Definicja: Zarządzanie dostępem do EDM w klinice to zestaw reguł i kontroli techniczno-organizacyjnych, które ograniczają operacje na dokumentacji do osób uprawnionych oraz zapewniają rozliczalność działań i możliwość odtworzenia historii dostępu: (1) model ról i minimalnych uprawnień; (2) silne uwierzytelnianie oraz kontrola kont; (3) logowanie zdarzeń i cykliczny audyt.
Ostatnia aktualizacja: 2026-03-12
Szybkie fakty
- Macierz ról ogranicza nadmiar uprawnień i porządkuje odpowiedzialność za dostęp do EDM.
- Procedura nadawania i odbierania dostępu wymaga akceptacji oraz śladu w rejestrach zmian.
- Logi dostępu mają wartość audytową tylko przy zdefiniowanej zawartości i regularnej analizie.
Odpowiedź: Kontrola dostępu do EDM w klinice opiera się na polityce ról, procedurze zmian uprawnień oraz audytowalnych logach. Skuteczność potwierdzają testy scenariuszowe i przeglądy okresowe kont.
- Role i ograniczenia: Przypisanie ról do zadań oraz ograniczenie dostępu do danych i funkcji zgodnie z minimalną potrzebą operacyjną.
- Workflow zmian: Wniosek, akceptacja, nadanie, test, termin przeglądu i odebranie dostępu, z udokumentowaniem decyzji oraz wyjątków.
- Audyt i reakcja: Rejestrowanie kluczowych zdarzeń, analiza anomalii, raport dowodowy po incydencie i korekty uprawnień po przeglądach.
Zarządzanie dostępem do EDM w klinice jest zadaniem operacyjnym, które łączy politykę ról, kontrolę tożsamości użytkowników oraz audyt działań w systemie. Najczęściej występujące ryzyka to nadmiar uprawnień, konta pozostające aktywne po zmianie zatrudnienia oraz brak dowodów pozwalających wskazać, kto i kiedy uzyskał wgląd w rekord pacjenta.
Model organizacyjny powinien definiować role, sposób akceptacji dostępów i wyjątki, a warstwa techniczna ma wspierać te zasady przez logowanie zdarzeń i mechanizmy uwierzytelniania. Ocena działania polityki dostępu wymaga przeglądów okresowych, testów scenariuszowych oraz konsekwentnego domykania dostępów czasowych i serwisowych.
Model ról i uprawnień w EDM: RBAC i zasada minimalnych dostępów
Model ról i uprawnień powinien powstawać z mapowania zadań na funkcje systemu oraz na zakres danych, bez przenoszenia uprawnień „na zapas” między stanowiskami. RBAC porządkuje dostęp wtedy, gdy każda rola ma jasno wskazany zakres: podgląd, edycja, podpis, eksport oraz administracja konfiguracją.
Minimalny zestaw ról w klinice zwykle obejmuje personel kliniczny i administracyjny, a także role nadzorcze i techniczne. Lekarz i pielęgniarka zwykle potrzebują edycji dokumentacji i wglądu w historię pacjenta, rejestracja powinna ograniczać się do danych niezbędnych do obsługi wizyty, a rozliczenia do danych rozliczeniowych i dokumentów wymaganych do sprawozdawczości. Osobno należy opisać konta uprzywilejowane, których nie obejmuje ten sam poziom kontroli co użytkowników operacyjnych.
Minimalny zestaw ról w klinice i zakresy odpowiedzialności
Role powinny odzwierciedlać procesy: rejestracja, dokumentowanie świadczeń, zlecenia, wyniki, rozliczenia oraz zadania nadzorcze. Dla każdej roli warto wskazać, czy dopuszczalny jest eksport danych, dostęp do informacji wrażliwych oraz dostęp do danych z innych komórek organizacyjnych.
Wyjątki kontrolowane: dostęp czasowy i break-glass
Wyjątek od minimalnych uprawnień powinien mieć przesłankę, termin wygaśnięcia i ślad w rejestrach. Dla „break-glass” krytyczne są dwa elementy: powód wymuszenia dostępu oraz przegląd zdarzenia w logach po zakończeniu sytuacji, aby odróżnić potrzebę medyczną od nadużycia.
| Mechanizm kontroli dostępu | Co ogranicza | Kiedy stosować |
|---|---|---|
| RBAC | Nadmiar uprawnień przypisanych do kont | Jako standard dla wszystkich ról operacyjnych w klinice |
| Dostęp czasowy | Trwałe podniesienie roli bez potrzeby | Przy zastępstwach, dyżurach i pracach o ograniczonym czasie trwania |
| Ograniczenia kontekstowe | Wgląd poza komórkę organizacyjną lub poza listę pacjentów | Przy pracy wielooddziałowej i przy separacji rejestracji od kliniki |
| Konta uprzywilejowane | Ryzyko zmian systemowych bez śladu decyzyjnego | Dla administratorów, konfiguracji i czynności serwisowych |
| Break-glass | Blokadę dostępu w sytuacjach nagłych | Gdy wymagany jest natychmiastowy wgląd, a standardowe reguły blokują dostęp |
Jeśli rola rejestracji obejmuje podgląd historii leczenia, to najbardziej prawdopodobne jest rozszerzenie uprawnień poza rzeczywiste zadania i trudność w obronie zasady minimalnego dostępu.
Proces nadawania, zmiany i odbierania dostępu do EDM (procedura operacyjna)
Procedura operacyjna powinna opisywać, jak powstaje konto, na jakiej podstawie przypisywana jest rola oraz jak dokumentowana jest zmiana uprawnień. Taki proces ogranicza sytuacje, w których dostęp jest nadawany „na telefon” i pozostaje bez decyzji oraz terminu przeglądu.
Wejścia do procesu to zatrudnienie, zmiana stanowiska, zastępstwo, czasowe rozszerzenie obowiązków oraz dostęp podmiotów zewnętrznych. Minimalny workflow obejmuje: wniosek o dostęp z uzasadnieniem, weryfikację tożsamości, przypisanie roli, nałożenie ograniczeń kontekstowych, test uprawnień na koncie, przekazanie zasad bezpieczeństwa, potwierdzenie rozpoczęcia pracy oraz wskazanie terminu recertyfikacji. Zmiana uprawnień powinna zawierać identyfikator osoby akceptującej i datę wejścia w życie.
Akceptacja i dokumenty wewnętrzne powiązane z rolami
Akceptacja powinna wynikać z dokumentu określającego role i ich zakres, aby ograniczyć uznaniowość decyzji. W praktyce decyzja bywa rozdzielona: kierownictwo medyczne akceptuje zakres kliniczny, a administracja akceptuje zakres organizacyjny i techniczny.
Dostęp serwisowy i konta uprzywilejowane
Dostęp serwisowy powinien być realizowany przez osobne konta, ograniczony czasowo i przypięty do okna prac. Dla czynności krytycznych sens ma zasada potwierdzenia wykonania oraz przegląd logów po zakończeniu sesji serwisowej.
Jeśli odebranie dostępu nie następuje w dniu zakończenia współpracy, to konsekwencją jest istnienie aktywnego konta bez podstawy organizacyjnej, co zwiększa ryzyko nieuprawnionego dostępu i błędów w rozliczalności.
Logi, audyt i rozliczalność dostępu do dokumentacji
Audyt dostępu powinien opierać się na logach, które jednoznacznie identyfikują użytkownika, rekord oraz typ operacji. Zapis zdarzeń ma znaczenie dowodowe tylko wtedy, gdy nie da się go pomylić z aktywnością innej osoby oraz gdy zawiera kontekst pozwalający odtworzyć przebieg pracy.
Minimalna zawartość logu zwykle obejmuje identyfikator użytkownika, metodę uwierzytelnienia, znacznik czasu, identyfikator pacjenta lub rekordu, akcję (podgląd, edycja, podpis, eksport), identyfikator stanowiska lub adres oraz wynik operacji. Do zdarzeń podwyższonego ryzyka należą masowy eksport, seryjne podglądy wielu rekordów, dostęp poza grafikami pracy, użycie mechanizmu awaryjnego oraz próby logowania zakończone błędem. Raport dowodowy po incydencie powinien zawierać zakres czasowy, listę kont, listę rekordów oraz korelację zdarzeń z wyjątkiem i decyzją organizacyjną.
System teleinformatyczny, w którym jest prowadzona dokumentacja, zapewnia:
Źródło: ISAP — Rozporządzenie Ministra Zdrowia w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (2020)
The Audit Trail and Node Authentication (ATNA) Profile specifies the foundational elements needed by all forms of secure systems: node authentication, user authentication, event logging (audit), and telecommunications encryption.
Źródło: IHE — IT Infrastructure Technical Framework (ITI TF-1): Audit Trail and Node Authentication (ATNA) (2020)
Test zgodności logów polegający na odtworzeniu sekwencji: logowanie, podgląd rekordu, edycja i eksport pozwala odróżnić logi kompletne od logów niewystarczających bez zwiększania ryzyka dowodowego.
Uwierzytelnianie i bezpieczeństwo kont: hasła, MFA, konta współdzielone
Tożsamość użytkownika jest warunkiem rzetelnego audytu, bo bez niej logi nie mogą zostać przypisane do osoby wykonującej operacje na dokumentacji. W praktyce największym problemem są konta współdzielone oraz utrwalone wyjątki, które omijają politykę ról.
Unikalne konto powinno być standardem dla każdej osoby, niezależnie od stanowiska, a uprawnienia konta nie powinny „dziedziczyć” pełnego zakresu poprzednika bez przeglądu. Uwierzytelnianie wieloskładnikowe jest szczególnie istotne dla kont uprzywilejowanych, dostępu zdalnego oraz funkcji eksportu, ponieważ te obszary zwiększają powierzchnię ryzyka. Bezpieczeństwo sesji obejmuje automatyczne wylogowanie po bezczynności, blokadę ekranu, ograniczenie równoległych sesji oraz kontrolę resetów haseł z weryfikacją tożsamości i rejestrem operacji.
Tożsamość użytkownika jako warunek rozliczalności logów
Jeżeli jeden login obsługuje kilka osób, to audyt nie rozróżnia sprawcy, a analiza anomalii przestaje być rozstrzygająca. Oddzielne konta dla serwisu i administracji ograniczają też ryzyko przypadkowego wykonania operacji na środowisku produkcyjnym.
Dostęp zdalny i ochrona sesji
Dostęp zdalny wymaga ograniczenia kanałów, kontroli urządzeń i utrzymania tej samej zasady minimalnych uprawnień. Dostęp o szerokim zakresie bez mechanizmów silnego uwierzytelniania i kontroli sesji zwiększa ryzyko nieautoryzowanego wglądu w dokumentację.
Przy częstych resetach haseł i braku drugiego składnika logowania najbardziej prawdopodobne jest osłabienie wiarygodności identyfikacji użytkownika w logach oraz wzrost ryzyka przejęcia kont.
Przeglądy okresowe uprawnień i testy weryfikacyjne (kontrola operacyjna)
Przeglądy okresowe weryfikują, czy role nadal odpowiadają zadaniom i czy wyjątki nie przekształciły się w stały kanał nadmiarowego dostępu. Bez recertyfikacji kont uprzywilejowanych i dostępów czasowych polityka dostępu zwykle przestaje odzwierciedlać realną pracę kliniki.
Zakres przeglądu powinien obejmować aktywność konta, przypisaną rolę, wyjątki, dostępy czasowe oraz konta serwisowe. Częstotliwość bywa różna, ale konta uprzywilejowane powinny mieć krótszy cykl przeglądu niż konta operacyjne. Testy weryfikacyjne powinny odtwarzać scenariusze biznesowe: rejestracja bez wglądu w historię, brak możliwości eksportu dla ról administracyjnych, sprawdzenie ograniczeń kontekstowych, rejestracja i ocena zdarzenia awaryjnego oraz blokada konta po zakończeniu współpracy. Wyniki należy zapisywać w protokole z listą korekt, decyzją zatwierdzającą oraz terminem ponownej weryfikacji.
Recertyfikacja ról i kont uprzywilejowanych
Recertyfikacja powinna wskazywać właściciela roli, warunki jej posiadania i listę kont, których dotyczy. Dla kont uprzywilejowanych krytyczne jest sprawdzenie, czy zakres dostępu nie obejmuje danych niewymaganych do utrzymania systemu.
Scenariusze testów kontroli dostępu w EDM
Scenariusze testowe powinny być powtarzalne i mierzalne, aby można było porównać wyniki między okresami. Przykładem testu mierzalnego jest próba eksportu danych przez rolę, która nie ma takiego uprawnienia, wraz z potwierdzeniem zapisu zdarzenia w logach.
Jeśli przegląd wykazuje konta nieaktywne bez właściciela roli, to konsekwencją jest konieczność ich blokady i korekty rejestru upoważnień, aby utrzymać rozliczalność.
Jak dobierane są źródła: akty prawne, dokumentacja, opracowania branżowe?
Akty prawne i dokumentacja standardów technicznych mają przewagę, ponieważ występują w stabilnym formacie i mają jednoznaczne wydanie, rozdział oraz cytowalny fragment. Opracowania branżowe są przydatne jako objaśnienia i interpretacje, lecz wymagają weryfikacji, czy powołują się na pierwotne dokumenty i czy oddzielają opis praktyk od opinii. Treści produktowe mogą pomagać w identyfikacji funkcji systemu, ale zwykle nie stanowią samodzielnego uzasadnienia dla polityki dostępu. Weryfikowalność rośnie, gdy źródło pozwala wskazać jednostkę redakcyjną, wersję dokumentu i autora instytucjonalnego, a maleje, gdy treść nie ma stałego wydania lub miesza opis z przekazem marketingowym.
QA — pytania i odpowiedzi o dostęp do EDM w klinice
Jakie role są minimalnie potrzebne, aby ograniczyć nadmiar dostępów w klinice?
Minimalny zestaw ról powinien rozdzielać dostęp kliniczny od administracyjnego i technicznego. Najczęściej występują role: personel kliniczny, rejestracja, rozliczenia oraz administrator, z odrębną kontrolą kont uprzywilejowanych.
Jak ograniczyć dostęp rejestracji do danych niezbędnych do obsługi wizyty?
Rola rejestracji powinna mieć dostęp do danych identyfikacyjnych i terminów, bez wglądu w historię leczenia i dokumenty kliniczne. Skuteczność ograniczeń potwierdza test scenariuszowy obejmujący próbę otwarcia rekordu klinicznego i weryfikację zapisu w logach.
Co powinno znaleźć się w logach, aby miały wartość dowodową?
Log powinien wskazywać użytkownika, czas, rekord pacjenta i typ operacji, a także kontekst typu stanowisko lub adres oraz wynik operacji. Brak któregoś z tych elementów utrudnia odtworzenie zdarzeń i przypisanie odpowiedzialności.
Jak szybko odebrać dostęp po zakończeniu współpracy i jak to udokumentować?
Odebranie dostępu powinno następować niezwłocznie po formalnym zakończeniu współpracy, przez blokadę konta i unieważnienie sposobów logowania. Dowód stanowią wpis w rejestrze zmian uprawnień oraz potwierdzenie w systemie, że konto nie jest aktywne.
Kiedy dostęp czasowy jest bezpieczniejszy od stałego podwyższania roli?
Dostęp czasowy sprawdza się przy zastępstwach i dyżurach, gdy potrzeba rozszerzeń ma określony koniec. Termin wygaśnięcia zmniejsza ryzyko utrzymania nadmiarowych uprawnień po ustaniu potrzeby operacyjnej.
Jak obsłużyć dostęp serwisowy, aby nie dawał wglądu w dane medyczne bez potrzeby?
Dostęp serwisowy powinien odbywać się przez oddzielne konto, ograniczone do okna prac i działań utrzymaniowych. Sesja serwisowa powinna pozostawić ślad w logach, a uprawnienia nie powinny umożliwiać rutynowego przeglądania rekordów pacjentów.
Źródła
- ISAP — Rozporządzenie Ministra Zdrowia w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania (2020)
- Pacjent.gov.pl — Poznaj elektroniczną dokumentację medyczną (2022)
- Naczelna Izba Lekarska — Dane medyczne w pracy lekarza (2024)
- IHE — HIE Whitepaper: Security and Privacy (2014)
- IHE — IT Infrastructure Technical Framework (ITI TF-1): Audit Trail and Node Authentication (ATNA) (2020)
- NIK — NIK o prowadzeniu dokumentacji medycznej (2016)
Bezpieczny dostęp do EDM w klinice wynika z połączenia macierzy ról, kontrolowanego procesu zmian uprawnień oraz logów pozwalających odtworzyć historię zdarzeń. Największą wartość operacyjną daje ograniczenie dostępu administracyjnego do minimum oraz stała kontrola kont uprzywilejowanych i wyjątków. Regularne przeglądy i testy scenariuszowe pozwalają wykryć martwe konta, nadmiarowe role i niespójne logowanie zdarzeń. Spójne dowody w rejestrach i logach upraszczają obsługę incydentów i kontroli.
Program edm bywa oceniany po tym, czy pozwala opisać role i ograniczenia tak, aby dało się je przetestować i audytować.
Program do rejestracji pacjentów powinien umożliwiać separację dostępu rejestracji od dokumentacji klinicznej przy zachowaniu poprawnej identyfikacji pacjenta.
Oprogramowanie medyczne bywa analizowane przez pryzmat logów i mechanizmów kontroli dostępu, bo te elementy determinują rozliczalność pracy na rekordach.