eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plPrawoAkty prawneProjekty ustaw › Rządowy projekt ustawy o zmianie ustawy o systemie informacji w ochronie zdrowia oraz niektórych innych ustaw

Rządowy projekt ustawy o zmianie ustawy o systemie informacji w ochronie zdrowia oraz niektórych innych ustaw

projekt dotyczy doprecyzowania ram prawnych niezbędnych do wdrożenia rozwiązań w zakresie sytemu informacji w ochronie zdrowia

  • Kadencja sejmu: 7
  • Nr druku: 3763
  • Data wpłynięcia: 2015-07-24
  • Uchwalenie: sprawa niezamknięta

3763-cz-2


Druk nr 3763 cz. 2


Warszawa, 23 lipca 2015 r.
SEJM

RZECZYPOSPOLITEJ POLSKIEJ
VII kadencja
Prezes Rady Ministrów

RM-10-65-14




Pani

Małgorzata Kidawa-Błońska

Marszałek Sejmu

Rzeczypospolitej Polskiej




Szanowna Pani Marszałek
Na podstawie art. 118 ust. 1 Konstytucji Rzeczypospolitej Polskiej z dnia
2 kwietnia 1997 r. przedstawiam Sejmowi Rzeczypospolitej Polskiej projekt
ustawy

- o zmianie ustawy o systemie informacji
w ochronie zdrowia oraz niektórych
innych ustaw
z projektami
aktów
wykonawczych.

W załączeniu przedstawiam także opinię dotyczącą zgodności
proponowanych regulacji z prawem Unii Europejskiej.
Jednocześnie uprzejmie informuję, że do prezentowania stanowiska Rządu
w tej sprawie w toku prac parlamentarnych został upoważniony Minister Zdrowia.

Z poważaniem

(-) Ewa Kopacz
Projekt
R O Z P O R Z Ą D Z E N I E
M I N I S T R A Z D R O W I A 1)
z dnia
w sprawie określenia warunków technicznych umożliwiaj cych udostępnianie danych za
pośrednictwem systemów teleinformatycznych, dla których administratorem systemu
jest jednostka podległa ministrowi właściwemu do spraw zdrowia w zakresie systemów
informacyjnych ochrony zdrowia, Narodowy Fundusz Zdrowia lub Zakład Ubezpieczeń
Społecznych
Na podstawie art. 7 ust. 5 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w
ochronie zdrowia (Dz. U. z 2015 r. poz. 636, 788, 855 i …) zarządza się, co następuje:
§ 1. Rozporządzenie określa:
1)
metodę uwierzytelnienia podmiotów względem siebie, o których mowa w art. 7 ust. 4
ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz. U.
z 2015 r. poz. 636, 788, 855 i …);
2)
metodę autoryzacji użytkownika i zabezpieczenia danych przesyłanych pomiędzy
podmiotem, w którym został zidentyfikowany i uwierzytelniony użytkownik tego
podmiotu a podmiotem, w którym znajdują się dane o dostępie do których użytkownik
aplikuje;
3)
podstawowe wymagania organizacyjne i techniczne dotyczące polityk certyfikacji, jakie
muszą spełnić podmioty wskazane w rozporządzeniu;
4)
warunki i metody audytowania systemów służących do uwierzytelnienia podmiotów.
§ 2. Użyte w rozporządzeniu określenia oznaczają:
1)
uwierzytelnienie podmiotu – proces zapewnienia, że dany podmiot jest tym za którego
się podaje zgodnie z normą ISO/IEC 9798;
2)
protokół TLS – Transport Layer Security protocol; protokół służący do uwierzytelnienia
podmiotu w systemie klient-serwer i zabezpieczenia kanału przekazywania danych
zgodny z wymaganiami standardu RFC 2246;

1) Minister Zdrowia kieruje działem administracji rządowej - zdrowie, na podstawie § 1 ust. 2 rozporządzenia
Prezesa Rady Ministrów z dnia 22 września 2014 r. w sprawie szczegółowego zakresu działania Ministra
Zdrowia (Dz. U. poz. 1268).
– 2 –
3)
certyfikat X.509 v.3 – poświadczenie elektroniczne zdefiniowane w RFC 5280;
4)
centrum certyfikacji – jednostka organizacyjna wydająca certyfikaty X.509 v.3 służące
realizacji protokołu TLS spełniająca wymagania określone w standardzie technicznym
ETSI TS 102 042;
5)
autoryzacja – proces udzielenia dostępu do żądanych zasobów informacyjnych
zdefiniowany w normie PN-I-02000:2002.
§ 3. Podmioty uwierzytelniają się względem siebie dwustronnie, zgodnie z modelem
określonym w normie ISO/IEC 9798-1.
§ 4. 1. Podmiot, w którym został zidentyfikowany użytkownik żądający dostępu do
danych znajdujących się w systemie innego podmiotu, jest określony jako żądający. Ten
drugi podmiot jest określony jako weryfikujący.
2. Po pomyślnym zweryfikowaniu tożsamości podmiotu żądającego podmiot
weryfikujący realizuje bezpieczne połączenie end-to-end ze stacją roboczą systemu
żądającego na której użytkownik końcowy został prawidłowo zidentyfikowany w tym
systemie.
§ 5. Uwierzytelnienie podmiotów i zestawienie bezpiecznego połączenia odbywa się z
wykorzystaniem certyfikatów X.509 v.3 służących do realizacji protokołu TLS.
§ 6. 1.Stacja robocza systemu żądającego jest uważana za stronę klienta protokołu TLS.
2. System informatyczny strony weryfikującej uważany jest za stronę serwera protokołu
TLS. Wykorzystanie opcji serwera anonimowego jest wykluczone.
3. Certyfikaty, o których mowa § 5, są generowane i utrzymywane przy pomocy
centrum certyfikacji każdego z podmiotów, o których mowa w rozporządzeniu. Certyfikaty są
podpisane podpisem własnym centrum certyfikacji, które je wystawiło.
4. Podmioty ufają certyfikatom wystawionym przez jednostkę podległą ministrowi
właściwemu do spraw zdrowia w zakresie systemów informacyjnych ochrony zdrowia,
Narodowy Fundusz Zdrowia i Zakład Ubezpieczeń Społecznych.
5. Protokół TLS jest używany z wykorzystaniem obligatoryjnie zmienianych
parametrów dla każdej nowej sesji. Użycie parametrów z poprzedniej sesji jest niedozwolone.
§ 7. Użytkownik podlega autoryzacji w systemie w którym znajdują się dane o dostęp
do których aplikuje.
– 3 –
§ 8. 1. Dla realizacji autoryzacji system żądający przesyła minimalny zestaw danych
określonych w załączniku nr 1 do rozporządzenia.
2. W wypadku pomyślnego zakończenia procesu autoryzacji w systemie w którym
znajdują się dane udzielany jest dostęp do tych danych.
3. W przypadku niepomyślnego zakończenia procesu autoryzacji do systemu żądającego
przesyłany jest odpowiedni kod błędu opisany w załączniku nr 2 do rozporządzenia.
4. Dla zapewnienia ścieżki audytowej zrealizowanego dostępu lub próby dostępu
tworzony jest plik, którego struktura jest opisana w załączniku nr 3 do rozporządzenia. Plik
jest zapisywany obligatoryjnie po stronie weryfikującej i opcjonalnie po stronie żądającej.
5. Dane są zabezpieczone przez użycie protokołu TLS.
§ 9. 1. Jednostka podległa ministrowi właściwemu do spraw zdrowia w zakresie
systemów informacyjnych ochrony zdrowia, Narodowy Fundusz Zdrowia i Zakład
Ubezpieczeń Społecznych. przekazują sobie wzajemnie oświadczenia, że spełniają
wymagania określone w standardzie technicznym ETSI TS 102 042 lub w standardzie albo
normie go zastępującym.
2. Oświadczenia, o których mowa w ust. 1, składane są raz na dwa lata.
§ 10. ródłem zapewnienia jest pozytywny wynik audytu przeprowadzonego zgodnie z
zasadami przeprowadzania audytu instytucji publicznych określonych w rozporządzeniu
Minister Finansów z dnia 1 lutego 2010 r. w sprawie przeprowadzania i dokumentowania
audytu wewnętrznego (Dz. U. Nr 21, poz. 108).
§ 11. 1. Pierwszy audyt, o którym mowa w § 10, przeprowadza się w okresie 6 miesięcy
od wejścia w życie ustawy z własnej inicjatywy podmiotu.
2. Na wniosek jednostki podległej ministrowi właściwemu do spraw zdrowia w zakresie
systemów informacyjnych ochrony zdrowia, Narodowego Funduszu Zdrowia lub Zakładu
Ubezpieczeń Społecznych, lub z własnej inicjatywy minister właściwy do spraw zdrowia
może zarządzić dodatkowy audyt celem weryfikacji aktualnego stanu faktycznego.
3. Audyt przeprowadza się z uwzględnieniem warunków określonych w raporcie
technicznym ETSI 103 123 lub raporcie, standardzie, czy normie go zastępującym.
§ 12. Rozporządzenie wchodzi w życie po upływie 14 dni od dnia ogłoszenia.

MINISTER ZDROWIA


– 4 –
Załączniki
do rozporządzenia
Ministra Zdrowia

z dnia …. (poz. …)
Załącznik nr 1
Minimalny zestaw danych
(Tu należy przy współpracy ZUS ,CSIOZ, NFZ uzgodnić jaki zakres danych będzie
przekazywany)




strony : [ 1 ] . 2 ... 10 ... 50 ... 63

Dokumenty związane z tym projektem:



Eksperci egospodarka.pl

1 1 1

Akty prawne

Rok NR Pozycja

Najnowsze akty prawne

Dziennik Ustaw z 2017 r. pozycja:
1900, 1899, 1898, 1897, 1896, 1895, 1894, 1893, 1892

Monitor Polski z 2017 r. pozycja:
938, 937, 936, 935, 934, 933, 932, 931, 930

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: