Podmiot leczniczy a Audyt KRI

Podmiot leczniczy a Audyt KRI – udzielę odpowiedzi na pytanie, czy spółka prawa handlowego prowadząca podmiot udzielający świadczeń zdrowotnych, udzielająca świadczeń zdrowotnych w ramach kontraktu z Płatnikiem, jakim jest Narodowy Fundusz Zdrowia, zobowiązana jest do respektowania postanowień Ustawy z dnia 17 lutego 2005r., o informatyzacji działalności podmiotów realizujących zadania publiczne, a w tym i Rozporządzenia w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych [dalej Rozporządzenie KRI]?

Ustawa o informatyzacji i Rozporządzenie KRI … Kilka uwag, tytułem wprowadzenia do tematu: Rozporządzenie KRI wydane zostało na podstawie art. 18 Ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne [dalej Ustawa o informatyzacji]. Krajowe Ramy Interoperacyjności określają sposoby postępowania podmiotu realizującego zadania publiczne w zakresie doboru środków, metod i standardów wykorzystywanych do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i udoskonalania systemu teleinformatycznego wykorzystywanego do realizacji zadań tego podmiotu oraz procedur organizacyjnych. Co do zasady przepisy ustawy o informatyzacji stosuje się do podmiotów realizujących zadania publiczne określone przez ustawy.

Zakres podmiotowy Ustawy o informatyzacji i Rozporządzenia KRI …

Zgodnie z art. 2 ust. 1 pkt 4) Ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne

cyt.: „przepisy ustawy stosuje się do realizujących zadania publiczne określone przez ustawy: (…) samodzielnych publicznych zakładów opieki zdrowotnej oraz spółek wykonujących działalność leczniczą w rozumieniu przepisów o działalności leczniczej.”

W przepisie mowa jest o tym, iż regulacje Ustawy o informatyzacji stosuje się w odniesieniu do:

podmiotów realizujących zadania publiczne,
- SPZOZ samodzielnych publicznych zakładów opieki zdrowotnej,
- spółek, które wykonują działalność lecznicza, działalność leczniczą w rozumieniu przepisów o działalności leczniczej.

Podmiot udzielający świadczen zdrowotnych ...

Podmiot wykonujący działalność leczniczą ... Podmiot udzielający świadczeń zdrowotnych to podmiot, o którym mowa w art. 2 ust. 1 pkt 5 Ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej [dalej Ustawa UDL], czyli podmiot wykonujący działalność leczniczą [dalej PWDL], za który uznajemy podmiot leczniczy, o którym mowa w art. 4 ww. Ustawy, oraz lekarza, pielęgniarkę lub fizjoterapeutę wykonujących zawód w ramach działalności leczniczej, jako praktykę zawodową, o której mowa w art. 5 ww. Ustawy.

Zgodnie z art. 4 Ustawy UDL podmiotami leczniczymi są niżej wymienione podmioty – w zakresie, w jakim wykonują działalność leczniczą:

przedsiębiorcy w rozumieniu przepisów ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców (Dz. U. z 2021 r. poz. 162) we wszelkich formach przewidzianych dla wykonywania działalności gospodarczej, jeżeli ustawa nie stanowi inaczej,
samodzielne publiczne zakłady opieki zdrowotnej,
jednostki budżetowe, w tym państwowe jednostki budżetowe tworzone i nadzorowane przez Ministra Obrony Narodowej, ministra właściwego do spraw wewnętrznych, Ministra Sprawiedliwości lub Szefa Agencji Bezpieczeństwa Wewnętrznego, posiadające w strukturze organizacyjnej ambulatorium, ambulatorium z izbą chorych lub lekarza podstawowej opieki zdrowotnej, pielęgniarkę podstawowej opieki zdrowotnej lub położną podstawowej opieki zdrowotnej w rozumieniu przepisów ustawy z dnia 27 października 2017 r. o podstawowej opiece zdrowotnej (Dz. U. z 2021 r. poz. 1050),
instytuty badawcze, o których mowa w art. 3 ustawy z dnia 30 kwietnia 2010 r. o instytutach badawczych (Dz. U. 2020 r. poz. 1383),
fundacje i stowarzyszenia, których celem statutowym jest wykonywanie zadań w zakresie ochrony zdrowia i których statut dopuszcza prowadzenie działalności leczniczej,
posiadające osobowość prawną jednostki organizacyjne stowarzyszeń, o których mowa w pkt 5,
osoby prawne i jednostki organizacyjne działające na podstawie przepisów o stosunku Państwa do Kościoła Katolickiego w Rzeczypospolitej Polskiej, o stosunku Państwa do innych kościołów i związków wyznaniowych oraz o gwarancjach wolności sumienia i wyznania,
jednostki wojskowe.

Kontrakt z Narodowym Funduszem Zdrowia …

Przepisy Ustawy o informatyzacji, a co za tym, idzie wydanego na jej podstawie Rozporządzenia KRI, stosuje się do podmiotów realizujących zadania publiczne, nie ulega natomiast wątpliwości, że za realizację zadania publicznego należy uznać wykonywanie świadczeń opieki zdrowotnej w ramach kontraktu z Narodowym Funduszem Zdrowia, będącym państwową jednostką organizacyjną posiadającą osobowość prawną, działającą na mocy Ustawy z dnia 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych.

Kierownictwo z obowiązkiem zapewnienia corocznych audytów ...

Zgodnie z § 20 ust. 2 pkt. 14) Rozporządzenia KRI

cyt.: „zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: (…) zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.”.

Kiedy Audyt KRI nie jest obowiązkowy ...

Wymagania określone w § 20 ust. 1 i 2 w tym w zakresie zapewnienia okresowego Audytu KRI uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany – zatem musi w ogóle być on opracowany, a drugi warunek, że został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:

PN-ISO/IEC 27002 – w odniesieniu do ustanawiania zabezpieczeń;
PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem;
PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania

Kto może wykonać Audyt KRI, jaka jest różnica pomiędzy wewnętrznym audytem bezpieczeństwa informacji a kontrolą – „Kto może wykonać Audyt KRI”

Podmiot leczniczy a Audyt KRI Reasumując zatem podmiot wykonujący działalność leczniczą, jako przedsiębiorca prowadzący działalność w formie spółki prawa handlowego będący niepublicznym zakładem opieki zdrowotnej, udzielający świadczeń opieki zdrowotnej w ramach finansowania na podstawie umowy z Narodowym Funduszem Zdrowia, zobowiązany jest do stosowania przepisów Ustawy o informatyzacji oraz Rozporządzenia KRI. Oznacza to, iż kierownictwo takiego podmiotu medycznego zobowiązane jest do zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok, chyba, ze opracują system zarządzania bezpieczeństwem informacji na podstawie PN-ISO/IEC 27001 oraz ustanowienie zabezpieczeń, zarządzanie ryzykiem i audytowanie realizowane będzie na podstawie wskazanych w przepisie Polskich Norm.

Wykonany Audyt KRI ...

Zespół ekspertów Proste to RODO realizuje na zlecenie swoich Klientów audyty bezpieczeństwa informacji (Audyt KRI). Chcesz poznać szczegóły skontaktuj się z nami: tel. 694 494 240

Warsztaty szkoleniowe - Audyt KRI

Wybierz interesujący tematycznie dział Sklepu RODO

Sklep RODO
w medycynie

Wejdź do sklepu >>>

Sklep RODO
w oświacie

Wejdź do sklepu >>>

Sklep RODO
dla firm

Wejdź do sklepu >>>

Usługi IT
w medycynie

Wejdź do sklepu >>>

Szkolenia
RODO

Wejdź do sklepu >>>

Niszczarki
do dokumentów

Wejdź do sklepu >>>

Wdrożenie RODO w jednostkach medycznych.
RODO w medycynie. Przygotowanie dokumentacji RODO. Szkolenia z ochrony danych osobowych.

Proste to RODO

Ochrona danych w medycynie i oświacie

Podmiot leczniczy a Audyt KRI