Az alábbi cikk összefoglalja az elektronikus aláírás egészségügyi intézmények közötti alkalmazásának elmúlt két évben körvonalazott rendszerét. Továbbá elemez két fontos részelemet: az egészségügyi dokumentumok jogi státusának kérdését, illetve az intézményi felülhitelesítést. Logikus megközelítésmódja, egyszerűségre való törekvése, valamint a papír alapon bevált gyakorlatok lehetőség szerinti legteljesebb megtartása (funkcionális ekvivalencia) miatt, még akkor érdemesnek tartjuk a bemutatásra, ha a legújabb joganyagok és kormányzati törekvések több ponton is eltérést mutatnak a modelltől.
A regisztrálást követően fogja tudni megtekinteni a cikk tartalmát!
A megadott cikk nem elérhető!
Tisztelt Felhasználónk!
Az Ön által megtekinteni kívánt cikk nem elérhető a rendszerben!
A megadott cikk nem elérhető!
Tisztelt Felhasználónk!
Az Ön által megtekinteni kívánt cikk nem elérhető a rendszerben!
Sikeresen szavazott a cikkre!
Tisztelt Felhasználónk!
Köszönjük a szavazatát!
A szavazás nem sikerült!
Tisztelt Felhasználónk!
Ön már szavazott az adott cikkre!
Cikk megtekintése
Tisztelt Felhasználónk!
A cikk több nyelven is elérhető! Kérjük, adja meg, hogy melyik nyelven kívánja megtekinteni az adott cikket!
Cikk megtekintésének megerősítése!
Tisztelt Felhasználónk!
Az Ön által megtekintetni kívánt cikk tartalma fizetős szolgáltatás.
A megtekinteni kívánt cikket automatikusan hozzáadjuk a könyvespolcához!
A cikket bármikor elérheti a könyvespolcok menüpontról is!
INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG Elektronikus aláírás bevezethetősége az egészségügyben Dr. Kovács Tamás, Kleinheincz Gábor, eGov Tanácsadó Kft. Az alábbi cikk összefoglalja az elektronikus aláírás egészségügyi intézmények közötti alkalmazásának elmúlt két évben körvonalazott rendszerét. Továbbá elemez két fontos részelemet: az egészségügyi dokumentumok jogi státusának kérdését, illetve az intézményi felülhitelesítést. Logikus megközelítésmódja, egyszerűségre való törekvése, valamint a papír alapon bevált gyakorlatok lehetőség szerinti legteljesebb megtartása (funkcionális ekvivalencia) miatt, még akkor érdemesnek tartjuk a bemutatásra, ha a legújabb joganyagok és kormányzati törekvések több ponton is eltérést mutatnak a modelltől. BEVEZETÉS Az egészségügyi szolgáltatók közötti adatcserek szabályozásához az apropót a Nemzeti Fejlesztési Terv adta. A Humánerőforrás-fejlesztési Operatív Program (HEFOP) 4.4. intézkedésének célja az egészségügyi infrastruktúra szempontjából legelmaradottabb három régió (Észak-Alföld, Észak-Magyarország és Dél-Dunántúl) egészségügyi informatikai fejlesztése volt. A fejlesztés hangsúlyos részét képezi egy olyan intézményközi információrendszer kiépítése, amelynek segítségével az egészségügyi szolgáltatók közötti elektronikus adatáramlás megteremthető. A fejlesztés jelentősége nem becsülendő alá. A szolgáltatók közötti adatáramlás jelenlegi hiánya szükségtelenül ismételt vizsgálatokhoz és kezelésekhez vezet, a betegnek pedig felesleges utazásokat és várakozásokat jelent. A kommunikáció hiánya az állam és a szolgáltatók oldalán tehát többletköltségekkel, a betegek oldalán pedig felesleges időkieséssel jár. De az információáramlás hiánya nemcsak többletköltségeket okoz, hanem a beteg törvényes jogainak érvényesülését is akadályozza. Kiemelhetjük, hogy az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (a továbbiakban: Eüak.) 11. § (1) bekezdése szerint valamennyi kezelőorvos köteles lenne az érintett kifejezett tiltakozása hiányában az általa megállapított, az érintettre vonatkozó egészségügyi adatokat megküldeni az érintett háziorvosának. Ennek – jelenleg tipikus – elmulasztása pedig nemcsak önálló törvénysértést jelent, de a beteg információhoz való jogát is sérti, mivel a beteg egyedül a háziorvostól kaphat(na) tájékoztatást általános egészségi állapotáról. A fentebb felvázolt problémák hatékony megoldását egy olyan intézményközi információrendszer felállítása jelente- 40 IME IV. ÉVFOLYAM 7. SZÁM 2005. OKTÓBER né, amelyben az egyes szolgáltatók hozzáférhetnek az aktuális kezeléshez szükséges, a korábbi kezelések és vizsgálatok során keletkezett adatokhoz. Erre – a sok helyen tapasztalt tévhit ellenére – az Eüak. lehetőséget biztosít, az ilyen adattovábbításokhoz a beteg hozzájárulása sem szükséges. Az informatika felhasználása azonban csak olyan formában képzelhető és fogadható el, ha az adatfeldolgozás és a kommunikáció megfelelő minősége, biztonsága biztosított, az illetéktelenek ilyen módon továbbított adatokhoz való hozzáférése pedig kizárt. A HEFOP 4.4 intézkedés célkitűzése tehát egy ilyen megbízható rendszer megvalósítása. Habár a fentiek szerint a szabályozás előkészítésének közvetlen kiváltó oka a HEFOP 4.4 intézkedés intézményközi információrendszere volt; magának a kialakított szabályrendszernek nem lehetett csak a 3 régióra kiterjedő intézményközi rendszer a tárgya. A felmerülő kérdések a fentiek szerint nem az intézkedés specifikus kérdései, hanem az ágazat egészére vonatkozóan fennálló jogi és egyéb követelmények, a Minisztériumnak tehát általánosságban indokolt megválaszolnia, hogy a nyílt hálózaton keresztüli adattovábbítás a személyes adatok védelme szempontjából milyen feltételekkel fogadható el. Olyan szabályozás kialakítása volt tehát indokolt, ami egyrészről alkalmas a regionális rendszer későbbi esetleges országossá bővítésének kezelésére is, másrészt általánosságban bármely egészségügyi szolgáltató közötti adatmozgást is le tud fedni. Az orvosszakmai, adatvédelmi és adatbiztonsági követelmények – amelyek a fentiek szerint a szabályozás kiindulópontjait jelentették – a következőképpen foglalhatók öszsze: • a megoldásnak érvényesítenie kell az adatvédelmi követelményeket, tekintettel az ágazat által kezelt és használt egészségügyi és más személyes adatokra, így különösen ki kell zárni az adatoknak illetéktelenek számára hozzáférhetővé válását, • a megbízható működés és a megalapozott orvosi döntéshozatal érdekében biztosítani kell, hogy az adatok teljes bizonyossággal ugyanabban a formában és tartalommal érkezzenek meg, amilyen formában elküldésre kerültek, • a felelősségi kérdésekre is tekintettel biztosítani kell, hogy utóbb bármikor visszakereshető legyen, hogy mely adat honnan, kitől származik. • egyértelműnek kell lennie, hogy az elektronikusan a döntéshozatal érdekében megküldött adatokért a küldő intézmény felelős – ugyanúgy, mintha az orvos papíralapon küldené meg a beteg anyagait. INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG Ez természetesen azt is jelenti, hogy az esetlegesen korábban létesített intézményközi megoldásoknak (amelyeknél a valójában gyakran semmilyen védelmi intézkedést nem tettek a fenti szempontok érvényesítésére) is fel kell majd készülniük az új követelmények teljesítésére. Tekintettel azonban a források egyébként is szűkös voltára, valamint az adatkezelő intézmény vezetőjének erre vonatkozó hatáskörére és Eüak. szerinti felelősségére, a rendelettervezet az intézmények falain belüli működésre (intézményen belüli adatmozgásokra, adatkezelésekre) nem írt elő követelményeket, e kérdéskör tehát továbbra is az intézmény vezetőjének hatáskörében marad. A JOGALKOTÁSI FELADAT ÉS A SZABÁLYOZÁSI KÖRNYEZET A szabályozás tekintetében az alapvető jogi feladat az elektronikus dokumentumok egészségügyi ágazatban való elismerésének biztosítása. Az elektronikus dokumentumokkal történő ügyintézés az ezt lehetővé tevő jogszabályi környezet kialakítását igényelte. Az elektronikus dokumentumok ágazati felhasználásának előfeltételeit az elektronikus aláírásról szóló 2001. évi XXXV. törvény tartalmazza. E törvény vezette be hazánkban az Európai Unió vonatkozó irányelvének mentén haladva az elektronikus aláírás intézményét, annak fokozatait (egyszerű, fokozott biztonságú, minősített elektronikus aláírásokat határozva meg). Megteremtette a kizárólag elektronikus formában létező dokumentumok jogi elismerését hatósági eljárásokban felhasználható bizonyítékként, szerződő felek között stb. A törvény azonban 2001-ben – tekintettel a közigazgatás informatikai szintjére – még nem tette általános jelleggel lehetővé az elektronikus dokumentumok hatósági ügyintézésben (ideértve az államigazgatási hatósági ügyeket és a bírósági eljárásokat egyaránt) eljárási cselekményekre való felhasználását. Az elektronikus dokumentumok közigazgatásban való felhasználása előtt jelenleg két jogi akadály áll. Az Eat. kiépítette e dokumentumok általános rendszerét és kimondta az általános jogi elismertség – alapvető jelentőségű – szabályát, e dokumentumok ágazati szintű elismerésének kidolgozására azonban az egyes minisztereket hatalmazta fel. Valamennyi ágazat felhatalmazást kapott tehát arra, hogy saját vertikumán belül kialakítsa a szükséges feltételrendszert. A közigazgatás esetében – annak joghoz kötöttségére tekintettel – ugyanis alapvető szerepet kap az infrastruktúra megteremtése mellett a jogi környezet megfelelő megteremtése. A másik jogi akadály az iratkezelési szabályozás terén jelentkezik. Habár levéltári törvény és a közigazgatási szervek iratkezelése rendezésének alapjául szolgáló 40/1998. (III. 6.) Korm. rendelet tartalmaz elektronikus dokumentumokra vonatkozó szabályokat, az elektronikus ügyintézés jogi kérdéseinek lezajlott fejlődése és a korábbi szabályozás alapján felmerült gyakorlati problémák a szabályzatok felül- vizsgálatát tették szükségessé. Így a kormányzati működés racionalizálása, konkrétan pedig az elektronikus ügyintézés megfontolt kialakítása érdekében alkotta meg a Kormány a 2205/2003. (IX. 4.) Korm. határozatot a közigazgatási szervek egységes iratkezelési szabályozásának koncepciójáról. Az ez alapján a közigazgatás egészére vonatkozóan beindult előkészítésre (KEIR projekt) tekintettel azonban ez a kérdéskör egyelőre nem jelent ágazati szinten szabályozási feladatot. A tervezetek ugyan számos, az intézményközi információrendszerre vonatkozó kérdést vetnek fel, az érintett szabályok azonban jelenleg még egyeztetés alatt állnak. Az ágazati felhasználást is érintő változást hoz a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2004. évi CXL. törvény (Ket.). A Ket. a szabályozás megújítása részeként elismeri az elektronikus dokumentumokat a hatósági ügyintézés terén, a végrehajtási rendeletek pedig részletesen szabályozzák az elektronikus hatósági ügyintézéshez tartozó gyakorlati kérdéseket. Külön óvatosságot igényel tehát az elektronikus ügyintézés esetében a joganyag folyamatos változása, az állandó jogfejlesztés-jogfejlődés. A Ket. és végrehajtási rendeletei eredményeként a szabályozás hatóköréből kikerül a hatósági ügyintézés, a szabályozás a teljes közigazgatásra vonatkozóan létesül. A KEIR projekt eredményeként várhatóan hamarosan elfogadásra kerülő szabályozás további kérdéseket vethet fel, amelyekre az ágazati szabályozásnál is tekintettel kell lenni. Az általános jogi környezetbe illeszkedő módon lehetővé kell tehát tenni az elektronikus dokumentumok intézményközi információs rendszerben való felhasználását úgy, hogy a kialakított szabályozás az egészségügyi ágazatra vonatkozó jogszabályi rendelkezések közé is megfelelően illeszkedjen. Ez utóbbi követelmény elsősorban az egészségügyben használt dokumentumokra, az egészségügy speciális szervezet- és felelősségi rendszerére, valamint a személyes adatok védelmére vonatkozó szabályozás kiemelt figyelembe vételét kívánta meg. A KÜLÖNBÖZÔ DOKUMENTUMOKKAL SZEMBENI KÖVETELMÉNYEK E megfontolások mentén került felállításra a dokumentumok aláírással való hitelesítés szempontjából történő tipizálása. A kiindulópontot a hagyományos iratok rendszere jelentette, hiszen az elektronikus dokumentumok bevezetése nem érintheti az egyes dokumentumokkal kapcsolatos tartalmi követelményeket. Jogi szempontból három kategória felállítása: a beteggel kapcsolatos dokumentumok, az intézményi dokumentumok, valamint a hatósági eljárásban készült dokumentumok megkülönböztetése bizonyult adekvátnak. Ezek közül a beteggel kapcsolatos dokumentumok (pl. vények, beutalók) a legérzékenyebbek. Egyrészt ugyanis legnagyobb részük a hatályos jogi szabályozásból levezethetően közokiratnak minősül; másrészt ezekben szinte mindig szerepelnek beteggel kapcsolatos személyes ada- IME IV. ÉVFOLYAM 7. SZÁM 2005. OKTÓBER 41 INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG tok, ami fokozott védelmüket teszi szükségessé. A hatósági eljárásban készült dokumentumok (pl. határozatok) esetén is meghatározó szempont volt azok közokirati jellege, valamint gyakorlati jelentőségük (jogokat és kötelezettségeket állapítanak meg az ügyfél számára stb.). A fenti két típusba nem sorolható intézményi dokumentumok (pl. statisztikai jelentések) esetében ezzel szemben kisebb súllyal jelentkeznek e garanciális megfontolások. Elsősorban ezek a szempontok vezettek a beteggel kapcsolatos dokumentumok és a hatósági határozatok esetében a minősített elektronikus aláírás megköveteléséhez. (E ponton a közeljövőben egyszerűsödés várható.) A hagyományos dokumentumok aláírással való hitelesítéssel kapcsolatos tipizálása két további szempontot is felvetett. Hagyományos dokumentumok esetében gyakori, hogy valamely dokumentum érvényességéhez több személy aláírása is szükséges; ennek megfelelőjét elektronikus környezetben is ki kellett alakítani. Másrészt ki kellett alakítani az orvosi pecsét elektronikus megfelelőjét is, mely a hagyományos dokumentumok legtöbbjének alaki kelléke. Bizonyos esetekben továbbá a páciens aláírása is szükséges valamely dokumentum kiállításához; ennek elektronikus megfelelőjének elismerése mellett azt az esetet is rendezni kellett, amikor a páciens nem rendelkezik megfelelő aláírással. Az elektronikus aláírás révén megoldható a dokumentumok hiteles továbbítása (a továbbítás során való sérülés kizárható, a küldő személye biztonsággal megállapítható, az adattovábbítás letagadhatatlan stb.). Így megteremthető az a bizalom, amely az egészségügy területén kiemelt fontosságú. Az elektronikus aláírás megfelelő szintjének kiválasztása azonban nem oldja meg az intézményközi rendszerrel kapcsolatos valamennyi kihívást. A nyílt hálózaton (interneten) való továbbítás során az üzenet illetéktelenek számára hozzáférhetővé válik. A PKI technológia azonban alkalmas titkosításra is. A dokumentumokhoz kapcsolódó felelősségi kérdések (szakmai szabályok követése, adatvédelmi jogszabályoknak való megfelelés) emellett az egyes dokumentumok és továbbítások visszakereshetőségét kívánják meg mind a küldő, mind a fogadó intézmény részéről. A titkosítás és a naplózás előírása természetesen jogi szabályozási feladatot jelentett. Kiemelt cél volt a feltételrendszer oly módon történő kialakítása, hogy az az egész ágazatban, általános érvénnyel alkalmazható legyen. Ebből következően olyan általános, működtetőtől és egyéb tényezőktől független, egységes rendelkezések kialakítása tűnt indokoltnak, amelyek bármely intézményre érvényesek lehetnek. Így szervezettől, intézménytől függetlenül csak azokra a szabályozási tárgyakra kellett speciális normákat kialakítani, melyek szükségképpen kapcsolódnak a hiteles dokumentumcsere és az elektronikus kommunikáció feltételrendszeréhez, s az elektronikus aláírás felhasználásához. A speciális szabályozás mellett természetesen fennmaradnak az ágazatra vonatkozó, az ellátott tevékenységgel kapcsolatos egyéb jogszabályi rendelkezések és normák. 42 IME IV. ÉVFOLYAM 7. SZÁM 2005. OKTÓBER E speciális szabályozási igény és indok teljesítése alapján a szabályozás tárgykörei az elektronikus dokumentumokra vonatkozó alapelvek, az elektronikus aláírással való ellátás, az intézményi hitelesítés, a visszaigazolási és ellenőrzési kötelezettség voltak. Nem volt szükség önálló szankciórendszer intézményesítésére a követelmények nemteljesítése esetére. Ugyanis a formai követelményeknek való meg nem felelés (elektronikus aláírás elhelyezésének elmulasztása, nem megfelelő szintű aláírás használata) jogkövetkezménye a dokumentum visszautasítása. A többi felmerülő esetleges jogsértésekre (adatvédelmi rendelkezések megsértése, a tanúsítványokkal kapcsolatos kötelezettségek stb.) pedig az irányadó jogszabályok (Eat., az adatvédelmi jogszabályok stb.) megfelelő eszközrendszert nyújtanak. Az így kialakuló szabályozási tárgykörök rendezésére két fő lehetőség adódik: a szabályok elhelyezhetők akár egy külön rendeletben, akár a az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésének egyes kérdéseiről szóló 62/1997. (XII. 21.) NM rendeletben. Bizonyos alapelvi követelmények (adatvédelem, megfelelő informatikai biztonsági szint) mellett itt lehetőség nyílik a használt elektronikus dokumentumok egyes típusaira vonatkozó részletes szabályozás kialakítására, teljes körű szabályozást biztosítva e témakörökben. A DOKUMENTUMOK KIÁLLÍTÁSA, INTÉZMÉNYI FELÜLHITELESÍTÉS Papír alapú rendszerben az orvos által kiállított dokumentumon általában csak az orvos aláírása és pecsétje szerepel. Bár a jogászi szakma véleménye e tekintetben nem egységes, a polgári perrendtartásról szóló törvény (Pp.) 195. §-át értelmezve megkockáztatható az állásfoglalás: hatályos jogunkban az orvos által a megfelelő rendben kiállított okirat bizonyos esetekben közokiratnak minősül, más esetekben, például egy egészségügyi intézmény gazdálkodása körében kötött szerződés, egy elküldött megrendelés) pedig a kiállítás módja szerint fog egyszerű magánokiratnak vagy teljes bizonyító erejű magánokiratnak minősülni. Elektronikus környezetben az ezzel ekvivalens megoldás elméletileg kialakítható. A Pp. 195. § (2) bekezdésének 2005. január 1-jétől hatályos szövege alapján ugyanis „az okiratnak az eredeti közokiratéval azonos bizonyító ereje van, ha az elektronikus okiraton a közokirat kiállítására jogosult minősített elektronikus aláírást helyezett el”. Ha tehát az orvos által kiállított valamely dokumentum a hagyományos rendszerben közokiratnak minősül, akkor az orvos által minősített elektronikus aláírással ellátott elektronikus dokumentum is közokirati ranggal fog bír. Ha pedig a papíralapú dokumentum sem minősülne közokiratnak, úgy a Pp. fenti szabálya alapján az elektronikus változat sem lesz közokirat; ehelyett a használt tanúsítvány fokozata (fokozott biztonságú vagy minősített) szerint egyszerű magánokirat vagy teljes bizonyító erejű magánokirat minősül. INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG Fentiek miatt logikusnak tűnt egy olyan dokumentumosztályozást keresni, ami a napi gyakorlatban egyszerűen alkalmazható, továbbá egyértelművé teszi, hogy milyen elektronikus aláírás használatát követeli meg egy adott elektronikus dokumentumon. Az általunk javasolt eredeti rendszer abból indul ki, hogy a rendszer fő felhasználói az orvosok, a rendszer fő alkalmazási területe az orvosi dokumentumok (eRecept, eKonzílium, eKórlap) intézményközi továbbítása. A rendszerben az orvos minősített elektronikus aláírást helyez el a kérdéses dokumentumon, így biztosítható a közokirati vagy teljes bizonyító erejű magánokirati rang. A személyes elektronikus aláírás elhelyezése mellett viszont szükségesnek tűnik egy intézményi felülhitelesítés rendszerének kialakítása több indok miatt. Egyrészt gyakorlati szempontból a beosztási/ügyeleti rendből adódó folyamatos változás nem teszi lehetővé, hogy időben állandóan lehessen összerendelni egy-egy fekvő- vagy járóbeteg ellátó intézmény nevében eljáró orvost. Másrészt az orvosoknál teljesen életszerű, nem ritka helyzet az, hogy egyszerre rendelkeznek például háziorvosi praxissal, kórházi munkaviszonnyal, magánintézeti beosztással. Vagyis a gyakorlatban előfordul, hogy az orvos egy adott nap délelőttjén az egyik intézmény nevében jár el, délután pedig egy másikéban. Márpedig a hagyományos orvospecsét nem az egyes szerepkörökhöz tartozik, az elektronikus aláíráshoz tartozó tanúsítványt ezért szintén szerepköröktől független módon indokolt kialakítani (ez természetesen gazdasági okokból is célszerűbb). A legtöbb dokumentum esetében az, hogy a dokumentum mely intézmény keretein belül került kiállításra, papíron többnyire csupán a dokumentum fejlécéből derül ki. Általában az egészségügyi dokumentumokon nem szerepel külön intézményi pecsét vagy az intézmény képviseletére jogosult személy cégszerű aláírása. Ennek ellenére az orvos által kiállított dokumentum főszabályként az érintett intézményt kötelezi (pl. műhibaper esetén). Ezt az teszi lehetővé, hogy az intézmény aláírási rendje és a vonatkozó jogszabályok értelmében az orvos felhatalmazással bír erre; nem egy külön intézményi pecsét vagy intézményvezetői ellenjegyzés szentesíti tehát az orvos döntését, hanem az intézmény belső rendje. Jogilag egyébként alulszabályozott területről van szó (milyen dokumentumot hányan stb. kell aláírni – ezek sok esetben a gyakorlatban kialakult szokások szerint zajlanak), így a fenti megállapításokon túlmenően aligha mehetnénk bele mélyebb jogi értelmezésbe, elemzésbe. A jelenlegi rendszerben az intézménnyel való megfeleltetést az intézményi fejléc jelenti. A funkcionális ekvivalencia alapelve szerint az ilyen adatoknak az elektronikus dokumentum fejlécében való szerepeltetése felelne meg. Elvileg tehát elegendő volna az, ha az orvos a megfelelő fejléccel ellátott dokumentum formájában állítaná ki annak elektronikus megfelelőjét és azon csak az ő elektronikus aláírása szerepelne. Több megfontolás azonban amellett szól, hogy ezen túlmenően az intézmény saját „közreműködését” (a dokumentum aláírását, a továbbiakban: felülhitelesíté- sét) is megköveteljük. A hagyományos rendhez képest ennyiben tulajdonképpen többletszolgáltatást jelent az, ha az intézmény saját felülhitelesítésével igazolja, hogy a kérdéses dokumentumot az intézmény tényleges alkalmazottja állította ki, az intézményen belül meghatározott aláírási rend szerint. Ez a fentiek szerint jogilag nem szükségszerű elem; álláspontunk szerint azonban alacsony költséggel járó, de igen hasznos eszköz lehet arra tekintettel, hogy egyrészt ez a megoldás – megfelelő informatikai biztonsági garanciák alkalmazása esetén – alkalmas az intézményközi információrendszerbe vetett bizalom erősítésére. Másrészt az intézmény adott dokumentumhoz kapcsolódó felelőssége miatt is megfontolandó az intézményi felülhitelesítés alkalmazása. Jelenleg az orvos által az intézmény nevében kiállított dokumentumért, annak tartalmáért és pontosságáért egyértelműen felelősségre vonható az érintett intézmény. A felülhitelesítés célja tehát, részben ennek hangsúlyosabbá tétele, másrészt pedig annak biztosítása, hogy bizonyos körben magának az intézménynek is legyen némi kontrollja az érintett dokumentumok fölött (a hagyományos rendszerben ez nem volt kivitelezhető, az elektronikus rendszerben viszont legalább annyiban lehetséges, hogy a kiállító orvos valóban az intézmény alkalmazottja-e, jogosult volt-e adott dokumentum kiállítására, nincs-e felfüggesztve stb.) Harmadrészt az Eüak.-ban szereplő, az orvost a kezeléshez szükséges adatok beszerzésére feljogosító felhatalmazás igazolását is meg lehet oldani az intézményi felülhitelesítéssel akkor, ha az intézményi felülhitelesítést egy automatizált, erre vonatkozó ellenőrzés előzi meg az intézményi adatbázisban. Negyedszer az adatvédelmi törvény szerint az adatkezelő részéről nem feltétlenül elegendő a konkrét adatkezelési szabályok gyakorlati betartása: az adatkezelőnek a lehetséges technikai intézkedéseket is meg kell tennie az adatvédelmi és titokvédelmi szabályok érvényre juttatására. A törvény külön nevesíti azt az esetkört, mint kötelezően technikai védelmi intézkedéseket kiváltó lépés, ha „a személyes adatok továbbítása hálózaton vagy egyéb informatikai eszköz útján történik”. Ebből egyrészt következik a titkosítás követelménye, másrészről azonban a konkrét intézmény általi „elismerés” is hozzátartozhat ehhez az intézkedési körhöz. Felvethető ugyanis az elektronikus rendszerrel szemben, hogy míg a papír alapú rendszerben a fejléces papír (pl. vény esetében) annyi korlátot jelentett, hogy annak hamisítása igényel némi technikai felkészültséget, még ha ez a korlát valójában nem is erős. Az elektronikus dokumentum fejlécében való intézmény-megjelölés esetében azonban nem áll fenn ez a nehézség. Az intézményi felülhitelesítés viszont olyan rendelkezésre álló szolgáltatás, amely helyettesítheti ezt a korlátot. Összességében tehát az intézményi felülhitelesítés alkalmazása mellett szól az a dokumentum intézménnyel való egyértelmű megfeleltetése, az orvos aktuálisan gyakorolt szerepkörének hiteles megjelölése, a kezeléshez szüksé- IME IV. ÉVFOLYAM 7. SZÁM 2005. OKTÓBER 43 INFOKOMMUNIKÁCIÓ ADATBIZTONSÁG ges adatok beszerzési jogosultságának igazolása. Az informatikai eszköz ehhez képest alacsony költséggel, automatikus megoldásként egyszerűen megvalósítható, így összességében célszerű volt annak bevezetése. Látható tehát, hogy az intézményi felülhitelesítés alapvetően nem a jogi értelemben vett hitelesség fokozására, mint inkább a megbízhatóság növelésére, az intézményi felelősség erősítésére, vagyis az intézménnyel való hiteles megfeleltetésre szolgál. A kiállításra való jogosultság ugyanis továbbra sem az intézmény (cégjegyzék szerinti) képviseletének jogából, hanem a belső intézményi rendből fakad. Általánosságban le kell azonban szögezni: az, hogy az orvos aláírását követően milyen további aláírás kerül elhelyezésre a dokumentumon (ami magának a dokumentumnak és a korábbi aláírásoknak nem okozhat sérelmet), ez a körülmény önmagában az eredeti aláírással ellátott elektronikus dokumentum jogi státuszát – vagyis közokirati rangját – nem érinti. Erre utalt a tervezett szabályozás is, amikor rögzíti az egyéb jogkövetkezmények és hitelesítési szintek érintetlenül maradását. A SZERZÔK BEMUTATÁSA Dr. Kovács Tamás (27 év) jogász. Az eGov Tanácsadó Kft. vezető szakértője. A Magyary Zoltán E-közigazgatástudományi Egyesület elnökségi tagja. Kutatási területe az elektronikus közigazgatás kialakításának jogi kérdése. Ilyen témák voltak az egészségügy területén az elektronikus aláírás egészségügyi intézmények közötti alkalmazásának jogi kédései, illetve az intézményközi rendszerek adatvédelmi kérdései. Kleinheincz Gábor (30 év) jogi szakokleveles mérnök. Az eGov Tanácsadó Kft. vezető szakértője. A Magyary Zoltán E-közigazgatástudományi Egyesület elnöke. Kutatási területe az elektronikus közigazgatás kialakításának egyes ágazati, tematikus kérdései: olyan problémák megoldása, amelyek minden esetben ágazati szakmai, jogi és informatikai tématerületek metszetében helyezkednek el. Ilyen témák voltak az egészségügy területén az elektronikus aláírás egészségügyi intézmények közötti alkalmazásának jogi kédései, illetve az intézményközi rendszerek adatvédelmi kérdései. Nekrológ 2005 június 13-án meghalt Dr. Kocsis Tibor mellkassebész főorvos, a hazai teljesítményelvű egészségügyi finanszírozás területén végzett szakértői tevékenység egyik úttörője, meghatározó alakja, az Egészségügyi Finanszírozási Tanácsadók Szakmai Egyesületének alelnöke. 1955. május 29-én született Budapesten. A Semmelweis Orvostudományi Egyetemen 1980-ban végzett, ezt követően a kaposvári Kaposi Mór Oktató Kórházban kezdte pályáját a Mellkas-sebészeti Osztályon. Szakmai karrierje gyorsan haladt előre, elismert mellkas-sebész főorvossá vált. 1995-ben, az elsők között kezdett el Magyarországon finanszírozási tanácsadással foglalkozni. Hamarosan széleskörű elismertségre tett szert ezen a területen. 1999-től a Semmelweis Egyetem Egészségügyi Menedzserképző Központja HBCS tárgyú képzéseinek rendszeres előadója volt. 2003-ban szerezte meg egészségügyi szakközgazdász képesítését a Budapesti Közgazdasági Egyetemen. Sztoikus higgadtsággal fogadta el sorsát, az utolsó hetekig aktívan dolgozva. Az EFTE elnöksége 44 IME IV. ÉVFOLYAM 7. SZÁM 2005. OKTÓBER
