Q wrote:

> >> W pewnym szpitalu praktycznie kazdy pracownik ma wglad
> >> w dane medyczne innych pracownikow.
>
> > Pewnie nie jest zgodne, złóż zawiadomienie do GIODO i czekaj na
> > efekty.
>
> A jakies konkrety? (przepis, paragraf)
>
> Pytalem, bo nie moge doszukac sie konkretow w internecie
> a tak na chlopski rozum, to nie podobaloby mi sie,
> ze kolezanki z pokoju obok wiedza, ze niedawno leczylem kile ;).
>
> PS
> Szefa informatyki owego szpitala napisal,
> ze to zgodne z prawem - chyba ze ktos uzyje takich
> poufnych medycznych danych przeciwko mnie.
> Powaga :).

Szef informatyki prosi się o kłopoty. Najwyraźniej system informatyczny
którego używają - nie jest bezpieczny.

Powiem Ci jak to u nas wygląda:
Przychodzi pacjent, na izbie zakładają mu kartę. Jak go przejmuję, jego
karta wchodzi do "mojej" puli. Automatycznie uzyskuję dostęp do innych
danych zgormadzonych w systemie podpiętych zdaje się peselem do danego
pacjenta (poprzednie pobyty, wyniki dotychczasowych badań, obrazówka
stara i bieżąca).

Dostęp do niej mam ja, mój przełożony, jego zastępca oraz lekarze
dyżurni (z czterogodzinnym gapem, tzn. przez 4h przed i po dyżurze mają
dostęp), plus osoby którym któraś z powyższych nada tymczasowe
uprawnienia (system pozwala na maksymalnie 48h tymczasowych, zdaje się
że te 48h jest niezgodne z założeniami, że za długo). Po zaplanowaniu
zabiegu automatycznie dostęp do czasu zabiegu +48h uzyskuje asysta,
szef bloku, szef anestezjologów, anestezjolog przypisany przez szefa
oraz szef popu (który może przydzielić komuś z popu).
Po zamówieniu konsultacji - dostęp dostaje szef oddziału z którego chcę
konsultację i on przypisuje konkretnego konsultanta, jeśli w systemie
nie jest dla oddziału przypisany standardowy (ale wszyscy mają
"ulubionych), albo standardowy się urlopuje.

Administracja szpitala (dokładniej nadzór medyczny) ma dodatkowo
możliwość awaryjnego "przejęcia" karty i przypisania komuś innemu.

Co ciekawe - admin systemu się czasem wścieka że też nie ma dostępu, a
coś tam od niego chcą żeby zresetował, bo system jak to system, czasem
coś ktoś pomyli i trzeba "odzyskać" kartę bez angażowania administracji.

Dodatkowo ordynatorzy mają stały dostęp do archiwum, czyli do
wszystkich zgromadzonych danych, ale żeby z tego skorzystać muszą
każdorazowo uzasadniać czesanie bazy np. potrzebami szkoleniowymi,
naukowymi itp.
Ale wtedy dane wyskakują okrojone, tzn. bez personaliów, adresów.
Maja też dodatkowy dostęp superusera, ale każde użycie musi być
pisemnie i obszernie uzasadnione - używa się tego w ekstremalnych
sytuacjach gdy trzeba powiadomić pacjenta o wykrytym problemie już po
wypisie.

Nie znam szczegółów jak ruch chorych się w tym porusza, ale zdaje się
oni mają dostęp do danych osobowych, a do medycznych - bardzo
ograniczony, tylko afaik jednostka chorobowa.

--
Pozdro
Massai