W związku z powyższym każda jednostka medyczna jest, w rozumieniu ustawy, administratorem danych osobowych (ADO), zobowiązanym do stosowania środków technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. ADO jest w szczególności zobowiązany do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Ma również obowiązek prowadzenia dokumentacji, opisującej sposób przetwarzania danych oraz środki ich ochrony.
Oto pięć podstawowych mechanizmów kontrolnych (zabezpieczeń) systemu ochrony danych osobowych dla jednostek medycznych:
Obowiązek informacyjny
Zgodnie z art. 24 i 25 ustawy o ochronie danych osobowych (gdy dane zbierane są bezpośrednio od osoby, której dotyczą, jak też, gdy zbierane są pośrednio) na administratorze danych spoczywa obowiązek informacyjny,. Chodzi o to, aby na podstawie uzyskanych informacji osoba, której dane dotyczą miała możliwość właściwego ocenienia sytuacji i podjęcia decyzji co do udostępnienia swoich danych, a także, aby mogła korzystać z praw wynikających z art. 32 ustawy. Do obowiązków informacyjnych, przewidzianych w art. 24 ustawy należą:
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
- poinformowanie o adresie swojej siedziby i pełnej nazwie (art. 24 ust. 1 pkt 1),
- poinformowanie o celu zbierania danych, a w szczególności o znanych administratorowi danych osobowych, w czasie udzielania informacji lub przewidywanych odbiorcach lub kategoriach odbiorców danych (art. 24 ust. 1 pkt 2),
- poinformowanie o prawie dostępu do treści swoich danych oraz ich poprawiania (art. 24 ust. 1 pkt 3),
- poinformowanie o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej (art. 24 ust. 1 pkt 4).
Dokumentacja systemu ochrony danych osobowych
Zgodnie z §3 i §4 rozporządzenia administrator danych jest zobowiązany do opracowania w formie pisemnej polityki bezpieczeństwa danych osobowych. Dokument ten należy rozumieć jako zestaw praw i reguł dotyczących sposobu zarządzania danymi osobowymi, ich ochrony oraz dystrybucji wewnątrz organizacji. Należy podkreślić, że polityka bezpieczeństwa powinna całościowo obejmować zabezpieczenia danych osobowych, przetwarzanych zarówno tradycyjnie, jak i w systemach informatycznych. Jej celem jest wskazanie działań, jakie należy wykonać, oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe.
Dodatkowo, administrator danych, przetwarzający dane w systemach informatycznych, musi posiadać instrukcję zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych. Zgodnie z §5 rozporządzenia instrukcja ta powinna zawierać w szczególności:
- procedury nadawania i rejestrowania uprawnień do przetwarzania danych w systemach informatycznych,
- wskazanie osoby odpowiedzialnej za te czynności,
- opis stosowanych metod i środków uwierzytelnienia,
- procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie przeznaczone dla jego użytkowników,
- procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
- opis sposobu, miejsca i okresu przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz ich kopii zapasowych,
- opis sposobu zabezpieczania systemów informatycznych przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
- opis sposobu realizacji wymogów stawianych systemom informatycznym,
- procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.
Dokumentacja z zakresu ochrony danych osobowych w większości przypadków składa się głównie z:
- polityki bezpieczeństwa danych osobowych,
- instrukcji zarządzania systemem informatycznym,
- upoważnień dla pracowników,
- ewidencji upoważnień,
- umowy powierzenia przetwarzania danych osobowych, rejestru zbiorów danych osobowych (w przypadku powołania administratora bezpieczeństwa informacji).
Kryptografia danych przesyłanych w sieci publicznej
Zgodnie z art. 36 ustawy administrator danych ma obowiązek zabezpieczenia danych m.in. przed ich nieuprawnionym ujawnieniem. W razie przesyłania danych metodą teletransmisji przy użyciu sieci publicznej zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem zastosowanie odpowiednich zabezpieczeń, które ochronią przesyłane dane.
O tym, jakie środki należy zastosować, administrator danych decyduje samodzielnie. Zalecanym rozwiązaniem jest protokół szyfrowania danych SSL w wersji EV (Certyfikaty o rozszerzonej walidacji). Wnioskodawca jest zobowiązany do dostarczenia dokumentów. Protokół SSL korzysta z ustandaryzowanych algorytmów kryptograficznych, technik i schematów używanych do zapewnienia bezpieczeństwa. Certyfikaty bezpieczeństwa SSL gwarantują poprawność szyfrowanego połączenia oraz zachowanie poufności danych przesyłanych drogą elektroniczną. Certyfikat zawiera niezbędne dane jednoznacznie identyfikujące jednostkę, a także pozwala stwierdzić, czy legitymująca się jednostka, jest tym za kogo się podaje.
Migracje, chmury, systemy.
RODO w IT.
Bezpieczeństwo fizyczne i środowiskowe
Jednym z głównych zagrożeń dla danych osobowych przetwarzanych w formie tradycyjnej (papierowej) jest ich kradzież, udostępnienie oraz zniszczenie. Najczęstszą przyczyną takich zdarzeń jest zwykła nieroztropność –zostawianie dokumentacji medycznych w miejscach ogólnie dostępnych, pozostawienie otwartego gabinetu lekarskiego bez nadzoru czy też włączony komputer z programem do obsługi pacjenta. Aby temu zapobiec warto stale przypominać pracownikom o ustalonych zasadach bezpieczeństwa i ochrony danych. Dodatkowo, należy właściwie zabezpieczyć obszar przetwarzania danych, w szczególności pomieszczenia, w których gromadzona jest dokumentacja, przed takimi zdarzeniami, takimi jak pożar czy zalanie. Jednostki medyczne są szczególnie narażone na różnego rodzaju incydenty, gdyż większość ich powierzchni jest ogólnodostępna dla pacjentów. Powoduje to większe trudności w ich kontrolowaniu. Skutecznymi rozwiązaniami zabezpieczającymi są m.in. zamykane na klucz szafy lub regały na dokumentację medyczną, samozamykacze w drzwiach, ustawienie wygaszacza ekranu z hasłem (5 minut), szyfrowanie dysków twardych oraz nośników wymiennych, montaż czujek dymu oraz wody.
Umowy powierzenia danych osobowych oraz upoważnienia do ich przetwarzania
Zgodnie z art. 37 ustawy do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych osobowych. Ponadto, zgodnie z art. 31 ustęp 1, administrator danych osobowych może powierzyć przetwarzanie danych innemu podmiotowi, w drodze umowy zawartej na piśmie.
W związku z powyższym ADO musi upoważnić do przetwarzania wszystkie osoby mające dostęp do danych osobowych. W praktyce dotyczyć to będzie wszystkich pracowników zatrudnionych w jednostce medycznej. Natomiast umowy powierzenia administrator danych musi zawrzeć z podmiotami zewnętrznymi, takimi jak firmy sprzątające czy ochroniarskie, dostawcy oprogramowania (z uwagi na umowę serwisową) lub personel świadczący usługi dla gabinetu.
Wraz z zbieraniem upoważnień należy pamiętać, zgodnie z art. 39 ustawy, o obowiązku prowadzenia ewidencji osób upoważnionych zgodnie. Ewidencja powinna zawierać:
- imię i nazwisko osoby upoważnionej,
- datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
- identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.
Zabezpieczenia systemów informatycznych
Mając na względzie obowiązek stosowania przez ADO odpowiednich zabezpieczeń systemu informatycznego, określonych w art. 36–39a ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015. poz. 2135), zaleca się stosować środki bezpieczeństwa na poziomie wysokim w rozumieniu rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 nr 100 poz. 1024).
Uzasadnieniem stosowania wysokiego poziomu bezpieczeństwa systemów informatycznych jest to, że systemy używane do przetwarzania danych w większości przypadków połączone zostały z siecią publiczną (Internet).
W związku z powyższym systemy informatyczne powinny spełniać następujące wymagania techniczne i organizacyjne:
- stosowanie mechanizmów kontroli dostępu (jeżeli dostęp do systemu informatycznego posiadają co najmniej dwie osoby, wówczas każdy z użytkowników otrzymuje odrębny identyfikator, a dostęp warunkowany jest wprowadzeniem identyfikatora i dokonaniem uwierzytelnienia przy pomocy hasła składającego się co najmniej z ośmiu znaków, małych i wielkich liter oraz cyfr lub znaków specjalnych),
- zabezpieczenie przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
- zabezpieczenie przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej,
- identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie,
- wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych,
- przechowywanie kopii zapasowych w miejscach zabezpieczonych przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem,
- usuwanie kopii zapasowych niezwłocznie po ustaniu ich użyteczności,
- stosowanie środków ochrony kryptograficznej wobec sprzętu i nośników przenośnych,
- stosowanie środków ochrony przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem,
- monitorowanie wdrożonych zabezpieczeń w systemach informatycznych.
