Cardul electronic de sănătate: limba română şi securitatea informaţiilor

Scriu cele de mai jos doar pe baza informaţiilor publice

“Art. 1. – Cardul naţional de asigurări sociale de sănătate, denumit în continuare card naţional, se emite pentru dovedirea calităţii de asigurat pentru furnizarea unor servicii medicale.HG nr. 900/2012 – aprobarea Normelor metodologice de aplicare a prevederilor referitoare la cardul national de asigurari sociale de sanatate

“Art. 330 (2) Cardul naţional de asigurări sociale de sănătate se emite pentru dovedirea calităţii de asigurat pentru furnizarea unor servicii medicale. Legea 95 2006 actualizata a reformei in sanatate

 

FURNIZÁ, furnizez, vb. I. Tranz. A procura mărfuri prin vânzare sau a pune la dispoziție servicii, contra plată, în baza unei înțelegeri prealabile; a livra. ♦ A da, a oferi o informație, o știre etc..

Prin deţinerea acestui card vom avea “calitatea de asigurat pentru furnizarea unor servicii medicale”???? Dar pentru a avea calitatea de „beneficiar” ce fel de card ne-ar trebui?

„Persoanele asigurate au obligaţia prezentării documentului naţional de asigurări sociale de sănătate în vederea acordării serviciilor medicale

Documentul nu este transmisibil.

Documentul poate fi folosit numai împreună cu un document de identitate.

Incercarea de falsificare a documentului naţional de asigurări sociale de sănătate este pedepsită conform legii”  – Ordinul 633 din 14 septembrie 2012 (Ordinul 633/2012)

 

ACORDÁ, (1, 2) acórd, (3) acordez, vb. I. Tranz. 1. A da (cu îngăduință, cu grijă, cu atenție, cu bunăvoință); a oferi; a atribui. 2. A stabili acordul gramatical. 3. A regla frecvența unui aparat, a unui sistem fizic etc., astfel încât să fie egală cu frecvența altui aparat, sistem fizic etc. ♦ A aduce tonurile unui instrument muzical la aceeași înălțime.

„Acordăm” servicii medicale sau „ni se acordă”/beneficiem/primim?

 “(4) Informatiile minime care vor fi vizualizate pe cardul national sunt urmatoarele:
a) numele si prenumele asiguratului;
b) codul unic de identificare in sistemul de asigurari sociale de sanatate;
c) numarul de identificare al cardului national;
d) data expirarii cardului national
(5) Pe cip-ul cardului national se inregistreaza si pot fi accesate datele mentionate la art. 331 alin. (1) si (2) din Legea nr. 95/2006, cu modificarile si completarile ulterioare.”
Ordinul 633 din 14 septembrie 2012 (Ordinul 633/2012)
“Art. 331

(1) Informaţiile minime care pot fi accesate de pe cardul naţional de asigurări sociale de sănătate sunt următoarele:

a) numele, prenumele, precum şi codul numeric personal ale asiguratului;

b) codul unic de identificare în sistemul de asigurări sociale de sănătate;

c) numărul de identificare al cardului naţional de asigurări sociale de sănătate.

(2) Pe cipul cardului naţional de asigurări sociale de sănătate vor fi înregistrate informaţiile minime prevăzute la alin. (1), precum şi următoarele informaţii:

a) diagnostice medicale cu risc vital şi boli cronice;

b) grupa sanguină şi Rh;

c) acceptul exprimat, în timpul vieţii, pentru prelevarea de organe, ţesuturi şi celule, după deces;

d) medic de familie: nume, prenume, date de contact.

(3) Diagnosticele medicale cu risc vital şi bolile cronice care vor fi înregistrate pe cipul cardului naţional de asigurări sociale de sănătate se stabilesc prin ordin comun al ministrului sănătăţii şi al preşedintelui CNAS.

(4) Pe cardul naţional de asigurări sociale de sănătate datele medicale se înregistrează separat de datele administrate, iar accesul la acestea se face numai de persoane autorizate în acest scop.

(5) Informaţia prevăzută la alin. (2) lit. c ) se va înregistra pe cipul cardului naţional de asigurări sociale de sănătate, sub condiţia respectării dispoziţiilor prevăzute la art. 147 pct. 5.

(6) Accesul personalului medical la informaţiile înregistrate pe cardul naţional de asigurări sociale de sănătate va fi stabilit prin Norme metodologice de aplicare a prevederilor referitoare la cardul naţional de asigurări sociale de sănătate prevăzut în titlul IX Cardul european şi cardul naţional de asigurări sociale de sănătate al Legii nr. 95/2006 privind reforma în domeniul sănătăţii.” –  Legea 95 2006 actualizata a reformei in sanatate

“Art. 334 Cardul naţional poate fi utilizat numai pe teritoriul României.”Legea 95 2006 actualizata a reformei in sanatate

 “Art. 8. –
(1) Entitatile care au acces la informatiile inscrise pe cardul national sunt:
a) Casa Nationala de Asigurari de Sanatate si casele de asigurari de sanatate, prin personalul autorizat in acest scop, au acces la datele mentionate la art. 331 alin. (1) si (2) din Legea nr. 95/2006, cu modificarile si completarile ulterioare, cu exceptia editarii datelor medicale pe cipul cardului national;
b) medicul de familie la care este inscris asiguratul are acces la editarea datelor medicale inscrise pe cipul cardului national, precum si la citirea datelor inscrise atat pe cardul national, cat si pe cipul acestuia;
c) medicii specialisti, altii decat medicii de familie mentionati la lit. b), au acces numai la citirea datelor inscrise pe cardul national, respectiv cipul acestuia;
d) furnizorii de dispozitive medicale si furnizorii de medicamente, prin intermediul cardului national, vor realiza doar identificarea titularului cardului national in vederea eliberarii prescriptiilor medicale sau a dispozitivelor medicale
(2) Pentru exercitarea drepturilor prevazute de Legea nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare, asiguratii, titulari ai cardului national, adreseaza o cerere scrisa entitatilor mentionate la alin. (1), care vor transmite, in mod gratuit, informatiile solicitate, in conditiile legii
(3) Casa Nationala de Asigurari de Sanatate, casele de asigurari de sanatate, furnizorii de servicii medicale, medicamente si dispozitive medicale, precum si institutiile implicate in implementarea cardului national au obligatia de a respecta prevederile Legii nr. 677/2001, cu modificarile si completarile ulterioare
(4) Informatiile minime care vor fi vizualizate pe cardul national sunt urmatoarele:
a) numele si prenumele asiguratului;
b) codul unic de identificare in sistemul de asigurari sociale de sanatate;
c) numarul de identificare al cardului national;
d) data expirarii cardului national”
  – HG nr. 900/2012 – aprobarea Normelor metodologice de aplicare a prevederilor referitoare la cardul national de asigurari sociale de sanatate”

CES

“CID-ul reprezintă Codul de IDenitificare al asiguraţilor din SIUI (Sistemul Informatic Unic Integrat).

CID-ul este folosit la identificarea unică în sistem a persoanelor asigurate. Valoarea sa este generată pe baza CNP-ului. Mai jos se găsesc câteva resurse pentru dezvoltatorii de software, dar şi pentru publicul larg, care pot fi folosite pentru generarea CID-ului din CNP.

Se poate genera valoarea CID-ului şi online pe acest portal în secţiunea Asiguraţi” – http://siui.casan.ro:82/Asigurati/DespreCID.aspx

SCENARII

Precauţi fiind, am acceptat ca pe cardul de sănătate să fie înregistrate şi “date clinice” (exprimarea din textul legii nu mi se pare deloc clară, în sensul că datele clinice ar fi facultative). Ştiind algoritmul de generare CID din CNP, l-am putea afla pe cel din urmă? Putem argumenta, pe baza imaginii de mai sus, că pentru a accesa informaţiile de pe acest card va fi nevoie de un PIN (presupun că sunt stocate chiar criptate). În cazul în care sînt grav accidentat, incapabil să vorbesc/mişc  cum se vor accesa totuşi informaţiile de pe card? Dar dacă tanti Aglae, de 80 de ani, din Bosanci, ajunge la urgenţe? Dacă totuşi datele pot fi accesate fără PIN, cum se asigură securitatea lor? Dar despre informaţia cu privire la statutul de „donator de organe”?

Unul din principiile fundamentale în domeniul securităţii informaţiilor este „need to know”…..Oare s-a auzit despre el?

Închei cu o secvenţă de cod, din una din resursele publice ce au legătură cu CID:

„/// Database value for unknown gender
/// </summary>
public const string BISEXUAL = „4”;”

UPDATE:

„Pentru a fi funcţional, cardul trebuie activat; când vi se va înmâna cardul pentru prima oară trebuie să personalizaţi pinul de acces format din 4 cifre.  
Acest cod vi se va cere de fiecare dată când veţi solicita şi primi servicii medicale.  
Reţineţi-l sau notaţi-l în aşa fel încât să vă fie accesibil doar Dumneavoastră ! 

(…) Medicul Dumneavoastră de familie este singura persoană care are dreptul şi poate să inscripţioneze cipul de pe card cu date medicale esenţiale pentru sănătatea Dumneavoastră – grupa sanguină şi Rh-ul, bolile cu risc vital şi cele cronice de care suferiţi dar şi faptul că sunteţi sau doriţi să deveniţi donator de organe. Aceste date vor fi inscripţionate doar în urma exprimării explicite, în scris a acordului Dumneavoastră sau, dupa caz a aparţinătorului legal sau a împuternicitului legal.  Acordul se va da numai după informarea corectă, completă şi accesibilă ca limbaj facută
Dumneavoastră de către medicul de familie, privitoare la diagnosticele, datele medicale sau alte date care se doresc a fi înscrise pe cipul cardului. „ Sursa

Este corect că accesul la informaţii se face pe bază de PIN. Dar există o mulţime de situaţii în care un asigurat poate fi în imposibilitatea de a tasta acel PIN!

 

5 gânduri despre “Cardul electronic de sănătate: limba română şi securitatea informaţiilor

  1. Unde scrie asta: „public const string BISEXUAL = “4″;” ??

    Eu cred ca datele ar fi trebuit impartite mai clar. Nu inteleg de ce CNAS (care este o institutie administrativa si nu medicala) trebuie sa aiba acces la datele medicale de la art 331 alin 2.
    In mod normal la datele medicale ar trebui sa aiba access medicii competenti si atit. Si ar trebui sa fie un log clar al accesarilor, ca sa nu ai supriza ca fosta prietena medic ORL te-a trecut ca ai sifilis😛 Nu?

    Apreciază

    • „public const….” apare în unul din fişierele folosite la generare CID din CNP🙂

      Neînţelegerile mele sînt şi mai mari, din punct de vedere al proiectării unui astfel de sistem. S-au cheltuit sume considerabile cu „informatizarea” în domeniul public fără pic de viziune şi fără nici un fel de integrare.

      Toate „problemele” pe care acest card spune că le rezolvă pot fi atinse mai simpllu. Pentru validarea calităţii de asigurat şi consultarea datelor clinice se foloseşte doar cartea de identitate. Informaţiile de pe cardul de sănătate ar trebui stocate tot în SIUI (pentru a avea un control centralizat asupra accesului la aceste date; loguri şi tot restul…). Medicul de familie, medicul din spital pot forte uşor să consulte astfel de informaţii în acelaşi sistem. Ar exista însă controlul: cine, ce , cînd, de ce…

      Actualul card electronic de sănătate, din punct de vedere al securităţii vieţii private, este o bombă nucleară! Pentru că prevederile legii 677 sînt doar poveşti!

      Apreciază

  2. Pingback: <Miserupismul> din IT-ul public « ADRIAN MUNTEANU -

  3. Problemele, sau cel putin o parte din ele, pe care le ai sunt legate de faptul ca nu cunosti detalii tehnice. Nu se poate decat CNP -> CID, invers este imposibil (cauta algoritmi hash). Cardul nu stocheaza atat de multe date precum ne face sa credem, el avand un spatiu limitat. Cardul se refera cumva indirect la dosarul pacientului din SIUI. Stai linistit ca acolo datele se pot accesa. Daca CNAS a generat cheile hash private de pe cardurile de asigurat, are acces la date criptate cu acestea (presupunand ca sunt criptate).

    Apreciază

    • Paul,

      Mulțumesc pentru comentariu. Generarea CNP după CID este printre ultimele probleme care mă preocupă și nu contest că nu cunosc detaliile tehnice.
      Îmi doresc să înțeleg alte lucruri, printre care și de ce a fost nevoie de acest card. De ce nu este suficientă CI?

      Apreciază

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s