Dostęp do EDM oznacza w praktyce dostęp do danych o zdrowiu, a więc do najbardziej wrażliwych informacji w placówce. Najczęstsze problemy nie wynikają z braku technologii, tylko z braku porządku: wspólne loginy, „tymczasowe” konta bez daty końcowej, brak procedury odebrania dostępu po zakończeniu współpracy albo brak jasnej reguły, kto i kiedy może przeglądać dokumentację pacjenta.
Dobrą wiadomością jest to, że da się to ułożyć bez rozbudowanej biurokracji. Wystarczy kilka stałych zasad, jedna krótka procedura i proste rejestry, które pozwalają utrzymać spójność.
Niniejszy artykuł ma charakter edukacyjny i informacyjny. Nie stanowi porady prawnej ani opinii prawnej w indywidualnej sprawie. W przypadku konkretnych sytuacji prawnych rekomendujemy konsultację z prawnikiem.
Dwa rodzaje „upoważnień”, które często się mylą
Dla porządku rozdziel dwie rzeczy:
- Upoważnienia personelu do przetwarzania danych (RODO/bezpieczeństwo): kto może przetwarzać dane pacjentów i w jakim zakresie w ramach obowiązków.
- Upoważnienia pacjenta do informacji (prawa pacjenta/tajemnica): komu można przekazywać informacje o stanie zdrowia i komu można udostępnić dokumentację.
To dwa odrębne obszary. W EDM warto rozdzielić je także procesowo. Dostęp personelu do systemu to jedno, a uprawnienia osoby bliskiej do informacji, to drugie.
Zasady, które zwykle wystarczą (i da się je wdrożyć bez „papierologii”)
- Jedna osoba odpowiada za dostępy (administrator uprawnień).
- Każdy użytkownik ma własne konto (zakaz wspólnych loginów).
- Uprawnienia wynikają z roli (role-based access).
- Zasada minimalnych uprawnień, to tylko to, co potrzebne do pracy.
- Dostęp czasowy dla zastępstw i stażystów (z datą końcową).
- Offboarding w dniu zakończenia współpracy.
- Logi systemowe + prosty rejestr nadania/odebrania dostępu.
Prosty model ról w EDM (minimum praktyczne)
W większości placówek wystarczy 5–7 ról. Im mniej ról, tym łatwiej utrzymać porządek.
| Rola | Przykładowy zakres | Ograniczenia (dla bezpieczeństwa) |
|---|---|---|
| Lekarz prowadzący / dyżurny | wgląd i wpisy w opiece; zlecenia | brak masowego eksportu; brak uprawnień administracyjnych |
| Pielęgniarka / położna | wgląd w zakresie opieki; wpisy pielęgniarskie | brak edycji wpisów lekarskich; ograniczenia dokumentów administracyjnych |
| Rejestracja / administracja medyczna | dane identyfikacyjne, terminy, moduł rejestracji | bez wglądu do treści medycznej (o ile możliwe) |
| Diagnostyka / pracownia | zlecenia i wyniki w swoim obszarze | ograniczenie wglądu do historii, jeśli zbędne |
| Jakość/ryzyko | wgląd do dokumentacji w zakresie sprawy; raporty | preferencyjnie tylko odczyt; dostęp „na podstawie sprawy” |
| IOD/bezpieczeństwo | audyt dostępu, logi, incydenty | brak rutynowego wglądu do treści |
| Administrator systemu | konta, integracje, ustawienia | rozdział obowiązków; brak rutynowego wglądu do treści |
Onboarding w 10 minut: jak nadać dostęp bez biurokracji
- Wniosek o dostęp (krótki formularz): użytkownik, rola, data startu, data końca (jeśli czasowy), przełożony zatwierdzający.
- Nadanie konta: unikalny login, zmiana hasła przy pierwszym logowaniu, MFA przy dostępie zdalnym (jeśli możliwe).
- Przypisanie jednej roli.
- Szkolenie minimum: poufność, zakaz udostępniania loginu, zasada dostępu do dokumentacji tylko w związku z obowiązkami.
- Wpis do rejestru uprawnień: kto nadał, kiedy, jaka rola.
Wniosek o dostęp (minimum pól)
- Użytkownik: … | Rola w EDM: … | Jednostka: …
- Dostęp od: … | Dostęp do (jeśli czasowy): …
- Zatwierdził (przełożony): … | Nadał (admin): …
Offboarding: jedna lista kontrolna
Najczęstsza luka to konto, które pozostaje aktywne po zakończeniu współpracy. Offboarding powinien być zawsze taki sam:
- Dezaktywacja konta EDM w dniu zakończenia współpracy.
- Odebranie dostępu do poczty/VPN/dysków i narzędzi zdalnych.
- Odebranie identyfikatorów/kart/tokenów.
- Zmiana haseł współdzielonych (np. Wi-Fi personelu), jeśli były udostępnione.
- Wpis w rejestrze: data odebrania + osoba wykonująca.
Dostęp „awaryjny” (break-glass) – bez wspólnych loginów
W sytuacjach nagłych może być potrzebny dostęp poza standardowym zakresem (np. pacjent nieprzypisany). Rozwiązaniem jest procedura awaryjna z pełnym logowaniem, a nie wspólne konto:
- Włącz funkcję awaryjnego dostępu (jeżeli EDM ją ma) lub utwórz rolę awaryjną z pełnym logowaniem zdarzeń.
- Warunki użycia: tylko w sytuacji uzasadnionej; zawsze z krótkim uzasadnieniem.
- Regularny przegląd logów (np. raz w miesiącu) przez osobę wyznaczoną (IOD/jakość).
Dostęp rejestracji: minimum, które nie blokuje pracy
- Standard: rejestracja pracuje na danych organizacyjnych (terminy, identyfikacja, kontakt, zgody administracyjne).
- Treść medyczna: tylko jeśli istnieje uzasadniona potrzeba służbowa i system pozwala na bezpieczne ograniczenie.
- Wyjątki: dostęp czasowy + wpis do rejestru + uzasadnienie.
2 rejestry zamiast segregatorów
Żeby było „bez papierologii”, wystarczą dwa proste rejestry (Excel/SharePoint):
- Rejestr uprawnień do EDM: kto, jaka rola, od kiedy, do kiedy, kto zatwierdził, kto nadał, data odebrania.
- Rejestr wyjątków: kiedy i dlaczego udzielono dostępu poza standardem (np. break-glass, dostęp czasowy).
Minimalne kolumny rejestru uprawnień
Imię i nazwisko | Rola | Jednostka | Data nadania | Data końca | Zatwierdził | Nadał | Data odebrania | Uwagi
Jak to połączyć z upoważnieniem pacjenta do informacji?
Upoważnienia pacjenta do informacji powinny być łatwe do znalezienia w EDM (np. pole w kartotece). W rozmowach telefonicznych kluczowe jest potwierdzenie tożsamości rozmówcy i ostrożność w zakresie przekazywanych informacji.
- Kartoteka pacjenta: osoby upoważnione + relacja + zakres (informacja/dokumentacja).
- Zmiany upoważnień: odnotowane (kto, kiedy, na jakiej podstawie).
- Telefon: prosta procedura weryfikacji + zasada ostrożności przy danych wrażliwych.
Kiedy to już konsultacja 1:1
- EDM nie pozwala na sensowny podział ról i potrzebny jest projekt procesu zapewniający minimalizację dostępu.
- Wystąpił incydent bezpieczeństwa (nieuprawniony dostęp, wyciek, niejasne logi).
- Placówka ma wielu podwykonawców i potrzebuje spójnej matrycy uprawnień.
- Pojawiają się spory o udostępnianie dokumentacji lub o informacje przekazywane osobom trzecim.
Mikroelement 1: Matryca ról EDM – 1 strona
Do wykorzystania jako załącznik do procedury (onboarding/offboarding).
| Rola | Wgląd do treści medycznej | Edycja wpisów | Eksport/druk | Uwagi praktyczne |
|---|---|---|---|---|
| Lekarz | TAK (pacjenci w opiece) | TAK (wpisy lekarskie) | Ograniczyć masowy eksport | Dostęp tylko w związku z opieką; analiza logów przeglądu |
| Pielęgniarka/położna | TAK (w zakresie opieki) | TAK (wpisy pielęgniarskie) | Pojedyncze wydruki | Bez edycji wpisów lekarskich |
| Rejestracja | NIE / ograniczony | NIE | NIE | Dane identyfikacyjne i terminy; treść medyczna wyjątkowo i czasowo |
| Diagnostyka | Ograniczony (zlecenia/wyniki) | TAK (wyniki) | Ograniczony | Wgląd w historię tylko jeśli niezbędne |
| Jakość/ryzyko | TAK w ramach sprawy | NIE | Ograniczony | Preferencyjnie tylko odczyt; dostęp na podstawie zgłoszenia/sprawy |
| IOD/bezpieczeństwo | NIE (co do zasady) | NIE | NIE | Logi i audyt; treść tylko przy incydencie i w zakresie koniecznym |
| Administrator IT | NIE (co do zasady) | NIE | NIE | Administracja kontami bez rutynowego wglądu do treści |
Mikroelement 2: Offboarding w 5 krokach – checklista do wydruku
Uruchamiana po informacji o zakończeniu współpracy.
Dane osoby
- Imię i nazwisko: …
- Rola/stanowisko: …
- Jednostka/komórka: …
- Data zakończenia współpracy: …
Checklista
- Dezaktywowano konto w EDM (data/godzina, osoba wykonująca).
- Odebrano dostęp do poczty, VPN, systemów zdalnych i dysków współdzielonych.
- Zablokowano/odebrano dostęp do innych systemów (np. RIS/LIS/PACS, e-rejestracja, platformy).
- Odebrano identyfikatory, karty dostępu, tokeny; odnotowano zwrot sprzętu (jeżeli dotyczy).
- Zaktualizowano rejestr uprawnień (data odebrania + potwierdzenie) oraz – jeżeli potrzebne – zmieniono hasła współdzielone.
Podpisy
- Przełożony / kierownik: …………………………… Data: …………………
- Administrator uprawnień / IT: ……………………… Data: …………………
