Upoważnienia i dostęp do EDM w zespole: jak to poukładać „bez papierologii”
Jak ustawić role i upoważnienia do EDM: minimalne uprawnienia, onboarding/offboarding, dostęp awaryjny, logi i rejestry – bez zbędnej biurokracji.

Procedura
Kolejność ma znaczenie.
Ten format prowadzi przez zdarzenie krok po kroku: najpierw porządek faktów, potem dokumenty, komunikacja i próg eskalacji.
Co zrobić teraz
- Zacznij od uporządkowania faktów i dokumentów, zanim odpowiesz dalej.
- Zapisz decyzje, osoby obecne i źródła informacji w jednym miejscu.
- Jeżeli pojawia się termin, pismo albo roszczenie, przejdź do konsultacji.
Na co uważać
- Kiedy to już konsultacja 1:1
Upoważnienia i dostęp do EDM w zespole: jak to poukładać „bez papierologii”
Jak ustawić role i upoważnienia do EDM: minimalne uprawnienia, onboarding/offboarding, dostęp awaryjny, logi i rejestry – bez zbędnej biurokracji.
Teczka kontrolna – struktura folderów
Rejestracja telefoniczna – minimum bezpieczeństwa
RODO w gabinecie: 10 wdrożeń
Dostęp do EDM oznacza w praktyce dostęp do danych o zdrowiu, a więc do najbardziej wrażliwych informacji w placówce. Najczęstsze problemy nie wynikają z braku technologii, tylko z braku porządku: wspólne loginy, „tymczasowe” konta bez daty końcowej, brak procedury odebrania dostępu po zakończeniu współpracy albo brak jasnej reguły, kto i kiedy może przeglądać dokumentację pacjenta.
Dobrą wiadomością jest to, że da się to ułożyć bez rozbudowanej biurokracji. Wystarczy kilka stałych zasad, jedna krótka procedura i proste rejestry, które pozwalają utrzymać spójność.
- Dwa rodzaje „upoważnień”, które często się mylą
Dla porządku rozdziel dwie rzeczy:
Upoważnienia personelu do przetwarzania danych (RODO/bezpieczeństwo): kto może przetwarzać dane pacjentów i w jakim zakresie w ramach obowiązków.
Upoważnienia pacjenta do informacji (prawa pacjenta/tajemnica): komu można przekazywać informacje o stanie zdrowia i komu można udostępnić dokumentację.
To dwa odrębne obszary. W EDM warto rozdzielić je także procesowo. Dostęp personelu do systemu to jedno, a uprawnienia osoby bliskiej do informacji, to drugie.
- Zasady, które zwykle wystarczą (i da się je wdrożyć bez „papierologii”)
Jedna osoba odpowiada za dostępy (administrator uprawnień).
Każdy użytkownik ma własne konto (zakaz wspólnych loginów).
Uprawnienia wynikają z roli (role-based access).
Zasada minimalnych uprawnień, to tylko to, co potrzebne do pracy.
Dostęp czasowy dla zastępstw i stażystów (z datą końcową).
Offboarding w dniu zakończenia współpracy.
Logi systemowe + prosty rejestr nadania/odebrania dostępu.
- Prosty model ról w EDM (minimum praktyczne)
W większości placówek wystarczy 5–7 ról. Im mniej ról, tym łatwiej utrzymać porządek.
- Onboarding w 10 minut: jak nadać dostęp bez biurokracji
Wniosek o dostęp (krótki formularz): użytkownik, rola, data startu, data końca (jeśli czasowy), przełożony zatwierdzający.
Przypisanie jednej roli.
Wniosek o dostęp (minimum pól):
Offboarding: jedna lista kontrolna
Najczęstsza luka to konto, które pozostaje aktywne po zakończeniu współpracy. Offboarding powinien być zawsze taki sam:
Dezaktywacja konta EDM w dniu zakończenia współpracy.
Odebranie dostępu do poczty/VPN/dysków i narzędzi zdalnych.
Odebranie identyfikatorów/kart/tokenów.
Zmiana haseł współdzielonych (np. Wi-Fi personelu), jeśli były udostępnione.
Dostęp „awaryjny” (break-glass) – bez wspólnych loginów
W sytuacjach nagłych może być potrzebny dostęp poza standardowym zakresem (np. pacjent nieprzypisany). Rozwiązaniem jest procedura awaryjna z pełnym logowaniem, a nie wspólne konto:
Włącz funkcję awaryjnego dostępu (jeżeli EDM ją ma) lub utwórz rolę awaryjną z pełnym logowaniem zdarzeń.
Regularny przegląd logów (np. raz w miesiącu) przez osobę wyznaczoną (IOD/jakość).
Dostęp rejestracji: minimum, które nie blokuje pracy
2 rejestry zamiast segregatorów
Żeby było „bez papierologii”, wystarczą dwa proste rejestry (Excel/SharePoint):
Rejestr uprawnień do EDM: kto, jaka rola, od kiedy, do kiedy, kto zatwierdził, kto nadał, data odebrania.
Rejestr wyjątków: kiedy i dlaczego udzielono dostępu poza standardem (np. break-glass, dostęp czasowy).
Jak to połączyć z upoważnieniem pacjenta do informacji?
Upoważnienia pacjenta do informacji powinny być łatwe do znalezienia w EDM (np. pole w kartotece). W rozmowach telefonicznych kluczowe jest potwierdzenie tożsamości rozmówcy i ostrożność w zakresie przekazywanych informacji.
Kiedy to już konsultacja 1:1
EDM nie pozwala na sensowny podział ról i potrzebny jest projekt procesu zapewniający minimalizację dostępu.
Wystąpił incydent bezpieczeństwa (nieuprawniony dostęp, wyciek, niejasne logi).
Placówka ma wielu podwykonawców i potrzebuje spójnej matrycy uprawnień.
Pojawiają się spory o udostępnianie dokumentacji lub o informacje przekazywane osobom trzecim.
Do wykorzystania jako załącznik do procedury (onboarding/offboarding).
Uruchamiana po informacji o zakończeniu współpracy.
Dane osoby:
Checklista:
Dezaktywowano konto w EDM (data/godzina, osoba wykonująca).
Odebrano dostęp do poczty, VPN, systemów zdalnych i dysków współdzielonych.
Zablokowano/odebrano dostęp do innych systemów (np. RIS/LIS/PACS, e-rejestracja, platformy).
Odebrano identyfikatory, karty dostępu, tokeny; odnotowano zwrot sprzętu (jeżeli dotyczy).
Zaktualizowano rejestr uprawnień (data odebrania + potwierdzenie) oraz – jeżeli potrzebne – zmieniono hasła współdzielone.
Podpisy:
Następny krok
Nie kończ na przeczytaniu, jeśli sprawa dalej ma termin albo ryzyko.
Jeśli pojawia się termin, pismo, roszczenie albo pełnomocnik, nie opieraj decyzji wyłącznie na materiale ogólnym.
Eskalacja
Sprawa nie czeka?
Jeśli masz pismo, wezwanie, skargę albo termin, gotowy materiał może być za ogólny. Wtedy potrzebna jest analiza konkretnej sytuacji.
Umów konsultację