Rządowy projekt ustawy o systemie informacji w ochronie zdrowia
Rządowy projekt ustawy o systemie informacji w ochronie zdrowia
- Kadencja sejmu: 6
- Nr druku: 3485
- Data wpłynięcia: 2010-10-15
- Uchwalenie: Projekt uchwalony
- tytuł: o systemie informacji w ochronie zdrowia
- data uchwalenia: 2011-04-28
- adres publikacyjny: Dz.U. Nr 113, poz. 657
3485-001
§ 6. 1. Usługodawcy przekazują dane podmiotom zobowiązanym do finansowania świadczeń
ze środków publicznych.
2. Zakres niezbędnych danych przekazywanych przez usługodawców do SIM jest regulowany
przez:
1) w przypadku aptek i punktów aptecznych – rozporządzenie Ministra Zdrowia z dnia 28
września 2004 r. w sprawie zakresu niezbędnych informacji gromadzonych
i przekazywanych przez apteki podmiotom zobowiązanym do finansowania świadczeń
ze środków publicznych (Dz. U. Nr 213 poz. 2167, z 2007 r. Nr 97, poz. 647 oraz z
2008 r. Nr 160, poz. 996 );
2) w przypadku usługodawców innych niż wymienieniu w pkt 1 - rozporządzenie
Ministra Zdrowia z dnia 20 czerwca 2008 r. w sprawie zakresu niezbędnych informacji
gromadzonych przez świadczeniodawców, szczegółowego sposobu rejestrowania tych
informacji oraz ich przekazywania podmiotom zobowiązanym do finansowania
świadczeń ze środków publicznych (Dz. U. Nr 123, poz. 801 oraz z 2010 r. Nr 159,
poz. 1073);
3) przepisy odrębne, jeżeli zakres nie został określony przez przepisy określone w pkt 1 i
2.
3. Dane mogą być przekazywane przez usługodawców także innym podmiotom, poza
określonymi w ust. 1, na podstawie przepisów odrębnych przy zachowaniu wymagań
niniejszego rozporządzenia.
§ 7. 1. Dane przekazywane do SIM przez usługodawców podlegają rejestracji w sposób
pozwalający na odnotowanie w SIM każdego komunikatu otrzymanego od usługodawcy.
2. Odnotowanie w SIM faktu otrzymania komunikatu od usługodawcy nie może podlegać
zmianom, także w przypadku przeniesienia tej informacji do archiwum.
3. Na żądanie usługodawcy, system SIM, po zarejestrowaniu danych i informacji
otrzymanych od usługodawcy, powinien wystawić usługodawcy poświadczenie
przekazania danych i informacji do systemu SIM.
4. Poświadczenie, o którym mowa w ust. 2, powinno mieć formę urzędowego
poświadczenia odbioru.
§ 8. 1. Dane przekazywane do SIM należy chronić w należyty sposób przed zagrożeniami
utraty poufności i integralności.
4
2. W szczególności dane te muszą być chronione przed zagrożeniami obejmującymi między
innymi:
1) błędną identyfikację usługobiorcy lub podmiotu uprawnionego do uzyskania dostępu
do danych;
2) ujawnienie danych w wyniku braku należytych fizycznych zabezpieczeń do ich
dostępu;
3) kradzież danych;
4) pozostawienie urządzeń na których przechowywane są dane bez należytego
zabezpieczenia;
5) zagrożenia dla integralności danych;
6) błędy w oprogramowaniu powodujące uszkodzenie danych, niewłaściwą prezentację
lub przetwarzanie.
§ 9. 1. Udostępnianie w postaci elektronicznej danych przekazanych do SIM następuje przez:
1) przekazanie informatycznego nośnika danych z zapisaną kopią tych danych;
2) dokonanie elektronicznej transmisji tych danych w formie komunikatów, o
których mowa w § 4 i 5.
2. Dane, o których mowa w ust. 1, są udostępniane z zachowaniem ich integralności oraz
ochrony danych osobowych.
§ 10. 1. Danym udostępnianym w SIM należy zagwarantować:
1) prywatność - prawo do ograniczania liczby osób mających wgląd w dane
osobowe;
2) poufność - zobowiązanie innych osób do przestrzegania prywatności
udostępnionych danych.
2. Poufne informacje o usługobiorcy udostępniane w SIM mogą być przekazywane lub
osiągalne w inny sposób przez inne podmioty wyłącznie za zgodą usługobiorcy.
3. Udostępnienie danych bez zgody usługobiorcy możliwe jest tylko w przypadkach
określonych ustawą lub przepisami odrębnymi.
4. Reguły dostępu do danych zgromadzonych w SIM powinny być zgodne z zasadami
identyfikacji i kontroli dostępu. Zasady kontroli dostępu określają procedury zarządzania
uprawnieniami podmiotów ubiegających się o uzyskanie dostępu do dokumentów
5
zgromadzonych w SIM, zgodne z wymaganiami określonymi w normach, o których
mowa § 14 pkt 5, w zakresie identyfikacji użytkownika oraz w § 14 pkt 9-11 w zakresie
zarządzania uprawnieniami i kontrolą dostępu.
5. Zasady identyfikacji i zarządzania uprawnieniami podmiotów, o których mowa w
ust. 4, udostępniane są na każde żądanie podmiotu ubiegającego się o uzyskanie dostępu
do danych zgromadzonych w SIM.
6. Do zasad, o których mowa w ust. 4, stosuje się odpowiednio przepisy określone w § 6.
§ 11. 1 Minimalne wymagania związane z bezpieczeństwem udostępniania danych w formie
elektronicznej uwzględniają zasady określone w specyfikacji wymienionej w § 14 pkt 4, oraz
obejmują następujące zasady:
1) dostęp usługobiorcy do wszelkich informacji podlegających ochronie prawnej,
przechowywanych w SIM oraz systemach informatycznych usługodawców w
zakresie dotyczącym usługobiorcy;
2) możliwość wprowadzenia przez usługobiorcę do rekordu elektronicznego SIM
informacji o samodzielnym leczeniu, jego poglądach na zagadnienia związane
z osobistą ochroną zdrowia, poziomie zadowolenia z poziomu świadczonych usług
medycznych, oczekiwaniach i komentarzach;
3) wdrożenie mechanizmów umożliwiających audyt wymiany danych związanych z
elektronicznym rekordem SIM, uwzględniający uwierzytelnianie, w celu
umożliwienia identyfikacji podmiotów podejmujących próby dostępu do rekordu;
4) nadawanie całości lub częściom elektronicznego rekordu SIM etykiet wrażliwości,
umożliwiających ich udostępnianie wyłącznie uprawnionym użytkownikom
systemu SIM w ściśle określonych celach związanych z wyraźnie określonymi
prawami dostępu w szczególności: w trybie odczytu, zapisu, modyfikacji,
weryfikacji oraz transmisji i ujawniania całości lub części rekordu;
5) wdrożenie mechanizmów pozyskiwania, rejestracji i śledzenia stanu zgody
wyrażonej przez pacjenta na dostęp do całości lub części elektronicznego rekordu
SIM, z uwzględnieniem celu pozyskania dostępu do danych;
6) rejestrację ram czasowych, w których określona forma dostępu do danych uzyskała
zgodę pacjenta;
7) określanie, rozszerzanie, modyfikacje i odwoływanie praw dostępu do całości lub
6
części elektronicznego rekordu SIM.
2. Administrator systemu w zakresie swoich zadań, związanych z utrzymaniem SIM
zobowiązany jest do ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji,
zwanego dalej „SZBI” .
3. Administrator systemu, w zakresie SZBI, jest obowiązany do dokumentowania,
wdrażania i nadzorowania wszelkich działań prowadzonych w obrębie SIM oraz stałego
uaktualniania i usprawniania systemu.
4. Administrator Systemu jest obowiązany dostosowywać SZBI, do aktualnych potrzeb
organizacyjnych i technicznych w sposób umożliwiający przeciwdziałanie jakimkolwiek
naruszeniom bezpieczeństwa danych i bezpieczeństwa systemu.
5. Na SZBI składają się następujące działania:
1) zidentyfikowanie i analiza zagrożeń bezpieczeństwa informacji oraz określenie
zabezpieczeń odpowiednich do stwierdzonych zagrożeń;
2) zabezpieczenia organizacyjne i prawne w kontaktach z innymi osobami i podmiotami;
3) weryfikacja uprawnień dostępu do poszczególnych poziomów systemów;
4) klasyfikacja i kontrola dostępu do zasobów systemu teleinformatycznego oraz do
informacji przetwarzanych przez ten system;
5) dobór, szkolenie i sprawdzanie personelu obsługującego system teleinformatyczny;
6) zabezpieczenie fizyczne obiektów i urządzeń systemu teleinformatycznego;
7) opracowywanie i utrzymywanie systemów teleinformatycznych z uwzględnieniem
wymogów bezpieczeństwa i stosowaniem kryptograficznej ochrony dokumentów
zwłaszcza w czasie transmisji;
8) zarządzanie ciągłością działania systemu teleinformatycznego, zwłaszcza w
warunkach wystąpienia naruszenia bezpieczeństwa informacji albo zagrożenia jego
wystąpienia.
6. Działań, o których mowa w ust. 5, dokonuje się z zachowaniem wymagań określonych w
ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz.
1228) w przypadku przetwarzania w systemie informacji niejawnych oraz w ustawie z dnia
29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn.
zm.3)) w przypadku przetwarzania w systemie danych osobowych.
3) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2002 r. Nr 153, poz. 1271, z
2004 r. Nr 25, poz. 219 i Nr 33, poz. 285, z 2006 r. Nr 104, poz. 708 i 711, z 2007 r. Nr 165, poz. 1170 i Nr 176,
poz. 1238 oraz z 2010 r. Nr 41, poz. 233.
7
§ 12. 1. Na czas przekazywania systemu do eksploatacji, administrator systemu, o którym
mowa w art. 7 ust. 2 ustawy, opracowuje:
1) strategię i zakres SZBI właściwe dla podmiotu publicznego i zakresu zadań
publicznych, które realizuje;
2) zasady postępowania w przypadku wystąpienia naruszenia bezpieczeństwa informacji;
3) zasady postępowania zapobiegającego wystąpieniu naruszenia bezpieczeństwa
informacji wraz z oceną ryzyka wystąpienia naruszenia bezpieczeństwa informacji;
4) uzasadnienie ochrony grup informacji;
5) zasady nadzoru nad sporządzaniem i dostępem do dokumentacji SZBI, w zakresie
określonym w pkt 1-4.
2. Administrator systemu opracowuje:
1) strategię i zakres SZBI właściwe dla podmiotu publicznego i zakresu zadań
publicznych, które realizuje;
2) zasady postępowania w przypadku wystąpienia naruszenia bezpieczeństwa informacji;
3) zasady postępowania zapobiegającego wystąpieniu naruszenia bezpieczeństwa
informacji wraz z oceną ryzyka wystąpienia naruszenia bezpieczeństwa informacji;
4) uzasadnienie ochrony grup informacji;
5) zasady nadzoru nad sporządzaniem i dostępem do dokumentacji SZBI, w zakresie
określonym w pkt 1- 4.
3. Administrator systemu prowadzi w regularnych odstępach czasu audyt SZBI w celu
kontroli stopnia przestrzegania wymagań SZBI.
4. Audyt SZBI powinien być prowadzony przez audytora lub audytorów dających gwarancję
wykonania należytej kontroli SZBI.
5. Uzyskane w wyniku audytu SZBI dane, świadczące o możliwości zaistnienia lub
zaistnieniu naruszenia bezpieczeństwa informacji powinny być zabezpieczone i
przechowywane w celach dowodowych oraz niezwłocznie przekazane administratorowi
danych.
6. Za wdrożenie i nadzór nad realizacją działań dotyczących SZBI odpowiada administrator
systemu.
8
ze środków publicznych.
2. Zakres niezbędnych danych przekazywanych przez usługodawców do SIM jest regulowany
przez:
1) w przypadku aptek i punktów aptecznych – rozporządzenie Ministra Zdrowia z dnia 28
września 2004 r. w sprawie zakresu niezbędnych informacji gromadzonych
i przekazywanych przez apteki podmiotom zobowiązanym do finansowania świadczeń
ze środków publicznych (Dz. U. Nr 213 poz. 2167, z 2007 r. Nr 97, poz. 647 oraz z
2008 r. Nr 160, poz. 996 );
2) w przypadku usługodawców innych niż wymienieniu w pkt 1 - rozporządzenie
Ministra Zdrowia z dnia 20 czerwca 2008 r. w sprawie zakresu niezbędnych informacji
gromadzonych przez świadczeniodawców, szczegółowego sposobu rejestrowania tych
informacji oraz ich przekazywania podmiotom zobowiązanym do finansowania
świadczeń ze środków publicznych (Dz. U. Nr 123, poz. 801 oraz z 2010 r. Nr 159,
poz. 1073);
3) przepisy odrębne, jeżeli zakres nie został określony przez przepisy określone w pkt 1 i
2.
3. Dane mogą być przekazywane przez usługodawców także innym podmiotom, poza
określonymi w ust. 1, na podstawie przepisów odrębnych przy zachowaniu wymagań
niniejszego rozporządzenia.
§ 7. 1. Dane przekazywane do SIM przez usługodawców podlegają rejestracji w sposób
pozwalający na odnotowanie w SIM każdego komunikatu otrzymanego od usługodawcy.
2. Odnotowanie w SIM faktu otrzymania komunikatu od usługodawcy nie może podlegać
zmianom, także w przypadku przeniesienia tej informacji do archiwum.
3. Na żądanie usługodawcy, system SIM, po zarejestrowaniu danych i informacji
otrzymanych od usługodawcy, powinien wystawić usługodawcy poświadczenie
przekazania danych i informacji do systemu SIM.
4. Poświadczenie, o którym mowa w ust. 2, powinno mieć formę urzędowego
poświadczenia odbioru.
§ 8. 1. Dane przekazywane do SIM należy chronić w należyty sposób przed zagrożeniami
utraty poufności i integralności.
4
2. W szczególności dane te muszą być chronione przed zagrożeniami obejmującymi między
innymi:
1) błędną identyfikację usługobiorcy lub podmiotu uprawnionego do uzyskania dostępu
do danych;
2) ujawnienie danych w wyniku braku należytych fizycznych zabezpieczeń do ich
dostępu;
3) kradzież danych;
4) pozostawienie urządzeń na których przechowywane są dane bez należytego
zabezpieczenia;
5) zagrożenia dla integralności danych;
6) błędy w oprogramowaniu powodujące uszkodzenie danych, niewłaściwą prezentację
lub przetwarzanie.
§ 9. 1. Udostępnianie w postaci elektronicznej danych przekazanych do SIM następuje przez:
1) przekazanie informatycznego nośnika danych z zapisaną kopią tych danych;
2) dokonanie elektronicznej transmisji tych danych w formie komunikatów, o
których mowa w § 4 i 5.
2. Dane, o których mowa w ust. 1, są udostępniane z zachowaniem ich integralności oraz
ochrony danych osobowych.
§ 10. 1. Danym udostępnianym w SIM należy zagwarantować:
1) prywatność - prawo do ograniczania liczby osób mających wgląd w dane
osobowe;
2) poufność - zobowiązanie innych osób do przestrzegania prywatności
udostępnionych danych.
2. Poufne informacje o usługobiorcy udostępniane w SIM mogą być przekazywane lub
osiągalne w inny sposób przez inne podmioty wyłącznie za zgodą usługobiorcy.
3. Udostępnienie danych bez zgody usługobiorcy możliwe jest tylko w przypadkach
określonych ustawą lub przepisami odrębnymi.
4. Reguły dostępu do danych zgromadzonych w SIM powinny być zgodne z zasadami
identyfikacji i kontroli dostępu. Zasady kontroli dostępu określają procedury zarządzania
uprawnieniami podmiotów ubiegających się o uzyskanie dostępu do dokumentów
5
zgromadzonych w SIM, zgodne z wymaganiami określonymi w normach, o których
mowa § 14 pkt 5, w zakresie identyfikacji użytkownika oraz w § 14 pkt 9-11 w zakresie
zarządzania uprawnieniami i kontrolą dostępu.
5. Zasady identyfikacji i zarządzania uprawnieniami podmiotów, o których mowa w
ust. 4, udostępniane są na każde żądanie podmiotu ubiegającego się o uzyskanie dostępu
do danych zgromadzonych w SIM.
6. Do zasad, o których mowa w ust. 4, stosuje się odpowiednio przepisy określone w § 6.
§ 11. 1 Minimalne wymagania związane z bezpieczeństwem udostępniania danych w formie
elektronicznej uwzględniają zasady określone w specyfikacji wymienionej w § 14 pkt 4, oraz
obejmują następujące zasady:
1) dostęp usługobiorcy do wszelkich informacji podlegających ochronie prawnej,
przechowywanych w SIM oraz systemach informatycznych usługodawców w
zakresie dotyczącym usługobiorcy;
2) możliwość wprowadzenia przez usługobiorcę do rekordu elektronicznego SIM
informacji o samodzielnym leczeniu, jego poglądach na zagadnienia związane
z osobistą ochroną zdrowia, poziomie zadowolenia z poziomu świadczonych usług
medycznych, oczekiwaniach i komentarzach;
3) wdrożenie mechanizmów umożliwiających audyt wymiany danych związanych z
elektronicznym rekordem SIM, uwzględniający uwierzytelnianie, w celu
umożliwienia identyfikacji podmiotów podejmujących próby dostępu do rekordu;
4) nadawanie całości lub częściom elektronicznego rekordu SIM etykiet wrażliwości,
umożliwiających ich udostępnianie wyłącznie uprawnionym użytkownikom
systemu SIM w ściśle określonych celach związanych z wyraźnie określonymi
prawami dostępu w szczególności: w trybie odczytu, zapisu, modyfikacji,
weryfikacji oraz transmisji i ujawniania całości lub części rekordu;
5) wdrożenie mechanizmów pozyskiwania, rejestracji i śledzenia stanu zgody
wyrażonej przez pacjenta na dostęp do całości lub części elektronicznego rekordu
SIM, z uwzględnieniem celu pozyskania dostępu do danych;
6) rejestrację ram czasowych, w których określona forma dostępu do danych uzyskała
zgodę pacjenta;
7) określanie, rozszerzanie, modyfikacje i odwoływanie praw dostępu do całości lub
6
części elektronicznego rekordu SIM.
2. Administrator systemu w zakresie swoich zadań, związanych z utrzymaniem SIM
zobowiązany jest do ustanowienia Systemu Zarządzania Bezpieczeństwem Informacji,
zwanego dalej „SZBI” .
3. Administrator systemu, w zakresie SZBI, jest obowiązany do dokumentowania,
wdrażania i nadzorowania wszelkich działań prowadzonych w obrębie SIM oraz stałego
uaktualniania i usprawniania systemu.
4. Administrator Systemu jest obowiązany dostosowywać SZBI, do aktualnych potrzeb
organizacyjnych i technicznych w sposób umożliwiający przeciwdziałanie jakimkolwiek
naruszeniom bezpieczeństwa danych i bezpieczeństwa systemu.
5. Na SZBI składają się następujące działania:
1) zidentyfikowanie i analiza zagrożeń bezpieczeństwa informacji oraz określenie
zabezpieczeń odpowiednich do stwierdzonych zagrożeń;
2) zabezpieczenia organizacyjne i prawne w kontaktach z innymi osobami i podmiotami;
3) weryfikacja uprawnień dostępu do poszczególnych poziomów systemów;
4) klasyfikacja i kontrola dostępu do zasobów systemu teleinformatycznego oraz do
informacji przetwarzanych przez ten system;
5) dobór, szkolenie i sprawdzanie personelu obsługującego system teleinformatyczny;
6) zabezpieczenie fizyczne obiektów i urządzeń systemu teleinformatycznego;
7) opracowywanie i utrzymywanie systemów teleinformatycznych z uwzględnieniem
wymogów bezpieczeństwa i stosowaniem kryptograficznej ochrony dokumentów
zwłaszcza w czasie transmisji;
8) zarządzanie ciągłością działania systemu teleinformatycznego, zwłaszcza w
warunkach wystąpienia naruszenia bezpieczeństwa informacji albo zagrożenia jego
wystąpienia.
6. Działań, o których mowa w ust. 5, dokonuje się z zachowaniem wymagań określonych w
ustawie z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. Nr 182, poz.
1228) w przypadku przetwarzania w systemie informacji niejawnych oraz w ustawie z dnia
29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2002 r. Nr 101, poz. 926, z późn.
zm.3)) w przypadku przetwarzania w systemie danych osobowych.
3) Zmiany tekstu jednolitego wymienionej ustawy zostały ogłoszone w Dz. U. z 2002 r. Nr 153, poz. 1271, z
2004 r. Nr 25, poz. 219 i Nr 33, poz. 285, z 2006 r. Nr 104, poz. 708 i 711, z 2007 r. Nr 165, poz. 1170 i Nr 176,
poz. 1238 oraz z 2010 r. Nr 41, poz. 233.
7
§ 12. 1. Na czas przekazywania systemu do eksploatacji, administrator systemu, o którym
mowa w art. 7 ust. 2 ustawy, opracowuje:
1) strategię i zakres SZBI właściwe dla podmiotu publicznego i zakresu zadań
publicznych, które realizuje;
2) zasady postępowania w przypadku wystąpienia naruszenia bezpieczeństwa informacji;
3) zasady postępowania zapobiegającego wystąpieniu naruszenia bezpieczeństwa
informacji wraz z oceną ryzyka wystąpienia naruszenia bezpieczeństwa informacji;
4) uzasadnienie ochrony grup informacji;
5) zasady nadzoru nad sporządzaniem i dostępem do dokumentacji SZBI, w zakresie
określonym w pkt 1-4.
2. Administrator systemu opracowuje:
1) strategię i zakres SZBI właściwe dla podmiotu publicznego i zakresu zadań
publicznych, które realizuje;
2) zasady postępowania w przypadku wystąpienia naruszenia bezpieczeństwa informacji;
3) zasady postępowania zapobiegającego wystąpieniu naruszenia bezpieczeństwa
informacji wraz z oceną ryzyka wystąpienia naruszenia bezpieczeństwa informacji;
4) uzasadnienie ochrony grup informacji;
5) zasady nadzoru nad sporządzaniem i dostępem do dokumentacji SZBI, w zakresie
określonym w pkt 1- 4.
3. Administrator systemu prowadzi w regularnych odstępach czasu audyt SZBI w celu
kontroli stopnia przestrzegania wymagań SZBI.
4. Audyt SZBI powinien być prowadzony przez audytora lub audytorów dających gwarancję
wykonania należytej kontroli SZBI.
5. Uzyskane w wyniku audytu SZBI dane, świadczące o możliwości zaistnienia lub
zaistnieniu naruszenia bezpieczeństwa informacji powinny być zabezpieczone i
przechowywane w celach dowodowych oraz niezwłocznie przekazane administratorowi
danych.
6. Za wdrożenie i nadzór nad realizacją działań dotyczących SZBI odpowiada administrator
systemu.
8
Projekty ustaw
Wielkanoc 2025 będzie kosztować średnio 588 zł
