Norma nie wymaga od systemów
obsługujących EHR przechowywania danych stosownie do poziomów
wrażliwości, ale wymaga aby podczas procesu generowania wyciągów EHR
uwzględniano poziomy wrażliwości danych wg zaproponowanej
klasyfikacji.
Wartości możliwych poziomów wrażliwości
danych EHR
Role funkcjonalne związane z dostępem do
danych EHR
•
•
Norma zakłada, że aby podjąć decyzję o udzieleniu dostępu do danych EHR profil odbiorcy należy
dopasować do polityk mających zastosowanie do EHR otrzymywanego przez dostawcę (placówkę
opieki zdrowotnej)., łącznie z wrażliwością poszczególnych komponentów EHR, które zostały
zamówione w postaci wyciągu.
Norma wymaga aby profil zamawiającego i odbiorcy wyciągu EHR był określony w trybie
interoperacyjnym. W tym celu proponuje zestaw kilku ról funkcjonalnych.
Przyznawanie oraz odmowa dostępu do danych EHR
• Norma określa zależności pomiędzy rolami funkcjonalnymi a
wrażliwością poszczególnych komponentów EHR.
• To odwzorowanie powinno być wykorzystywane w podstawowej
metodzie ograniczania zakresu dostępu do EHR.
WYMAGANIA POD KATEM BEZPIECZEŃSTWA W
ŚWIETLE STANDARDÓW HL 7 (NORMA PN-EN ISO
10781)
Wymagania ogólne
• Niezależnie od tego, czy elektroniczna dokumentacja zdrowotna jest
gromadzona w systemie informatycznym znajdującym się w
siedzibie świadczeniodawcy, czy w siedzibie specjalizującego się w
outsourcingu podmiotu, system ten powinien spełniać wymagania
opisane w normie PN-EN ISO 10781.
• Norma ta dotyczy modelu funkcjonalnego systemu elektronicznej
dokumentacji zdrowotnej (EHR-S – Electronic Health Record System
) i zawiera listę referencyjną funkcji dla tych systemów.
• Zgodnie z nią, opis funkcji jest tworzony z perspektywy
użytkownika i jest niezależny od technologii oraz strategii
implementacji.
• W związku z tym, wybierając system informatyczny do gromadzenia
dokumentacji medycznej, należy wziąć pod uwagę obligatoryjne
funkcje infrastruktury informacyjnej z zakresu bezpieczeństwa dla
systemu EHR opisane w tej normie.
IN.1.1 Uwierzytelnianie Podmiotu
• System powinien uwierzytelniać podmioty przed ich
dostępem do aplikacji lub danych systemu EHR
• System powinien zapobiegać dostępowi do aplikacji lub
danych systemu EHR przez wszystkie podmioty
nieuwierzytelnione.
• Jeżeli brak odpowiednich mechanizmów
uwierzytelniania, system powinien uwierzytelniać
podmioty wykorzystując co najmniej jeden z
następujących mechanizmów uwierzytelniania: nazwa
użytkownika/hasło, certyfikat cyfrowy, bezpieczny
token lub biometria.
IN.1.2 Autoryzacja Podmiotu
• System powinien zapewniać możliwość tworzenia i
aktualizacji zbiorów zezwoleń kontroli dostępu
przyznanych podmiotowi.
• System powinien zapewniać administratorom
bezpieczeństwa Systemu EHR możliwość przyznawania
autoryzacji podmiotom zgodnie z zakresem
zastosowania, polityką organizacyjną lub prawem.
• System powinien zapewniać administratorom
bezpieczeństwa Systemu EHR możliwość przyznawania
autoryzacji dla ról zgodnie z zakresem zastosowania,
polityką organizacyjną lub prawem.
IN.1.3 Kontrola Dostępu dla Podmiotu
• System powinien egzekwować reguły dostępu do systemu i danych dla
wszystkich zasobów Systemu EHR (na poziomie komponentu, aplikacji lub
użytkownika, lokalnie albo zdalnie).
IN.1.4 Zarządzanie Dostępem Pacjenta
• System powinien być zgodny z funkcją IN.1. 3 (Kontrola Dostępu dla
Podmiotu) w celu umożliwienia organizacji świadczącej ochronę zdrowia
zarządzania dostępem pacjenta do swoich informacji związanych z ochroną
zdrowia.
IN.1.5 Niezaprzeczalność
• System powinien znakować czasem początkowy wpis,
modyfikację lub wymianę danych, oraz identyfikować
aktora/podmiot biorącego w tym udział zgodnie z
wymaganiami zakresu zastosowania przez użytkowników,
polityki organizacyjnej i prawa.
• System powinien zapewniać dodatkową funkcjonalność
niezaprzeczalności tam, gdzie jest to wymagane przez zakres
zastosowania przez użytkowników, politykę organizacyjną i
prawo.
IN.1.6 Bezpieczna Wymiana Danych
•
•
•
•
System powinien zabezpieczać wszystkie tryby wymiany danych EHR.
System powinien szyfrować i deszyfrować dane EHR wymieniane
niezabezpieczonym łączem.
Jeżeli do bezpiecznej wymiany danych wykorzystywane jest szyfrowanie, system
powinien wspierać oparte na normach szyfrowanie zgodnie z polityką
organizacyjną lub prawem.
System powinien automatycznie przekazywać elektronicznie wymieniane dane
EHR tylko od i do znanych źródeł i miejsc przeznaczenia i tylko bezpiecznymi
sieciami.
IN.1.8 Poświadczanie Informacji
•
•
•
System powinien zapewniać możliwość powiązania każdej poświadczonej treści
dodanej lub zmienionej w EHR z autorem tej treści.
System powinien zapewniać możliwość poświadczania treści EHR podlegającej
poświadczaniu przez autora tej treści.
System powinien wskazywać status podlegających poświadczaniu danych, które nie
zostały poświadczone.
IN.1.9 Prywatność i Poufność Pacjenta
•
System powinien zapewniać możliwość uzyskania pełnej zgodności z wymaganiami
dotyczącymi prywatności i poufności pacjenta zgodnie z zakresem zastosowania
przez użytkownika, polityką organizacyjną i prawem.
Dziękuję za uwagę
[email protected]
Zapraszam do dyskusji
www.nyczaj.blog.onet.pl