Bezpieczeństwo informacji w sektorze ochrony zdrowia to nie tylko kwestia dobrej praktyki, ale także obowiązek wynikający z przepisów prawa. W dobie cyfryzacji i rosnącej liczby zagrożeń teleinformatycznych audyt KRI (Krajowych Ram Interoperacyjności) stanowi kluczowy element nadzoru nad systemami IT w podmiotach leczniczych, szczególnie tych, które realizują świadczenia w ramach kontraktu z Narodowym Funduszem Zdrowia.
Czym jest audyt KRI i kogo dotyczy?
Audyt KRI to formalna procedura weryfikacji zgodności systemów teleinformatycznych i organizacyjnych z przepisami Rozporządzenia w sprawie Krajowych Ram Interoperacyjności, wydanego na podstawie Ustawy z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne. Obowiązek ten dotyczy wszystkich jednostek, które wykonują zadania publiczne – w tym również spółek prawa handlowego prowadzących działalność leczniczą, jeśli realizują świadczenia finansowane przez NFZ.
Kiedy podmiot leczniczy podlega audytowi KRI?
Zgodnie z art. 2 ust. 1 pkt 4 ustawy o informatyzacji, regulacje te obejmują m.in.:
- samodzielne publiczne zakłady opieki zdrowotnej (SPZOZ),
- spółki prawa handlowego prowadzące działalność leczniczą,
- inne jednostki wykonujące zadania publiczne w rozumieniu odrębnych przepisów.
Jeżeli więc placówka medyczna świadczy usługi w ramach umowy z NFZ – niezależnie od formy prawnej – jest zobowiązana do wdrożenia wymagań KRI, w tym zapewnienia corocznego audytu bezpieczeństwa informacji.
Obowiązki kierownictwa i system zarządzania bezpieczeństwem informacji
Rozporządzenie KRI, a konkretnie § 20 ust. 2 pkt 14, wskazuje wprost, że kierownictwo jednostki publicznej musi zapewnić przeprowadzenie audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz w roku. Obowiązek ten można uznać za spełniony tylko wtedy, gdy:
- system zarządzania bezpieczeństwem informacji został opracowany,
- został on wdrożony zgodnie z normą PN-ISO/IEC 27001,
- zabezpieczenia, audyty i zarządzanie ryzykiem realizowane są w oparciu o odpowiednie Polskie Normy, takie jak PN-ISO/IEC 27002, 27005 czy 24762.
Kto może przeprowadzić audyt KRI?
Audyt KRI może być wykonany:
- przez wykwalifikowanych audytorów wewnętrznych, działających w strukturach organizacyjnych podmiotu leczniczego,
- lub przez zewnętrzne firmy specjalizujące się w bezpieczeństwie informacji, co szczególnie rekomendowane jest w przypadku braku wyspecjalizowanego personelu IT lub dla zwiększenia wiarygodności i niezależności audytu.
Należy odróżnić audyt KRI od standardowej kontroli wewnętrznej – audyt skupia się na systematycznej ocenie zgodności z określonymi normami prawnymi i technicznymi, a jego wyniki mogą służyć jako podstawa do dalszego doskonalenia systemu zarządzania bezpieczeństwem.
Audyt KRI – obowiązek z wartością dodaną
Choć audyt KRI bywa postrzegany jako kolejny wymóg formalny, w rzeczywistości stanowi ważne narzędzie minimalizacji ryzyk związanych z przetwarzaniem danych pacjentów i zarządzaniem systemami informatycznymi. Daje również jasny obraz, na ile dana placówka jest przygotowana na sytuacje kryzysowe, np. awarie, wycieki danych czy cyberataki. To element budujący zaufanie pacjentów, kontrahentów i instytucji publicznych.
Zadbaj o zgodność z KRI
Jeśli prowadzisz podmiot leczniczy i chcesz mieć pewność, że Twoja placówka spełnia wszystkie wymogi Rozporządzenia KRI, skorzystaj z kompleksowego wsparcia specjalistów z Eduodo. Oferujemy profesjonalne audyty KRI dla sektora ochrony zdrowia, przygotowane przez ekspertów z doświadczeniem w pracy z placówkami medycznymi. Pomagamy nie tylko w weryfikacji zgodności, ale także w opracowaniu skutecznego systemu zarządzania bezpieczeństwem informacji – zgodnego z normami ISO i realnie zwiększającego poziom ochrony danych.
Z Eduodo spełnisz obowiązek, podniesiesz standardy i zbudujesz przewagę opartą na bezpieczeństwie.
—
Artykuł sponsorowany
