Zasady korzystania z eWUŚ

Zasady korzystania z eWUŚ - sprawdź czy ich przestrzegasz ?

Gdzie szukać regulacji dot. zasad korzystania z systemu elektronicznej weryfikacji uprawnień świadczeniobiorców.

Przepisy regulujące zagadnienie związane z systemem eWUŚ ujęte zostały w akcie pn.: „Zasad korzystania z usługi Elektronicznej Weryfikacji Uprawnień Świadczeniobiorców (eWUŚ)”. Dokument ten określa zasady korzystania z usługi eWUŚ. W szczególności opisuje on:

warunki korzystania oraz zakres odpowiedzialności podmiotów upoważnionych do korzystania z usługi eWUŚ;
zasady udzielania oraz utraty ważności upoważnienia do korzystania z usługi eWUŚ;
tryb nadawania oraz odbierania uprawnień do korzystania z usługi eWUŚ.

Narodowy Fundusz Zdrowia Przepisy regulujące zagadnienie związane z systemem eWUŚ ujęte zostały w akcie pn.: „Zasad korzystania z usługi Elektronicznej Weryfikacji Uprawnień Świadczeniobiorców (eWUŚ)”.

Rozpoczęcie pracy z eWUŚ.

Dostęp do usługi eWUŚ wymaga uzyskania stosownego upoważnienia do korzystania z systemu. W tym celu Podmiot generuje odpowiedni wniosek w Portalu. Następnie po uzyskaniu z Funduszu upoważnienia Podmiot staje się uprawniony do korzystania z usługi. Ze względu na to, w kolejnym etapie już sam Podmiot udziela upoważnienia w formie pisemnej wskazanym z imienia i nazwiska oraz numerem PESEL osobom. Wskazani Użytkownicy stawać się będą uprawnionymi do występowania do NFZ o sporządzenie dokumentu potwierdzającego prawo do świadczeń przez usługę eWUŚ. Zadanie to Podmiot realizuje wystawiając upoważnienia wg. wzoru z dokumentu Załącznik nr 2 do Zasad NFZ (Upoważnienie).

Terminowe upoważnienia.

Upoważnienie wydane przez Podmiot może być nadane na maksymalny okres nie dłuższy niż 3 lata. Z tego względu jednostki zobligowane będą do systematycznego przeglądu ważności upoważnień. Jeśli bowiem upłynie termin, na jaki wydano upoważnienie, automatycznie traci ono swoją ważność. Zasady NFZ także określają inne przypadki, w których traci ono ważność z innych przyczyn. Należy pamiętać, że jednostka zobligowana jest więc do sprawdzania ponadto również i tego elementu.

Oświadczenia upoważnionych to konieczność.

Następnie osoba upoważniona podpisuje według wzoru oświadczenie zobowiązujące do zachowania tajemnicy i nieujawniania danych, jak i do ochrony danych osobowych. Wzór oświadczenia określa Załącznik nr 1 do Zasad NFZ (Oświadczenie).

Za sprawą naszej interwencji Proste to RODO, NFZ podjął działania własne dotyczące weryfikacji treści Załączników do Zasad NFZ. Ostatecznie w Komunikacie z dnia 21 stycznia 2019r. czytamy że Narodowy Fundusz Zdrowia dokonał aktualizacji dokumentów dla operatorów eWUŚ w celu wykazania aktualnej podstawy prawnej przetwarzania danych osobowych oraz realizacji obowiązku informacyjnego zgodnie z RODO.

Zasady, które należy przestrzegać.

Treść § 7 i 8 dokumentu opisują obowiązki Podmiotu jak i Operatorów i Lokalnego Administratora (zwanych łącznie Użytkownikami), które bezwzględnie muszą przestrzegać. Są to przepisy, które bezwzględnie powinny być stosowane w jednostce.

Zakazane praktyki dnia codziennego.

Analiza dokumentacji prowadzi nas do wniosku, że za niedopuszczalne uznać należy rozwiązania techniczno-organizacyjne opisane poniżej:

Kilka loginów i jedno konto eWUŚ. Do kilku loginów systemu z wykorzystaniem którego prowadzona jest dokumentacja medyczna np. mMedica przypisany jest tylko jeden login Użytkownika WUŚ. Czyli kilku użytkowników mMedica korzysta z systemu eWUŚ. Jednak użytkownicy mMedica posługują się tylko jednym kontem Użytkownika eWUŚ. Dochodzi w takim układzie do udostępnienia login i hasła danego upoważnionego operatora eWUŚ osobie trzeciej tj. innemu użytkownikowi mMedica. Jest to zabronione w świetle zapisów § 8 ust. 1 Zasad NFZ. Ponadto prowadzić może do pociągnięcia do odpowiedzialności karnej za naruszenie przepisów Ustawy o ochronie danych osobowych (§ 8 ust. 3 Zasad NFZ w związku z art. 107 Ustawy o ochronie danych osobowych[1])

Brak upoważnień i oświadczeń. Tworzone są konta Użytkowników eWUŚ bez formalnego nadania im upoważnień i przyjęcia pisemnych oświadczeń.

Brak aktualizacji upoważnień. Upoważnienia nadane Użytkownikom nie są aktualizowane. W konsekwencji nie są usuwane uprawnienia użytkowników w systemie informatycznym. Powoduje to brak spójności pomiędzy dokumentacją papierową a uprawnieniami w systemie.

Zmiana hasła dostępowego przez osoby trzecie. Powierzanie czynności polegającej na zmianie haseł dostępowych Użytkowników eWUŚ innym osobom, czy firmom zewnętrznym.

Wykorzystywanie systemu do innych celów. Osoba korzystająca z eWUŚ posługuje się systemem w innym celu aniżeli potwierdzenia prawa do świadczeń opieki zdrowotnej osoby ubiegającej się o otrzymanie tych świadczeń. Pamiętajmy, że system eWUŚ daje funkcjonalność dla NFZ sprawdzenia historii dokonanych operacji wykonywanych przez użytkownika § 8 ust. 2 Zasad NFZ.

Ankieta sprawdzająca poprawność korzystania z eWUŚ

Temat posługiwania się systemem eWUŚ często pomijany jest w jednostkach medycznych. Bagatelizowanie tych zagadnień jest działaniem nieprawidłowym. Z tego względu zachęcamy Państwa do zapoznania się z naszym opracowaniem, z dokumentem NFZ oraz proponujemy wykonanie wewnętrznego audytu sprawdzającego. Audytu który mogą Państwo przeprowadzić posługując się przygotowaną przez Zespół Proste to RODO tabelą sprawdzającą.

Przepisy karne

[1] Art. 107. Ustawy o ochronie danych osobowych
1. Kto przetwarza dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do ich przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat dwóch.
2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, danych genetycznych, danych biometrycznych przetwarzanych w celu jednoznacznego zidentyfikowania osoby fizycznej, danych dotyczących zdrowia, seksualności lub orientacji seksualnej,
– podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat trzech.