Bezpieczeństwo informacji

Autor: GUBAŁA Katarzyna • Źródło: Katarzyna Rożko/Rynek Zdrowia   • 14 września 2011 14:03

Samorząd Województwa Łódzkiego jako pierwszy w kraju ustalił Ogólną Politykę Bezpieczeństwa Informacji dla podległych mu zakładów opieki zdrowotnej. O potrzebie podjęcia takiej inicjatywy oraz o jej realizacji rozmawiamy z Marcinem Zawiszą, p.o. naczelnika wydziału ds. eZdrowia w Departamencie Polityki Zdrowotnej Urzędu Marszałkowskiego Województwa Łódzkiego.

Bezpieczeństwo informacji
Fot. Adobe Stock. Data Dodania: 16 grudnia 2022
Rynek Zdrowia: Jak przebiegały przygotowania do tego przedsięwzięcia?

Marcin Zawisza:
Od początku postanowiliśmy, że jednym z celów projektu "Regionalny System Informacji Medycznej Województwa Łódzkiego" będzie bezpieczeństwo informacji. Potrzeby zidentyfikowaliśmy już wcześniej, ponieważ poświęciliśmy sporo czasu na rozpoznanie sytuacji w zakresie zarządzania bezpieczeństwem informacji w szpitalach. Po otrzymaniu środków z Regionalnego Programu Operacyjnego Województwa Łódzkiego przystąpiliśmy do opracowania modelu wdrożenia polityki bezpieczeństwa dla naszych placówek.

Z analizy wynikało, że stworzenie standardu na poziomie organu założycielskiego dla całej grupy będzie zasadne i dobrze przygotuje naszych partnerów projektowych do prac nad Szczegółową Polityką Bezpieczeństwa Informacji (SPBI). Wybrany model zakładał pracę wspólną - całego partnerstwa - nad zapisami Ogólnej Polityki Bezpieczeństwa Informacji tak, by zostały zaakceptowane przez wszystkich. I udało się. Powstał ciekawy, ważny dokument regulujący istotne zasady bezpiecznego postępowania z wrażliwymi danymi i informacjami w placówce medycznej.

Co okazało się największym wyzwaniem przy wdrażaniu polityki bezpieczeństwa informacji w sektorze medycznym?

Najtrudniejsze jest znalezienie konsensusu z partnerami. Wypracowanie wspólnych zapisów trwa czasem bardzo długo, dyskutujemy, spieramy się, ale dla mnie osobistą satysfakcją jest fakt, że dzieje się to w coraz bardziej konstruktywny sposób. Dużym wyzwaniem jest również odpowiednia moderacja dyskusji z kadrą zarządzającą placówek medycznych, którą -  mimo dużej świadomości niebezpieczeństw i istniejących odstępstw od standardów - cechuje czasem opór do wprowadzania zmian.

ZOZ-y wdrażające projekty eZdrowia zwracają uwagę, że polskie prawo nie nadąża za wyzwaniami, jakie niesie informatyzacja sektora ochrony zdrowia m.in. w zakresie bezpieczeństwa danych.


Ująłbym to inaczej. Dynamika zmieniających się uwarunkowań technologicznych zawsze będzie większa niż dynamika zmian w prawie. Potrzebne są precyzyjne rekomendacje dotyczące tego zagadnienia, które pokażą do jakiego standardu bezpieczeństwa chcemy dojść oraz w jaki sposób i za pomocą jakich instrumentów prawnych zamierzamy te zmiany wprowadzić.

Istnieje co najmniej kilka standardów, które skutecznie mogą wspierać tego typu działania, jak ISO 17799, ISO 27001 czy też dedykowany ochronie zdrowia ISO 27799 i to jest - moim zdaniem - wystarczający obszar, w ramach którego takie rekomendacje powinny się pojawić. Zbyt duża ilość zmian w prawie może doprowadzić do deregulacji, a to będzie niekorzystne dla całego systemu ochrony zdrowia.

Jak kadra zakładów opieki zdrowotnej ocenia obecnie postępującą informatyzację lecznic?

Coraz lepiej. Ustawicznie budowane porozumienie z partnerami, długie dyskusje oraz czas potrzebny na wzajemne poznanie są niezbędne. Wiem, że wiele projektów grupowych realizowanych obecnie na terenie naszego kraju nie ma tak komfortowej sytuacji, w jakiej jesteśmy my. Przeszliśmy jednak konsekwentnie całą drogę - od wspólnej strategii,  do wspólnej realizacji projektów.

Przy ocenie stopnia akceptacji dla informatyzacji lecznic należy również brać pod uwagę fakt, że często przedsięwzięcie to wymaga dużych nakładów inwestycyjnych, co przy tak ogromnych potrzebach w tym zakresie nie jest zadaniem prostym. Dlatego naszą wielką szansą są środki unijne, pozwalające na realizację strategicznych projektów teleinformatycznych.

Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum