Upoważnienia i dostęp do EDM w zespole. Jak to poukładać „bez papierologii”

Dostęp do EDM oznacza w praktyce dostęp do danych o zdrowiu, a więc do najbardziej wrażliwych informacji w placówce. Najczęstsze problemy nie wynikają z braku technologii, tylko z braku porządku: wspólne loginy, „tymczasowe” konta bez daty końcowej, brak procedury odebrania dostępu po zakończeniu współpracy albo brak jasnej reguły, kto i kiedy może przeglądać dokumentację pacjenta.

Dobrą wiadomością jest to, że da się to ułożyć bez rozbudowanej biurokracji. Wystarczy kilka stałych zasad, jedna krótka procedura i proste rejestry, które pozwalają utrzymać spójność.

Niniejszy artykuł ma charakter edukacyjny i informacyjny. Nie stanowi porady prawnej ani opinii prawnej w indywidualnej sprawie. W przypadku konkretnych sytuacji prawnych rekomendujemy konsultację z prawnikiem.

Dwa rodzaje „upoważnień”, które często się mylą

Dla porządku rozdziel dwie rzeczy:

• Upoważnienia personelu do przetwarzania danych (RODO/bezpieczeństwo): kto może przetwarzać dane pacjentów i w jakim zakresie w ramach obowiązków.
• Upoważnienia pacjenta do informacji (prawa pacjenta/tajemnica): komu można przekazywać informacje o stanie zdrowia i komu można udostępnić dokumentację.

To dwa odrębne obszary. W EDM warto rozdzielić je także procesowo. Dostęp personelu do systemu to jedno, a uprawnienia osoby bliskiej do informacji, to drugie.

Zasady, które zwykle wystarczą (i da się je wdrożyć bez „papierologii”)

• Jedna osoba odpowiada za dostępy (administrator uprawnień).
• Każdy użytkownik ma własne konto (zakaz wspólnych loginów).
• Uprawnienia wynikają z roli (role-based access).
• Zasada minimalnych uprawnień, to tylko to, co potrzebne do pracy.
• Dostęp czasowy dla zastępstw i stażystów (z datą końcową).
• Offboarding w dniu zakończenia współpracy.
• Logi systemowe + prosty rejestr nadania/odebrania dostępu.

Prosty model ról w EDM (minimum praktyczne)

W większości placówek wystarczy 5–7 ról. Im mniej ról, tym łatwiej utrzymać porządek.

Rola	Przykładowy zakres	Ograniczenia (dla bezpieczeństwa)
Lekarz prowadzący / dyżurny	wgląd i wpisy w opiece; zlecenia	brak masowego eksportu; brak uprawnień administracyjnych
Pielęgniarka / położna	wgląd w zakresie opieki; wpisy pielęgniarskie	brak edycji wpisów lekarskich; ograniczenia dokumentów administracyjnych
Rejestracja / administracja medyczna	dane identyfikacyjne, terminy, moduł rejestracji	bez wglądu do treści medycznej (o ile możliwe)
Diagnostyka / pracownia	zlecenia i wyniki w swoim obszarze	ograniczenie wglądu do historii, jeśli zbędne
Jakość/ryzyko	wgląd do dokumentacji w zakresie sprawy; raporty	preferencyjnie tylko odczyt; dostęp „na podstawie sprawy”
IOD/bezpieczeństwo	audyt dostępu, logi, incydenty	brak rutynowego wglądu do treści
Administrator systemu	konta, integracje, ustawienia	rozdział obowiązków; brak rutynowego wglądu do treści

Onboarding w 10 minut: jak nadać dostęp bez biurokracji

• Wniosek o dostęp (krótki formularz): użytkownik, rola, data startu, data końca (jeśli czasowy), przełożony zatwierdzający.
• Nadanie konta: unikalny login, zmiana hasła przy pierwszym logowaniu, MFA przy dostępie zdalnym (jeśli możliwe).
• Przypisanie jednej roli.
• Szkolenie minimum: poufność, zakaz udostępniania loginu, zasada dostępu do dokumentacji tylko w związku z obowiązkami.
• Wpis do rejestru uprawnień: kto nadał, kiedy, jaka rola.

Wniosek o dostęp (minimum pól)

• Użytkownik: … | Rola w EDM: … | Jednostka: …
• Dostęp od: … | Dostęp do (jeśli czasowy): …
• Zatwierdził (przełożony): … | Nadał (admin): …

Offboarding: jedna lista kontrolna

Najczęstsza luka to konto, które pozostaje aktywne po zakończeniu współpracy. Offboarding powinien być zawsze taki sam:

• Dezaktywacja konta EDM w dniu zakończenia współpracy.
• Odebranie dostępu do poczty/VPN/dysków i narzędzi zdalnych.
• Odebranie identyfikatorów/kart/tokenów.
• Zmiana haseł współdzielonych (np. Wi-Fi personelu), jeśli były udostępnione.
• Wpis w rejestrze: data odebrania + osoba wykonująca.

Dostęp „awaryjny” (break-glass) – bez wspólnych loginów

W sytuacjach nagłych może być potrzebny dostęp poza standardowym zakresem (np. pacjent nieprzypisany). Rozwiązaniem jest procedura awaryjna z pełnym logowaniem, a nie wspólne konto:

• Włącz funkcję awaryjnego dostępu (jeżeli EDM ją ma) lub utwórz rolę awaryjną z pełnym logowaniem zdarzeń.
• Warunki użycia: tylko w sytuacji uzasadnionej; zawsze z krótkim uzasadnieniem.
• Regularny przegląd logów (np. raz w miesiącu) przez osobę wyznaczoną (IOD/jakość).

Dostęp rejestracji: minimum, które nie blokuje pracy

• Standard: rejestracja pracuje na danych organizacyjnych (terminy, identyfikacja, kontakt, zgody administracyjne).
• Treść medyczna: tylko jeśli istnieje uzasadniona potrzeba służbowa i system pozwala na bezpieczne ograniczenie.
• Wyjątki: dostęp czasowy + wpis do rejestru + uzasadnienie.

2 rejestry zamiast segregatorów

Żeby było „bez papierologii”, wystarczą dwa proste rejestry (Excel/SharePoint):

• Rejestr uprawnień do EDM: kto, jaka rola, od kiedy, do kiedy, kto zatwierdził, kto nadał, data odebrania.
• Rejestr wyjątków: kiedy i dlaczego udzielono dostępu poza standardem (np. break-glass, dostęp czasowy).

Minimalne kolumny rejestru uprawnień

Imię i nazwisko | Rola | Jednostka | Data nadania | Data końca | Zatwierdził | Nadał | Data odebrania | Uwagi

Jak to połączyć z upoważnieniem pacjenta do informacji?

Upoważnienia pacjenta do informacji powinny być łatwe do znalezienia w EDM (np. pole w kartotece). W rozmowach telefonicznych kluczowe jest potwierdzenie tożsamości rozmówcy i ostrożność w zakresie przekazywanych informacji.

• Kartoteka pacjenta: osoby upoważnione + relacja + zakres (informacja/dokumentacja).
• Zmiany upoważnień: odnotowane (kto, kiedy, na jakiej podstawie).
• Telefon: prosta procedura weryfikacji + zasada ostrożności przy danych wrażliwych.

Kiedy to już konsultacja 1:1

• EDM nie pozwala na sensowny podział ról i potrzebny jest projekt procesu zapewniający minimalizację dostępu.
• Wystąpił incydent bezpieczeństwa (nieuprawniony dostęp, wyciek, niejasne logi).
• Placówka ma wielu podwykonawców i potrzebuje spójnej matrycy uprawnień.
• Pojawiają się spory o udostępnianie dokumentacji lub o informacje przekazywane osobom trzecim.

Mikroelement 1: Matryca ról EDM – 1 strona

Do wykorzystania jako załącznik do procedury (onboarding/offboarding).

Rola	Wgląd do treści medycznej	Edycja wpisów	Eksport/druk	Uwagi praktyczne
Lekarz	TAK (pacjenci w opiece)	TAK (wpisy lekarskie)	Ograniczyć masowy eksport	Dostęp tylko w związku z opieką; analiza logów przeglądu
Pielęgniarka/położna	TAK (w zakresie opieki)	TAK (wpisy pielęgniarskie)	Pojedyncze wydruki	Bez edycji wpisów lekarskich
Rejestracja	NIE / ograniczony	NIE	NIE	Dane identyfikacyjne i terminy; treść medyczna wyjątkowo i czasowo
Diagnostyka	Ograniczony (zlecenia/wyniki)	TAK (wyniki)	Ograniczony	Wgląd w historię tylko jeśli niezbędne
Jakość/ryzyko	TAK w ramach sprawy	NIE	Ograniczony	Preferencyjnie tylko odczyt; dostęp na podstawie zgłoszenia/sprawy
IOD/bezpieczeństwo	NIE (co do zasady)	NIE	NIE	Logi i audyt; treść tylko przy incydencie i w zakresie koniecznym
Administrator IT	NIE (co do zasady)	NIE	NIE	Administracja kontami bez rutynowego wglądu do treści

Mikroelement 2: Offboarding w 5 krokach – checklista do wydruku

Uruchamiana po informacji o zakończeniu współpracy.

Dane osoby

• Imię i nazwisko: …
• Rola/stanowisko: …
• Jednostka/komórka: …
• Data zakończenia współpracy: …

Checklista

• Dezaktywowano konto w EDM (data/godzina, osoba wykonująca).
• Odebrano dostęp do poczty, VPN, systemów zdalnych i dysków współdzielonych.
• Zablokowano/odebrano dostęp do innych systemów (np. RIS/LIS/PACS, e-rejestracja, platformy).
• Odebrano identyfikatory, karty dostępu, tokeny; odnotowano zwrot sprzętu (jeżeli dotyczy).
• Zaktualizowano rejestr uprawnień (data odebrania + potwierdzenie) oraz – jeżeli potrzebne – zmieniono hasła współdzielone.

Podpisy

• Przełożony / kierownik: …………………………… Data: …………………
• Administrator uprawnień / IT: ……………………… Data: …………………