Dokumentacja medyczna – ważne zmiany od 15 kwietnia 2020 r.

Dokumentacja medyczna RODO

W dobie wielu informacji dotyczących stanu epidemiologicznego, tarczy antykryzysowej musimy pamiętać o obowiązkach oraz nowych przepisach prawnych, które muszą być stosowane.

Od 15 kwietnia 2020 r. obowiązuje nowe Rozporządzenie Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (dalej Rozporządzenie), które w całości zastąpiło poprzednią wersję.

Jak wynika z treści §72 Rozporządzenia do 31 grudnia 2020 r. podmioty mogą prowadzić dokumentację zgodnie z przepisami rozporządzenia Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania.

Tym samym mamy jeszcze 8 pełnych miesięcy, aby przygotować podmiot udzielający świadczeń zdrowotnych do nowych wymogów prowadzenia dokumentacji medycznej. To także odpowiedni czas, aby przeprowadzić audyt zgodności z RODO, który w bardzo dużym stopniu pokrywa się z obowiązkami wynikającymi z omawianego Rozporządzenia.

Ocena skutków dla ochrony danych (DPIA)

 

W ramach obowiązków wynikających z Rozporządzenia RODO szereg procesów – operacji związanych z przetwarzaniem danych osobowych będzie wymagało oceny skutków dla ochrony danych ( DPIA – art. 35 Rozporządzanie RODO).

Przeprowadzenie prawidłowej oceny skutków dla ochrony danych musi uwzględniać nie tylko przepisy RODO ale także szereg regulacji ustawowych, nakładających ściśle określone obowiązki na administratorów danych osobowych.

Kara pieniężna za niezrobienie oceny skutków dla ochrony danych wynosi do 10 mln EUR a w przypadku przedsiębiorstw w wysokości do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego

Nowe zasady prowadzenia dokumentacji medycznej

 

Dotychczas dokumentacja medyczna mogła być prowadzona w wersji papierowej lub elektronicznej. Wg. nowych przepisów co do zasady dokumentacja medyczna jest prowadzona przez podmiot udzielający świadczeń zdrowotnych, w postaci elektronicznej.

Dokumentacja medyczna będzie mogła być prowadzona w wersji papierowej w ściśle określonych przypadkach. Mianowicie:

  • jeżeli przepis rozporządzenia tak stanowi lub;
  • warunki organizacyjno-techniczne uniemożliwiają prowadzenie dokumentacji w postaci elektronicznej.

Technicznie rzecz ujmując, dokumentacja medyczna będzie mogła być prowadzona tylko w jednej postaci – papierowej lub elektronicznej.

Bezpieczeństwo dokumentacji medycznej a wymogi RODO

 

Prowadzenie oraz przechowywanie dokumentacji medycznej w wersji elektronicznej wiążę się z szeregiem obowiązków, jakie spoczywają na podmiocie udzielającym świadczeń zdrowotnych. Przede wszystkim głównym zadaniem jest zabezpieczenie danych zgodnie z wymogami omawianego rozporządzania, ale także obowiązkami administratora danych, jakie wynikają z Rozporządzenia o ochronie danych osobowych. Warto podkreślić, iż wymogi z Rozporządzania są bardziej szczegółowe niż te, które wynikają z Rozporządzenia RODO.

W §1 ust. 5 Rozporządzania wskazany został tylko przykładowy katalog czynności, jakie muszą być wykonywane przez podmiot udzielający świadczeń zdrowotnych. Podmiot ten przetwarzając dane osobowe pacjentów w ramach dokumentacji medycznej staje się administratorem danych osobowych, a tym samym podlega reżimowi Rozporządzenia RODO
W poniższej tabeli zaprezentowaliśmy porównanie wymogów Rozporządzenia Ministra Zdrowia a przepisów Rozporządzanie RODO.

Rozporządzenie Ministra Zdrowia
§1 ust. 5		 Rozporządzenie RODO
systematycznego szacowania ryzyka zagrożeń oraz zarządzania tym ryzykiem;
opracowania i stosowania udokumentowanych procedur zabezpieczania dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania;
stosowania środków bezpieczeństwa adekwatnych do zagrożeń, uwzględniających najnowszy stan wiedzy; dbałości o aktualizację oprogramowania;
bieżącego kontrolowania funkcjonowania organizacyjnych i techniczno-informatycznych sposobów zabezpieczenia, a także okresowego dokonywania oceny skuteczności tych sposobów;
przygotowania i realizacji planów przechowywania dokumentacji w długim czasie, w tym jej przenoszenia na informatyczne nośniki danych i do nowych formatów danych, jeżeli tego wymaga zapewnienie ciągłości dostępu do dokumentacji.
Art. 32 Rozporządzenia RODO

Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku:
  • pseudonimizację i szyfrowanie danych osobowych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Administrator oraz podmiot przetwarzający podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego.

Art. 24 Rozporządzenia RODO:

Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.

Art. 5 Rozporządzania RODO

Zasady przetwarzania danych osobowych, w tym zasada rozliczalności

Udostępnianie dokumentacji medycznej

 

Zasady udostępniania dokumentacji medycznej opisane zostały w Rozdziale 8 Rozporządzania. I tak, dokumentację udostępnia się z zachowaniem jej integralności, poufności oraz autentyczności, bez zbędnej zwłoki (§70 ust. 1 Rozporządzania)

Przechowywanie dokumentacji

 

Jak wynika z uzasadnienia ministerstwa Zdrowia do niniejszego Rozporządzenia Podmiot będzie zobowiązany do przygotowania i realizacji planów przechowywania dokumentacji w określonym ustawowo czasie (2-30 lat, zgodnie z art. 29 ustawy z dnia 8 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta), w tym jej przenoszenia na informatyczne nośniki danych i do nowych formatów danych, jeżeli tego wymaga zapewnienie ciągłości dostępu do dokumentacji. W okresie tym administrator danych musi zapewnić ich dostępność.

Ułatwienia w zakresie prowadzenia dokumentacji medycznej

 

Rozporządzenie wprowadza także liczne ułatwienia, jak m.in. w zakresie ograniczenia zbierania danych. Przykładowo

  • datę urodzenia oraz płeć pacjenta wpisuje się tylko w przypadku, jeżeli numer PESEL nie został nadany,
  • adres miejsca zamieszkania wpisuje się w pierwszej wytworzonej dla tego pacjenta dokumentacji wewnętrznej;

Duże zmiany dla fizjoterapeutów

 

Omawiane Rozporządzenie wprowadza duże zmiany dla fizjoterapeutów udzielających świadczeń zdrowotnych w ramach praktyki zawodowej. Tym samym jest zobowiązany do prowadzenia karty indywidualnej opieki fizjoterapeutycznej oraz zależnie od wniosków pacjenta oraz uprawnionych podmiotów do wydawania zaświadczeń, orzeczeń i opinii. Zmiana ta jest podyktowana nowymi uprawnieniami fizjoterapeutów, którzy od początku 2019 r. mogą samodzielnie badać pacjenta oraz planować jego terapię (Ustawa z dnia 25 września 2015 r.o zawodzie fizjoterapeuty).

Przede wszystkim w Rozporządzeniu wprowadzony został nowy rozdział „Dokumentacja fizjoterapeuty udzielającego świadczeń zdrowotnych w ramach praktyki zawodowej”.

§62 Rozporządzenia
Fizjoterapeuta udzielający świadczeń zdrowotnych w ramach praktyki zawodowej, z wyłączeniem wykonywania indywidualnej praktyki fizjoterapeutycznej wyłącznie w zakładzie leczniczym na podstawie umowy z podmiotem leczniczym prowadzącym ten zakład, prowadzi dokumentację indywidualną:
1) wewnętrzną w formie karty indywidualnej opieki fizjoterapeutycznej;
2) zewnętrzną w formie zaświadczenia, orzeczenia lub opinii fizjoterapeutycznej oraz innych dokumentów sporządzanych na wniosek pacjenta lub innych uprawnionych podmiotów.

Przydatne linki:

Rozporządzenie Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania
Rozporządzenie Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania

Napisz do Nas lub zadzwoń
Zadzwoń teraz: +48 501 161 301
SZABLON - Marta Ozga
Marta Ozga
prawnik, LL.M, specjalista w zakresie ochrony danych osobowych, właścicielka firm doradczych wspierających przedsiębiorców m.in. w kompleksowym wdrażaniu RODO, standardów bezpieczeństwa informacji na bazie norm ISO, członkini Wielkopolskiego Klubu Kapitału oraz mentor w programie Early Warning Europe.
Najnowsze posty
Udostępnij
Share on facebook
Share on twitter
Share on google
Dodaj komentarz
Najnowsze posty