Raport NIK o KRI w podmiotach medycznych

Raport NIK o KRI w podmiotach medycznych „Organizacja pracy i zakres obowiązków administracyjnych personelu medycznego w ambulatoryjnej opiece zdrowotnej„. Zachęcam Państwa bardzo gorąco do zapoznania się nie tylko z naszym sprawozdaniem dotyczącym wybranych elementów, jakie opisane zostały w Raporcie NIK. Zachęcam w szczególności kierowników i personel zarządzający PWDL.

Wstęp do Raportu z kontroli NIK brzmi następująco ... cyt.: "(...)Odpowiedzialność za zarządzanie podmiotem leczniczym niebędącym przedsiębiorcą ponosi kierownik. Podejmuje decyzje w sprawach kadrowych i odpowiada za zatrudnianie na poszczególnych stanowiskach pracy osób z wymaganymi kwalifikacjami. Decyduje również o wprowadzaniu nowych rozwiązań usprawniających pracę personelu medycznego.(...)".

Celem kontroli było uzyskanie odpowiedzi ...

Uzasadnieniem podjęcia kontroli były wcześniejsze ustalenia kontroli NIK dotyczące prowadzenia dokumentacji medycznej oraz informacje świadczące o znacznym obciążeniu personelu medycznego zadaniami, które nie były bezpośrednio związane z leczeniem.

Czy podział zadań pomiędzy personel medyczny i niemedyczny zapewnił optymalne wykorzystanie czasu na leczenie pacjentów?
Czy stosowane narzędzia informatyczne wspierały personel medyczny w wykonywaniu obowiązków administracyjnych?

Pomocne materiały dla kierowników PWDL ...

Jednostki kontrolowane ...

Kontrola dotyczyła 22 podmiotów leczniczych prowadzonych w formie samodzielnych publicznych zakładów opieki zdrowotnej.

Rola informatyzacji w słuzbie zdrowia cyt.: "(...)Istotną rolę w usprawnieniu pracy personelu medycznego powinna odgrywać informatyzacja i automatyzacja czynności administracyjnych. Wprowadzanie nowych rozwiązań często wywołuje problemy organizacyjne, niedopracowane zaś od strony technicznej rozwiązania mogą w praktyce tylko w ograniczonym stopniu wspierać pracę personelu, nawet ją utrudniać. (...)".

Jak powinien wyglądać system teleinformatyczny ...

Jak czytamy w raporcie NIK o KRI w podmiotach medycznych

cyt.: „(…)Podmiot leczniczy udzielający świadczeń zdrowotnych jest zobowiązany do prowadzenia dokumentacji medycznej. Ograniczenie związanych z tym obciążeń uzależnione jest od organizacji tego podmiotu oraz użytkowanego systemu informatycznego, który może wspierać lub utrudniać pracę personelu. System informatyczny w podmiocie udzielającym ambulatoryjnych świadczeń zdrowotnych powinien być narzędziem, które pozwala kompleksowo zarządzać pracą przychodni, od rejestracji, przez umawianie wizyt u lekarzy, przekazywanie wyników badań w gronie specjalistów, po prowadzenie dokumentacji medycznej. Powinien przyczyniać się do redukcji czynności administracyjno-biurowych, umożliwiać wspieranie codziennej aktywności medycznej, jak również planowanie i organizację tej działalności oraz wspomaganie procesu terapeutyczno-diagnostycznego. Dane pacjenta oraz wyniki badań laboratoryjnych powinny być udostępnione na terenie całej jednostki. System powinien także pozwolić na bieżący przepływ informacji pomiędzy wewnętrznymi jednostkami organizacyjnymi, w celu usprawnienia diagnozowania pacjentów, redukcji czynności administracyjnych kadry medycznej, a w efekcie umożliwić zwiększenie czasu dla pacjenta(…)”.

System Zarządzania Bezpieczeństwem Informacji

Jak czytamy w raporcie NIK o KRI w podmiotach medycznych

cyt.: „(…)Zgodnie z § 20 ust. 1 i 2 rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, podmiot realizujący zadania publiczne opracowuje i ustanawia,wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji. Uwzględnia takie atrybuty jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność. (…)”.

Zadania kierowników w obszarze KRI w podmiocie medycznym cyt.: "(...)Kierownictwo podmiotu leczniczego winno zapewnić warunki zarządzania bezpieczeństwem informacji poprzez szereg działań, wskazanych w § 20 ust. 2 tego rozporządzenia. Zadanie to jest realizowane poprzez takie zabezpiecza- nie informacji, by osoby nieuprawnione nie mogły jej ujawnić, zmodyfikować, usunąć lub zniszczyć. Tym samym, takie procedury powinny nie tylko powstać, ale również być na bieżąco aktualizowane, w zależności od problemów, które pojawią się w praktyce.(...)".

Stwierdzone nieprawidłowości w obszarze KRI ...

cyt. „(…)nie była prowadzona okresowa analiza ryzyka utraty integralności, dostępności lub poufności informacji. Obowiązek prowadzenia takiej analizy został określony w § 20 ust. 2 pkt 3 rozporządzenia w sprawie Krajowych Ram Interoperacyjności.(…)”.
cyt.: „(…)„Polityka Bezpieczeństwa przetwarzania danych osobowych” nie była na bieżąco aktualizowana, także w związku z nową organizacją udzielania świadczeń zdrowotnych w formie teleporad, co było niezgodne z § 20 ust. 1 rozporządzenia w sprawie Krajowych Ram Interoperacyjności(…)”.
cyt.: „(…)nie zapewniono inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację, czym naruszono § 20 ust. 2 pkt 2 rozporządzenia w sprawie Krajowych Ram Interoperacyjności.(…)”.
cyt.: „(…)nie wyegzekwowano od dostawcy oprogramowania przekazania uprawnień administratora (haseł i loginu). Tym samym nie zostały zrealizowane postanowienia zawartej umowy(…)”.

NIK o prowadzeniu dokumentacji elektronicznej ...

Analizowane zagadnienia w ramach kontroli odnosiły się także do kwestii związanej z faktycznym przygotowaniem jednostek medycznych do prowadzenia dokumentacji w postaci elektronicznej, w tym w postaci EDM czyli elektronicznej dokumentacji medycznej. NIK precyzyjnie wskazuje zasady, które muszą być zachowane przy przechodzeniu na tę właśnie formę prowadzenia dokumentacji w jednostce.

Przejście na elektroniczną formę prowadzenia dokumentacji medycznej wiąże się przede wszystkim z:

upoważnieniem personelu do przetwarzania danych osobowych w systemie teleinformatycznym;
koniecznością podpisania w niektórych przypadkach umowy powierzenia danych osobowych (gdy np. zewnętrzny podmiot udostępnia i konserwuje system, uzyskując dostęp do danych osobowych);
obowiązkiem właściwego zabezpieczenia danych osobowych przetwarzanych w nowej formie;
koniecznością przeprowadzenia analizy ryzyka i w niektórych przypadkach oceny skutków dla ochrony danych (gdy sposób przetwarzania, w tym z użyciem nowych technologii, z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw/wolności osób fizycznych).

Systemy informatyczne jednostek ...

Nieprzygotowanie systemów informatycznych ... cyt.: "(...)Oględziny użytkowanych systemów informatycznych w skontrolowanych podmiotach wykazały, że tylko w pięciu podmiotach (23%) systemy informatyczne spełniały wszystkie wymagania do prowadzenia dokumentacji medycznej w postaci elektronicznej określone w § 1 ust. 6 rozporządzenia Ministra Zdrowia z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania.(...)".

Jak czytamy w raporcie NIK o KRI w podmiotach medycznych podmioty nie zapewniły w swoich systemach informatycznych spełniania wszystkich wymagań do prowadzenia dokumentacji w postaci elektronicznej, w tym w

piętnastu skontrolowanych podmiotach (68%) systemy informatyczne nie prezentowały pełnej historii zmian dokumentów wraz z informacją o użytkowniku modyfikującym dokument w formie elektronicznej i czasie dokonania modyfikacji (widoczna była tylko ostatnia modyfikacja oraz autoryzacja);
dziewięciu skontrolowanych podmiotach (41%) nie zapewniono możliwości zapisu oraz dystrybuowania diagnostyki obrazowej w standardach DICOM lub innych;
dwóch podmiotach66 (9%) systemy informatyczne zapewniały możliwość zapisu, ale bez możliwości dystrybuowania diagnostyki obrazowej w standardach DICOM;
jednym podmiocie67 (5%), pomimo że system zapewniał możliwość zapisu oraz dystrybuowania diagnostyki obrazowej w standardach DICOM, to jednak opcja nie była wykorzystywana ze względu na brak integracji z systemami obsługi diagnostyki obrazowej i laboratoryjnej;
trzech podmiotach68 (14%) na wydrukach dokumentacji medycznej generowanych z systemu informatycznego nie było przyporządkowania wszystkich cech informacyjnych osoby udzielającej świadczeń zdrowotnych; wydruki te musiały być nadal autoryzowane przez lekarza pieczątką i podpisem.

Warunki organizacyjno techniczne ...

Warunki organizacyjno-techniczne jest to zwrot, jakim posłużył się ustawodawca w treści Rozporządzenia Ministra Zdrowia z dnia 06 kwietnia 2020r., w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania wchodzi w życie z dniem 15 kwietnia 2020r. (Dz.U. z 2020r., poz. 666). Zgodnie z § 1 ust. 1 ww. Rozporządzenia podstawową postacią dokumentacji medycznej prowadzonej w podmiocie udzielającym świadczeń medycznych jest dokumentacja medyczna prowadzona w postaci elektronicznej. Może być także prowadzona w postaci papierowej, jeżeli postać taka jest przewidziana przepisem prawa (np. § 39 ust. 2 i § 68 ust. 2 tego rozporządzenia) lub w przypadku braku warunków organizacyjno-technicznych umożliwiających prowadzenie dokumentacji elektronicznej (§ 1 ust. 2 tego ww. Rozporządzenia).

Brak warunków organizacyjno - technicznych cyt.: "(...)Nie wszystkie kontrolowane podmioty zapewniły warunki organizacyjno-techniczne do prowadzenia dokumentacji medycznej w postaci elektronicznej, a niektóre – pomimo że zapewniały warunki – prowadziły ją nadal w postaci papierowej. Pełna elektroniczna dokumentacja medyczna prowadzona była tylko w trzech spośród 22 skontrolowanych podmiotów.(...)".

NIK słusznie podnosi, iż

cyt.: „(…)prowadzenie dokumentacji medycznej w podmiocie leczniczym powinno odbywać się według jednolitych zasad. Dokumentacja prowadzona w jednej postaci, np. elektronicznej, nie może być jednocześnie prowadzona w drugiej, np. papierowej. Celem wprowadzenia tego przepisu było promowanie spójnych rozwiązań i wyeliminowanie nieefektywnych praktyk tworzenia jednego dokumentu jednocześnie w postaci elektronicznej i papierowej. Celem tego jest uniknięcie sytuacji, w których ten sam dokument funkcjonuje w obiegu w dwóch wersjach, często niespójnych, gdyż wpisy dokonywane byłyby zamiennie, raz w wersji papierowej, a raz w wersji elektronicznej(…)”.

Raport NIK o KRI w podmiotach medycznych - podsumowanie Treść Raportu NIK wskazuje na fakt, iż PWDL nadal mają możliwość wykonania konkretnych działań, które służyć będą usprawnieniu działania jednostek. NIK słusznie podnosi, iż informatyzacja służby zdrowia w połączeniu z rozwiązaniami administracyjnymi np. asystenci medyczni, może dać wymierne korzyści dla personelu medycznego. Korzyści sprowadzające się do efektywniejszego zarządzania ich czasem pracy. Wdrożenie i stosowanie odpowiednich natomiast standardów w obszarze bezpieczeństwa informacji podnosić będzie gwarancje prawidłowego przetwarzania danych. Również MZ w odpowiedzi na wysępienie NIK wskazuje jednoznacznie, iż odpowiedzialność za zarządzanie jednostkami ponoszą ich kierownicy.