Na podstawie art. 9 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U. Nr 113, poz. 657 i Nr 174, poz. 1039) zarządza się, co następuje:

§ 1.[Zakres regulacji] Rozporządzenie określa opis, minimalną funkcjonalność oraz warunki organizacyjno-techniczne funkcjonowania Platformy Udostępniania On-Line Usług i Zasobów Cyfrowych Rejestrów Medycznych oraz Elektronicznej Platformy Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych, zwanych dalej „systemami”, w tym wykaz usług udostępnianych przez systemy oraz sposoby udostępniania tych usług.

§ 2.[Opis systemów] 1. Na opis systemów składa się opis struktury zbiorów i formatów wymiany danych.

2. Struktura systemów określa podział systemów na elementy, uwzględniając ich hierarchię, organizację i komunikację.

3. Elementy systemów komunikują się ze sobą przez zastosowanie jednolitych standardów przesyłania danych w formacie XML.

§ 3.[Usługi Platformy Udostępniania On-Line Usług i Zasobów Cyfrowych Rejestrów Medycznych] Platforma Udostępniania On-Line Usług i Zasobów Cyfrowych Rejestrów Medycznych w ramach minimalnej funkcjonalności zapewnia następujące usługi:

1) w zakresie, o którym mowa w art. 6 ust. 1 pkt 1 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, zwanej dalej „ustawą”:

a) generowania i wysyłania komunikatów do Systemu Informacji Medycznej, o którym mowa w art. 10 ustawy, zwanego dalej „SIM”, z żądaniem dostępu do danych zawartych w rejestrze medycznym,

b) generowania i przesyłania komunikatów zwrotnych,

c) weryfikacji uprawnień dostępu do baz danych,

d) generowania i udostępniania raportów z dostępu do danych;

2) w zakresie, o którym mowa w art. 6 ust. 1 pkt 2 ustawy:

a) automatycznej kwalifikacji danych zawartych w SIM do baz danych funkcjonujących w ramach rejestrów medycznych,

b) automatycznego generowania i przesyłania do odpowiedniego rejestru medycznego raportów z aktualizacji danych zawartych w SIM,

c) generowania i udostępniania raportów z dostępu do danych;

3) w zakresie, o którym mowa w art. 6 ust. 1 pkt 3 ustawy:

a) hierarchizacji rejestrów medycznych w dostępie do danych,

b) przekazywania do rejestrów medycznych raportów oraz danych przetwarzanych w SIM,

c) udostępniania raportów oraz danych z baz danych funkcjonujących w ramach rejestrów medycznych,

d) weryfikacji danych pod względem zgodności ze strukturą przesyłania oraz poprawności merytorycznej,

e) scalania danych według zadanych kryteriów,

f) dostępu do danych zgodnie z nadanymi uprawnieniami dla poszczególnych poziomów hierarchizacyjnych;

3) w zakresie, o którym mowa w art. 6 ust. 1 pkt 4 ustawy:

a) udostępniania w rejestrach medycznych raportów oraz danych z baz danych funkcjonujących w ramach SIM,

b) udostępniania raportów oraz danych z baz danych funkcjonujących w ramach rejestrów medycznych,

c) weryfikacji danych pod względem zgodności ze strukturą przesyłania oraz poprawności merytorycznej,

d) scalania danych według zadanych kryteriów,

e) dostępu do danych zgodnie z nadanymi uprawnieniami dla poszczególnych poziomów hierarchizacyjnych.

§ 4.[Usługi elektronicznej Platformy Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych] Elektroniczna Platforma Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych w ramach minimalnej funkcjonalności zapewnia następujące usługi:

1) w zakresie, o którym mowa w art. 7 ust. 1 pkt 1 ustawy:

a) dostępu usługobiorców do zgromadzonych w SIM danych ich dotyczących,

b) generowania raportów z udostępnienia danych zgromadzonych w SIM, uwzględniających wniosek o przekazanie raportu z udostępnienia danych, o którym mowa w przepisach wydanych na podstawie art. 34 ust. 3 ustawy,

c) automatycznej weryfikacji i prezentacji danych zawartych na listach osób oczekujących na świadczenie opieki zdrowotnej określonego rodzaju;

2) w zakresie, o którym mowa w art. 7 ust. 1 pkt 2 ustawy:

a) udostępniania raportów oraz danych przekazywanych przez usługodawców do SIM,

b) udostępniania raportów oraz danych z baz danych funkcjonujących w ramach rejestrów medycznych,

c) weryfikacji danych przekazywanych do SIM pod względem zgodności ze strukturą przesyłania oraz poprawności merytorycznej,

d) scalania danych według zadanych kryteriów,

e) przekazywania danych do SIM bezpośrednio z baz danych usługodawców i dostępu do tych danych zgodnie z przysługującymi uprawnieniami dla poszczególnych poziomów hierarchizacyjnych;

3) w zakresie, o którym mowa w art. 7 ust. 1 pkt 3 ustawy:

a) wysyłania przez usługodawców komunikatów z żądaniem dostępu do rejestru medycznego lub bazy danych innego usługodawcy,

b) generowania i przesyłania komunikatów zwrotnych,

c) weryfikacji uprawnień dostępu usługodawców do baz danych,

d) odbioru komunikatów i danych zawartych w elektronicznej dokumentacji medycznej usługodawców;

4) w zakresie, o którym mowa w art. 7 ust. 1 pkt 4 ustawy:

a) generowania, przesyłania i odbioru komunikatów i dokumentów elektronicznych,

b) weryfikacji uprawnień dostępu usługodawców do baz danych,

c) weryfikacji tożsamości usługobiorców;

5) w zakresie, o którym mowa w art. 7 ust. 1 pkt 5 ustawy, za pośrednictwem Platformy Udostępniania On-Line Usług i Zasobów Cyfrowych Rejestrów Medycznych:

a) wysyłania komunikatów z żądaniem dostępu do danych przetwarzanych w SIM przez podmioty prowadzące rejestry medyczne,

b) weryfikacji uprawnień dostępu do baz danych,

c) automatycznego przekazywania danych przetwarzanych w SIM do rejestrów medycznych,

d) odbioru komunikatów;

6) w zakresie, o którym mowa w art. 7 ust. 1 pkt 6–8 ustawy:

a) udostępniania raportów oraz danych z bazy danych funkcjonujących w ramach SIM,

b) udostępniania raportów oraz danych z baz danych funkcjonujących w ramach rejestrów medycznych,

c) scalania danych według zadanych kryteriów,

d) dostępu do danych zgodnie z przysługującymi uprawnieniami dla poszczególnych poziomów hierarchizacyjnych;

7) pozyskiwania certyfikatów wydawanych usługodawcom i pracownikom medycznym przez umożliwienie:

a) rejestracji wniosków o wydanie certyfikatu wraz z załącznikami,

b) wprowadzenia niezbędnych danych o wnioskodawcach,

c) zapisania informacji o sposobie rozpatrzenia wniosków,

d) generowania informacji o stanie realizacji wniosków o uzyskanie certyfikatów,

e) generowania wymaganych sprawozdań oraz danych do i z centralnych wykazów, o których mowa w art. 15–17 ustawy, oraz rejestrów medycznych w formatach i strukturach określonych w dokumentacji opisu systemu, a także monitorowania każdego z etapów postępowania w zakresie uzyskania lub unieważnienia certyfikatu.

§ 5.[Właściwy poziom zabezpieczenia danych] Minimalna funkcjonalność systemów umożliwia Agencji Bezpieczeństwa Wewnętrznego zarządzanie danymi, o których mowa w art. 35 ust. 4 ustawy z dnia 24 maja 2002 r. o Agencji Bezpieczeństwa Wewnętrznego oraz Agencji Wywiadu (Dz. U. z 2010 r. Nr 29, poz. 154, z późn. zm.³⁾), zapewniając właściwy poziom ich zabezpieczenia.

§ 6.[Dane zamieszczane w repozytorium interoperacyjności, portalu edukacyjno-informacyjnym i BIP] Administrator systemów zamieszcza w repozytorium interoperacyjności, o którym mowa w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (Dz. U. z 2013 r. poz. 235), w portalu edukacyjno-informacyjnym, o którym mowa w art. 36 ustawy, oraz w Biuletynie Informacji Publicznej ministra właściwego do spraw zdrowia:

1) dokumentację opisu systemów, w tym struktury i formaty, o których mowa w § 2 ust. 1;

2) informacje o obowiązujących wersjach systemów.

§ 7.[Zgodność systemów z przepisami oraz odpowiednimi normami] 1. W zakresie warunków organizacyjno-technicznych systemy są zgodne z przepisami wydanymi na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne, a w zakresie nieuregulowanym w tych przepisach z następującymi normami, których przedmiotem są zasady gromadzenia i wymiany informacji w ochronie zdrowia:

1) PN-EN ISO 13606-1:2013 Informatyka w ochronie zdrowia – Przesyłanie elektronicznej dokumentacji zdrowotnej,

2) PN-EN 13606:2-4:2009 Informatyka w ochronie zdrowia – Przesyłanie elektronicznej dokumentacji zdrowotnej,

3) PN-EN ISO 13606-5:2010 Informatyka w ochronie zdrowia – Przesyłanie elektronicznej dokumentacji zdrowotnej,

4) PN-EN ISO 10781:2011 Model funkcjonalny systemu elektronicznej dokumentacji zdrowotnej

– albo normami lub wersjami norm je zastępującymi.

2. Systemy spełniają warunki organizacyjno-techniczne związane z jakością oprogramowania i oceną produktów programowych odpowiadające wymaganiom norm serii PN-ISO 25000 ustanowionych przez Międzynarodową Organizację Normalizacyjną (ISO), w tym norm:

1) PN-ISO/IEC 25000:2008 Inżynieria oprogramowania – Wymagania jakości i ocena produktów programowych (SQuaRE) – Przewodnik po SQuaRE,

2) PN-ISO/IEC 25001:2010 Inżynieria oprogramowania – Wymagania jakości i ocena produktów programowych (SQuaRE) – Planowanie i zarządzanie,

3) PN-ISO/IEC 25020:2010 Inżynieria oprogramowania – Wymagania jakości i ocena produktów programowych (SQuaRE) – Model odniesienia dla pomiarów i przewodnik,

4) PN-ISO/IEC 25051:2009 Inżynieria oprogramowania – Wymagania jakości i ocena produktów programowych (SQuaRE) – Wymagania jakości handlowych produktów programowych (COTS) oraz instrukcje ich testowania

– albo norm lub wersji norm je zastępujących.

§ 8.[Zapewnienie rejestracji i monitoringu logowań oraz bezpiecznego przechowywania danych] Systemy zapewniają:

1) rejestrację i monitoring logowań i prób logowania do systemu oraz rejestrację czynności wykonywanych przez użytkowników;

2) bezpieczne przechowywanie i zabezpieczanie danych.

§ 9.[Sprawowanie kontroli nad systemem zarządzania bezpieczeństwem informacji] 1. Administrator systemów w zakresie niezbędnym dla właściwego działania przypisanych mu systemów opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali systemy zarządzania bezpieczeństwem informacji zapewniające poufność, dostępność i integralność informacji.

2. System zarządzania bezpieczeństwem informacji spełnia wymagania określone w przepisach wydanych na podstawie art. 18 ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne dla systemu zarządzania bezpieczeństwem informacji oraz uwzględnia w zakresie zarządzania bezpieczeństwem informacji w ochronie zdrowia następujące normy:

1) PN-EN 14484:2005 Informatyka medyczna – Międzynarodowy przekaz medycznych danych osobowych objętych dyrektywą UE dotyczącą ochrony danych – Wysoki poziom polityki bezpieczeństwa,

2) PN-EN 14485:2005 Informatyka medyczna – Wskazania dla operowania medycznymi danymi osobowymi w międzynarodowych aplikacjach z uwzględnieniem dyrektywy UE dotyczącej ochrony danych,

3) PN-EN ISO 27799:2010 Informatyka w ochronie zdrowia – Zarządzanie bezpieczeństwem informacji w ochronie zdrowia z wykorzystaniem ISO/IEC 27002

– albo normy lub wersje norm je zastępujące.

§ 10.[Wejście w życie] Rozporządzenie wchodzi w życie po upływie 14 dni od dnia ogłoszenia, z wyjątkiem § 4 pkt 3 i 4, które wchodzą w życie z dniem 1 sierpnia 2014 r.