Fizjoterapeuto! To Ty jesteś właścicielem dokumentacji medycznej. Masz obowiązek przechowywania jej przez 20 lat. W tym czasie musisz zadbać o bezpieczeństwo danych medycznych we własnym zakresie. Jak powinna wyglądać archiwizacja dokumentacji medycznej, aby uniknąć kar?

Dokumentacja medyczna zawiera tak zwane dane wrażliwe. W myśl ustawy o ochronie danych osobowych są to informacje chronione w sposób szczególny. Ustawa dokładnie określa zasady postępowania z tymi danymi. Poszczególne artykuły opisują reguły zbierania, przetwarzania i zabezpieczania informacji.

Jak długo należy przechowywać dokumentację medyczną?

Zgodnie z ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta, masz obowiązek przechowywania dokumentacji medycznej przez 20 lat licząc od daty ostatniego wpisu. Od tej zasady przewidziane zostały wyjątki.

W przypadku śmierci pacjenta wskutek uszkodzenia ciała lub zatrucia, dokumentację powinieneś zachować przez 30 lat licząc od daty zgonu. Specjalny zapis dotyczy również dzieci do drugiego roku życia. Dokumenty małego pacjenta należy przechowywać do ukończenia przez niego 24 lat.

Po upływie obowiązkowego okresu przechowywania dokumentacji jesteś obowiązany ją zniszczyć. Zgodnie z ustawą należy to zrobić w sposób uniemożliwiający identyfikację pacjenta. Zniszczenie papierowej dokumentacji najlepiej jest powierzyć firmie profesjonalnie świadczącej takie usługi.

W razie likwidacji Twojej praktyki musisz koniecznie zadbać o zgromadzone dane. Zebraną przez lata działalności dokumentację powinieneś przekazać do archiwum wskazanego przez ministra właściwego ds. zdrowia lub wojewodę. Jeśli natomiast zadania Twojej praktyki przejmie inna firma, to wówczas na niej spocznie obowiązek archiwizacji danych.

Podstawy postępowania z danymi wrażliwymi

Niezwykle istotna jest świadomość obowiązków spoczywających na Tobie w związku z przetwarzaniem danych wrażliwych. Powinieneś zapewnić odpowiednie warunki zabezpieczenia zarówno dokumentacji papierowej, jak i bezpieczeństwo dokumentacji medycznej w wersji elektronicznej, przed zniszczeniem, uszkodzeniem, utratą i dostępem osób nieupoważnionych.

Zbagatelizowanie tego obowiązku może skutkować bardzo poważnymi konsekwencjami. Osoba, która choćby nieumyślnie nie zadba o bezpieczeństwo danych medycznych podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Sankcjom karnym podlegają również osoby, które zbierają i przetwarzają dane bez należytych uprawnień.

Żeby uniknąć przykrych konsekwencji powinieneś stosować się do kilku prostych reguł. Zacznij od zabezpieczenia pomieszczenia, w którym znajduje się archiwum danych. Niezależnie, czy gromadzisz je w formie papierowej, czy elektronicznej, dbaj o to, aby w pokoju, gdzie jest przechowywana dokumentacja medyczna znajdowały się jedynie osoby upoważnione. Szafy z serwerami lub dokumentacją papierową zawsze zamykaj na klucz!

Jeśli zdecydujesz się na archiwizację dokumentacji w wersji elektronicznej stosuj się do polityki haseł. Zgodnie z nią nie ujawniaj haseł nikomu i nie zapisuj ich na karteczkach przyklejonych do monitora. Kody dostępu zmieniaj obowiązkowo raz na 30 dni. Odchodząc od komputera koniecznie pamiętaj o wylogowaniu. Monitory ustaw tak, aby nikt z zewnątrz nie był w stanie podejrzeć treści dokumentacji.

Zabronione jest również umieszczanie listy umówionych pacjentów na drzwiach gabinetu. Takie postępowanie narusza przepisy o ochronie danych osobowych.

Rewolucja w ochronie danych medycznych: 25 maja 2018 roku

Do 25 maja 2018 roku podmioty medyczne muszą dostosować się do unijnego prawa w zakresie ochrony danych osobowych. Skomplikowana na dzień dzisiejszy procedura ulegnie dalszemu zaostrzeniu. Nowe przepisy zajmą miejsce ustaw o ochronie danych osobowych we wszystkich 28 krajach członkowskich. Za ich nieprzestrzeganie grozić będą kary finansowe do wysokości 20 milionów euro.

Z dniem wejścia w życie rozporządzenia Parlamentu Europejskiego pracownicy ochrony zdrowia będą musieli pochylić się nad czterema kluczowymi zagadnieniami:

  • Stosowanie szyfrowania danych osobowych
    Oznacza to konieczność wdrożenia rozwiązań technicznych, które będą pozwalały na szyfrowanie danych przesyłanych przez sieć Internet.
  • Zdolność do ciągłego zapewnienia poufności integralności, dostępności i odporności systemów i usług przetwarzania
    Poufność to nic innego, jak zapewnienie dostępu do danych wyłącznie osobom uprawnionym. Integralność oznacza możliwość prześledzenia wszystkich zmian w bazie danych i zabezpieczenie przed usunięciem lub zmianą ich części. Dostępność odnosi się do zagwarantowania szybkiego i łatwego dostępu do danych osobom uprawnionym. Odporność dotyczy zastosowania odpowiednich zabezpieczeń przed atakami z zewnątrz.
  • Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego
    Ta zasada odnosi się do konieczności opracowania formalnych procedur awaryjnych na wypadek zagrożenia bezpieczeństwa bądź integralności zbioru danych.
  • Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych, które zapewniają bezpieczeństwo przetwarzania danych
    Realizacja tego obowiązku przypadnie w udziale inspektorowi ochrony danych. Zgodnie z rozporządzeniem właściciel danych będzie miał obowiązek powołać go we własnym zakresie.

Obowiązek powołania inspektora ochrony danych

W przypadku podmiotu przetwarzającego dane medyczne będzie to (od maja 2018) dość niewygodna konieczność. Do zadań inspektora będzie należało między innymi:

• informowanie o obowiązkach wynikających z przepisów o ochronie danychosobowych,

• monitorowanie przestrzegania prawa w tym zakresie,

• współpraca z organem nadzorczym,

• pełnienie funkcji kontaktowej z organami administracyjnymi.

W teorii inspektor ochrony danych może pełnić również inne zadania w firmie. Należy jednak pamiętać, że ustawodawca wymaga, aby powołana osoba została wyznaczona na podstawie posiadanych kwalifikacji, zwłaszcza tych w zakresie prawa. Dodatkowo, inspektor powinien odznaczać się umiejętnością wypełnienia nałożonych na niego obowiązków.

W praktyce, oznacza to, że niestety nie powinna być to pani z rejestracji, czy kolega, który przyjmuje razem z Tobą w gabinecie. Outsourcing tej usługi może okazać się kosztowną koniecznością.

Powierz zadanie profesjonalistom!

Ochrona danych osobowych zawartych w dokumentacji medycznej nie należy do prostych zadań. Łatwo pogubić się w gąszczu przepisów. Sprawę utrudnia zbliżająca się zmiana prawa. Mam dla Ciebie dobrą wiadomość. Możesz zlecić to zadanie profesjonalistom i zamiast martwić się bezpieczeństwem danych, skupić swoją uwagę na pacjentach.

Firmy przejmujące opiekę nad danymi biorą na siebie odpowiedzialność za wdrożenie i stosowanie środków zapewniających odpowiedni poziom bezpieczeństwa. Po drugie, są odpowiedzialne za przygotowanie procedur i dokumentacji. Po trzecie, to na nie spada powinność zatrudnienia profesjonalnego inspektora ochrony danych.

Nie martw się! Firmy biorące odpowiedzialność za przetwarzanie danych osobowych nie mają prawa wykorzystywać ich do celów innych niż te zawarte w umowie. Nie mogą ich sprzedać, przekazać i zmieniać w żadnym zakresie.

Gdzie szukać takiej firmy? Niejednokrotnie usługa przechowywania i przetwarzania danych powiązana jest z wdrożeniem elektronicznej dokumentacji medycznej. Wprowadzenie systemu nie jest jednak równoznaczne przekazaniem obowiązków. Przeniesienie odpowiedzialności następuje w momencie zawarcia umowy o powierzeniu danych.