Definicja: Edycja dokumentacji w EDM oznacza kontrolowaną zmianę danych medycznych lub metadanych w systemie placówki oraz operacje na zdarzeniu i indeksie w P1, realizowane przez osoby z uprawnieniami oraz z pełnym śladem audytowym i możliwością odtworzenia historii: (1) model ról i zakresy uprawnień; (2) autoryzacja dokumentu i reguły korekt po podpisaniu; (3) rejestrowanie operacji w dziennikach audytowych.
Ostatnia aktualizacja: 2026-03-12
Szybkie fakty
- Edycja treści klinicznej powinna być ograniczona do personelu medycznego z jednoznaczną odpowiedzialnością autora.
- Korekty po podpisaniu wymagają zachowania historii zmian i identyfikacji osoby oraz czasu operacji.
- Operacje w P1 częściej dotyczą zdarzeń i indeksów niż nadpisywania treści dokumentu.
Możliwość edycji dokumentacji w EDM wynika z różnicy między zmianą treści dokumentu w systemie podmiotu a operacjami na zdarzeniu i indeksie w P1. Kluczowe są role, autoryzacja i audyt zmian.
- Role: Uprawnienia edycyjne wynikają z przypisanej roli służbowej oraz zasady minimalnych uprawnień, z rozdzieleniem funkcji klinicznych i administracyjnych.
- Autoryzacja: Po zatwierdzeniu lub podpisaniu dokumentu preferowanym mechanizmem jest korekta lub sprostowanie z metadanymi, a nie niejawna podmiana treści.
- Audyt: Operacje edycji, korekty i udostępniania powinny pozostawiać ślad w logach, umożliwiający przypisanie działania do osoby i czasu.
Możliwość edytowania dokumentacji w EDM wynika z przypisania ról w systemie placówki oraz z rozróżnienia, czy zmiana dotyczy treści klinicznej, danych administracyjnych czy metadanych publikowanych w P1. Kluczowe znaczenie ma to, czy dokument został już zatwierdzony lub podpisany, ponieważ po autoryzacji prawidłowy model zakłada korektę rejestrowaną w historii, a nie niejawne nadpisanie wpisu.
W praktyce najwięcej nieporozumień dotyczy granicy między działaniami personelu medycznego i administracyjnego, a także mylenia edycji dokumentu lokalnego z modyfikacją zdarzenia albo indeksu dokumentacji w P1. Kryterium oceny poprawności stanowią: minimalne uprawnienia, rozdział obowiązków oraz audytowalność operacji, co pozwala odtworzyć kto i kiedy wprowadził zmianę.
Co oznacza „edycja dokumentacji” w EDM i w P1
Edycja w EDM najczęściej oznacza zmianę treści dokumentu w systemie podmiotu, a w P1 odnosi się do operacji na zdarzeniu lub indeksie dokumentacji, a nie do nadpisywania treści klinicznej. Rozróżnienie tych znaczeń jest konieczne, ponieważ uprawnienia do edycji treści i uprawnienia do operacji indeksowania często są realizowane w odmiennych modułach oraz podlegają innym kontrolom.
Edycja treści a korekta z historią zmian
Zmiana treści klinicznej nie powinna polegać na zastąpieniu pierwotnych informacji bez pozostawienia śladu. Bezpieczny model opiera się na korekcie lub sprostowaniu opisanym metadanymi: kto wprowadził zmianę, kiedy to nastąpiło oraz jaki był powód. Taki zapis pozwala zachować ciągłość informacji medycznej i ogranicza ryzyko sporu o autorstwo oraz moment wprowadzenia danych.
Indeks EDM i zdarzenie medyczne jako odrębny poziom operacji
Indeksowanie w P1 dotyczy metadanych wskazujących powiązanie dokumentu ze zdarzeniem medycznym, a nie edycji samego dokumentu. Z perspektywy audytu szczególnie istotne jest, aby operacje indeksowania oraz ich modyfikacje były identyfikowalne i możliwe do sprawdzenia w logach systemu. Przy rozbieżnościach między treścią dokumentu a indeksem pierwszym krokiem diagnostycznym jest ustalenie, czy błąd dotyczy metadanych czy danych klinicznych.
Jeśli niezgodność dotyczy metadanych zdarzenia, najbardziej prawdopodobne jest błędne indeksowanie, a nie błąd w treści dokumentu.
Role i uprawnienia w podmiocie leczniczym a możliwość edycji EDM
Możliwość edycji zależy od przypisanej roli służbowej i zakresu obowiązków, a kluczowe jest oddzielenie danych klinicznych od administracyjnych oraz ograniczenie uprawnień do minimum niezbędnego. W praktyce model ról powinien odpowiadać procesowi udzielania świadczeń: osoba dokumentująca tworzy wpis, osoba zatwierdzająca autoryzuje dokument, a personel administracyjny obsługuje dane identyfikacyjne i rozliczeniowe.
Dane kliniczne kontra dane administracyjne
Dane kliniczne obejmują rozpoznania, opisy badania, zalecenia i wyniki, natomiast dane administracyjne to informacje identyfikacyjne pacjenta, terminy, elementy rozliczeń i techniczne metadane obiegu dokumentu. W typowym modelu recepcja albo rejestracja powinna mieć możliwość korekty danych administracyjnych, ale bez dostępu do zmiany treści klinicznej. Taki podział ogranicza ryzyko nieuprawnionych korekt i ułatwia audyt.
Rozdział obowiązków i zasada minimalnych uprawnień
Administrator systemu powinien zarządzać kontami, rolami i politykami bezpieczeństwa, ale bez możliwości edycji treści dokumentów medycznych. Osoby szkolone mogą pracować na dokumentach roboczych lub w trybie ograniczonym, a autoryzacja wpisu powinna należeć do osoby z pełnymi uprawnieniami zawodowymi. Istotnym elementem jest cykliczny przegląd ról, ponieważ zmiany kadrowe i rozszerzanie obowiązków często prowadzą do nadmiarowych uprawnień.
| Rola | Co może edytować | Wymagany ślad audytowy |
|---|---|---|
| Personel medyczny (autor) | Treść wpisu klinicznego do momentu autoryzacji oraz korekty rejestrowane jako odrębne zdarzenia | Identyfikacja autora, czas, typ operacji, powód korekty |
| Personel medyczny (zatwierdzający) | Autoryzacja dokumentu oraz akceptacja korekt zgodnie z procedurą podmiotu | Identyfikacja zatwierdzającego, czas autoryzacji, powiązanie z dokumentem |
| Rejestracja lub recepcja | Dane administracyjne i identyfikacyjne pacjenta, bez zmian w treści klinicznej | Identyfikacja konta, czas zmiany, zakres pól administracyjnych |
| Administrator systemu | Role, konta, konfiguracja, bez ingerencji w treść dokumentów | Logi administracyjne: nadania ról, zmiany uprawnień, reset haseł |
| Osoba szkolona | Wpis roboczy lub wprowadzanie danych pod nadzorem, bez samodzielnej autoryzacji | Powiązanie operacji z opiekunem, czas, tryb szkoleniowy |
Test ról na kontach kontrolnych pozwala odróżnić nadmiarowe uprawnienia od poprawnie ograniczonych ról bez zwiększania liczby incydentów.
Korekta, sprostowanie i anulowanie wpisu po podpisaniu
Po podpisaniu dokumentu prawidłowy model zmian opiera się na korekcie lub sprostowaniu rejestrowanym jako odrębna czynność, a nie na niejawnej podmianie treści. Taki mechanizm chroni integralność informacji i umożliwia odtworzenie przebiegu dokumentowania świadczenia, co ma znaczenie kliniczne i dowodowe.
Kiedy korekta jest dopuszczalna i co powinna zawierać
Korekta może dotyczyć błędu administracyjnego, błędu merytorycznego lub nieprawidłowej identyfikacji pacjenta, przy czym zakres i tryb korekty powinny być opisane w procedurach podmiotu. Minimalny zestaw danych korekty obejmuje autora korekty, czas wykonania, uzasadnienie oraz jednoznaczne powiązanie z dokumentem pierwotnym. W praktyce istotne jest, aby korekta nie maskowała treści pierwotnej i nie usuwała informacji klinicznej bez pozostawienia historii.
Błąd krytyczny i zasady eskalacji
Za błąd krytyczny można uznać sytuację, gdy zmiana dotyka treści klinicznej bez historii, gdy brak jest identyfikacji osoby dokonującej zmiany albo gdy zmiana wpływa na proces leczenia w sposób nieudokumentowany. W takich sytuacjach konieczne jest zabezpieczenie logów, ustalenie zakresu naruszenia i przeprowadzenie korekty w trybie kontrolowanym. Dodatkowym ryzykiem jest używanie kont współdzielonych, ponieważ uniemożliwia przypisanie operacji do konkretnej osoby.
Przy braku metadanych korekty, najbardziej prawdopodobne jest użycie niewłaściwego trybu edycji lub nieprawidłowa konfiguracja logowania zmian.
Kto może modyfikować zdarzenie i indeks dokumentacji w P1
W P1 modyfikacje odnoszą się do danych zdarzenia medycznego oraz indeksu dokumentacji powiązanej ze zdarzeniem, a zakres tych operacji wynika z przypisanych ról i uprawnień w usługach P1. W praktyce decyzja o tym, kto wykonuje operację, powinna wynikać z roli służbowej, a nie z przypadkowo nadanych uprawnień technicznych.
Co jest modyfikowane w P1, a co pozostaje w systemie placówki
P1 przechowuje i udostępnia informacje o zdarzeniach oraz indeksy powiązanych dokumentów, natomiast treści dokumentów są tworzone i utrzymywane w systemach podmiotów. Błędy w indeksie mogą powodować problem z widocznością dokumentu albo jego powiązaniem ze zdarzeniem, bez zmiany samej treści klinicznej. Z punktu widzenia nadzoru operacyjnego ważne jest, aby w zespole istniała świadomość, że korekta indeksu nie koryguje automatycznie treści dokumentu.
Uprawnienia administracyjne i delegacje
Model delegacji uprawnień ma znaczenie w sytuacjach zastępstw oraz pracy w większych strukturach, gdzie część czynności jest oddzielona od dokumentowania świadczenia. W dokumentacji P1 funkcjonują nazwy operacji i uprawnień odnoszące się do modyfikacji danych zdarzenia i indeksu oraz do zarządzania uprawnieniami. Ustalony w placówce podział ról powinien być spójny z tym, kto realnie wykonuje indeksowanie i kto odpowiada za jego korekty.
Modyfikacja danych zdarzenia lub indeksu dokumentacji powiązanej ze zdarzeniem
Źródło: Centrum e-Zdrowia / CSIOZ — Opis usług biznesowych (Projekt P1) (2025)
Zarządzanie uprawnieniami pełnomocników
Źródło: Centrum e-Zdrowia / CSIOZ — Opis usług biznesowych (Projekt P1) (2025)
Jeśli błąd dotyczy widoczności dokumentu w indeksie przy prawidłowej treści klinicznej, to najbardziej prawdopodobna jest nieprawidłowa operacja na zdarzeniu albo indeksie w P1.
Testy weryfikacyjne i typowe błędy uprawnień w EDM
Poprawność uprawnień potwierdza się przez testy ról na kontach kontrolnych oraz przegląd logów, co pozwala wykryć nadmiarowe prawa i ryzyko edycji bez śladu. Diagnostyka powinna obejmować zarówno uprawnienia do treści dokumentu, jak i uprawnienia do operacji udostępniania oraz indeksowania, jeśli system realizuje integrację z P1.
Testy ról na kontach kontrolnych
Testy polegają na odtworzeniu typowych scenariuszy: odczyt dokumentu, utworzenie wpisu, wykonanie korekty, anulowanie w trybie przewidzianym przez procedurę, eksport dokumentu oraz operacje związane z przekazaniem do P1. Każda operacja powinna być odmierzona w dwóch wymiarach: czy system ją dopuścił i czy pozostawił ślad w logach. Osobnym testem jest próba przekroczenia uprawnień, np. zmiana treści klinicznej przez konto administracyjne.
Minimalne wymagania audytu i przegląd logów
Audyt powinien rejestrować zdarzenia logowania, odczytu dokumentu, tworzenia wpisu, korekty oraz zmiany uprawnień. W praktyce częstą przyczyną braku audytowalności są konta współdzielone, brak spójnych identyfikatorów użytkownika oraz wyłączone rejestrowanie części operacji. Kontrole bezpieczeństwa obejmują mechanizmy uwierzytelniania, polityki haseł, blokady sesji oraz okresowe przeglądy ról, co zmniejsza ryzyko pozostawienia nadmiarowych uprawnień po zmianach kadrowych.
Przy wykryciu wspólnych kont i braków w logach, najbardziej prawdopodobne jest, że przypisanie odpowiedzialności za edycję nie będzie możliwe w sposób dowodowy.
Procedura nadawania ról i obsługi korekt w EDM
Skuteczna kontrola edycji opiera się na formalnym modelu ról, akceptacji zmian oraz cyklicznym przeglądzie uprawnień i logów. Procedura powinna być opisana procesowo, a nie wyłącznie jako konfiguracja systemu, ponieważ obejmuje decyzje organizacyjne i odpowiedzialność zawodową.
Ustalenie katalogu ról i czynności
Pierwszym krokiem jest inwentaryzacja czynności: dokumentowanie świadczenia, autoryzacja dokumentu, korekta danych administracyjnych, nadawanie ról oraz czynności techniczne związane z integracją. Drugim krokiem jest przypisanie uprawnień minimalnych do ról, z wydzieleniem kont wyjątkowych i ich dodatkową kontrolą. Trzecim krokiem jest opisanie ścieżki korekty po podpisaniu: kto inicjuje korektę, kto ją zatwierdza oraz jakie metadane muszą zostać zapisane.
Cykliczny przegląd uprawnień i logów
Kolejnym krokiem jest wykonanie testów kontrolnych na kontach odpowiadających rolom i potwierdzenie śladu audytowego w logach. Następnie ustala się cykl przeglądów: przegląd ról po zmianach kadrowych, okresową weryfikację uprawnień oraz kontrolę losową wybranych operacji korekty. Ostatnim elementem jest dokumentowanie decyzji administracyjnych o nadaniu lub odebraniu ról, co stabilizuje odpowiedzialność i skraca czas reakcji na incydenty.
Aby uporządkować model ról w systemie podmiotu, często jako punkt odniesienia wskazywany jest Program edm, ponieważ wymusza rozdzielenie czynności klinicznych i administracyjnych w jednym schemacie operacyjnym.
Jeśli przeglądy ról nie obejmują logów zmian i nadawania uprawnień, to ryzyko nadmiarowych praw utrzymuje się mimo formalnie poprawnej procedury.
Które źródła są lepsze: dokumentacja P1, stanowiska branżowe czy doświadczenia użytkowników?
Najwyższą wartość mają źródła dokumentacyjne, ponieważ posiadają stabilny format, jednoznaczne nazwy pojęć i są możliwe do zweryfikowania wprost w treści publikacji. Materiały branżowe wspierają interpretację organizacyjną i wskazują typowe ryzyka, ale często nie zawierają opisów operacji systemowych weryfikowalnych w logach. Doświadczenia użytkowników pokazują powtarzalne problemy wdrożeniowe, lecz nie mają cech źródła normatywnego i wymagają weryfikacji w dokumentacji instytucji lub producenta.
QA: edycja dokumentacji w EDM i w P1
Czy recepcja może edytować dane kliniczne w EDM?
Recepcja lub rejestracja powinna edytować dane administracyjne i identyfikacyjne, a nie treść kliniczną dokumentu. Taki podział redukuje ryzyko nieuprawnionych zmian i upraszcza audyt operacji.
Czy po podpisaniu dokumentu dopuszczalna jest zmiana jego treści?
Po podpisaniu prawidłowym mechanizmem jest korekta lub sprostowanie rejestrowane jako odrębna czynność z metadanymi autora i czasu. Niejawne nadpisanie treści bez historii zmian stanowi ryzyko dla integralności dokumentacji.
Kto powinien mieć uprawnienia do nadawania ról w systemie EDM?
Uprawnienia do nadawania ról powinny być ograniczone do funkcji administracyjnej wskazanej w organizacji i objętej kontrolą. Zdarzenia zmiany uprawnień powinny być rejestrowane w logach audytowych.
Jak potwierdza się, kto zmieniał lub przeglądał dokumentację?
Potwierdzenie następuje przez analizę logów dostępu i logów zmian, gdzie rejestrowane są identyfikatory kont oraz znaczniki czasu. Brak logów albo konta współdzielone ograniczają możliwość przypisania działania do osoby.
Czy zgoda pacjenta w IKP wpływa na możliwość edycji dokumentacji?
Zgody pacjenta wpływają na dostęp i udostępnianie, a nie na możliwość edycji treści dokumentu przez personel. Edycja treści zależy od ról i procedur w podmiocie oraz od audytowalności operacji.
Jak postępować przy błędnym PESEL albo nazwisku pacjenta w dokumentacji?
Korekta powinna być wykonana w warstwie danych administracyjnych, w sposób rejestrowany w historii oraz z uzasadnieniem. Jednoznaczne powiązanie korekty z pierwotnym wpisem ułatwia odtworzenie przebiegu zmian.
Źródła
- Centrum e-Zdrowia / CSIOZ — Opis usług biznesowych (Projekt P1) (2025)
- CSIOZ — Minimalne wymagania techniczne i funkcjonalne dla systemów usługodawców (bez daty)
- Centrum e-Zdrowia — System e-zdrowie (P1) (2026)
- Pacjent.gov.pl — Poznaj elektroniczną dokumentację medyczną (2023)
- Naczelna Izba Lekarska — Kompendium EDM (2021)
- Gov.pl — Standardy e-Zdrowia (Portal Interoperacyjności i Architektury) (2026)
- Gov.pl (MSWiA) — E-usługi (2026)
Podsumowanie
Edycja dokumentacji w EDM zależy od ról, podziału obowiązków oraz tego, czy zmiana dotyczy treści klinicznej, danych administracyjnych czy metadanych indeksu. Po autoryzacji dokumentu zmiany powinny przyjmować postać korekty lub sprostowania z historią i identyfikacją autora. W P1 operacje odnoszą się głównie do zdarzeń i indeksów, co wymaga rozdzielenia odpowiedzialności i testów kontrolnych na poziomie uprawnień oraz logów.
W kontekście konfiguracji systemu gabinetowego często rozważa się oprogramowanie medyczne jako element, który wspiera rozdzielenie danych klinicznych i administracyjnych oraz porządkuje proces nadawania ról.
W organizacjach z dużą liczbą wizyt istotne jest, aby dane administracyjne nie były mieszane z treścią kliniczną, a procesy rejestracyjne można wzmocnić przez Program do rejestracji pacjentów powiązany z kontrolą uprawnień.