ΥΠΟΥΡΓΙΚΗ ΑΠΟΦΑΣΗ Α3(γ)/77213/ΦΕΚ Β 3699/19.10.2017
Διαδικασία
και τρόπος αποστολής στοιχείων διοικητικού και ιατρικού φακέλου ασθενών από τα
δημόσια νοσοκομεία και τις ιδιωτικές κλινικές στην Ανώνυμη Εταιρεία «Κέντρο Τεκμηρίωσης
και Κοστολόγησης Νοσοκομειακών Υπηρεσιών (ΚΕ.ΤΕ.Κ.Ν.Υ. Α.Ε.)».
Ο ΑΝΑΠΛΗΡΩΤΉΣ ΥΠΟΥΡΓΟΣ ΥΓΕΙΑΣ
Έχοντας
υπόψη:
1. Το άρθρο δεύτερο, του ν. 4286/2014 (ΦΕΚ 194/Α') «Γενικές διατάξεις για
τη δημιουργία συστήματος αμοιβών νοσοκομείων-σύσταση και καταστατικό της
εταιρείας με την επωνυμία «Εταιρεία συστήματος αμοιβών νοσοκομείων ανώνυμη
εταιρεία»-Προσαρμογή στο Εθνικό Δίκαιο της Οδηγίας 2012/39/ΕΕ της Επιτροπής της
26ης Νοεμβρίου 2012 για την τροποποίηση της Οδηγίας 2006/17/ ΕΚ και λοιπές διατάξεις»,
όπως έχει τροποποιηθεί με τις διατάξεις του άρθρου 66 τον ν. 4486/2017 (ΦΕΚ
115/Α').
2. Το π.δ. 106/2014 (ΦΕΚ 173/Α') «Οργανισμός του Υπουργείου
Υγείας», όπως ισχύει.
3. Τις
διατάξεις της υπ' αριθμ. Υ25/6-10-2015 απόφασης του
Πρωθυπουργού «Ανάθεση αρμοδιοτήτων στον Αναπληρωτή Υπουργό Υγείας Παύλο Πολάκη» (ΦΕΚ 2144/ΕΓ).
4. Το αριθμ. πρωτ. 30/27-5-2016 έγγραφο
της Ε.Σ.Α.Ν. Α.Ε. (νυν ΚΕ.ΤΕ.Κ.Ν.Υ. Α.Ε.).
5. Την αριθμ. Β1α/οικ.60596/5-8-2016 βεβαίωση της Διεύθυνσης
Προϋπολογισμού και Δημοσιονομικών Αναφορών του Υπουργείου Υγείας.
6. Το
γεγονός ότι από την εφαρμογή των διατάξεων της παρούσας απόφασης δεν
προκαλείται επιπλέον δαπάνη σε βάρος του κρατικού προϋπολογισμού, αποφασίζουμε:
Καθορίζουμε τον τρόπο και τις διαδικασίες συλλογής αξιόπιστων
νοσοκομειακών δεδομένων που αφορούν σε περιστατικά ασθενών που έχουν νοσηλευθεί
σε Νοσοκομεία/Κλινικές, ώστε να είναι δυνατή η ταξινόμηση των ασθενών στις
διαγνωστικές ομάδες της Ελληνικής έκδοσης Gr-DRG, ως ακολούθως:
’ρθρο 1
Περιεχόμενο Αρχείων ανά Ασθενή
1. Προϋποθέσεις υλοποίησης
Βασική προϋπόθεση για την υλοποίηση και εφαρμογή
του Ελληνικού συστήματος Gr-DRG αποτελεί:
η εφαρμογή
ενιαίας κωδικοποίησης διαγνώσεων ICD-10 GrM,
η εφαρμογή
ενιαίας κωδικοποίησης ιατρικών πράξεων ΕΤΙΠ (Ελληνική Ταξινόμηση Ιατρικών
Πράξεων ή GMPC - Greek Medical Procedures Classification) και τέλος,
η χρήση
όλων των κωδικοποιήσεων και ονοματολογιών που έχουν υλοποιηθεί στα πλαίσια της διαλειτουργικότητας και ομογενοποίησης
των δεδομένων στο χώρο της υγείας.
2.
Κατηγοριοποίηση δεδομένων
Τα
δεδομένα του GR-DRG DATASET για την υλοποίηση του Ελληνικού Συστήματος Gr-DRG ταξινομούνται σε τρείς (3) κατηγορίες:
1. σε δεδομένα που αφορούν τα βασικά στοιχεία του περιστατικού,
2. σε δεδομένα
που αφορούν στις διαγνώσεις, βάσει της ενιαίας κωδικοποίησης διαγνώσεων ICD-10 GrM και
3. σε
δεδομένα που αφορούν στις Ιατρικές Πράξεις, βάσει της ενιαίας κωδικοποίησης
ιατρικών πράξεων GPC (Greek Medical Procedures Classification).
2.1 Βασικά
Στοιχεία Περιστατικού Τα Βασικά Στοιχεία Περιστατικού περιλαμβάνουν τα εξής
πεδία:
Κωδικός
Φορέα
Κωδικός
ΑΜΚΑ Ασθενούς
Κωδικός
περιστατικού
Φύλο
ασθενούς
Ηλικία
ασθενούς σε έτη κατά την εισαγωγή του περιστατικού
Ηλικία σε
μέρες κατά την εισαγωγή του περιστατικού
Ημερομηνία
Εισόδου/Εισιτηρίου
Λόγος
Μετάβασης στο Φορέα
Τύπος
μετάβασης στον Φορέα
Ημερομηνία
Εξιτηρίου
Αιτιολογία
εξιτηρίου
Ασφαλιστικός Φορέας
Ένδειξη
ανασφάλιστου ασθενούς
Κωδικός
Χώρας ασφάλισης
Βάρος Νεογέννητου
Ώρες στο
μηχανικό αερισμό.
Σημειώνεται ότι βάσει μελέτης που έγινε στα
δεδομένα που παρακολουθούνται από τα πληροφοριακά συστήματα των Νοσοκομείων,
εξήχθη το συμπέρασμα ότι στην πλειονότητά τους τα περισσότερα στοιχεία είναι εύκολο
να εξαχθούν, εκτός από τις «Ώρες στο μηχανικό αερισμό». Το συγκεκριμένο
στοιχείο είναι βασικό δομικό στοιχείο του DRG-GR-DRG GR-DRG DATASEΤ αλλά η υλοποίησή του δεν είναι απαραίτητη
στη συγκεκριμένη φάση. Για το λόγο αυτό θα διερευνηθεί ο τρόπος με τον οποίο θα
δίνεται, μελλοντικά, η συγκεκριμένη πληροφορία.
Τεχνικά Χαρακτηριστικά μεταδιδόμενης πληροφορίας
|
|
ΤΥΠΟΣ ΠΕΔΙΟΥ |
ΜΗΚΟΣ |
ΣΧΟΛΙΑ |
|
Κωδικός Φορέα |
Αλφαριθμητικό |
μέχρι 9 χαρακτήρες |
θα γίνει χρήση της ήδη
υπάρχουσας κωδικοποίησης των Φορέων του Υπουργείου Υγείας |
|
Κωδικός ΑΜΚΑ Ασθενούς |
Αλφαριθμητικό |
μέχρι 15 χαρακτήρες |
Σε περίπτωση
ανασφάλιστου ο Κωδικός ΑΜΚΑ συμπληρώνεται με το "9" δηλ.
«999999999999999» |
|
Κωδικός περιστατικού |
Αλφαριθμητικό |
μέχρι 10 χαρακτήρες |
Μοναδικός αριθμός ανά
φορέα - αύξουσα αρίθμηση εισαγωγής |
|
Φύλο ασθενούς |
Αλφαριθμητικό |
1 χαρακτήρας |
Τιμές 1 = Αρρεν 2 = θήλυ 3 = ’λλο |
|
Ηλικία σε μέρες |
Αριθμητικό |
3 χαρακτήρες |
Βάσει της ημερομηνίας
γέννησης κατά την εισαγωγή του περιστατικού |
|
Ηλικία σε Έτη |
Αριθμητικό |
3 χαρακτήρες |
Βάσει της ημερομηνίας
γέννησης κατά την εισαγωγή του περιστατικού |
Τεχνικά Χαρακτηριστικά μεταδιδόμενης πληροφορίας
|
|
ΤΥΠΟΣ ΠΕΔΙΟΥ |
ΜΗΚΟΣ |
ΣΧΟΛΙΑ |
|
Ημερομηνία Εισόδου |
Αλφαριθμητικό |
12 χαρακτήρες |
Μορφή: YYYYMMDDHHSS (έτος=4 ψηφία, μήνας=2
ψηφία, ημέρα=2 ψηφία, ώρα=2 ψηφία, λεπτά=2 ψηφία) Γ Για τις μήνες, μέρες,
ώρες, λεπτά που δεν είναι διψήφιοι αριθμοί συμπληρώνω τον αριθμό στην αρχή
του με το «0» πχ: «1» γίνεται «01» |
|
Λόγος Μετάβασης στο
Φορέα |
Αλφαριθμητικό |
1 χαρακτήρας |
Τιμές Ε = Επείγον Ρ =
Μετά από παραπομπή γιατρού Β = Μετάβαση για τοκετό Αγγλικοί χαρακτήρες |
|
Τύπος μετάβασης στον
Φορέα |
Αλφαριθμητικό |
1 χαρακτήρας |
Τιμές Ν = Κανονική (όχι
από άλλο φορέα) Τ = Μετάβαση από άλλο νοσοκομείο σε διάστημα μεγαλύτερο από
24 ώρες S =
Μετάβαση από άλλο νοσοκομείο σε διάστημα μικρότερο από 24 ώρες Αγγλικοί
χαρακτήρες |
|
Ημερομηνία Εξιτηρίου |
Αλφαριθμητικό |
12 χαρακτήρες |
Μορφή: YYYYMMDDHHSS (έτος =4 ψηφία, μήνας=2 ψηφία, ημέρα=2 ψηφία,
ώρα=2 ψηφία, λεπτά=2 ψηφία) Για τις μήνες, μέρες, ώρες, λεπτά που δεν είναι
διψήφιοι αριθμοί συμπληρώνω τον αριθμό στην αρχή του με το «0» πχ: «1»
γίνεται «01» |
Τεχνικά Χαρακτηριστικά μεταδιδόμενης πληροφορίας
|
|
ΤΥΠΟΣ ΠΕΔΙΟΥ |
ΜΗΚΟΣ |
ΣΧΟΛΙΑ |
|
Αιτιολογία εξιτηρίου |
Αλφαριθμητικό |
3 χαρακτήρες |
Τιμές Ν = Κανονική
(όλες οι αιτιολογίες εκτός: θάνατος ή μεταφοράς σε άλλο φορέα) D = θάνατος Τ = Μετάβαση σε άλλο φορέα Αγγλικοί
χαρακτήρες |
|
Βάρος Νεογέννητου |
Αλφαριθμητικό |
μέχρι 5 χαρακτήρες |
Μέτρηση σε γραμμάρια |
|
Ώρες στο μηχανικό
αερισμό |
Αλφαριθμητικό |
μέχρι 4 χαρακτήρες |
Μέτρηση σε ώρες. Δεν
αποτελεί απαραίτητο πεδίο στη αρχική φάση εφαρμογής και μέχρι την υλοποίηση
του από τα πληροφοριακά συστήματα των Φορέων |
|
Ασφαλιστικός Φορέας |
Αλφαριθμητικό |
μέχρι 15 χαρακτήρες |
Κωδικός ασφαλιστικού
φορέα ασθενούς |
|
Ένδειξη ανασφάλιστου
ασθενούς |
Αλφαριθμητικό |
1 χαρακτήρας |
Τιμές 1=Ασφαλισμένος
0=Ανασφάλιστος |
|
Κωδικός Χώρας ασφάλισης |
Αλφαριθμητικό |
2 χαρακτήρες |
Βάσει πίνακα Υπουργείου
Υγείας/ ΕΟΠΥΥ |
2.2 Διαγνώσεις που αφορούν το Περιστατικό
Οι Διαγνώσεις που αφορούν το Περιστατικό
περιλαμβάνουν τα εξής πεδία:
Κωδικός
Φορέα
Κωδικός AMKA Ασθενούς
Κωδικός
περιστατικού
Ένδειξη
Κύριας/Δευτερεύουσας Διάγνωσης
Έκδοση ICD GrM - Κατάλογος Ενιαίας Κωδικοποίησης Διαγνώσεων ICD-10 GrM
Κωδικός
Διάγνωσης
Τεχνικά χαρακτηριστικά μεταδιδόμενης πληροφορίας
|
|
ΤΥΠΟΣ ΠΕΔΙΟΥ |
ΜΗΚΟΣ |
ΣΧΟΛΙΑ |
|
Κωδικός Φορέα |
Αλφαριθμητικό |
μέχρι 9 χαρακτήρες |
θα γίνει χρήση της ήδη
υπάρχουσας κωδικοποίησης των Φορέων |
|
Κωδικός ΑΜΚΑ Ασθενούς |
Αλφαριθμητικό |
μέχρι 15 χαρακτήρες |
Σε περίπτωση
ανασφάλιστου ο Κωδικός ΑΜΚΑ συμπληρώνεται με το "9" δηλ.
«999999999999999» |
|
Κωδικός περιστατικού |
Αλφαριθμητικό |
μέχρι 10 χαρακτήρες |
Μοναδικός αριθμός ανά
φορέα - αύξουσα αρίθμηση εισαγωγής |
|
Ένδειξη Κύριας/
Δευτερεύουσας διάγνωσης |
Αλφαριθμητικό |
2
χαρακτήρες |
Τιμές PD = Primary Diagnosis (κύρια
διάγνωση) SD=Secondary Diagnosis (δευτερεύουσα διάγνωση) |
|
Έκδοση ICD GrM |
Αλφαριθμητικό |
μέχρι 4 χαρακτήρες |
έκδοση ICD με την οποία γίνεται η κατηγοριοποίηση του
περιστατικού |
|
Κωδικός Διάγνωσης |
Αλφαριθμητικό |
μέχρι 10 χαρακτήρες |
Βάσει του πίνακα των
διαγνώσεων |
Τα τρία
πρώτα πεδία συνδέονται με τα αντίστοιχα πεδία των «Βασικών Στοιχείων του
Περιστατικού» (2.1).
Θα υπάρχει
δυνατότητα καταγραφής μέχρι και 20 διαφορετικών διαγνώσεων ανά περιστατικό.
Διευκρινίζουμε ότι ΜΟΝΟ μία διάγνωση μπορεί να έχει χαρακτηριστεί σαν «Κύρια
Διάγνωση». Το πεδίο «Έκδοση ICD GrM» είναι υποχρεωτικό γιατί καθορίζει τον «κατάλογο
κωδικοποιήσεων ICD» στον οποίο αντιστοιχεί ο «Κωδικός Διάγνωσης», θα δίνεται η δυνατότητα χρήσης
διαφορετικών «καταλόγων κωδικοποίησης διαγνώσεων ICD GrM» σε περίπτωση που αυτό κρίνεται απαραίτητο.
2.3
Ιατρικές Πράξεις που αφορούν το Περιστατικό
Οι Ιατρικές Πράξεις που αφορούν το Περιστατικό
περιλαμβάνουν τα εξής πεδία:
Κωδικός
Φορέα
Κωδικός AMKA Ασθενούς
Κωδικός
περιστατικού
Έκδοση
ΕΤΙΠ (GMPC) - Κατάλογος
Ελληνικής Ταξινόμησης Ιατρικών Πράξεων
(GMPC - Greek Medical
Procedures Classification)
Κωδικός Ιατρικής Πράξης
Περιοχή
που αφορά η Ιατρική Πράξη
Ημερομηνία
διεξαγωγής της Ιατρικής Πράξης
Τεχνικά χαρακτηριστικά μεταδιδόμενης πληροφορίας
|
|
ΤΥΠΟΣ ΠΕΔΙΟΥ |
ΜΗΚΟΣ |
ΣΧΟΛΙΑ |
|||
|
Κωδικός Φορέα |
Αλφαριθμητικό |
μέχρι 9 χαρακτήρες |
θα γίνει χρήση της ήδη
υπάρχουσας κωδικοποίησης των Φορέων |
|||
|
Κωδικός ΑΜΚΑ Ασθενούς |
Αλφαριθμητικό |
μέχρι 15 χαρακτήρες |
Σε περίπτωση
ανασφάλιστου ο Κωδικός ΑΜΚΑ συμπληρώνεται με το "9" δηλ.
«999999999999999» |
|||
|
Κωδικός περιστατικού |
Αλφαριθμητικό |
μέχρι 10 χαρακτήρες |
Μοναδικός αριθμός ανά
φορέα - αύξουσα αρίθμηση εισαγωγής |
|||
|
Έκδοση ΕΤΙΠ (GMPC) |
Αλφαριθμητικό |
μέχρι 4 χαρακτήρες |
Έκδοση του Ενιαίου
καταλόγου Ταξινόμησης των Ιατρικών Πράξεων, βάσει του οποίου γίνεται η
κατηγοριοποίηση των Ιατρικών πράξεων του περιστατικού |
|||
|
Κωδικός Ιατρικής Πράξης |
Αλφαριθμητικό |
μέχρι 10 χαρακτήρες |
Κωδικός Ιατρικής Πράξης
βάσει του πίνακα της ενιαίας κωδικοποίησης ιατρικών πράξεων ΞΤΙΠ-GMPC (Greek Medical Procedures Classification). |
|||
|
Τεχνικά χαρακτηριστικά μεταδιδόμενης
πληροφορίας |
||||||
|
|
ΤΥΠΟΣ ΠΕΔΙΟΥ |
ΜΗΚΟΣ |
ΣΧΟΛΙΑ |
|||
|
Περιοχή που αφορά η
ιατρική πράξη |
Αλφαριθμητικό |
1 χαρακτήρας |
Τιμές L= Αριστερά Κ=Δεξιά Β=δεξιά και αριστερά Δεν αφορά όλες τις Ιατρικές Πράξεις
Όπου είναι απαραίτητο |
|||
|
Ημερομηνία διεξαγωγής
της Ιατρικής Πράξης |
Αλφαριθμητικό |
12 χαρακτήρες |
Μορφή: YYYYMMDDHHSS (έτος=4 ψηφία, μήνας=2
ψηφία, |
|||
ημέρα=2 ψηφία, ώρα=2 ψηφία,
λεπτά=2 ψηφία) Για τις μήνες, μέρες, ώρες, λεπτά που δεν είναι διψήφιοι αριθμοί
συμπληρώνω τον αριθμό στην αρχή του με το «0»
____πχ: «1» γίνεται «01»
Τα τρία
πρώτα πεδία συνδέονται με τα αντίστοιχα πεδία των «Βασικών Στοιχείων του
Περιστατικού» (2.1). Το πεδίο «Έκδοση ΕΤΙΠ (GMPC)» είναι υποχρεωτικό γιατί καθορίζει την έκδοση (version) του « Καταλόγου Ταξινόμησης των Ιατρικών Πράξεων»
στον οποίο αντιστοιχεί ο «Κωδικός Ιατρικής Πράξης». Θα δίνεται η δυνατότητα
χρήσης διαφορετικών «Καταλόγου Ταξινόμησης των Ιατρικών Πράξεων» σε περίπτωση
που αυτό κρίνεται απαραίτητο.
Για κάθε περιστατικό
υπάρχει η δυνατότητα καταγραφής πολλαπλών εγγραφών που αφορούν ιατρικές
πράξεις.
’ρθρο 2
Ηλεκτρονική φόρμα καταγραφής
Η
καταγραφή της μεταδιδόμενης πληροφορίας γίνεται με «set» 3 αρχείων (ανά αποστολή δεδομένων), που θα τηρούν
τις προδιαγραφές που περιεγράφησαν στις παραγράφους
2.1, 2.2 και 2.3. του άρθρου 1.
Αποδεκτές μορφές στο περιεχόμενο των μεταδιδόμενων αρχείων προτείνεται να είναι
τα αρχεία σε μορφή. csv,. txt,. xml καθώς και οποιαδήποτε άλλη μορφή κριθεί δόκιμη,
έτσι ώστε να εξασφαλιστεί με τη βοήθεια της τεχνολογίας ο καλύτερος δυνατός
τρόπος αναφορικά με την ταχύτητα μετάδοσης των δεδομένων και την ασφάλεια,
ακολουθώντας όλους τους κανόνες, τα διεθνή πρότυπα και τις πρακτικές.
Έχει
επίσης διερευνηθεί προσέγγιση υλοποίησης με τη χρήση του διεθνώς αναγνωρισμένου
πρωτοκόλλου HL7, που αφορά στον ορισμό των προδιαγραφών διασύνδεσης εφαρμογών και
ανταλλαγής δεδομένων στο χώρο της υγείας.
’ρθρο 3
Χρονική Συχνότητα Αποστολής-Επαλήθευση-Οριστικοποίηση
Οι συνεργαζόμενοι
φορείς αποστέλλουν κρυπτογραφημένα (παρακάτω παρατίθεται η διαδικασία
κρυπτογράφησης) τα αρχεία με τα δεδομένα που έχουν συμφωνηθεί ανά 3μηνο, βάσει
της διεθνούς πρακτικής. Τα αρχεία θα είναι πλήρως κωδικοποιημένα και δεν θα
περιέχουν λεκτικά στοιχεία αναγνώρισης των περιστατικών, ώστε να εξασφαλιστεί
(και με τη χρήση ειδικών μηχανισμών που παρέχονται από την τεχνολογία και τη
διεθνή πρακτική και πρότυπα) η κατά τον καλύτερο δυνατό τρόπο ανωνυμοποίηση των ευαίσθητων προσωπικών δεδομένων.
Διευκρινίζεται
ότι τα περιστατικά που θα αποστέλλονται θα αφορούν σε εξιτήρια που έχουν
πραγματοποιηθεί/ολοκληρωθεί στους συνεργαζόμενους φορείς κατά τη διάρκεια του
τριμήνου και όχι σε εισαγωγές που συνεχίζουν να νοσηλεύονται.
Θα δίνεται
η δυνατότητα οριστικοποίησης των αποσταλθέντων
στοιχείων από τον κάθε συνεργαζόμενο φορέα και θα υπάρχει μεταβατική περίοδος,
μεταξύ της αποστολής και της οριστικοποίησής τους, κατά την οποία θα ελέγχονται
με αυτοματοποιημένες διαδικασίες ως προς την εγκυρότητα, την ακρίβεια και τις
προδιαγραφές που έχουν συμφωνηθεί.
Σε
περίπτωση λανθασμένων εγγραφών υπάρχει διαδικασία ανταλλαγής κρυπτογραφημένων
μηνυμάτων, στα οποία θα περιγράφονται τα είδη των λαθών και σε ποιες εγγραφές
παρουσιάστηκαν καθώς και αντίστοιχες οδηγίες, έτσι ώστε οι διορθώσεις να
γίνονται από τους φορείς παραγωγής της πρωτογενούς πληροφορίας. Τα αρχεία θα
επιδέχονται αλλαγών μόνο στην περίπτωση που δεν έχουν οριστικοποιηθεί και μόνο
από τον φορέα από τον οποίο προήλθαν.
Για τη
διασφάλιση της ιχνηλασιμότητας, εφαρμόζονται
αυτοματοποιημένες διαδικασίες παρακολούθησης του ιστορικού των οποιοδήποτε
αλλαγών σε όλα τα στάδια της ανταλλαγής πληροφοριών μεταξύ των συνεργαζόμενων
φορέων και της ΚΕ.ΤΕ.Κ.Ν.Υ. Α.Ε, καθώς και κατά τη διατήρησή τους στο
πληροφοριακό σύστημα της ΚΕ.ΤΕ.Κ.Ν.Υ. Α.Ε.
Επίσης
έχει προβλεφθεί ειδικό αρχείο καταγραφής σφαλμάτων, η μελέτη του οποίου θα
οδηγεί στην εξαγωγή συμπερασμάτων και στις αναγκαίες αναπροσαρμογές που πρέπει
ενδεχομένως να γίνουν ως προς τη διαδικασία και τον τρόπο μετάδοσης των
δεδομένων.
Σε κάθε
συνεργαζόμενο φορέα δίνεται διάστημα 10 εργάσιμων
ημερών από την ημερομηνία λήψης του απαντητικού μηνύματος λαθών, ώστε να κάνει
τις απαραίτητες διορθώσεις και να αποστείλει εκ νέου το ηλεκτρονικό αρχείο για
επαλήθευση και οριστικοποίηση.
Μετά την
οριστικοποίηση οι αλλαγές δεν θα επιτρέπονται.
’ρθρο 4
Χρόνος Διατήρησης Δεδομένων
Τα
δεδομένα που θα συλλέγονται, θα καταχωρούνται σε κεντρική σχεσιακή βάση
δεδομένων RDBMS στο πληροφοριακό σύστημα της ΚΕ.ΤΕ.Κ.Ν.Υ. Α.Ε, θα είναι σε πλήρως
κρυπτογραφημένη μορφή και προτείνεται να διατηρούνται για διάστημα τουλάχιστον 10 ετών. Το πιο πάνω χρονικό διάστημα
κρίνεται αναγκαίο, ώστε να είναι δυνατή η ασφαλής στατιστική επεξεργασία των
δεδομένων εφαρμόζοντας συστήματα προσομοιώσεων μέσω μοντέλων, με στόχο την
μετατροπής της πρωτογενούς πληροφορίας σε εργαλείο που θα βοηθά την διαδικασία
λήψης αποφάσεων. Ο συνδυασμός των πληροφοριών που είναι αποθηκευμένες σε
διάφορα ετερογενή περιβάλλοντα, η ολοκλήρωσή τους και η παρουσίασή τους σε ένα
και μοναδικό ομογενές επιχειρησιακό μοντέλο αποτελεί βασικό στόχο.
’ρθρο 5
Μεθοδολογία Διατήρησης Εμπιστευτικότητας
Η
διαφύλαξη της εμπιστευτικότητας (Privacy) και της ακεραιότητας (Integrity) των δεδομένων θα διασφαλίζονται μέσω μηχανισμών
και πρωτοκόλλων κρυπτογράφησης κατά την αποθήκευση και διακίνησή τους π.χ.
πρωτόκολλο https, κρυπτογράφηση με SSL, ψηφιακά πιστοποιητικά ή ψηφιακές υπογραφές κ.ά. Η
επικοινωνία των εφαρμογών για την μεταφορά δεδομένων θα γίνεται μέσω μηχανισμών
ταυτοποίησης (Authentication) και κρυπτογράφησης (Encryption) με χρήση αξιόπιστων τεχνολογιών για τη διασφάλιση
των δεδομένων.
Ο κάθε
χρήστης που θα συμμετέχει στη διαδικασία ανταλλαγής και επεξεργασίας δεδομένων
θα ταυτοποιείται και θα αυθεντικοποιείται
μέσω διαδικασίας εγγραφής του στις παρεχόμενες ηλεκτρονικές υπηρεσίες. Θα
υπάρχει διαβάθμιση στην πρόσβαση και στις λειτουργίες ανάλογα με τον «ρόλο» που
θα έχει αποδοθεί στον κάθε χρήστη. Βάσει των δικαιωμάτων του κάθε «ρόλου» θα
ορίζεται και το εύρος των εξουσιοδοτήσεων που έχει.
Η
ΚΕ.ΤΕ.Κ.Ν.Υ. Α.Ε υποχρεούται να τηρεί και να ενημερώνει τον αντίστοιχο κατάλογο
με τους πιστοποιημένους χρήστες, τους ρόλους, τις εξουσιοδοτήσεις και τα
αντίστοιχα ψηφιακά πιστοποιητικά και σε περίπτωση που χρειαστεί θα έχει τη
δυνατότητα ανάκλησής τους.
Η
εξουσιοδοτημένη πρόσβαση θα είναι διαβαθμισμένη ανάλογα με το είδος των
παρεχόμενων υπηρεσιών του συνολικού συστήματος και των πολιτικών που θα
εφαρμοστούν. Επίσης κάνοντας χρήση των δυνατοτήτων που παρέχονται από τη
τεχνολογία και εφαρμόζοντας όλα τα διεθνή αναγνωρισμένα πρότυπα, η ΚΕ.ΤΕ.Κ.Ν.Υ.
Α.Ε. θα έχει τη δυνατότητα παρακολούθησης του ιστορικού καταγραφής συμβάντων σε
όλα τα στάδια μετάδοσης της πληροφορίας.
Η
εκτεταμένη εφαρμογή διαδικασιών audit trail, αναφορικά με την χρονολογική καταγραφή όλων των
προσβάσεων και των αλλαγών στα αρχεία των δεδομένων, θα αποτελεί μια από τις
πρακτικές που εξασφαλίζουν την ιχνηλασιμότητα πράξεων
και προσβάσεων και την απόδοση ευθυνών όπου χρειάζεται.
’ρθρο 6
Διαβάθμιση και ασφαλής μετάδοση αρχείων
Οι
πληροφορίες θα διακινούνται μεταξύ της ΚΕ.ΤΕ.Κ.Ν.Υ. Α.Ε. και οποιουδήποτε
συνεργαζόμενου φορέα, μέσω ζεύξεων υψηλής διαθεσιμότητας ιδιωτικών δικτύων, τα
οποία δεν θα διασυνδέονται ευθέως με δίκτυα δημόσιας πρόσβασης (π.χ. Διαδίκτυο)
ή με δίκτυα που δεν τελούν υπό τον πλήρη έλεγχο της ΚΕ.ΤΕ.Κ.Ν.Υ. Α.Ε.
Για να
διασφαλιστεί στον υψηλότερο βαθμό η ασφαλής μετάδοσης των ευαίσθητων προσωπικών
δεδομένων που θα συλλέγονται από τους Συνεργαζόμενους Φορείς Παροχής
Υγειονομικής Περίθαλψης, προτείνεται να χρησιμοποιηθεί υποδομή Ασύμμετρης
κρυπτογράφησης (Public Key Infrastructure) που είναι συνδυασμός λογισμικού, υπηρεσιών και
τεχνολογιών κρυπτογραφίας. Με την Υποδομή Δημόσιου Κλειδιού (ΡΚΙ) εξασφαλίζεται
η εγκυρότητα της πρόσβασης μεταξύ των προσώπων που εμπλέκονται σε κάθε
διαδικτυακή «συναλλαγή» και προστατεύεται η ασφάλεια των ευαίσθητων προσωπικών
δεδομένων που μεταφέρονται.
Για να
διασφαλιστεί η εμπιστευτικότητα, όλες οι πληροφορίες θα είναι κρυπτογραφημένες τόσο
κατά τη μεταφορά τους από και προς την ΚΕ.ΤΕ.Κ.Ν.Υ Α.Ε., όσο και κατά την
αποθήκευση τους στα συστήματα λογισμικού και υλικού του Ινστιτούτου.
Οι
πληροφορίες που αποστέλλει η ΚΕ.ΤΕ.Κ.Ν.Υ Α.Ε. προς οποιονδήποτε συνεργαζόμενο
φορέα θα κρυπτογραφούνται πριν την μεταφορά τους και θα παραμένουν σε
κρυπτογραφημένη μορφή κατά την αρχική αποθήκευση τους στα συστήματα του φορέα.
Κατόπιν, ο φορέας θα τις αποκρυπτογραφεί για να τις αξιοποιήσει κατάλληλα σε
χρόνο και με τρόπο που θα επιλέξει αυτός, έχοντας πλήρη ευθύνη για την
ακεραιότητα των δεδομένων.
Οι
κυριότεροι μηχανισμοί ασφάλειας τους οποίους καλύπτει η Υποδομή Δημόσιου
Κλειδιού είναι οι παρακάτω:
Απόρρητο
της επικοινωνίας (Confidentiality): Τα δεδομένα προστατεύονται από μη
εξουσιοδοτημένη πρόσβαση με μηχανισμούς ελέγχου πρόσβασης στην περίπτωση
αποθήκευσης δεδομένων και μέσω κρυπτογράφησης κατά την αποστολή τους.
Ακεραιότητα (Integrity): Τα δεδομένα προστατεύονται από μη εξουσιοδοτημένη τροποποίηση μέσω
μηχανισμών κρυπτογράφησης όπως οι ηλεκτρονικές υπογραφές.
Πιστοποίηση (Authentication): Πραγματοποιείται επιβεβαίωση της ταυτότητας ενός
ατόμου ή της πηγής αποστολής δεδομένων.
Μη Αρνηση Αποδοχής (Non-Repudiation): Η Μη Αρνηση Αποδοχής
συνδυάζει τις υπηρεσίες της Πιστοποίησης και της Ακεραιότητας και διασφαλίζει
ότι μία συναλλαγή η οποία πραγματοποιήθηκε ηλεκτρονικά δε μπορεί να
αμφισβητηθεί από τα συμβαλλόμενα μέρη. Για παράδειγμα ο αποστολέας δεδομένων
δεν μπορεί να αρνηθεί ότι δημιούργησε και απέστειλε το μήνυμα.
Κατά την
αποθήκευση των δεδομένων στις υποδομές της ΚΕ.ΤΕ.Κ.Ν.Υ. Α.Ε., η ακεραιότητα των
πληροφοριών θα επιτυγχάνεται με την αποθήκευση κατάλληλης πλεονάζουσας
πληροφορίας και η ιχνηλασιμότητα των αλλαγών θα
επιτυγχάνεται με την τήρηση ημερολογίου ελέγχου, όπου θα καταγράφονται όλες οι
αλλαγές επί των δεδομένων που διατηρεί η ΚΕ.ΤΕ.Κ.Ν.Υ. Α.Ε. Οι εν λόγω αλλαγές
θα καταγράφονται στο ημερολόγιο ελέγχου αφού πρώτα κωδικοποιηθεί μονόδρομα υποσύνολο των ευαίσθητων δεδομένων, ώστε να μην
είναι δυνατή η διαρροή ευαίσθητων προσωπικών δεδομένων μέσω του ημερολογίου
ελέγχου. Η ακεραιότητα του ημερολογίου ελέγχου θα διασφαλίζεται με κατάλληλο
μηχανισμό.
Η
επαλήθευση της ταυτότητας των στελεχών που χρησιμοποιούν το Πληροφοριακό
Σύστημα της ΚΕ.ΤΕ.Κ.Ν.Υ. Α.Ε. και η ιχνηλασιμότητα
των αλλαγών που επιφέρουν τα εν λόγω στελέχη στα τηρούμενα δεδομένα θα
πραγματοποιούνται με κατάλληλους μηχανισμούς, ώστε να υφίσταται σε κάθε
πρόσβαση και αλλαγή αδιάσειστο ψηφιακό πειστήριο.
Έμφαση
δίνεται επίσης και στην αξιοποίηση των κατάλληλων διαδικασιών και τεχνολογικών
λύσεων, τόσο για την προστασία των δεδομένων και των σχετικών υπηρεσιών από μη
εξουσιοδοτημένη πρόσβαση, όσο και για την ανωνυμοποίηση
των δεδομένων.
’ρθρο 7
Κυρώσεις
Σε βάρος
των διοικητών των νοσοκομείων για κάθε παράβαση των υποχρεώσεων που ορίζονται
στη παρούσα απόφαση θα επιβάλλονται οι αναφερόμενες στο άρθρο δεύτερο του ν.
4286/2014 (ΦΕΚ 194/Α') κυρώσεις.
Η απόφαση
αυτή να δημοσιευθεί στην Εφημερίδα της Κυβερνήσεως.