Definicja: Przechowywanie danych EDM w chmurze polega na rozdzieleniu treści dokumentów, informacji indeksowej i danych technicznych między systemy medyczne oraz usługi infrastrukturalne, przy czym miejsce składowania ustala się osobno dla warstwy produkcyjnej, kopii zapasowych i logów: (1) architektura repozytorium dokumentów i integracja z P1; (2) lokalizacja przetwarzania danych produkcyjnych, kopii zapasowych i logów; (3) role stron oraz kontrola dostępu potwierdzone dokumentami i audytami.
Ostatnia aktualizacja: 2026-03-12
Szybkie fakty
- Indeks EDM w P1 opisuje dokument i wskazuje miejsce jego przechowywania.
- Treść dokumentu EDM jest zwykle utrzymywana w repozytorium usługodawcy lub podmiotu, który dokument wytworzył.
- Lokalizacja danych wymaga oceny produkcji, backupu oraz logów, a nie jednego zasobu.
Dane EDM w chmurze są rozproszone między warstwy systemu i nie sprowadzają się do jednego serwera.
- Warstwa indeksu: W P1 utrzymywana jest informacja indeksowa, która porządkuje metadane i wiąże dokument z repozytorium.
- Warstwa repozytorium: Treść dokumentu obsługuje repozytorium, które realizuje kontrolę dostępu i udostępnianie dokumentu uprawnionym podmiotom.
- Warstwy techniczne: Kopie zapasowe i logi często są utrzymywane w osobnych usługach, dlatego ich lokalizacja wymaga odrębnego potwierdzenia.
Dane EDM w chmurze mogą znajdować się w kilku miejscach równocześnie, ponieważ systemy medyczne rozdzielają treść dokumentu, metadane oraz dane techniczne. Kluczowe znaczenie ma odróżnienie indeksu EDM obsługiwanego w ramach P1 od repozytorium, w którym utrzymywana jest treść dokumentu.
Ocena miejsca przechowywania powinna obejmować nie tylko środowisko produkcyjne, lecz także kopie zapasowe, replikacje oraz logi dostępu, bo te warstwy często mają inną lokalizację i inny reżim dostępu. Wiarygodna odpowiedź wymaga dokumentów: ról stron, listy podprocesorów, deklaracji lokalizacji ośrodków przetwarzania danych oraz potwierdzeń audytowych odnoszących się do całego przepływu informacji.
Co oznacza „dane EDM w chmurze” i gdzie realnie się znajdują
Dane EDM w chmurze rzadko stanowią pojedynczy zasób w jednej lokalizacji, ponieważ przechowywanie obejmuje treść dokumentów, metadane opisowe oraz ślady techniczne. Ustalenie miejsca danych wymaga wskazania, do której warstwy odnosi się odpowiedź: repozytorium treści, indeks, kopia zapasowa albo logi dostępu.
Treść dokumentu, metadane i dane techniczne
Treść dokumentu EDM oznacza zwykle plik lub rekord reprezentujący dokument kliniczny, często z załącznikami, podpisem lub znacznikiem czasu. Metadane opisują dokument, ułatwiają wyszukiwanie oraz kontrolę dostępu, a ich utrata utrudnia odnalezienie treści mimo istnienia pliku. Dane techniczne obejmują logi zdarzeń, logi dostępu, identyfikatory sesji, wpisy serwisowe i monitoring, które mogą zawierać dane osobowe lub dane wrażliwe w zależności od konfiguracji.
Lokalizacja logiczna a fizyczna
Lokalizacja logiczna oznacza usługę lub moduł systemu, w którym dane są utrzymywane, natomiast lokalizacja fizyczna oznacza ośrodek przetwarzania danych i region przetwarzania. Te poziomy nie muszą być zbieżne: aplikacja może działać w jednym regionie, a backup w innym, a logi mogą być utrzymywane w oddzielnej platformie monitoringu. Jeżeli dostawca podaje jedynie kraj działania aplikacji, bez opisania lokalizacji kopii i logów, odpowiedź o miejscu danych pozostaje niepełna.
Jeśli opis przechowywania nie rozróżnia treści dokumentu od metadanych i logów, to ocena lokalizacji oraz ryzyka transferu danych pozostaje obarczona błędem.
Indeks EDM w P1 a repozytorium dokumentów – podział ról w praktyce
W modelu wymiany EDM funkcje indeksowania i przechowywania treści są rozdzielone pomiędzy elementy krajowej infrastruktury i systemy usługodawców. Indeks porządkuje informację o dokumencie i kieruje do miejsca, które utrzymuje treść dokumentu oraz udostępnia ją uprawnionym podmiotom.
Co przechowuje P1 jako indeks EDM
Indeks EDM jest warstwą informacyjną: opisuje, że dokument istnieje, pozwala go zidentyfikować i odnaleźć, a także wskazuje repozytorium, w którym znajduje się treść. Z perspektywy architektury oznacza to, że element indeksowy nie musi być równoważny przechowywaniu pełnej treści dokumentu. Separacja tych funkcji ogranicza duplikację danych klinicznych i porządkuje udostępnianie, lecz podnosi znaczenie poprawności metadanych oraz dostępności repozytorium treści.
W ramach zakresu informacyjnego indeksu EDM w P1 przechowywana jest informacja …
Źródło: Centrum e-Zdrowia — Opis usług biznesowych projektu P1 (brak daty na dokumencie)
Gdzie znajduje się treść dokumentu EDM
Treść dokumentu jest utrzymywana w repozytorium podmiotu, który dokument wytworzył, albo w usłudze repozytoryjnej obsługiwanej przez usługodawcę systemu. Repozytorium odpowiada za przechowywanie, kontrolę dostępu, udostępnienie oraz obsługę retencji, co przenosi ciężar oceny niezawodności na rozwiązanie repozytoryjne, nie na sam indeks. Przy analizie „gdzie są dane” należy ustalić, czy repozytorium jest elementem lokalnym, czy działa w centrum danych, a także czy obejmuje osobne warstwy dla załączników, podpisów i wersjonowania.
Przy braku informacji o repozytorium wskazywanym przez indeks, najbardziej prawdopodobne jest mylenie funkcji indeksowania z przechowywaniem treści dokumentu.
Warstwy przechowywania w chmurze: produkcja, backup, logi i telemetria
W systemach medycznych przechowywanie danych EDM obejmuje kilka równoległych zasobów, które mogą mieć różne lokalizacje oraz różne role w zapewnieniu ciągłości działania. Odmienna lokalizacja produkcji, kopii zapasowych i logów oznacza, że pojedyncza deklaracja o „serwerach w Polsce” nie opisuje całego przetwarzania.
Dane produkcyjne obejmują bazę danych, obiekty plikowe, kolejki zdarzeń i magazyny załączników. Dostęp do produkcji jest zwykle najsilniej kontrolowany, a zmiany są logowane, co podnosi znaczenie śladu audytowego. W warstwie technicznej istotne są też zasoby pośrednie, takie jak pamięci podręczne czy mechanizmy wyszukiwania, które mogą przechowywać fragmenty treści lub metadanych.
Backup i replikacja a RPO i RTO
Kopie zapasowe i replikacja służą odtworzeniu danych po awarii, a ich parametry wynikają z oczekiwań RPO i RTO zapisanych w umowach i procedurach. Backup może być wykonywany do innego ośrodka przetwarzania danych, a kluczowe znaczenie ma informacja, czy kopie są szyfrowane oraz kto zarządza kluczami. Bez wskazania lokalizacji kopii oraz polityki retencji nie da się wiarygodnie ustalić, gdzie dane faktycznie są utrzymywane w całym cyklu życia.
Logi dostępu i monitoring jako dane
Logi dostępu, logi aplikacji i monitoring mogą zawierać identyfikatory pacjentów lub personelu, identyfikatory dokumentów, a czasem fragmenty treści, jeśli system rejestruje błędy w sposób zbyt szczegółowy. Częstym miejscem przechowywania logów są zewnętrzne platformy bezpieczeństwa i utrzymania, które bywają dostarczane przez podmioty trzecie. Odrębna platforma logowania wymaga osobnego potwierdzenia lokalizacji i podprocesorów.
Jeśli lokalizacja jest potwierdzona wyłącznie dla produkcji, to brakuje podstaw do oceny ryzyka transferu danych utrzymywanych w backupie i w logach.
Jak zweryfikować, gdzie przetwarzane są dane EDM w chmurze
Weryfikacja lokalizacji przetwarzania EDM w chmurze opiera się na dowodach, a nie na deklaracjach marketingowych. Spójna procedura kontrolna obejmuje role stron, zakres danych, lokalizację produkcji, kopii zapasowych i logów oraz listę podprocesorów.
Dokumenty i dowody: umowy, podprocesorzy, audyty
Najpierw identyfikuje się administratora danych oraz podmioty przetwarzające, aby ustalić, kto odpowiada za decyzje o lokalizacji i środkach bezpieczeństwa. Następnie weryfikuje się dokumenty powierzenia przetwarzania, w tym załączniki o miejscu przetwarzania i zasadach powierzania dalszego. Kolejny etap obejmuje uzyskanie listy podprocesorów i usług infrastrukturalnych, wraz z opisem, które elementy systemu są obsługiwane przez każdego z nich. Do dowodów technicznych zalicza się informacje o ośrodkach przetwarzania danych oraz potwierdzenia audytowe odnoszące się do usług, które obejmują produkcję i backup, nie tylko system zarządzania.
Testy operacyjne: awarie, eksport, retencja
Procedura nie kończy się na dokumentach: weryfikacja obejmuje testy dostępności w awarii łącza, scenariusz przywrócenia po awarii oraz sposób realizacji eksportu danych podczas zmiany dostawcy. Sprawdza się także, czy retencja i usuwanie danych są opisane dla produkcji, backupu i logów, bo te warstwy mogą mieć odmienne okresy przechowywania. Wynik testów operacyjnych stanowi praktyczny dowód spójności deklaracji z rzeczywistym przepływem danych.
Test eksportu danych oraz potwierdzenie listy podprocesorów pozwala odróżnić deklarację lokalizacji od udokumentowanego miejsca przetwarzania bez zwiększania ryzyka błędów.
Porównanie scenariuszy przechowywania EDM i skutki dla ryzyka oraz operacji
Scenariusz przechowywania EDM wpływa na przejrzystość lokalizacji, sposób realizacji kopii zapasowych oraz możliwość wykazania zgodności dokumentami. Ocena powinna obejmować osobno produkcję, backup i logi, ponieważ te elementy bywają utrzymywane przez różnych wykonawców.
| Scenariusz przechowywania | Co zwykle obejmuje | Typowe ryzyka weryfikacyjne |
|---|---|---|
| Serwer lokalny w placówce | Produkcja i często kopie na nośnikach lokalnych lub w lokalnej serwerowni | Brak zewnętrznych audytów, ryzyko kopii bez szyfrowania i brak spójnych logów dostępu |
| Centrum danych w Polsce | Repozytorium i aplikacja w ośrodku w kraju, część logów w narzędziach utrzymaniowych | Niepełne potwierdzenie dla backupu oraz platform logowania, brak jawnej listy podprocesorów |
| Chmura w EOG | Usługi produkcyjne w regionie EOG, replikacja między ośrodkami, centralne logowanie | Niejasność regionów dla logów i kopii, nieprecyzyjne zapisy o transferach i dostępach serwisowych |
| Przetwarzanie poza EOG | Usługi w regionach poza EOG lub wsparcie realizowane przez podmioty spoza EOG | Ryzyko transferu danych, trudność w udokumentowaniu podstaw prawnych i ograniczeń dostępu |
W kontekście systemów gabinetowych znaczenie ma także spójność danych w procesach administracyjnych; Program do rejestracji pacjentów może występować jako odrębny element, a jego logi i integracje powinny podlegać tej samej weryfikacji lokalizacji co repozytorium.
Jeśli tabela wskazuje scenariusz z ryzykiem niejasnej lokalizacji backupu i logów, to najbardziej prawdopodobne jest, że niezbędne są dodatkowe dowody o podprocesorach i retencji.
Jak porównać wiarygodność źródeł informacji o przechowywaniu EDM?
Źródła dokumentacyjne w formacie PDF lub akty prawne są łatwiejsze do weryfikacji, ponieważ zawierają stabilną treść, nazwę instytucji i jednoznaczną wersję publikacji. Strony HTML instytucji i dostawców też mają wartość informacyjną, lecz często wymagają sprawdzenia daty oraz spójności z dokumentacją, ponieważ mogą być aktualizowane bez historii zmian. Najsilniejsze sygnały zaufania zapewniają materiały z jasno wskazanym autorem, statusem publikacji i możliwością potwierdzenia w niezależnych rejestrach. Linkowanie do dokumentów źródłowych zmniejsza ryzyko nadinterpretacji skrótów myślowych.
QA: najczęstsze pytania o lokalizację danych EDM w chmurze
Czy P1 przechowuje pełną treść dokumentów EDM, czy informację indeksową?
P1 jest opisywany jako warstwa utrzymująca informację indeksową o dokumentach, która kieruje do repozytorium przechowującego treść. Ustalenie, gdzie jest treść, wymaga wskazania repozytorium oraz jego lokalizacji dla produkcji i kopii.
Czy repozytorium EDM może znajdować się poza Polską, jeśli przetwarzanie jest w EOG?
Repozytorium może działać w EOG, jeśli zostało to opisane w dokumentach powierzenia oraz w wykazie podprocesorów i lokalizacji przetwarzania. Ocena obejmuje też lokalizację backupu i logów, ponieważ te warstwy mogą być utrzymywane w innym regionie.
Czy kopie zapasowe EDM muszą być w tym samym kraju co dane produkcyjne?
Kopie zapasowe nie muszą być w tym samym kraju, ale ich lokalizacja i zasady dostępu powinny być udokumentowane. Brak takiej informacji utrudnia ocenę ryzyka i zgodności w całym cyklu życia danych.
Czy logi dostępu do EDM są danymi osobowymi i jak długo mogą być przechowywane?
Logi mogą zawierać identyfikatory użytkowników, pacjentów i dokumentów, co sprawia, że często podlegają reżimowi danych osobowych. Okres przechowywania wymaga uzasadnienia bezpieczeństwem i rozliczalnością oraz spójności z polityką retencji usług utrzymaniowych.
Kto odpowiada za udostępnienie EDM przy zmianie dostawcy systemu?
Odpowiedzialność zależy od ról umownych oraz tego, kto utrzymuje repozytorium treści i mechanizmy eksportu. Kluczowe jest zapewnienie możliwości uzyskania danych w formacie umożliwiającym ciągłość świadczeń i rozliczalność zdarzeń dostępu.
Jakie dokumenty najczęściej brakuje w audycie lokalizacji danych i podprocesorów?
Najczęściej brakuje wykazu podprocesorów obejmującego platformy logowania, monitoringu i wsparcia serwisowego oraz opisu lokalizacji kopii zapasowych. Częstą luką jest brak spójnych zapisów o retencji i kasowaniu dla backupu i logów.
Źródła
- Centrum e-Zdrowia — Opis usług biznesowych projektu P1 (brak daty na dokumencie)
- Centrum e-Zdrowia — Załącznik nr 4: Wytyczne, zasady i rekomendacje (brak daty na dokumencie)
- ISAP Sejm — Rozporządzenie Ministra Zdrowia z 9 listopada 2015 r. (2015)
- Medycyna Praktyczna — Wymiana dokumentów EDM: pytania i odpowiedzi (2021)
- Gov.pl (MSWiA) — Ogólne informacje o projekcie (brak daty na stronie)
- Polska Chmura — Bezpieczeństwo i suwerenność danych (brak daty na stronie)
Podsumowanie
Miejsce przechowywania EDM w chmurze wymaga rozdzielenia treści dokumentu, indeksu oraz danych technicznych. Indeks może wskazywać repozytorium treści, ale nie zastępuje informacji o lokalizacji produkcji, kopii zapasowych i logów. Weryfikacja powinna opierać się na dokumentach powierzenia, wykazie podprocesorów i potwierdzeniach audytowych. Tabela scenariuszy pomaga uporządkować ryzyka, ale nie zastępuje dowodów dla backupu i systemów logowania.