Akt prawny
archiwalny
Wersja archiwalna od 2013-05-01 do 2017-08-25
Wersja archiwalna od 2013-05-01 do 2017-08-25
archiwalny
ROZPORZĄDZENIE
MINISTRA ZDROWIA1)
z dnia 28 marca 2013 r.
w sprawie wymagań dla Systemu Informacji Medycznej2)
Na podstawie art. 13 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. Nr 113, poz. 657 i Nr 174, poz. 1039) zarządza się, co następuje:
§ 1.[Zakres regulacji] Rozporządzenie określa:
1) format elektronicznej dokumentacji medycznej udostępnianej przez usługodawców w Systemie Informacji Medycznej, zwanym dalej „SIM”, warunki organizacyjno-techniczne jej przetwarzania, udostępniania, autoryzacji oraz zabezpieczenia przed utratą;
2) warunki organizacyjno-techniczne zamieszczania w SIM dokumentów elektronicznych niezbędnych do prowadzenia diagnostyki, ciągłości leczenia oraz zaopatrzenia usługobiorców w produkty lecznicze i wyroby medyczne i ich pobierania z SIM, zgodnie z zakresem zadań wykonywanych przez usługodawców;
3) warunki organizacyjno-techniczne realizacji dostępu i pobierania danych przetwarzanych w SIM.
§ 2.[Definicje] Użyte w rozporządzeniu określenia oznaczają:
1) elektroniczny dokument SIM – elektroniczny dokument zawierający dane identyfikacyjne usługobiorcy, informacje dotyczące usług medycznych oraz informacje o elektronicznej dokumentacji medycznej związanej z usługami medycznymi, przetwarzany w systemie informatycznym usługodawcy i przekazywany do SIM;
2) ustawa – ustawę z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia;
3) zdarzenie medyczne – czynność inicjującą obsługę procesu biznesowego w ochronie zdrowia, etapy albo wynik tej czynności, podlegające rejestrowaniu, przesyłaniu, analizowaniu oraz gromadzeniu w systemie informacyjnym ochrony zdrowia, w szczególności obejmuje to świadczenie zdrowotne w rozumieniu art. 5 pkt 40 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (Dz. U. z 2008 r. Nr 164, poz. 1027, z późn. zm.3)) oraz zdarzenia medyczne określone w art. 67a ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2012 r. poz. 159 i 742).
§ 3.[Elektroniczna dokumentacja medyczna] 1. Elektroniczna dokumentacja medyczna udostępniana przez usługodawców w SIM zawiera:
1) dokumenty elektroniczne w formacie XML, których zakres odpowiada danym gromadzonym w dokumentacji medycznej określonym przepisami ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta;
2) pliki multimedialne, będące w szczególności wynikiem diagnostyki obrazowej.
2. Elektroniczna dokumentacja medyczna jest udostępniana w SIM w formacie XML oraz, w zakresie wymiany i interpretacji danych medycznych związanych z diagnostyką obrazową, w standardzie DICOM.
3. Administrator systemu SIM określa strukturę logiczną elektronicznej dokumentacji medycznej udostępnianej przez usługodawców w SIM.
4. Struktura logiczna elektronicznej dokumentacji medycznej, o której mowa w ust. 3, umieszczana jest w repozytorium interoperacyjności, o którym mowa w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2013 r. poz. 235), w portalu edukacyjno-informacyjnym, o którym mowa w art. 36 ustawy, oraz w Biuletynie Informacji Publicznej ministra właściwego do spraw zdrowia.
5. Elektroniczna dokumentacja medyczna udostępniana przez usługodawców w SIM jest zbudowana w formie hierarchicznych struktur danych w odniesieniu do wszystkich rodzajów zdarzeń medycznych i plików multimedialnych, będących w szczególności wynikiem diagnostyki obrazowej.
§ 4.[Udostępnianie elektronicznej dokumentacji medycznej] 1. Udostępnianie elektronicznej dokumentacji medycznej odbywa się w sposób umożliwiający identyfikację uprawnionych osób, o której mowa w art. 20a ust. 1 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne.
2. Udostępnianie uprawnionym podmiotom elektronicznej dokumentacji medycznej następuje przez elektroniczną transmisję danych w formie komunikatów.
3. Komunikaty, o których mowa w ust. 2, są zgodne ze wzorcami struktury logicznej elektronicznych komunikatów opisanych za pomocą formatu XML/XSD i standardu wymiany i interpretacji danych medycznych związanych z diagnostyką obrazową DICOM.
§ 5.[Proces przygotowania i przesyłania komunikatów] Proces przygotowania i przesyłania komunikatów, o których mowa w § 4 ust. 2, obejmuje:
1) przesłanie przez zamawiającego do SIM zapotrzebowania na elektroniczną dokumentację medyczną;
2) przyjęcie przez SIM elektronicznego zapotrzebowania na elektroniczną dokumentację medyczną;
3) weryfikację uprawnień zamawiającego;
4) w przypadku pozytywnej weryfikacji uprawnień zamawiającego, przesłanie przez SIM zapotrzebowania na elektroniczną dokumentację medyczną do usługodawcy, do którego skierowano zapotrzebowanie;
5) przygotowanie treści komunikatu przez pracownika medycznego usługodawcy udostępniającego elektroniczną dokumentację medyczną;
6) podpisanie przez pracownika medycznego usługodawcy udostępniającego elektroniczną dokumentację medyczną komunikatu przy użyciu bezpiecznego podpisu elektronicznego w rozumieniu art. 3 pkt 2 ustawy z dnia 18 września 2001 r. o podpisie elektronicznym (Dz. U. z 2013 r. poz. 262) albo podpisu potwierdzonego profilem zaufanym ePUAP w rozumieniu art. 3 pkt 15 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne;
7) wysłanie do zamawiającego komunikatu przez usługodawcę udostępniającego elektroniczną dokumentację medyczną;
8) odebranie przez zamawiającego komunikatu;
9) potwierdzenie odebrania komunikatu przez zamawiającego w SIM i w systemie teleinformatycznym usługodawcy udostępniającego elektroniczną dokumentację medyczną.
§ 6.[Zakończenie działalności leczniczej] 1. W przypadku zakończenia działalności leczniczej przez podmiot wykonujący działalność leczniczą, w rozumieniu ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2013 r. poz. 217), elektroniczna dokumentacja medyczna jest przekazywana do SIM.
2. Jeżeli zadania podmiotu, o którym mowa w ust. 1, przejmuje inny podmiot, podmiot ten przejmuje elektroniczną dokumentację medyczną.
3. Elektroniczna dokumentacja medyczna, o której mowa w ust. 1, udostępniana jest przez SIM uprawnionym podmiotom w sposób określony w § 4.
§ 7.[Warunki organizacyjno-techniczne przetwarzania, udostępniania, autoryzacji oraz zabezpieczenia przed utratą elektronicznej dokumentacji medycznej] Warunki organizacyjno-techniczne przetwarzania, udostępniania, autoryzacji oraz zabezpieczenia przed utratą elektronicznej dokumentacji medycznej udostępnianej przez usługodawców w SIM są zapewniane przez:
1) odmowę dostępu do danych w przypadku braku pełnej identyfikacji lub autoryzacji zamawiającego, o którym mowa w § 5;
2) odmowę dostępu do danych w sytuacji braku zgody usługobiorcy na ich udostępnienie, z zastrzeżeniem art. 35 ust. 4 ustawy;
3) zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych przed ich nieuprawnioną zmianą, utratą, uszkodzeniem lub zniszczeniem, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną;
4) zachowanie integralności i wiarygodności danych.
§ 8.[Przesyłanie elektronicznych dokumentów SIM] 1. Usługodawcy przetwarzają elektroniczne dokumenty SIM w zakresie danych, o których mowa w art. 10 ust. 2 ustawy.
2. Przesyłanie elektronicznych dokumentów SIM polega na:
1) opracowaniu treści komunikatu zawierającego elektroniczne dokumenty SIM przez podmiot zobowiązany do przekazywania informacji do SIM;
2) podpisaniu komunikatu, o którym mowa w pkt 1, przy użyciu bezpiecznego podpisu elektronicznego w rozumieniu art. 3 pkt 2 ustawy z dnia 18 września 2001 r. o podpisie elektronicznym albo podpisu potwierdzonego profilem zaufanym ePUAP w rozumieniu art. 3 pkt 15 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne;
3) wysłaniu komunikatu, o którym mowa w pkt 1, przez podmiot zobowiązany do przekazywania informacji do SIM;
4) odebraniu komunikatu, o którym mowa w pkt 1, weryfikacji prawidłowości i wysłaniu potwierdzenia jego otrzymania lub wykazu stwierdzonych w nim błędów lub braków do podmiotów zobowiązanych do przekazywania informacji do SIM.
3. Struktury logiczne komunikatu, o którym mowa w ust. 2, zawierającego elektroniczne dokumenty SIM w formacie XML/XSD oraz zasady weryfikacji komunikatów, umieszczane są w repozytorium interoperacyjności, o którym mowa w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, w portalu edukacyjno-informacyjnym, o którym mowa w art. 36 ustawy, oraz w Biuletynie Informacji Publicznej ministra właściwego do spraw zdrowia.
4. Przekazanie do SIM przez usługodawców komunikatu, o którym mowa w ust. 2, w zakresie danych, o których mowa w art. 14 ust. 4 ustawy, dokonywane jest na bieżąco, co najmniej raz dziennie.
§ 9.[Zgodność SIM z normami] SIM w zakresie warunków organizacyjno-technicznych zamieszczania w nim dokumentów elektronicznych niezbędnych do prowadzenia diagnostyki, ciągłości leczenia oraz zaopatrzenia usługobiorców w produkty lecznicze i wyroby medyczne i ich pobierania z SIM, zgodnie z zakresem zadań wykonywanych przez usługodawców oraz warunków organizacyjno-technicznych realizacji dostępu i pobierania danych przetwarzanych w SIM, jest zgodny z warunkami określonymi w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, a w zakresie nieuregulowanym w tych przepisach, z następującymi normami, których przedmiotem są zasady gromadzenia i wymiany informacji w ochronie zdrowia:
1) PN-EN 13606-1:2009 Informatyka w ochronie zdrowia – Przesyłanie elektronicznej dokumentacji zdrowotnej – Część 1: Model referencyjny,
2) PN-EN 13606-4:2009 Informatyka w ochronie zdrowia – Przesyłanie elektronicznej dokumentacji zdrowotnej – Część 4: Bezpieczeństwo,
3) PN-EN ISO 13606-5:2010 Informatyka w ochronie zdrowia – Przesyłanie elektronicznej dokumentacji zdrowotnej – Część 5: Specyfikacja interfejsu,
4) PN-ENV 13608-1:2003 (U) Informatyka w ochronie zdrowia – Bezpieczeństwo przesyłanych danych w opiece zdrowotnej – Część 1: Pojęcia i terminologia,
5) PN-ENV 13608-2:2003 (U) Informatyka w ochronie zdrowia – Bezpieczeństwo przesyłanych danych w opiece zdrowotnej – Część 2: Bezpieczne obiekty danych,
6) PN-ENV 13608-3:2003 (U) Informatyka w ochronie zdrowia – Bezpieczeństwo przesyłania danych w opiece zdrowotnej – Część 3: Bezpieczne kanały przesyłania danych
– albo normami lub wersjami norm je zastępującymi.
§ 10.[Minimalne wymagania dla SIM] 1. Minimalne wymagania dla SIM związane z bezpieczeństwem przetwarzania i udostępniania danych w postaci elektronicznej uwzględniają:
1) dostęp usługobiorcy do informacji podlegających ochronie prawnej, przechowywanych w SIM;
2) wdrożenie mechanizmów umożliwiających audyt wymiany danych związanych z elektronicznym dokumentem SIM;
3) uwierzytelnianie i identyfikację podmiotów podejmujących próby dostępu do elektronicznego dokumentu SIM do danych przetwarzanych i udostępnianych w SIM;
4) wdrożenie mechanizmów pozyskiwania, rejestracji i śledzenia stanu zgody wyrażonej przez usługobiorcę na dostęp do całości lub części danych przetwarzanych w SIM, z uwzględnieniem celu pozyskania dostępu do tych danych;
5) określanie, modyfikację i odwoływanie praw dostępu do całości lub części danych przetwarzanych w SIM.
2. W przypadku danych dotyczących:
1) usługobiorców będących:
a) funkcjonariuszami Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego lub Centralnego Biura Antykorupcyjnego, zwanych dalej „służbami specjalnymi”,
b) członkami rodzin, w rozumieniu art. 5 pkt 3 ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych, funkcjonariuszy służb specjalnych,
2) podmiotów leczniczych, o których mowa w art. 4 ust. 1 pkt 3 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej
– minimalne wymagania dla SIM, o których mowa w ust. 1, uwzględniają ponadto ochronę tych danych w zakresie wykonywania obowiązków, o których mowa w art. 35 ust. 1 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U. z 2010 r. Nr 29, poz. 154, z późn. zm.4)), art. 24 ust. 1 ustawy z dnia 9 czerwca 2006 r. o Centralnym Biurze Antykorupcyjnym (Dz. U. z 2012 r. poz. 621, 627 i 664) oraz w art. 39 ust. 1 ustawy z dnia 9 czerwca 2006 r. o Służbie Kontrwywiadu Wojskowego oraz Służbie Wywiadu Wojskowego (Dz. U. Nr 104, poz. 709, z późn. zm.5)), a także możliwość uzyskania przez służby specjalne informacji o osobach przetwarzających w SIM dane dotyczące tych usługobiorców i podmiotów.
3. Informacja, o której mowa w ust. 2, obejmuje imię i nazwisko osoby przetwarzającej dane w SIM oraz dzień, godzinę i cel przetwarzania danych w SIM.
§ 11.[Ochrona na poziomie wysokim danych przetwarzanych w SIM i danych zawartych w elektronicznej dokumentacji medycznej] Dane przetwarzane w SIM i dane zawarte w elektronicznej dokumentacji medycznej podlegają ochronie na poziomie wysokim, o którym mowa w przepisach wydanych na podstawie art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn. zm.6)).
§ 12.[System zarządzania bezpieczeństwem informacji - normy] 1. Administrator systemu SIM w zakresie niezbędnym dla właściwego działania przypisanego mu systemu opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji.
2. System zarządzania bezpieczeństwem informacji spełnia wymagania określone w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne dla systemu zarządzania bezpieczeństwem informacji oraz uwzględnia w zakresie zarządzania bezpieczeństwem informacji w ochronie zdrowia następujące normy:
1) PN-EN 14484:2005 Informatyka medyczna – Międzynarodowy przekaz medycznych danych osobowych objętych dyrektywą UE dotyczącą ochrony danych – Wysoki poziom polityki bezpieczeństwa,
2) PN-EN 14485:2005 Informatyka medyczna – Wskazania dla operowania medycznymi danymi osobowymi w międzynarodowych aplikacjach z uwzględnieniem dyrektywy UE dotyczącej ochrony danych,
3) PN-EN ISO 27799:2010 Informatyka w ochronie zdrowia – Zarządzanie bezpieczeństwem informacji w ochronie zdrowia z wykorzystaniem ISO/IEC 27002
– albo normy lub wersje norm je zastępujące.
§ 13.[Wejście w życie] Rozporządzenie wchodzi w życie po upływie 14 dni od dnia ogłoszenia.
Minister Zdrowia: B.A. Arłukowicz
|
1) Minister Zdrowia kieruje działem administracji rządowej – zdrowie, na podstawie rozporządzenia Prezesa Rady Ministrów z dnia 18 listopada 2011 r. w sprawie szczegółowego zakresu działania Ministra Zdrowia (Dz. U. Nr 248, poz. 1495 i Nr 284, poz. 1672).
2) Niniejsze rozporządzenie zostało notyfikowane Komisji Europejskiej w dniu 23 listopada 2012 r. pod numerem 2012/0656/PL zgodnie z § 4 rozporządzenia Rady Ministrów z dnia 23 grudnia 2002 r. w sprawie sposobu funkcjonowania krajowego systemu notyfikacji norm i aktów prawnych (Dz. U. Nr 239, poz. 2039 oraz z 2004 r. Nr 65, poz. 597), które wdraża dyrektywę 98/34/WE Parlamentu Europejskiego i Rady z dnia 22 czerwca 1998 r. ustanawiającą procedurę udzielania informacji w dziedzinie norm i przepisów technicznych oraz zasad dotyczących usług społeczeństwa informacyjnego (Dz. Urz. WE L 204 z 21.07.1998, z późn. zm., str. 37; Dz. Urz. UE Polskie wydanie specjalne, rozdz. 13, t. 20, str. 337).
3) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2008 r. Nr 216, poz. 1367, Nr 225, poz. 1486, Nr 227, poz. 1505, Nr 234, poz. 1570 i Nr 237, poz. 1654, z 2009 r. Nr 6, poz. 33, Nr 22, poz. 120, Nr 26, poz. 157, Nr 38, poz. 299, Nr 92, poz. 753, Nr 97, poz. 800, Nr 98, poz. 817, Nr 111, poz. 918, Nr 118, poz. 989, Nr 157, poz. 1241, Nr 161, poz. 1278 i Nr 178, poz. 1374, z 2010 r. Nr 50, poz. 301, Nr 107, poz. 679, Nr 125, poz. 842, Nr 127, poz. 857, Nr 165, poz. 1116, Nr 182, poz. 1228, Nr 205, poz. 1363, Nr 225, poz. 1465, Nr 238, poz. 1578 i Nr 257, poz. 1723 i 1725, z 2011 r. Nr 45, poz. 235, Nr 73, poz. 390, Nr 81, poz. 440, Nr 106, poz. 622, Nr 112, poz. 654, Nr 113, poz. 657, Nr 122, poz. 696, Nr 138, poz. 808, Nr 149, poz. 887, Nr 171, poz. 1016, Nr 205, poz. 1203 i Nr 232, poz. 1378, z 2012 r. poz. 123, 1016, 1342 i 1548 oraz z 2013 r. poz. 154.
4) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2010 r. Nr 182, poz. 1228 i Nr 238, poz. 1578, z 2011 r. Nr 53, poz. 273, Nr 84, poz. 455, Nr 117, poz. 677 i Nr 230, poz. 1371 oraz z 2012 r. poz. 627 i 908.
5) Zmiany wymienionej ustawy zostały ogłoszone w Dz. U. z 2006 r. Nr 218, poz. 1592, z 2007 r. Nr 25, poz. 162, z 2009 r. Nr 85, poz. 716, z 2010 r. Nr 182, poz. 1228, z 2011 r. Nr 22, poz. 114, Nr 53, poz. 273 i Nr 84, poz. 455 oraz z 2012 r. poz. 707.
6) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2002 r. Nr 153, poz. 1271, z 2004 r. Nr 25, poz. 219 i Nr 33, poz. 285, z 2006 r. Nr 104, poz. 708 i 711, z 2007 r. Nr 165, poz. 1170 i Nr 176, poz. 1238, z 2010 r. Nr 41, poz. 233, Nr 182, poz. 1228 i Nr 229, poz. 1497 oraz z 2011 r. Nr 230, poz. 1371.