Nie ma nic cenniejszego niż zdrowie. Informacje o nim mają nie mniejszą wartość, dlatego trzeba opiekować się nimi w odpowiedzialny, profesjonalny i przemyślany sposób.
Odpowiedzialność
Nie bez przyczyny na placówki zajmujące się ochroną zdrowia nakładana jest niemała lista obowiązków dotyczących właściwego przechowywania wrażliwych danych zapisanych w dokumentacji medycznej pacjentów. Spełnienie wymogów to nie tylko obowiązek prawny, ale i działanie, które wpływa na zaufanie pacjentów, ich poczucie bezpieczeństwa i profesjonalizmu opieki oferowanej przez placówkę. Biegłe poruszanie się w przepisach nie jest jednak łatwe, dlatego wiele zakładów opieki zdrowotnej decyduje się na współpracę z zewnętrznym usługodawcą w zakresie archiwizacji dokumentów.
Regulacje prawne
Najważniejsze dokumenty dotyczące obowiązków spoczywających na jednostkach świadczących usługi medyczne i rehabilitacyjne to:
- Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia,
- Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta,
- Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania.
- Rozporządzenie Ministra Zdrowia z dnia 23 października 2015 r. w sprawie trybu udostępniania dokumentacji medycznej oraz zasad pobierania opłat za udostępnienie tych dokumentów.
- Rozporządzenie Ministra Zdrowia z dnia 26 kwietnia 2019 r. w sprawie rodzajów i wzorów dokumentów medycznych oraz sposobu ich wypełniania.
- Rozporządzenie Ministra Zdrowia z dnia 4 maja 2018 r. w sprawie szczegółowych wymagań dotyczących systemu informatycznego prowadzenia ewidencji zdarzeń medycznych oraz dokumentacji medycznej.
- Rozporządzenie Ministra Zdrowia z dnia 18 lutego 2021 r. w sprawie sposobu przekazywania informacji medycznych - reguluje zasady przekazywania informacji medycznych między podmiotami służby zdrowia.
Powyższe dokumenty w połączeniu z przepisami o ochronie danych osobowych (RODO) definiują zakres postępowania zarówno dla tradycyjnej dokumentacji papierowej jak i elektronicznej dokumentacji medycznej, która obecnie jest coraz bardziej popularna. Regulacje dotyczą nie tylko jej wytwarzania, lecz również okresów przechowywania, zasad dostępu do niej oraz niszczenia po ustawowym okresie przechowywania.
Medyczne archiwa
Miejsca i system, w których gromadzona jest dokumentacja, powinien spełniać szereg wymogów, które pozwolą placówce świadczącej pomoc medyczną zapewnić odpowiedni dostęp do tych informacji wtedy, gdy będą one potrzebne.
- Dokumentacja powinna być zabezpieczona przez uszkodzeniem lub utratą, serwery, dyski zewnętrzne itd. powinny być odpowiednio przetestowane, zabezpieczone, stabilne.
- Dokumentacja powinna być chroniona przed dostępem osób nieupoważnionych.
- Stały dostęp do dokumentacji powinny mieć osoby do tego upoważnione, a dokonujący wpisu i udzielający świadczeń powinien być możliwy do błyskawicznej identyfikacji.
- Dokumenty powinny być przygotowane w formie umożliwiającej ich udostępnienie (w formacie XML i PDF), a także eksport w całości do innego systemu teleinformatycznego).
- Możliwy musi być wydruk dokumentacji medycznej.
- W przypadku gdy do dokumentacji elektronicznej dołączane są dokumenty papierowe, zdjęcia radiologiczne i inne, taka dokumentacja powinna zostać zdigitalizowana, a oryginały wydane pacjentowi lub też zniszczone w odpowiedni sposób.
Okresy przechowywania
Okresy przechowywania dokumentacji medycznej reguluje rozporządzenie Ministra Zdrowia z 2010 roku. Wskazuje ono, że podmiot udzielający świadczeń medycznych ma obowiązek przechowywać dokumentację medyczną przez 20 lat. Jest to zasada ogólna, od której są istotne wyjątki, dotyczące zarówno krótszych, jak i dłuższych okresów przechowywania:
- przez 30 lat przechowuje się dokumentację medyczną pacjenta w przypadku jego zgonu na skutek uszkodzenia ciała lub zatrucia,
- przez 22 lata przechowuje się dokumentację medyczną dzieci prowadzoną do ukończenia przez nie 2. roku życia,
- przez 10 lat przechowuje się zdjęcia rentgenowskie archiwizowane poza dokumentacją medyczną pacjenta,
- przez 5 lat przechowuje się skierowania na badania lub zlecenia lekarza.
Zgodnie z przepisami RODO po upływie tych okresów podmiot udzielających świadczenia i przechowujący dokumentację, powinien ją zniszczyć w sposób uniemożliwiający identyfikację pacjenta, którego ona dotyczyła. Można ją także (na podstawie odpowiedniego wniosku) wydać pacjentowi lub osobie przez niego upoważnionej).
Dokumentacja i jej ochrona
Dokumentację medyczną dzielimy na indywidualną (dotyczącą każdego pacjenta osobno) i zbiorczą (odnoszącą się do ogółu pacjentów lub grupy korzystającej np. z konkretnego typu świadczeń). Dokumentację indywidualną dzielimy dodatkowo na:
- wewnętrzną – tworzoną na potrzeby podmiotu udzielającego świadczeń – np. karta leczenia, wywiad środowiskowy, karta opieki pielęgniarskiej itd. Przechowuje ją podmiot świadczący usługi.
- zewnętrzną – tworzoną na potrzeby pacjenta korzystającego ze świadczeń – np. skierowanie na badania, skierowanie do szpitala, orzeczenie o stanie zdrowia itd. Przechowuje ją podmiot finalnie realizujący zlecone świadczenie lub podmiot, na potrzeby którego wydane zostało stosowne zaświadczenie.
Przepisy nie określają szczegółowych warunków, jakie czynią̨ zadość́ bezpieczeństwu przechowywania dokumentacji, natomiast dość precyzyjnie wskazują na odpowiedzialność i kary za nieuprawniony dostęp do tej dokumentacji lub jej wyciek.
- Dane zawarte w dokumentacji podlegają ochronie, a jej naruszenie oznacza również naruszenie praw pacjenta, za co może mu przysługiwać zadośćuczynienie pieniężne.
- Umyślne zniszczenie lub uszkodzenie dokumentacji medycznej może być (w przypadku osób fizycznych) zagrożone karą ograniczenia lub pozbawienia wolności do lat 2.
- Przepisy RODO nakładają również kary na administratora dokumentacji. Do popełnienia przestępstwa w świetle ustawy wystarczy samo niedopełnienie obowiązku ochrony danych osobowych. Nawet jeśli dokumentacja pacjenta nie zostanie zabrana lub uszkodzona, ale nie jest odpowiednio zabezpieczona – za takie przewinienie grozi kara do 1 roku ograniczenia lub pozbawienia wolności. Kontroli w tym zakresie dokonywać mogą zarówno przedstawiciele GIODO, jak i Ministra Zdrowia.
Bezpieczny outsourcing
Z punktu widzenia podmiotu zarządzającego dokumentacją medyczną istotne powinno być więc stworzenie bezpiecznego środowiska przechowywania dokumentacji wraz z precyzyjnym ustaleniem okresu jej przechowywania tak, aby po jego upływie można było dokonać brakowania dokumentacji i bezpiecznie ją zniszczyć. Nie wszystkie podmioty dysponują stosowną wiedzą dziedzinową w tym zakresie lub nie mają odpowiednich zasobów finansowych aby takie warunki stworzyć dla zasobów archiwalnych z dokumentacją pacjentów sprzed kilkunastu czy kilkudziesięciu lat. Spora część szpitali, zakładów opieki zdrowotnej czy placówek diagnostycznych decyduje się więc na współpracę z podmiotami zewnętrznymi, które oferują przechowywanie, czy niszczenie dokumentacji. Wyboru takiego usługodawcy dokonać należy z niemałą uważnością. To na podmiotach realizujących świadczenia medyczne, które są administratorem danych osobowych swoich pacjentów, spoczywa obowiązek dokonania pieczołowitego sprawdzenia usługodawcy i spełniania przez niego wszystkich wymogów prawnych dotyczących przechowywania, archiwizacji czy niszczenia dokumentów. Cenną pomocą są tutaj audyty zewnętrzne, które pozwalają sprawdzać przebieg procesów, dostępność potrzebnego wyposażenia, przygotowanie i doświadczenie, kadrę pracowniczą, a także m.in. wysokość polisy ubezpieczeniowej.
Jeśli chcesz dowiedzieć się więcej o wymogach związanych z przechowywaniem dokumentacji medycznej lub też sposobach oceny potencjalnego usługodawcy, który mógłby na twoją rzecz świadczyć usługi niszczenia lub przechowywania danych, skontaktuj się z naszymi ekspertami.
Jacek Szymczyk
Kierownik ds. Klienta Strategicznego
Telefon: 607 801 606
E-mail: [email protected]
LinkedIn: Jacek Szymczyk