Upoważnienia i dostęp do EDM w zespole: jak to poukładać bez zbędnego chaosu
Jak ustawić role i upoważnienia do EDM: minimalne uprawnienia, onboarding/offboarding, dostęp awaryjny, logi i rejestry – bez zbędnej biurokracji.

Procedura
Kolejność ma znaczenie.
Ten format prowadzi przez zdarzenie krok po kroku: najpierw porządek faktów, potem dokumenty, komunikacja i próg eskalacji.
Co zrobić teraz
- Zacznij od uporządkowania faktów i dokumentów, zanim odpowiesz dalej.
- Zapisz decyzje, osoby obecne i źródła informacji w jednym miejscu.
- Jeżeli pojawia się termin, pismo albo roszczenie, przejdź do konsultacji.
Na co uważać
- Kiedy to już konsultacja 1:1
Teczka kontrolna – struktura folderów
Rejestracja telefoniczna – minimum bezpieczeństwa
RODO w gabinecie: 10 wdrożeń
Dostęp do EDM oznacza w praktyce dostęp do danych o zdrowiu, a więc do najbardziej wrażliwych informacji w placówce. Najczęstsze problemy nie wynikają z braku technologii, tylko z braku porządku: wspólne loginy, „tymczasowe” konta bez daty końcowej, brak proce
Dostęp do EDM oznacza w praktyce dostęp do danych o zdrowiu, a więc do najbardziej wrażliwych informacji w placówce. Najczęstsze problemy nie wynikają z braku technologii, tylko z braku porządku: wspólne loginy, „tymczasowe” konta bez daty końcowej, brak procedury odebrania dostępu po zakończeniu współpracy albo brak jasnej reguły, kto i kiedy może przeglądać dokumentację pacjenta.
Dobrą wiadomością jest to, że da się to ułożyć bez rozbudowanej biurokracji. Wystarczy kilka stałych zasad, jedna krótka procedura i proste rejestry, które pozwalają utrzymać spójność.
- Dwa rodzaje „upoważnień”, które często się mylą
Dla porządku rozdziel dwie rzeczy
Upoważnienia personelu do przetwarzania danych (RODO/bezpieczeństwo): kto może przetwarzać dane pacjentów i w jakim zakresie w ramach obowiązków.
Upoważnienia pacjenta do informacji (prawa pacjenta/tajemnica): komu można przekazywać informacje o stanie zdrowia i komu można udostępnić dokumentację.
To dwa odrębne obszary. W EDM warto rozdzielić je także procesowo. Dostęp personelu do systemu to jedno, a uprawnienia osoby bliskiej do informacji, to drugie.
- Zasady, które zwykle wystarczą (i da się je wdrożyć bez „papierologii”)
Jedna osoba odpowiada za dostępy (administrator uprawnień).
Każdy użytkownik ma własne konto (zakaz wspólnych loginów).
Uprawnienia wynikają z roli (role-based access).
Zasada minimalnych uprawnień, to tylko to, co potrzebne do pracy.
Dostęp czasowy dla zastępstw i stażystów (z datą końcową).
Offboarding w dniu zakończenia współpracy.
Logi systemowe + prosty rejestr nadania/odebrania dostępu.
- Prosty model ról w EDM (minimum praktyczne)
W większości placówek wystarczy 5–7 ról. Im mniej ról, tym łatwiej utrzymać porządek.
- Onboarding w 10 minut: jak nadać dostęp bez biurokracji
Wniosek o dostęp (krótki formularz): użytkownik, rola, data startu, data końca (jeśli czasowy), przełożony zatwierdzający.
Przypisanie jednej roli.
Wniosek o dostęp (minimum pól)
Użytkownik: … | Rola w EDM: … | Jednostka: …
Dostęp od: … | Dostęp do (jeśli czasowy): …
Zatwierdził (przełożony): … | Nadał (admin): …
- Offboarding: jedna lista kontrolna
Najczęstsza luka to konto, które pozostaje aktywne po zakończeniu współpracy. Offboarding powinien być zawsze taki sam:
Dezaktywacja konta EDM w dniu zakończenia współpracy.
Odebranie dostępu do poczty/VPN/dysków i narzędzi zdalnych.
Odebranie identyfikatorów/kart/tokenów.
Zmiana haseł współdzielonych (np. Wi-Fi personelu), jeśli były udostępnione.
Wpis w rejestrze: data odebrania + osoba wykonująca.
- Dostęp „awaryjny” (break-glass) – bez wspólnych loginów
W sytuacjach nagłych może być potrzebny dostęp poza standardowym zakresem (np. pacjent nieprzypisany). Rozwiązaniem jest procedura awaryjna z pełnym logowaniem, a nie wspólne konto:
Włącz funkcję awaryjnego dostępu (jeżeli EDM ją ma) lub utwórz rolę awaryjną z pełnym logowaniem zdarzeń.
Warunki użycia: tylko w sytuacji uzasadnionej; zawsze z krótkim uzasadnieniem.
Regularny przegląd logów (np. raz w miesiącu) przez osobę wyznaczoną (IOD/jakość).
- Dostęp rejestracji: minimum, które nie blokuje pracy
Standard: rejestracja pracuje na danych organizacyjnych (terminy, identyfikacja, kontakt, zgody administracyjne).
Treść medyczna: tylko jeśli istnieje uzasadniona potrzeba służbowa i system pozwala na bezpieczne ograniczenie.
Wyjątki: dostęp czasowy + wpis do rejestru + uzasadnienie.
- 2 rejestry zamiast segregatorów
Dane osoby
Imię i nazwisko: …
Jednostka/komórka: …
Data zakończenia współpracy: …
Checklista
Dezaktywowano konto w EDM (data/godzina, osoba wykonująca).
Odebrano dostęp do poczty, VPN, systemów zdalnych i dysków współdzielonych.
Zablokowano/odebrano dostęp do innych systemów (np. RIS/LIS/PACS, e-rejestracja, platformy).
Odebrano identyfikatory, karty dostępu, tokeny; odnotowano zwrot sprzętu (jeżeli dotyczy).
Zaktualizowano rejestr uprawnień (data odebrania + potwierdzenie) oraz – jeżeli potrzebne – zmieniono hasła współdzielone.
Przełożony / kierownik: …………………………… Data: …………………
Administrator uprawnień / IT: ……………………… Data: …………………
Następny krok
Nie kończ na przeczytaniu, jeśli sprawa dalej ma termin albo ryzyko.
Jeśli pojawia się termin, pismo, roszczenie albo pełnomocnik, nie opieraj decyzji wyłącznie na materiale ogólnym.
Eskalacja
Sprawa nie czeka?
Jeśli masz pismo, wezwanie, skargę albo termin, gotowy materiał może być za ogólny. Wtedy potrzebna jest analiza konkretnej sytuacji.
Umów konsultację