أصدر مجلس الوزراء القرار رقم (32) لسنة 2020، بشأن اللائحة التنفيذية للقانون الاتحادي رقم (2) لسنة 2019، بشأن استخدام تقنية المعلومات والاتصالات في المجالات الصحية، ويعمل به بعد 6 أشهر من تاريخ نشره في الجريدة الرسمية.
وعرف القرار المنظومة المركزية بأنها مجموعة عمليات للتبادل الإلكتروني للبيانات والمعلومات الصحية، وتشمل مجموعة الأجزاء أو العناصر الإلكترونية التي تربط بعضها ببعض علاقات تعمل معاً، نحو تحقيق هدف معين.
وحدَّد قرار مجلس الوزراء 15 شرطاً لاستخدام المنظومة المركزية وتداول البيانات والمعلومات الصحية.
الانضمام للمنظومة
ونصَّت المادة الثانية من اللائحة التي حصلت «الرؤية» على نسخة منها، على أن تلتزم الجهات الصحية والجهات المعنية بالانضمام إلى المنظومة المركزية، وفقاً لما يأتي: الامتثال لقواعد عمل المنظومة المركزية الواردة في القانون الاتحادي رقم (2) لسنة 2019 المشار إليه والقرارات الصادرة تنفيذاً له، والتقيد بالموعد الأقصى المحدد لها للانضمام إلى قاعدة البيانات المركزية، وذلك وفقاً لما تحدده الوزارة بالتنسيق مع تلك الجهات، وتحمُّل أي كلف مرتبطة بالاتصال والربط مع المنظومة المركزية.
وتلتزم الجهات الصحية والمعنية بالانضمام للمنظومة المركزية، وعليها الامتثال للقواعد المنظمة للسجل الوطني بخصوص المعايير الصحية الرقمية، فيما يتعلق منها بالمعايير والمتطلبات والإجراءات اللازمة عند التعامل مع المنظومة المركزية، بما في ذلك: المعلومات الصحية الشخصية المطلوب تقديمها من قبل الجهات الصحية والمعنية، والتقيد بآلية وتداول البيانات والمعلومات الصحية الشخصية مع الجهات الصحية والمعنية المعتمدة لحمايتها وضمان المحافظة على سريتها، وآليات حماية سرية البيانات والمعلومات الصحية.
وتتولى وزارة الصحة ووقاية المجتمع سلطة التدقيق على البيانات والمعلومات الصحية الشخصية المقدمة من الجهات المعنية، لفرض التأكد من صحتها وجودتها وامتثالها لمعايير البيانات الصحية الرقمية الوطنية، وتتولى الوزارة بالتنسيق مع الجهات الصحية الأخرى والجهات المعنية تحديد آلية وإجراءات ضمان جودة البيانات والمعلومات الصحية الشخصية، ويتم تحديد أي شروط أو إجراءات أخرى فيما يتعلق بالانضمام إلى المنظومة المركزية بقرار من وزير الصحة، بعد التنسيق مع الجهات الصحية الأخرى المعنية.
ونصَّت المادة (3) على أن تتولى وزارة الصحة ووقاية المجتمع مع الجهات الصحية الأخرى، تشكيل لجنة مشتركة للتنسيق بشأن المسائل ذات العلاقة بتنفيذ أحكام المادة (2) من هذا القرار، ويجوز لهذه اللجنة تشكيل لجان فرعية كلما رأت الضرورة لذلك.
دخول المنظومة
وحدَّدت المادة الرابعة الأشخاص المصرَّح لهم بدخول المنظومة المركزية، حيث تتولى الجهات الصحية والمعنية تحديد الأشخاص المصرح لهم بدخول المنظومة المركزية، على أساس الحاجة لذلك، واعتماداً على الدور المهني لتحديد مستوى الوصول إلى بيانات المنظومة المركزية، بالإضافة إلى دوره في رعاية المريض.
وتلتزم الجهات الصحية والمعنية بمعايير الخصوصية والأمان، وأي ضوابط تضعها الوزارة بالتنسيق مع الجهات الصحية الأخرى، بما في ذلك إجراءات تدقيق دورية لإزالة أو تعديل ميزات أو صلاحيات الأشخاص المصرح لهم، وفقاً لمتطلبات العمل.
تصريح الاستخدام
ونصَّت المادة (5) على ضوابط تصريح استخدام المنظومة المركزية، حيث لا يجوز لأي شخص استخدام المنظومة المركزية ما لم يُصرَّح له بذلك من الجهات الصحية أو المعنية ووفقاً لضوابط، هي: تتولى الجهة الصحية منح التصريح إلى الأشخاص الذين يعملون لديها بموجب عقد توظيف، وتتطلب طبيعة عملهم استخدام المنظومة المركزية، والأشخاص الذين يعملون من خلال شركات تعهيد الخدمات بموجب عقود مع هذه الشركات، أو الخبراء أو الاستشاريين الذين يستعان بهم بصفة عارضة، أو الجهات والكيانات التابعة للجهة الصحية، وفي جميع الأحوال يُشترط أن تتطلب طبيعة عملهم أو المهمة الموكلة إليهم، استخدام المنظومة المركزية.
وتتولى الجهة المعنية منح التصريح إلى الأشخاص الذين يعملون لديها، على أن تقتضي طبيعة عملهم استخدام المنظومة المركزية، ويجب أن يكون الاستخدام في حدود الحاجة الفعلية التي يقتضيها العمل، وتلتزم الجهة المعنية عند منحها التصريح بموافاة الجهة الصحية بالأشخاص المصرح لهم.
وتحدد الجهة الصحية والجهة المعنية بحسب الأحوال، الأشخاص المصرح لهم بالدخول إلى المنظومة المركزية عن بُعد، وتتولى الجهة الصحية والمعنية اتخاذ الإجراءات اللازمة لضمان عدم تمكن الشخص المصرح له من الدخول إلى المنظومة المركزية بعد انتهاء خدمته لديها، ويجوز للأفراد إعطاء صلاحية الوصول إلى معلوماتهم الصحية الشخصية لأشخاص آخرين من اختيارهم، بشرط أن يكونوا مسجلين كمستخدمين في قاعدة البيانات المركزية للمنظومة، بما لا يتعارض مع أي تشريعات أخرى صادرة في هذا الشأن.
ويجوز لأي شخص طلب حظر أو تقييد الوصول إلى معلوماته الصحية الشخصية، وفقاً للشروط والضوابط التي تحدِّدها الوزارة بالتنسيق مع باقي الجهات الصحية.
شروط استخدام المنظومة
وحدَّد قرار مجلس الوزراء 15 شرطاً لاستخدام المنظومة المركزية وتداول البيانات والمعلومات الصحية، هي: يجب على الموردين والجهات والأشخاص المخوَّلين بالوصول إلى أيٍّ من أنظمة تقنية المعلومات والاتصالات، الموافقة على تعهد بعدم إفشاء البيانات والمعلومات الصحية التي تم الاطلاع عليها من خلال استخدام المنظومة المركزية.
ويُحظر الكشف عن المعلومات الصحية الخاصة بالمريض لأي طرف، دون موافقة المريض أو من ينوب عنه قانوناً، ما لم يكن الكشف عن هذه المعلومات مسموحاً به طبقاً للتشريعات المعمول بها في الدولة، وأنه في حالة الطوارئ وإذا تعذَّر أخذ موافقة المريض، يمكن لمقدمي الرعاية الصحية معاينة ملف المريض لأغراض الرعاية الصحية مع إبداء أسباب المعاينة.
وأكدت اللائحة على عدم ترك ملف المريض مفتوحاً من دون مراقبة، ويجب إغلاق أجهزة الحاسوب أو أي وسيلة إلكترونية أخرى حال عدم استخدامها، والإبلاغ عن أي أنشطة مشبوهة قد تؤثر على سرية البيانات والمعلومات، وعدم إرسال بريد إلكتروني أو استخدام أي وسيلة تواصل إلكترونية أخرى تحتوي على معلومات لمرضى إلا بعد تشفيرها.
وأشارت إلى أنه عند إدخال معلومات بشكل خاطئ أو عدم إدخال بعض المعلومات، يجب تعديل الخطأ أو استكمال المعلومات المطلوبة، مع المحافظة على الإدخال الأصلي لأغراض الجودة والتدقيق، وعند التعديل على أي بيانات يجب إدخال سبب التعديل وحفظ المعلومات التي تم تعديلها، وتاريخ التعديل مع التوقيع الإلكتروني للشخص الذي قام بالتعديل.
وشدَّدت على ضمان تعقب التعديلات على المعلومات والبيانات بمجرد إدخالها أو التصديق عليها، وعدم نشر البيانات والمعلومات الصحية والإحصاءات الصحية الاتحادية على مستوى الدولة من دون موافقة الوزارة، ويجب أخذ موافقة المريض في حال نشر بيانات هويته، وتحدد قائمة بيانات هوية الشخص بقرار من الوزير بالتنسيق مع باقي الجهات الصحية.
وألزمت اللائحة بتوافق البيانات والمعلومات والإحصاءات المراد نشرها مع المعايير التي تضعها الوزارة بالتنسيق مع باقي الجهات الصحية، ويجب اتخاذ جميع الخطوات الضرورية لحماية البيانات والمعلومات الشخصية للمرضى من الفقدان، أو سوء الاستخدام، أو الوصول غير المصرح به، أو الإفصاح، أو التعديل، أو الإتلاف.
ويجب على المستخدم المخوَّل بالدخول إلى المنظومة المركزية أن يكون له اسم لمستخدم خاص به ورقم سري، وعدم إفشاء اسم المستخدم والرقم السري لأي مستخدم أو طرف آخر.