15 Nowelizacja przepisów dotyczących dokumentacji medycznej temat prowadzenia EDM znajdują się w dalszej części niniejszego opracowania. W celu realizacji prawa dostępu pacjenta do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych podmiot udzielający świadczeń zdrowotnych jest obowiązany prowadzić, przechowywać i udostępniać dokumentację medyczną w sposób przewidziany w powyższych ustawach, jak również zapewnić ochronę danych zawartych w tej dokumentacji (art. 24 u.p.p.). W konsekwencji, prowadząc dokumentację medyczną, podmiot udzielający świadczeń zdrowotnych musi czynić to w sposób zgodny z przepisami prawa oraz gwarantujący jej bezpieczeństwo. Oznacza to, iż każdy podmiot wykonujący działalność leczniczą (zarówno duży podmiot prowadzący leczenie szpitalne, jak i jednoosobowa działalność prowadzona przez osobę wykonującą zawód medyczny) powinien zadbać o zawarcie umowy z dostawcą dedykowanego systemu umożliwiającego wytwarzanie, prowadzenie i przechowywanie dokumentacji medycznej zapisywanej na odpowiednim informatycznym nośniku danych. Rekomendowany jest staranny wybór dostawcy oprogramowania dla gabinetu lekarskiego. W rozumieniu r.r.d. dokumentację medyczną uważa się za zabezpieczoną, jeżeli spełnione są łącznie następujące warunki: 1) zapewniono dostępność wyłącznie osobom uprawnionym (głównie osobom wykonującym zawód medyczny oraz innym osobom wykonującym czynności pomocnicze przy udzielaniu świadczeń zdrowotnych, a także czynności związane z utrzymaniem systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna i zapewnieniem bezpieczeństwa tego systemu na podstawie upoważnienia administratora danych); 2) zastosowano metody i środki ochrony dokumentacji medycznej, których skuteczność w czasie zastosowania jest powszechnie uznana (np. tworzenie, przechowywanie i testowanie kopii zapasowych, zarządzanie aktualizacjami, kontrola dostępu i zarządzanie tożsamością, bezpieczeństwo stacji roboczych serwerów i urządzeń końcowych, ochrona poczty elektronicznej, wprowadzanie procedur reagowania na incydenty, wprowadzenie polityki bezpieczeństwa i zgodności, zabezpieczenie dostępu zdalnego, kontrola wymiany danych z podmiotami trzecimi, zabezpieczenia fizyczne, szkolenia pracowników i budowanie świadomości).
RkJQdWJsaXNoZXIy MTMwMjc0Nw==