Od początku 2015 r. weszły w życie nowe przepisy dotyczące ochrony danych osobowych, a prawdopodobnie od 2016 r. na obszarze Unii Europejskiej zostanie wprowadzone rozporządzenie UE regulujące ochronę danych osobowych - projekt Komisji Europejskiej i Parlamentu Europejskiego, które zastąpi Dyrektywę UE 95/46/WE o ochronie danych osobowych. Regulacje te podkreślają fundamentalną rolę administratora danych w zapewnieniu bezpieczeństwa danych osobowych. Administrator danych obciążony jest całkowitą odpowiedzialnością za przetwarzanie danych osobowych prowadzone przez niego samego lub w jego imieniu. Dotyczy to w szczególności kwestii takich jak dokumentacja, bezpieczeństwo danych, ocena skutków, inspektor ochrony danych oraz współpraca z instytucją sprawującą nadzór.
At the beginning of 2015 new regulations regarding the protection of personal data came into force and it is probable that in 2016 the European Union will implement a regulation on personal data protection – a proposal of the European Commission and the European Parliament that will replace the EU Directive 95/46/EC on the protection of personal data. These regulations emphasize the fundamental role of the data controller in ensuring the security of personal data. The data controller is fully liable for the processing of personal data that is conducted either by him or on his behalf. The responsibilities include particularly such issues as documentation, data security, the impact assessment, data security officer and the cooperation with a supervising entity.
W artykule zostaną przedstawione procedury związane z zasilaniem systemu informacji w ochronie zdrowia w dane i informacje ze świadczonych usług medycznych, funkcjonowaniem baz danych, elektronicznej dokumentacji medycznej oraz rejestrów medycznych.
The article presents procedures related to the transfer of data and information on healthcare services to the healthcare information system, as well as the functioning of databases, electronic medical documentation and medical registers.
Analizując wprowadzone w Polsce przepisy ustawy, a także planowane na 2016 rok regulacje UE dotyczące przetwarzania danych osobowych w UE wydaje się, że w przypadku podmiotów leczniczych i systemu informacyjnego opieki zdrowotnej w większości przypadków koniecznym będzie powołanie Administratora Bezpieczeństwa Informacji (ABI). W artykule przedstawiamy najważniejsze aspekty funkcjonowania ABI, wymagania stawiane przed ABI, konieczność rejestracji i obowiązki. Warunkiem koniecznym prawidłowego usytuowania w podmiocie leczniczym , jest zgłoszenie powołanego ABI w terminie 30 dni od powołania do rejestru prowadzonego przez GIODO. Najważniejszymi zadaniami ABI są zapewnianie przestrzegania przepisów o ochronie danych osobowych, w tym, prowadzenie rejestru zbiorów danych osobowych, dokonywanie sprawdzeń oraz nadzór nad dokumentacją przetwarzania danych.
When analyzing the new Polish regulations of the act and the EU regulations on the processing of personal data in EU proposed for 2016 , it seems that the necessity emerged to appoint an Administrator of Information Security (AIS) in the majority of health care entities and in the IT system of the health care system. The article presents the most important issues concerning the functioning and of AIS, the requirements, the necessity to register and the responsibilities. It is a prerequisite for a correct emplacement in a health care entity that within 30 days after the appointment AIS should be notified to registration by GIODO (the Inspector General for Personal Data Protection). The most important responsibility of AIS is to ensure the compliance of the provisions on personal data protection, which includes keeping the register of personal data files, preparing reports and the supervision of the data processing documentation
Plan wprowadzenia w Unii Europejskiej nowych regulacji dotyczących ochrony danych osobowych wpłynie na standardy obowiązujących obecnie zasad przetwarzania danych osobowych w szczególnie danych o stanie zdrowia. Rozporządzenie UE przedefiniowało problem zgody pacjenta na przetwarzanie jego danych. Uregulowano zasady przechowywania i usuwania danych oraz zasady i prawa do informacji, poprawiania i usuwania lub prawa dostępu do danych i ich otrzymywania, prawa wniesienia sprzeciwu, profilowania, a także informowania podmiotu danych o naruszeniu ochrony danych osobowych. W artykule obok omówienia wpływu powyższych regulacji przedstawiono także problematykę planowanych zasad certyfikacji i akredytacji podmiotów przetwarzających dane osobowe. Oraz zunifikowane zasady przekazywania danych osobowych w krajach UE oraz poza jej obszar.
The plan to introduce to EU the new regulations regarding personal data protection will have an impact on the standards of the current principles of personal data protection, particularly of the data concerning health. The EU resolution has redefined the issue of patients’ consent to process their data. It regulates the principles of data storage and erasure, the rules and rights to information, rectification and erasure, the rights to access and obtain information, the right to object and profiling as well as the right to notification about personal data breach. Apart from the discussion on the impact of the above regulations, the article presents the issues related to the planned principles of certification and accreditation of personal data processors as well as the unified rules of personal data flow within and beyond EU borders.
W systemie ochrony zdrowia przetwarzane są przede wszystkim dane o stanie zdrowia pacjentów. Trzeba tym danym zapewnić bezpieczeństwo i poufność, respektując przy tym prawa pacjenta, w tym prawo dostępu do dokumentacji medycznej. Wprowadzenie nowych technologii, dokumentacji elektronicznej, teletransmisji, przetwarzania w chmurach obliczeniowych, a także globalizacja dostępu do tych danych wymagała wprowadzenia tak na poziomie krajowym jak i UE nowych regulacji prawnych chroniących dane osobowe. W artykule omówiono najważniejsze aspekty Rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych. Rozporządzenie ma obowiązywać w krajach UE od stycznia 2016 roku i wprowadza istotne zmiany szczególnie w aspekcie ochrony danych osobowych w tym danych dotyczących zdrowia
In health care systems, mainly data concerning patients’ health are processed. Their security and confidentiality must be ensured with the respect to patient’s rights, including the right to the access to medical records. The implementation of new technologies, e-archives, teletransmissions, cloud computing and the globalization of the access to the data resulted in the necessity to introduce new legal regulations regarding personal data protection both on national and EU levels. The article presents the most crucial issues in the Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data. The regulation, which introduces significant changes particularly as regards the protection of personal data (health data including) will come into force in EU countries in January 2016.
W artykule zostaną omówione standardy dotyczące bezpieczeństwa danych osobowych, standardy wykorzystywane przy tworzeniu i eksploatacji systemów informatycznych oraz rejestrów tworzonych i prowadzonych przez podmioty świadczące usługi medyczne. Standardy te muszą być uwzględnione w planach zastosowania chmur obliczeniowych do przetwarzania danych o stanie zdrowia.
The aim of the article is to present standards related to personal data security, the standards applied when developing and applying IT systems and registers that are developed and run by entities offering medical services. The standards must be considered when planning the implementation of cloud computing in health data processing.
W Polsce nie ma regulacji dotyczących przetwarzania danych, w tym danych o stanie zdrowia z wykorzystaniem technologii chmury obliczeniowej. Jednak brak dedykowanych temu problemowi rozwiązań nie oznacza, że nie istnieją regulacje o charakterze ogólnym, które można wykorzystać do analizy dopuszczalności przetwarzania danych w chmurach obliczeniowych. Celem publikacji była próba wskazania obowiązujących oraz projektowanych regulacji prawnych pod kątem ich zastosowania do przetwarzania danych o stanie zdrowia oraz zapewnienia ich bezpieczeństwa i poufności w chmurach obliczeniowych. Spośród szeregu regulacji możemy wyróżnić: regulacje, które dotyczą problematyki elektronicznej dokumentacji medycznej, regulacje dotyczące zasad postępowania z danymi o charakterze osobowym, regulacje dotyczące ochrony baz danych ze szczególnym uwzględnieniem baz zawierających dane o stanie zdrowia, szereg przepisów zawartych w ustawie o systemie informacji w ochronie zdrowia oraz ustawie o informatyzacji podmiotów publicznych realizujących zadania publiczne wraz z rozporządzeniami wykonawczymi, a także regulacje zapewniające odpowiedni poziom integralności sieci, usług oraz przekazu komunikatów przez operatorów (dostawców usług) świadczących usługi telekomunikacyjne.
There are no regulations in Poland as regards data processing, including health data, with the application of the cloud computing technology. However, the lack of the solutions to that problem does not mean that there are no general regulations that can be used in the analysis of the acceptability of data processing in the cloud. The aim of the article was to present current and scheduled legal provisions in terms of their application in health data processing and ensuring their security and confidentiality in the cloud. Among several regulations, the following ones should be mentioned: provisions concerning electronic medical documentation, provisions on the rules of procedures with personal data, provisions concerning the protection of databases with a particular consideration of health databases, several provisions included in the Act on information system in healthcare and the Act on computerization of the activities of entities performing public tasks together with administrative ordinances, as well as the regulations that ensure an adequate level of the integrity of network, services and message transfer by the telecommunication operators.
Obszar ochrony zdrowia jest obszarem specyficznym ze względu na wrażliwość danych przetwarzanych w systemie. W związku z tym problemy przetwarzania danych w modelu chmury obliczeniowej należy rozważyć w aspekcie specyfiki systemu ochrony zdrowia z uwzględnieniem obowiązujących i planowanych regulacji prawnych dotyczących zarówno systemu, jak i ochrony danych osobowych. W artykule przedstawiono perspektywy i problemy zwiazane z potencjalnym wprowadzeniem technologii chmury obliczeniowej w polskim systemie opieki zdrowotnej. Regulacje prawne oraz wymagania organizacyjne implikują potrzebę dokładnej analizy i dostosowania modelu chmur obliczeniowych do konkretnych wymagań. Omówiono modele chmury prywatnej, publicznej oraz hybrydowej wraz z usługami typu hosting i hoteling mogące być możliwymi rozwiązaniami.
Healthcare sector is a specific area due to the sensitiviity of data being processed in the system. As a result, the issues of data processing by cloud computing should be considered in the aspect of the unique properties of healthcare system and with regard to the current and future legal regulations that concern both the system and the protection of personal data. The article presents the prospects and problems related to the potential implementation of cloud computing in the Polish healthcare system. Legal regulations and organizational requirements imply the need to analyze thoroughly and adapt cloud computing models to particular requirements. The article discusses private, public and hybride models of cloud computing together with the hosting and hoteling services that may potentially be implemented.
W artykule omówiono ideę otwartych i zamkniętych usług zaufania oraz ich rodzaje. Przedstawiono koncepcję krajowej infrastruktury zaufania oraz narodowego centrum certyfikacji usług zaufania. Rozporządzenie eIDAS, między innymi, wprowadza zmiany w istniejących usługach jak np. podpis elektroniczny, jak również wprowadza nowe usługi jak pieczęć elektroniczna, uwierzytelnienie witryn internetowych oraz konserwacja elektronicznych podpisów, pieczęci i certyfikatów.
The article discusses the concept of open and closed trust services and their types. It presents the idea of the national trust infrastructure and the national center for trust services certification. The eIDAS regulation , among other things, introduces changes in the existing services (e.g. in. the electronic signature) and such new services as electronic seal, authentication of websites and the preservation of electronic signatures, seals and certificates.
Możliwości zdalnego udzielania świadczeń zdrowotnych za pomocą technologii telemedycznych zmieniają oblicze systemów opieki zdrowotnej. Współczesny postęp technologiczny sprawia, że zaawansowane środowisko sprzętowe czy specjalistyczne oprogramowanie przestają być barierami dla praktycznych zastosowań technologii telemedycznych. Najważniejsze ograniczenia w tym obszarze związane są przede wszystkim z problemami natury prawno-organizacyjnej, brakiem mechanizmów finansowania procedur telemedycznych ze środków publicznych, a także biernością w zakresie prowadzenia polityki informacyjnej na temat coraz większych możliwości telemedycyny. Interaktywne telekonsultacje wprowadzają nową jakość świadczenia usług medycznych pomiędzy państwami członkowskimi w obszarze tzw. opieki transgranicznej. Stosunkowo nowym rozwiązaniem, które może stanowić przełom dla transgranicznego świadczenia zdalnych usług medycznych, jest możliwość przetwarzania danych w tzw. chmurze obliczeniowej (cloud-computing). Technologia ta staje się współczesnym standardem systemów informatycznych w europejskiej opiece zdrowotnej. W artykule zasygnalizowano wybrane uwarunkowania prawne i organizacyjne wpływające na możliwość wykorzystania chmury obliczeniowej do wykonywania zdalnych konsultacji zdrowotnych w modelu opieki transgranicznej.
The opportunity to provide remote healthcare services with the use of telemedicine technologies change the image of healthcare systems. Due to current technological progress the advanced hardware and software cease to constitute the barriers for the practical application of telemedicine technologies. The most significant limitations in that area are related mainly to legal and organizational issues, the lack of mechanisms to finance telemedicine procedures from public means and to the passivity as regards the information policy concerning the increasing potentials of telemedicine. Interactive teleconsultations introduce new quality of medical services offered among the member states in the area of the so called cross-border care. The opportunity to process data by cloud computing is a comparatively new solution that can constitute a breakthrough in the provision of remote cross-border medical services. That technology is becoming a contemporary standard of IT systems in the European healthcare systems. The article presents selected legal and organizational issues that influence the possibility of applying cloud computing in remote cross-border medical consultations.
Informatyzacja ochrony zdrowia po raz kolejny znalazła się w punkcie wyjścia. Nie wiadomo, czy planowany system w ochronie zdrowia w kształcie przewidzianym ustawą w ogóle ruszy i będzie funkcjonował. W związku z tym należy ponownie rozważyć czy założenia opracowywane przed laty należy wdrażać, czy może rozwiązania technologiczne dnia dzisiejszego umożliwiają inny kształt systemu i jego znaczne uproszczenie oraz odformalizowanie. Nie ulega wątpliwości, że projektowany system oparty na pozyskiwaniu informacji i danych od pacjentów, świadczeniodawców i aptek miał podstawową wadę, która powodowała, że w praktyce nie mógł zostać uruchomiony. Oczywiście chodzi o nieprzygotowanie narzędzi służących do identyfikacji podmiotów w systemie (zarówno świadczących usługi, jak i pacjentów) podpisywania dokumentów elektronicznych oraz możliwości ich przekazywania, jak również możliwości uwierzytelnia transakcji oraz witryn internetowych. Wszystkie koncepcje dotyczące możliwych do wprowadzenia w życie rozwiązań ostatecznie nie zostały wdrożone. Nie doczekały się wdrożenia koncepcje dowodu osobistego z warstwą elektroniczną, karty specjalisty medycznego i administracyjnego (KSM, KSA) czy też karty pacjenta eKUZ
