Uruchomienie usługi eWUŚ z opcją MFA obligatoryjnie. NFZ zapowiedział obowiązkowe logowanie wieloskładnikowe do systemu eWUŚ – menedżerowie placówek powinni pilnie przygotować organizację, personel i systemy informatyczne na tę zmianę. Źródło: NFZ (aktualność Centrali).
#### eWUŚ i MFA – co się zmienia i dlaczego
Elektroniczna Weryfikacja Uprawnień Świadczeniobiorców (eWUŚ) pozostaje kluczowym narzędziem do potwierdzania prawa pacjentów do świadczeń finansowanych przez NFZ. Wprowadzenie MFA (Multi-Factor Authentication, logowanie wieloskładnikowe) jako rozwiązania obligatoryjnego ma wzmocnić ochronę kont użytkowników i ograniczyć ryzyka nadużyć, m.in. nieuprawnionego dostępu do danych czy podszywania się pod użytkowników.
MFA wymaga użycia co najmniej dwóch niezależnych czynników uwierzytelniania (coś, co użytkownik zna, ma lub czym jest). Choć komunikat NFZ informuje o obligatoryjnym MFA dla eWUŚ, nie precyzuje publicznie wszystkich szczegółów implementacyjnych. Typowe warianty MFA stosowane w administracji i ochronie zdrowia obejmują np. aplikacje generujące kody jednorazowe (TOTP), potwierdzenia w aplikacji mobilnej, kody SMS lub klucze sprzętowe – jednak konkretne metody dopuszczone w eWUŚ należy weryfikować w aktualnym komunikacie NFZ i dokumentacji dla użytkowników (brak pełnych danych w źródle ogólnym).
#### Obowiązkowe MFA w eWUŚ – kogo dotyczy i jakie są konsekwencje
Obligatoryjne MFA w eWUŚ obejmie wszystkich użytkowników posiadających dostęp do systemu – zwłaszcza pracowników rejestracji, działów rozliczeń, osoby odpowiedzialne za weryfikację uprawnień oraz administratorów uprawnień w placówce. Zmiana dotyka zarówno użytkowników logujących się przez interfejs przeglądarkowy, jak i – potencjalnie – środowiska zintegrowane (HIS/EDM), jeśli sposób logowania lub odświeżania sesji będzie wymagał dodatkowego potwierdzenia. Zakres wpływu na integracje zależy od modelu technicznego przyjętego przez NFZ i dostawców oprogramowania; tę kwestię należy skonsultować z dostawcą systemu (brak pełnych danych w źródle).
Konsekwencje organizacyjne to m.in.:
– konieczność przeszkolenia personelu i wdrożenia procedur odzyskiwania dostępu,
– ewentualne doposażenie stanowisk w urządzenia do drugiego czynnika (np. smartfony służbowe, klucze sprzętowe – w zależności od dopuszczonej metody),
– dostosowanie polityk bezpieczeństwa i instrukcji zarządzania systemem informatycznym pod kątem MFA,
– okres przejściowy z możliwymi krótkotrwałymi przestojami podczas pierwszego logowania i rejestracji drugiego czynnika.
#### Bezpieczeństwo, RODO i zgodność – MFA w eWUŚ jako element kontroli dostępu
Wymóg MFA wpisuje się w zasadę minimalizacji ryzyka i wzmocnienia kontroli dostępu do danych osobowych pacjentów. Z punktu widzenia RODO oraz krajowych standardów bezpieczeństwa:
– MFA redukuje prawdopodobieństwo przejęcia konta wskutek phishingu lub wycieku haseł,
– wspiera rozliczalność (accountability) i umożliwia lepszy audyt działań użytkowników,
– ułatwia wdrożenie zasady najmniejszych uprawnień (least privilege) przez oddzielenie zarządzania tożsamością od samego hasła.
Placówki powinny zaktualizować rejestr czynności przetwarzania o modyfikacje mechanizmów kontroli dostępu i – jeśli to konieczne – uzupełnić ocenę ryzyka oraz DPIA (ocena skutków dla ochrony danych), zwłaszcza gdy zmienia się model uwierzytelniania użytkowników.
#### Wpływ na systemy HIS/EDM i integracje z eWUŚ a MFA obligatoryjnie
Wdrożenie MFA może wymagać:
– aktualizacji oprogramowania HIS/EDM lub modułów integracyjnych eWUŚ,
– zmiany sposobu zarządzania sesjami i tokenami dostępu,
– modyfikacji kont technicznych (jeśli występują) oraz zasad ich użycia w kontekście MFA.
W przypadku integracji machine-to-machine (M2M) w sektorze publicznym często stosuje się odrębny model uwierzytelniania od tego dla użytkowników interaktywnych. Brak pełnych danych w komunikacie ogólnym oznacza, że menedżerowie powinni pilnie zweryfikować u dostawcy systemu, czy i jak MFA wpłynie na przepływy pracy (np. automatyczne weryfikacje podczas rejestracji pacjenta) oraz czy potrzebna jest aktualizacja licencji lub modułów.
#### Operacyjne aspekty wdrożenia – dostępność, wsparcie i ciągłość działania
MFA może w pierwszym etapie nieznacznie wydłużyć czas logowania, zwłaszcza przy rejestracji nowego czynnika dla wielu użytkowników. Warto:
– zaplanować okno wdrożeniowe poza godzinami szczytu,
– przygotować wsparcie „na sali” (floor support) dla rejestracji i gabinetów przez 1–3 dni,
– zapewnić procedury awaryjne na wypadek utraty dostępu do drugiego czynnika (np. telefon zastępczy, kody zapasowe, ścieżka szybkiego resetu przez administratora).
Dla zachowania ciągłości działania rejestracji przypomnij personelowi o alternatywnych ścieżkach weryfikacji uprawnień przewidzianych przepisami (np. oświadczenie pacjenta) na wypadek niedostępności systemu – zgodnie z obowiązującymi regulacjami.
#### Komunikacja wewnętrzna i szkolenia – klucz do efektywnego korzystania z eWUŚ z MFA
Zmieniony mechanizm logowania warto poprzedzić prostą, zrozumiałą komunikacją do użytkowników:
– po co jest MFA i jak chroni dane pacjentów,
– jak wygląda pierwsze uruchomienie i rejestracja drugiego czynnika,
– kogo wezwać w razie problemów (helpdesk, administrator lokalny),
– jak przechowywać i chronić kody zapasowe (jeśli występują).
Szkolenie powinno uwzględniać realistyczne scenariusze: zmiana telefonu, brak zasięgu, zgubienie klucza, korzystanie z urządzeń współdzielonych, a także podstawy higieny cyfrowej (rozpoznawanie phishingu, bezpieczne hasła).
#### Dlaczego to ważne dla placówek
– Ochrona danych pacjentów i reputacji: przejęcie konta w eWUŚ może skutkować nieuprawnionym wglądem w dane i konsekwencjami prawnymi oraz reputacyjnymi. MFA istotnie obniża to ryzyko.
– Zgodność z wymaganiami NFZ i przepisami: brak wdrożenia może oznaczać utrudniony dostęp do usług, ryzyko audytowe oraz potencjalne konsekwencje kontraktowe.
– Stabilność procesów i rozliczeń: sprawny dostęp do eWUŚ to szybsza obsługa pacjentów i mniejsze ryzyko błędów rozliczeniowych. Dobre przygotowanie do MFA minimalizuje przestoje.
– Efektywność pracy: jasne procedury resetu dostępu i wsparcie użytkowników ograniczą liczbę zgłoszeń i przerw w pracy.
– Budowanie kultury bezpieczeństwa: wdrożenie MFA to okazja do wzmocnienia dojrzałości cyberbezpieczeństwa placówki i porządkowania uprawnień użytkowników.
#### Co zrobić teraz (checklista)
– Zweryfikuj komunikat NFZ oraz dokumentację użytkownika eWUŚ pod kątem terminów, zakresu i dopuszczonych metod MFA (źródło: NFZ).
– Skontaktuj się z dostawcą HIS/EDM i modułów eWUŚ: potwierdź kompatybilność, plan aktualizacji oraz ewentualne zmiany w integracjach.
– Sporządź inwentaryzację kont eWUŚ: lista użytkowników, role, uprawnienia; usuń konta nieaktywne i zbędne.
– Wyznacz administratorów lokalnych odpowiedzialnych za wsparcie MFA (rejestracja czynnika, reset, kody zapasowe – jeśli dostępne).
– Zaktualizuj polityki i instrukcje bezpieczeństwa (IAM, zarządzanie tożsamością, procedury dostępu awaryjnego).
– Zaplanuj szkolenia i komunikację: krótkie instrukcje „krok po kroku”, FAQ, kontakt do helpdesku.
– Przygotuj plan wdrożenia: terminy, okna serwisowe, wsparcie „na sali” przez pierwsze dni, ścieżka eskalacji problemów.
– Zapewnij środki techniczne do drugiego czynnika zgodnie z dopuszczoną metodą (np. urządzenia mobilne lub inne – po potwierdzeniu wymogów NFZ).
– Ustal proces resetu dostępu: weryfikacja tożsamości użytkownika, czas reakcji, rejestrowanie incydentów.
– Zaktualizuj rejestr czynności, ocenę ryzyka i – w razie potrzeby – DPIA pod kątem zmiany mechanizmu uwierzytelniania.
– Przetestuj logowanie z MFA w środowisku pilotażowym na reprezentatywnej grupie użytkowników.
– Przygotuj procedury ciągłości działania: alternatywne sposoby weryfikacji uprawnień pacjentów zgodne z przepisami na wypadek niedostępności eWUŚ lub problemów z MFA.
– Ustal monitoring i raportowanie: liczba aktywnych użytkowników z poprawnie skonfigurowanym MFA, zgłoszenia do helpdesku, czas przywracania dostępu.
– Komunikuj postęp do kierownictwa: status zgodności, ryzyka resztkowe, potrzeby budżetowe (np. urządzenia, licencje).
– Po wdrożeniu przeprowadź retrospektywę: wnioski, korekty procedur, uzupełnienie materiałów szkoleniowych.
#### Najczęstsze pytania menedżerów o eWUŚ i MFA obligatoryjnie
– Jakie metody MFA będą obsługiwane? W komunikacie ogólnym brak pełnych danych – należy sprawdzić aktualne wytyczne NFZ i dokumentację użytkownika.
– Czy integracje systemowe będą wymagały zmian? To zależy od modelu logowania używanego przez Państwa HIS/EDM; skontaktuj się z dostawcą i zaplanuj testy.
– Czy potrzebne będą zakupy sprzętu? Jeśli NFZ dopuści metody wymagające urządzeń (np. klucze, telefony służbowe), należy uwzględnić to w budżecie.
– Jak poradzić sobie z dostępem awaryjnym? Ustal jasne procedury resetu, przechowywania kodów zapasowych (jeśli dostępne) i alternatywnej weryfikacji uprawnień pacjentów.
#### Podsumowanie i zalecenia
Obligatoryjne MFA dla eWUŚ to krok w stronę wyższego poziomu bezpieczeństwa i zgodności w systemie ochrony zdrowia. Aby uniknąć przestojów i ryzyka operacyjnego, placówki powinny już teraz:
– potwierdzić szczegóły techniczne i terminy we wskazanym źródle NFZ,
– przygotować personel, urządzenia i procedury wsparcia,
– skoordynować prace z dostawcą systemów HIS/EDM,
– zadbać o zgodność formalną (RODO, polityki, rejestry).
Źródło: https://www.nfz.gov.pl/aktualnosci/aktualnosci-centrali/uruchomienie-uslugi-ewus-z-opcja-mfa-obligatoryjnie,8842.html (szczegóły techniczne i harmonogram należy weryfikować na bieżąco – w otwartym komunikacie mogą nie być dostępne wszystkie dane).