Bezpieczeństwo danych osobowych w placówkach medycznych

Każda jednostka medyczna gromadzi dane osobowe pacjentów, w tym dane wrażliwe, w związku z czym powinna stosować w swojej działalności przepisy ustawy z 29 sierpnia 1997 roku o ochronie danych osobowych. Za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Natomiast do danych wrażliwych (sensytywnych), które zostały ściśle określone w art. 27 ustęp 1 ustawy, zalicza się dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym oraz dane o stanie zdrowia, kodzie genetycznym, nałogach, życiu seksualnym.

blog-172

W związku z powyższym każda jednostka medyczna jest, w rozumieniu ustawy, administratorem danych osobowych (ADO), zobowiązanym do stosowania środków technicznych i organizacyjnych, zapewniających ochronę przetwarzanych danych osobowych, odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. ADO jest w szczególności zobowiązany do zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Ma również obowiązek prowadzenia dokumentacji, opisującej sposób przetwarzania danych oraz środki ich ochrony.

Oto pięć podstawowych mechanizmów kontrolnych (zabezpieczeń) systemu ochrony danych osobowych dla jednostek medycznych:

Obowiązek informacyjny

Zgodnie z art. 24 i 25 ustawy o ochronie danych osobowych (gdy dane zbierane są bezpośrednio od osoby, której dotyczą, jak też, gdy zbierane są pośrednio) na administratorze danych spoczywa obowiązek informacyjny,. Chodzi o to, aby na podstawie uzyskanych informacji osoba, której dane dotyczą miała możliwość właściwego ocenienia sytuacji i podjęcia decyzji co do udostępnienia swoich danych, a także, aby mogła korzystać z praw wynikających z art. 32 ustawy. Do  obowiązków  informacyjnych,  przewidzianych  w  art.  24  ustawy    należą: 

Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
ODBIERZ PAKIET

  • poinformowanie o  adresie  swojej  siedziby  i  pełnej  nazwie (art.  24  ust.  1  pkt  1),
  • poinformowanie  o  celu zbierania danych, a w szczególności o znanych administratorowi danych osobowych, w  czasie  udzielania  informacji  lub  przewidywanych  odbiorcach  lub  kategoriach odbiorców  danych  (art.  24  ust.  1  pkt  2),
  • poinformowanie  o  prawie  dostępu  do  treści swoich  danych  oraz  ich  poprawiania  (art.  24  ust.  1  pkt  3), 
  • poinformowanie o dobrowolności albo obowiązku podania danych, a jeżeli taki obowiązek istnieje, o jego podstawie prawnej (art. 24 ust. 1 pkt 4).

Dokumentacja systemu ochrony danych osobowych

Zgodnie z §3 i §4 rozporządzenia administrator danych jest zobowiązany do opracowania w formie pisemnej polityki bezpieczeństwa danych osobowych. Dokument ten należy rozumieć jako zestaw praw i reguł dotyczących sposobu zarządzania danymi osobowymi, ich ochrony oraz dystrybucji wewnątrz organizacji. Należy podkreślić, że polityka bezpieczeństwa powinna całościowo obejmować zabezpieczenia danych osobowych, przetwarzanych zarówno tradycyjnie, jak i w systemach informatycznych. Jej celem jest wskazanie działań, jakie należy wykonać, oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie zabezpieczyć dane osobowe.

Dodatkowo, administrator danych, przetwarzający dane w systemach informatycznych, musi posiadać instrukcję zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych. Zgodnie z §5 rozporządzenia instrukcja ta powinna zawierać w szczególności:

  • procedury nadawania i rejestrowania uprawnień do przetwarzania danych w systemach informatycznych,
  • wskazanie osoby odpowiedzialnej za te czynności,
  • opis stosowanych metod i środków uwierzytelnienia,
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy w systemie przeznaczone dla jego użytkowników,
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania,
  • opis sposobu, miejsca i okresu przechowywania elektronicznych nośników informacji zawierających dane osobowe oraz ich kopii zapasowych,
  • opis sposobu zabezpieczania systemów informatycznych przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
  • opis sposobu realizacji wymogów stawianych systemom informatycznym,
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

Dokumentacja z zakresu ochrony danych osobowych w większości przypadków składa się głównie z:

  • polityki bezpieczeństwa danych osobowych, 
  • instrukcji zarządzania systemem informatycznym,
  • upoważnień dla pracowników,
  • ewidencji upoważnień,
  • umowy powierzenia przetwarzania danych osobowych, rejestru zbiorów danych osobowych (w przypadku powołania administratora bezpieczeństwa informacji).

Kryptografia danych przesyłanych w sieci publicznej

Zgodnie z art. 36 ustawy administrator danych ma obowiązek zabezpieczenia danych m.in. przed ich nieuprawnionym ujawnieniem. W razie przesyłania danych metodą teletransmisji przy użyciu sieci publicznej zawsze istnieje możliwość przejęcia przesyłanych danych przez osobę nieuprawnioną. Istnieje również niebezpieczeństwo ich nieuprawnionej zmiany, uszkodzenia lub zniszczenia. Niezbędne jest zatem zastosowanie odpowiednich zabezpieczeń, które ochronią przesyłane dane.

O tym, jakie środki należy zastosować, administrator danych decyduje samodzielnie. Zalecanym rozwiązaniem jest protokół szyfrowania danych SSL w wersji EV (Certyfikaty o rozszerzonej walidacji). Wnioskodawca jest zobowiązany do dostarczenia dokumentów.  Protokół SSL korzysta z ustandaryzowanych algorytmów kryptograficznych, technik i schematów używanych do zapewnienia bezpieczeństwa. Certyfikaty bezpieczeństwa SSL gwarantują poprawność szyfrowanego połączenia oraz zachowanie poufności danych przesyłanych drogą elektroniczną. Certyfikat zawiera niezbędne dane jednoznacznie identyfikujące jednostkę, a także pozwala stwierdzić, czy legitymująca się jednostka, jest tym za kogo się podaje.

Migracje, chmury, systemy.
RODO w IT.

Szkolenie RODO w IT dla inspektorów ochrony danych oraz managerów i pracowników IT. Zapraszamy!
SPRAWDŹ TERMINY

Bezpieczeństwo fizyczne i środowiskowe

Jednym z głównych zagrożeń dla danych osobowych przetwarzanych w formie tradycyjnej (papierowej) jest ich kradzież, udostępnienie oraz zniszczenie. Najczęstszą przyczyną takich zdarzeń  jest zwykła nieroztropność –zostawianie dokumentacji  medycznych w miejscach ogólnie dostępnych, pozostawienie otwartego gabinetu lekarskiego bez nadzoru czy też  włączony komputer z programem do obsługi pacjenta. Aby temu zapobiec warto stale przypominać pracownikom o ustalonych zasadach bezpieczeństwa i ochrony danych. Dodatkowo, należy właściwie zabezpieczyć obszar przetwarzania danych, w szczególności pomieszczenia, w których gromadzona jest dokumentacja, przed takimi zdarzeniami, takimi jak pożar czy zalanie. Jednostki medyczne są szczególnie narażone na różnego rodzaju incydenty, gdyż większość ich powierzchni jest ogólnodostępna dla pacjentów. Powoduje to większe trudności w ich kontrolowaniu. Skutecznymi rozwiązaniami zabezpieczającymi są m.in. zamykane na klucz szafy lub regały na dokumentację medyczną, samozamykacze w drzwiach, ustawienie wygaszacza ekranu z hasłem (5 minut), szyfrowanie dysków twardych oraz nośników wymiennych, montaż czujek dymu oraz wody.

Umowy powierzenia danych osobowych oraz upoważnienia do ich przetwarzania

Zgodnie z art. 37 ustawy do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych osobowych. Ponadto,  zgodnie z art. 31 ustęp 1, administrator danych osobowych może powierzyć przetwarzanie danych innemu podmiotowi, w drodze umowy zawartej na piśmie.

W związku z powyższym ADO musi upoważnić do przetwarzania wszystkie osoby mające dostęp do danych osobowych. W praktyce dotyczyć to będzie wszystkich pracowników zatrudnionych w jednostce medycznej. Natomiast umowy powierzenia administrator danych musi zawrzeć z podmiotami zewnętrznymi, takimi jak firmy sprzątające czy ochroniarskie, dostawcy oprogramowania (z uwagi na umowę serwisową) lub personel świadczący usługi dla gabinetu.

Wraz z zbieraniem upoważnień należy pamiętać, zgodnie z art. 39 ustawy, o obowiązku prowadzenia ewidencji osób upoważnionych zgodnie. Ewidencja powinna zawierać:

  • imię i nazwisko osoby upoważnionej,
  • datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
  • identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.

Zabezpieczenia systemów informatycznych

Mając na względzie obowiązek stosowania przez ADO odpowiednich zabezpieczeń systemu informatycznego, określonych w art. 36–39a ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 2015. poz. 2135), zaleca się stosować środki bezpieczeństwa na poziomie wysokim w rozumieniu rozporządzenia Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. 2004 nr 100 poz. 1024).

Uzasadnieniem stosowania wysokiego poziomu bezpieczeństwa systemów informatycznych jest to, że systemy używane do przetwarzania danych w większości przypadków połączone zostały z siecią publiczną (Internet).

W związku z powyższym systemy informatyczne powinny spełniać następujące wymagania techniczne i organizacyjne: 

  • stosowanie mechanizmów kontroli dostępu (jeżeli dostęp do systemu informatycznego posiadają co najmniej dwie osoby, wówczas każdy z użytkowników otrzymuje odrębny identyfikator, a dostęp warunkowany jest wprowadzeniem identyfikatora i dokonaniem uwierzytelnienia przy pomocy hasła składającego się co najmniej z ośmiu znaków, małych i wielkich liter oraz cyfr lub znaków specjalnych),
  • zabezpieczenie przed działaniem oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego,
  • zabezpieczenie przed utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej,
  • identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie,
  • wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych,
  • przechowywanie kopii zapasowych w miejscach zabezpieczonych przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem,
  • usuwanie kopii zapasowych niezwłocznie po ustaniu ich użyteczności,
  • stosowanie środków ochrony kryptograficznej wobec sprzętu i nośników przenośnych,
  • stosowanie środków ochrony przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem,
  • monitorowanie wdrożonych zabezpieczeń w systemach informatycznych.

Funkcja IOD - to się dobrze przekazuje

Czytaj także:

-
4.61/5 (44) 1
Najczęstsze błędy przy zawieraniu umów powierzenia
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>