Definicja: Ustawianie ról użytkowników w EDM oznacza skonfigurowanie kontroli dostępu opartej na rolach, w której kontom przypisywane są zestawy uprawnień do danych i funkcji systemu, aby ograniczyć nieautoryzowany wgląd, utrzymać spójność pracy personelu oraz zapewnić rozliczalność działań: (1) model ról i operacji na danych (odczyt, edycja, usuwanie, eksport); (2) zakres danych przypisany do roli (np. własne wizyty, gabinet, podmiot); (3) procedury weryfikacji i audytu (testy scenariuszy, log zmian uprawnień).
Ostatnia aktualizacja: 2026-03-12
Szybkie fakty
- Najczęstszy błąd wynika z łączenia kilku ról bez kontroli sumowania uprawnień.
- Dostęp do eksportu i druku dokumentacji wymaga osobnej kontroli, niezależnej od odczytu EDM.
- Poprawność konfiguracji potwierdzają testy scenariuszy oraz przegląd logów zmian ról.
Konfiguracja ról w EDM opiera się na przypisaniu szablonów uprawnień do kont oraz testach, które potwierdzają faktyczne ograniczenia dostępu w pracy zespołowej.
- Projekt roli: Rola wynika z listy zadań i operacji na danych, z oddzieleniem uprawnień klinicznych od administracyjnych.
- Zakres danych: Zakres pacjentów i wizyt jest ustawiany oddzielnie od samych praw, aby uniknąć wglądu „do wszystkich”.
- Weryfikacja: Po zmianie ról wykonuje się testy odczytu, edycji, usuwania i eksportu oraz sprawdza log zmian.
Ustalenie ról użytkowników w EDM stanowi element kontroli dostępu, który przesądza o tym, jakie dane medyczne i funkcje systemu są widoczne dla poszczególnych kont. Prawidłowa konfiguracja zaczyna się od rozpisania zadań personelu i rozdzielenia dostępu klinicznego od administracyjnego, a dopiero później przechodzi do przypisywania konkretnych uprawnień.
Problemy pojawiają się, gdy jedno konto otrzymuje kilka ról naraz, a uprawnienia sumują się do poziomu szerszego niż zakładany, albo gdy nie kontroluje się eksportu i druku dokumentacji. Materiał porządkuje model ról, opisuje przebieg konfiguracji w systemach EDM oraz wskazuje scenariusze testów i elementy audytu potrzebne do utrzymania rozliczalności zmian.
Role użytkowników w EDM i model RBAC: zakres, operacje, odpowiedzialność
Role użytkowników w EDM definiują, jakie operacje są możliwe na danych i funkcjach systemu, a nie tylko nazwę stanowiska pracy. Bezpieczna konfiguracja opiera się na wyraźnym rozdziale uprawnień klinicznych, administracyjnych i rozliczeniowych oraz na ograniczeniu operacji wysokiego ryzyka, takich jak eksport i masowe działania.
Model RBAC porządkuje zależność między kontem a prawami: użytkownik otrzymuje jedną lub kilka ról, a każda rola mapuje się na zestaw uprawnień. W praktyce systemowej uprawnienia należy rozbić na dwie osie: (1) typ danych, np. dane identyfikacyjne pacjenta, treść dokumentacji i dane finansowe, oraz (2) typ operacji, np. odczyt, edycja, usuwanie i eksport. Takie rozdzielenie ułatwia stworzenie profilu „rejestracja” bez wglądu w treść EDM, a profilu „lekarz” bez dostępu do elementów administracyjnych niezwiązanych z pracą kliniczną.
Do użytkownika może być przypisana jedna lub więcej ról każdego rodzaju i mają one łączny charaketer (uprawnienia są sumowane).
Źródło: eFOB eTeczka — Uprawnienia – wstęp (2024)
Sumowanie ról tłumaczy częsty incydent nadmiarowych praw: pojedynczy użytkownik, łącząc role, otrzymuje dostęp do danych i funkcji, które nie były planowane. Jeśli uprawnienia eksportu i druku są połączone z odczytem, to ryzyko wycieku rośnie bez widocznych zmian w codziennym interfejsie.
Jeśli do jednego konta przypisano więcej niż jedną rolę, to najbardziej prawdopodobne jest poszerzenie dostępu przez sumowanie uprawnień.
Projekt ról: role stanowiskowe a role funkcjonalne i zakres pacjentów
Projekt ról jest skuteczny, gdy wynika z listy zadań wykonywanych w systemie i spodziewanego zakresu pacjentów, a nie z samej nazwy stanowiska. Stabilny model rozdziela role funkcjonalne (co wolno zrobić) od zakresu danych (na jakich rekordach), co zmniejsza liczbę wyjątków i ręcznych korekt.
Proces projektowy zwykle zaczyna się od inwentaryzacji: rejestracja i umawianie wizyt, praca kliniczna w gabinecie, procedury zabiegowe, rozliczenia oraz administracja kontami. Dla każdej grupy zadań tworzy się macierz uprawnień, rozpisując operacje na danych klinicznych oraz operacje administracyjne, takie jak edycja słowników, konfiguracja wydruków czy zarządzanie użytkownikami. Następnie definiuje się zakres danych, np. dostęp wyłącznie do własnych wizyt, do przypisanego gabinetu albo do całego podmiotu, zależnie od struktury organizacyjnej.
W osobnej kategorii powinny znaleźć się wyjątki wysokiego ryzyka: eksport, druk, usuwanie wpisów i operacje masowe. W wielu systemach są to osobne przełączniki, które łatwo przeoczyć przy kopiowaniu ról. W planie ról należy też uwzględnić zastępstwa: w modelu dojrzałym czasowe podniesienie praw jest rejestrowane i ma ustalony termin wygaszenia, aby nie utrwalić wyjątków w systemie.
Przy braku rozdziału ról funkcjonalnych od zakresu danych, najbardziej prawdopodobne jest powstawanie wyjątków nadawanych ręcznie i utrwalanie szerokich uprawnień.
Konfiguracja ról i uprawnień w systemie EDM: przebieg operacyjny
Konfiguracja ról i uprawnień w systemie EDM przebiega najbezpieczniej przez szablony uprawnień, przypisanie ich do kont oraz sprawdzenie praw skutecznych na poziomie użytkownika. Kluczową częścią procesu pozostaje weryfikacja konfliktów, szczególnie gdy jedna osoba realizuje zadania z kilku obszarów.
Przygotowanie: role, konta, zakresy i wyjątki
Na etapie przygotowania ustala się listę ról, listę kont oraz zasady zakresu danych, np. własne wizyty lub określony gabinet. W tym samym zestawieniu wskazuje się wyjątki: eksport, druk, usuwanie wpisów i dostęp administracyjny, aby nie łączyć ich domyślnie z codziennymi rolami.
Szablony uprawnień i role modułowe
Szablony porządkują uprawnienia na poziomie modułów i operacji, co pozwala utrzymać spójność przy większej liczbie pracowników. W systemach z podziałem na moduły często da się rozdzielić rejestrację, gabinet i rozliczenia bez naruszania pracy klinicznej.
Przypisanie ról do użytkowników
Przypisanie ról wykonuje się pojedynczo lub masowo, zgodnie z polityką kont i strukturą zespołu. Przy rolach łączonych niezbędne jest wskazanie, która rola odpowiada za prawa wysokiego ryzyka i dlaczego konto je otrzymuje.
Weryfikacja przypisanych praw i konfliktów
Weryfikacja obejmuje podgląd uprawnień skutecznych użytkownika i kontrolę, czy prawa nie zostały poszerzone przez nakładanie się ról. W laboratorium testowym można też sprawdzić, czy rejestracja nadal widzi terminarz, lecz nie widzi treści dokumentacji, oraz czy asystent nie ma prawa do usuwania wpisów.
Zmiany ról i rejestrowanie uzasadnienia
Zmiany w rolach powinny być rejestrowane wraz z uzasadnieniem, aby umożliwić odtworzenie przyczyn dostępu i audyt zmian. W dojrzałym modelu uzupełnia się te zmiany o datę obowiązywania, jeśli dotyczą zastępstw.
Po jego kliknięciu należy wybrać kafelek Uprawnienia, który pozwala przejść do: grupowania wybranych praw w szablony uprawnień, przypisywania szablonów pracownikom, nadawania pojedynczych praw oraz weryfikowania, jakie prawa zostały przypisane do danego użytkownika.
Źródło: Gov.pl — Nadawanie uprawnień użytkownikom EZD RP (2024)
Test skutecznych uprawnień pozwala odróżnić błąd konfiguracji roli od błędu zakresu danych bez zwiększania ryzyka operacyjnego.
Testy dostępu po zmianie roli: scenariusze kontrolne i kryteria akceptacji
Testy dostępu po zmianie roli potwierdzają, czy użytkownik ma wyłącznie te operacje i ten zakres danych, które wynikają z macierzy uprawnień. Najlepszą praktyką jest zestaw scenariuszy obejmujący odczyt, edycję, usuwanie i eksport, wykonany na kontrolnych kontach oraz kontrolnych danych.
Testy odczytu powinny objąć: wyszukiwanie pacjenta, dostęp do karty pacjenta, wgląd w historię wizyt i dokumenty, a także podgląd załączników. W roli „rejestracja” akceptowane jest widzenie danych kontaktowych i terminarza, natomiast brak dostępu do treści dokumentacji stanowi kryterium pozytywne. Testy edycji wymagają sprawdzenia dopisywania elementów, edycji wpisów oraz zasad korekty, zwłaszcza gdy system ma blokady edycji wstecz.
Osobno testuje się usuwanie i korekty: brak prawa do usuwania wpisów bywa bardziej bezpieczny niż dopuszczenie usuwania w rolach klinicznych i pomocniczych. Testy eksportu i druku powinny obejmować pojedynczy dokument oraz operacje masowe, jeśli system je dopuszcza. Kryteria akceptacji są spełnione, gdy żadna rola administracyjna nie uzyskuje wglądu w pełną EDM przez prawa pomocnicze, a role kliniczne nie dziedziczą dostępu do rozliczeń bez uzasadnienia.
Przy komunikacie braku uprawnień po zmianie roli, najbardziej prawdopodobne jest niespójne prawo skuteczne wynikające z konfliktu ról albo z nieodświeżonej sesji.
Audyt, logi i utrzymanie ról: rozliczalność oraz cykliczny przegląd
Utrzymanie ról w EDM wymaga kontroli po uruchomieniu, ponieważ skład zespołu, zakres świadczeń i sposoby pracy zmieniają się częściej niż sama struktura systemu. Rdzeniem kontroli są logi zmian uprawnień, ewidencja kont uprzywilejowanych oraz okresowe przeglądy przypisań ról.
Log zmian powinien umożliwiać wskazanie: kto wprowadził zmianę, kiedy nastąpiła oraz jaki element został zmodyfikowany na poziomie roli lub użytkownika. W praktyce wysoki poziom ryzyka generują konta uprzywilejowane, dlatego rekomenduje się ograniczenie liczby administratorów oraz rozdzielenie pracy administracyjnej od pracy klinicznej na tym samym koncie. Cykliczny przegląd, np. kwartalny, obejmuje listę ról, listę użytkowników oraz identyfikację odstępstw, takich jak prawa eksportu bez uzasadnienia albo konta, które nie są używane.
Proces utrzymania powinien uwzględniać odejścia pracowników i zastępstwa: konta nieaktywne są blokowane lub usuwane zgodnie z polityką, a prawa zastępcze są odbierane po zakończeniu okresu obowiązywania. W incydentach podstawową czynnością jest ograniczenie dostępu do operacji wysokiego ryzyka oraz zabezpieczenie logów na potrzeby analizy.
Test przeglądu kwartalnego pozwala odróżnić przypadkową nadwyżkę uprawnień od trwałego wzorca nadawania ról bez uzasadnienia.
Mapa ról w EDM: przykładowe zestawy uprawnień dla zespołu
Mapa ról w EDM umożliwia szybkie powiązanie stanowisk i funkcji z zestawami praw, bez kopiowania ustawień między różnymi systemami. Najczęściej wystarczają role: rejestracja, asystent medyczny, lekarz i administrator, a w większych organizacjach dochodzą role rozliczeniowe oraz koordynacyjne.
| Rola | Dostęp do danych EDM | Uprawnienia wysokiego ryzyka |
|---|---|---|
| Rejestracja | Brak wglądu w treść dokumentacji; dostęp do danych kontaktowych i terminarza | Brak eksportu i druku dokumentacji; brak usuwania wpisów |
| Asystent medyczny | Dostęp do danych potrzebnych do przygotowania wizyty; ograniczona edycja elementów pomocniczych | Domyślnie bez usuwania i bez masowego eksportu; druk tylko w ściśle określonych przypadkach |
| Lekarz | Pełny dostęp kliniczny do pacjentów w swoim zakresie; edycja wpisów zgodnie z polityką korekt | Eksport i druk ograniczone do roli i procesu; usuwanie wpisów zwykle ograniczone |
| Administrator | Dostęp do zarządzania kontami i rolami; dostęp do treści EDM tylko, gdy wymaga tego procedura serwisowa | Uprawnienia administracyjne; eksport i druk nie powinny wynikać z roli administracyjnej |
| Rozliczenia | Dostęp do danych rozliczeniowych i raportów; brak wglądu w treść dokumentacji klinicznej | Eksport rozliczeń kontrolowany; brak eksportu dokumentacji medycznej |
W części operacyjnej pomocne bywa rozróżnienie modułów EDM i procesów rejestracji pacjentów, co omawia Program do rejestracji pacjentów w kontekście podziału zadań administracyjnych i klinicznych.
W typowym środowisku gabinetowym bazę narzędzi tworzy Program do Prowadzenia Elektronicznej Dokumentacji Medycznej, a mapowanie ról powinno być spójne z listą modułów i uprawnień dostępnych w interfejsie administracyjnym.
Przy łączeniu ról w jednym koncie potrzebne są zasady architektury uprawnień, które opisuje Oprogramowanie medyczne w ujęciu podziału funkcji i odpowiedzialności w systemie.
Jeśli rola rejestracji ma dostęp do dokumentów lub eksportu, to najbardziej prawdopodobne jest pomieszanie uprawnień modułowych z uprawnieniami do danych klinicznych.
Które źródła o rolach i uprawnieniach są bardziej wiarygodne: baza pomocy czy dokument instytucji?
Materiały instytucjonalne i dokumentacja formalna są zwykle lepiej weryfikowalne, ponieważ zawierają stabilne definicje, opis procesu oraz kontekst zgodności, często w formie dokumentów PDF. Bazy pomocy producentów są bardziej użyteczne operacyjnie, bo opisują ekrany i kolejność czynności, lecz wymagają sprawdzenia daty aktualizacji i zgodności z wersją systemu. Najwyższy poziom zaufania zapewnia zgodność między dwoma formatami: procedurą z dokumentacji producenta oraz zasadami z dokumentu o wysokim autorytecie. Sygnałem zaufania jest jednoznaczne wskazanie odpowiedzialnego podmiotu i możliwość odnalezienia cytowanego fragmentu w źródle.
QA — role użytkowników w EDM
Jak ograniczyć rejestracji wgląd do EDM, pozostawiając terminarz i dane kontaktowe?
Ograniczenie polega na rozdzieleniu modułów obsługi wizyt i modułów dokumentacji oraz na wyłączeniu odczytu treści dokumentów klinicznych. Kryterium poprawności stanowi możliwość pracy na grafiku i kartotece kontaktowej bez podglądu historii i dokumentów medycznych.
Co oznacza sumowanie ról i jak ograniczyć nadmiarowe uprawnienia?
Sumowanie ról oznacza, że prawa z kilku ról łączą się w jeden zestaw uprawnień skutecznych. Nadmiarowe uprawnienia ogranicza redukcja liczby ról przypisanych do konta oraz wydzielenie praw wysokiego ryzyka do osobnej roli z uzasadnieniem.
Jak postępować, gdy po zmianie roli nadal widoczny jest komunikat braku uprawnień?
Najpierw weryfikuje się uprawnienia skuteczne na koncie, ponieważ konflikt ról lub brak zapisu zmian potrafi maskować rzeczywistą konfigurację. Częstą przyczyną jest też nieodświeżona sesja, co wymaga ponownego zalogowania i ponownej próby testu.
Kto powinien mieć uprawnienia do eksportu i druku dokumentacji oraz dlaczego?
Uprawnienia eksportu i druku powinny być nadawane wąskiej grupie ról, zgodnie z procesem organizacyjnym i zakresem odpowiedzialności. Ograniczenie tych praw zmniejsza ryzyko niekontrolowanego wyniesienia danych przy zachowaniu możliwości pracy klinicznej na ekranie.
Jak przeprowadzić test roli bez pracy na danych rzeczywistych pacjentów?
Test wykonuje się na kontach kontrolnych i danych testowych, odtwarzając scenariusze odczytu, edycji i eksportu. Wynik testu ocenia się przez porównanie zachowania systemu z macierzą uprawnień, bez angażowania dokumentacji produkcyjnej.
Jak udokumentować zmianę uprawnień, aby zachować rozliczalność?
Zmiana powinna mieć zapis w logu zdarzeń lub rejestrze administracyjnym, z identyfikatorem osoby zmieniającej i datą operacji. Uzasadnienie i zakres zmiany powinny umożliwiać odtworzenie powodu dostępu podczas audytu.
Źródła
- Medfile — Edytuj uprawnienia według roli (b.d.)
- drEryk eGabinet — Zarządzanie użytkownikami (b.d.)
- eFOB eTeczka — Uprawnienia – wstęp (2024)
- Gov.pl — Nadawanie uprawnień użytkownikom EZD RP (2024)
- Pacjent.gov.pl — Poznaj elektroniczną dokumentację medyczną (2022)
- Centrum e-Zdrowia — Minimalne wymagania techniczne i funkcjonalne dla systemów usługodawców (b.d.)
- IMDRF — Principles and Practices for Medical Device Cybersecurity (2020)
Role użytkowników w EDM powinny odzwierciedlać zadania i zakres pacjentów, a nie jedynie nazwy stanowisk. Największe ryzyko wiąże się z sumowaniem ról oraz z niekontrolowanym eksportem i drukiem dokumentacji. Poprawność konfiguracji potwierdzają scenariusze testów operacji na danych i kontrola praw skutecznych. Utrzymanie ról wymaga logów zmian oraz okresowych przeglądów przypisań i kont uprzywilejowanych.