STANOWISKO STORM W SPRAWIE NARZĘDZI DO PODPISYWANIA ELEKTRONICZNEJ DOKUMENTACJI MEDYCZNEJ

W dniu 25 kwietnia 2016 roku odbyło się spotkanie członków organizacji i zaproszonych wybitnych ekspertów z obszaru podpisu elektronicznego oraz elektronicznej identyfikacji w siedzibie Polskiego Komitetu Normalizacji. W wyniku dyskusji poprzedzonej wstępnym wykładem Pani dr Elżbiety Andrukiewicz dotyczącym rozporządzenia UE eIDAS (Regulation 910/2014 z dnia 23 lipca 2014) i jego zgodności z przywołanej w preambule rozporządzenia normy ISO/IEC 29115  sformułowano konkluzję Stowarzyszenia STORM dotyczącą narzędzia które ma służyć do podpisywania elektronicznej dokumentacji medycznej.

Wniosek 1

Narzędzia wskazane w obowiązującym obecnie stanie prawnym po wejściu w życie ustawy z 9 października 2015 roku o zmianie ustawy o systemie informacji w ochronie zdrowia i niektórych innych ustaw dopuszczone do użycia w celu podpisania dokumentacji medycznej to jedynie bezpieczny podpis elektroniczny potwierdzony kwalifikowanym certyfikatem oraz podpis ePUAP potwierdzony Profilem Zaufanym. Oba wymienione narzędzia mają istotne wady. Podpis bezpieczny jest rozwiązaniem kosztownym i dla wielu świadczeniodawców stanowi to barierę, szczególnie w sytuacji gdy podpis trzeba zakupić dla wielu specjalistów medycznych. Oprócz kosztu poniesionego w momencie zakupu podpisu należy ponieść koszt jego odnowienia. W wypadku podpisu ePUAP-u barierą w jego masowym wykorzystaniu staje się ewidentny brak wydajności tego systemu mimo usilnych działań zmierzających do zmiany tego stanu rzeczy, powszechny obowiązek prowadzenia elektronicznej dokumentacji medycznej tylko ten problem zwielokrotni.

Wniosek 2

Warunkiem użycia jakiegokolwiek narzędzia zapewniającego w sposób bezpośredni lub pośredni integralność i niezaprzeczalność źródła pochodzenia dokumentacji medycznej jest jego skuteczność prawna. Trzeba mieć na względzie stan prawny jaki powstanie po 1 lipca 2016 roku w związku z wejściem w życie części rozporządzenia eIDAS obejmującym usługi zaufania elektronicznego, w tym podpis elektroniczny, pieczęć elektroniczną i usługi doręczenia elektronicznego. Przedstawiane koncepcje połączenia pieczęci elektronicznej instytucji (nie wskazano jednoznacznie która instytucja miałaby być wydawcą tej pieczęci) z silnym uwierzytelnieniem osób tworzących dokumentację medyczną mają fundamentalną słabość wynikającą z faktu że dla  wypełnienia wymogu silnej identyfikacji osoby (dla dokumentacji medycznej wymagany byłby poziom wysoki wg rozporządzenia eIDAS i wydanego do niego aktu wykonawczego określającego poziomy bezpieczeństwa systemów identyfikacji elektronicznej ). Przedstawiona w trakcie dyskusji metoda identyfikacji oparta na biometrii zapewne spełniłaby wymagania poziomu wysokiego (pod warunkiem spełnienia wszystkich pozostałych wymagań określonych w rozporządzeniu wykonawczym KE 2015/1502 z dn. 8 września 2015 r), ale jej wprowadzenie wymagałoby pokonanie silnego oporu środowiska, a technicznie byłaby równie złożona jak wydanie podpisu elektronicznego umieszczonego na klasycznej karcie kryptoprocesorowej. Również koszty wprowadzenia niezbędnej infrastruktury do wykorzystania danych biometrycznych  byłyby bardzo wysokie. Podkreślić przy tym należy że wykorzystanie metody polegającej na użyciu pieczęci elektronicznej zabezpieczającej integralność dokumentu ( a w wypadku użycia znacznika czasu i wyniku identyfikacji biometrycznej również chwili jego wytworzenia i pochodzenia) nie dawałoby prostej możliwości uznania takiej dokumentacji medycznej poza granicami Polski. Biorąc pod uwagę rozwijającą się transgraniczną opiekę medyczną należy ten aspekt wziąć również pod uwagę.

Wniosek 3

Oczywistym jest fakt że podpis elektroniczny zdefiniowany w rozporządzeniu eIDAS jest właściwym narzędziem do składania oświadczeń woli i potwierdzania źródła wytworzenia dokumentacji medycznej przez osobę fizyczną. Biorąc pod uwagę fakt że Narodowy Fundusz Zdrowia w celu realizacji projektu RUM II (wstrzymanego przez brak podstawy prawnej) zbudował i uruchomił Infrastrukturę Klucza Publicznego zdolną do wydania i obsłużenia 120 mln certyfikatów z wymaganą wydajnością 160 odpowiedzi protokołu OCSP na sekundę, zasadnym jest wykorzystanie tej infrastruktury do wydania certyfikatów zaawansowanego podpisu elektronicznego i umieszczeniu go na odpowiednim nośniku, zapewniającym jego bezpieczeństwo. Najprostszym , technicznie realizowalnym i ekonomicznie ze wszech miar uzasadnionym działaniem byłoby umieszczenie go na karcie kryptoprocesorowej , tak jak przewidywano w projekcie RUM II (realizowana byłaby tylko mała część tego projektu – liczbę wszystkich specjalistów medycznych  szacuje się na nie więcej niż 500 tys.). Oczywiście trzeba mieć na względzie konieczność powrotu do zapisów projektu ustawy o zmianie ustawy o systemie informacji w ochronie zdrowia w celu właściwego umocowania tego podpisu, jako zrównanego w skutkach z podpisem własnoręcznym w obszarze ochrony zdrowia.

Wniosek 4

Problem skutecznego prawnie, wydajnego i możliwie prostego w użyciu narzędzia do składania podpisu elektronicznego jest jednym z kluczowych problemów elektronicznej dokumentacji medycznej. Firmy informatyczne których przedstawiciele działają w STORM są gotowe wdrożyć każde poprawnie technicznie wyspecyfikowane rozwiązanie, ale jedynie narzędzie mające cechy określone w pierwszym zdaniu niniejszego wniosku umożliwi skuteczne wdrożenie elektronicznej dokumentacji medycznej w Polsce z zapewnieniem w przyszłości możliwości posłużenia się nią w działaniach transgranicznych. Ponadto, rozwiązanie takie powinno być jednolite z punktu widzenia świadczeniodawcy i służyć do podpisywania wszelkiego typu dokumentacji w tym e-ZLA, co pozwoli na racjonalizację wydatków i standaryzację rozwiązań.