Transcript Potrzeba ochrony danych wrażliwych

BEZPIECZEŃSTWO
ELEKTRONICZNYCH DANYCH
MEDYCZNYCH
dr Piotr Karniej
HealthCare IT 2012, Akademia Wiedza i Praktyka
Problemy zarządcze
• Obligatoryjność
elektronicznej
dokumentacji
medycznej od sierpnia 2014r. we wszystkich
podmiotach wykonujących działalność leczniczą
• Nadejście terminu ustawowego nie jest wystarczające
dla wdrożenia dokumentacji elektronicznej, konieczne
jest stworzenie pełnych gwarancji ochrony danych
osobowych, o których mowa w art. art. 27 ust. 2 pkt.
7 u.o.d.o.
• Potrzeba zapewnienia we własnym zakresie środków
na informatyzację placówki medycznej
• Kluczowa dla powodzenia wdrożenia dokumentacji
elektronicznej i bezpieczeństwa obiegu informacji w
środowisku
elektronicznym
jest
współpraca
i zrozumienie pracowników
Otoczenie prawne
Technologia
Właściwe
procedury
Pracownicy
Osoby odpowiedzialne
• Administrator danych osobowych (ADO) – organ,
jednostka organizacyjna, osoba lub podmiot, decydująca o
celach i środkach przetwarzania danych osobowych (np.
właściciel firmy)
• Administrator bezpieczeństwa informacji (ABI) –
wyznaczona przez Administratora danych osobowych
osoba, odpowiedzialna za przestrzeganie zasad ochrony
danych
• Administrator systemu informatycznego (ASI) –
informatyk lub zespół informatyków wyznaczony przez
Administratora danych, odpowiedzialny za funkcjonowanie
systemów informatycznych, sprzętu i oprogramowania
Bezpieczeństwo elektronicznej
dokumentacji medycznej wymaga
1
• Powołania ABI, ASI,
opracowania procedur
2
• Zapoznania pracowników
z regulacjami
3
• Stałego monitorowania
zagrożeń i zachowań
Nie ma bezpieczeństwa bez procedur
i monitorowania zagrożeń
• Stały nadzór ABI nad
wszystkimi stanowiskami,
na których przetwarzane są
dane osobowe
• Ścisła współpraca pomiędzy
ABI i ASI
• Wyrobienie u pracowników
nawyków „czystego biurka”,
„czystego ekranu” i ochrony
danych wrażliwych
• Stosowanie adekwatnych
do możliwych zagrożeń
środków ochrony fizycznej
danych
WDROŻENIE POLITYKI BEZPIECZEŃSTWA,
INSTRUKCJI PRZETWARZANIA DANYCH
I ZAŁĄCZNIKÓW MA SŁUŻYĆ ORGANIZACJI
I BEZPIECZEŃSTWU JEJ ISTNIENIA
Potrzeba ochrony danych wrażliwych
• Zabrania się przetwarzania danych ujawniających pochodzenie
rasowe lub etniczne, poglądy polityczne, przekonania religijne i
filozoficzne, przynależność wyznaniową, partyjną lub związkową,
jak również dane o stanie zdrowia, kodzie genetycznym,
nałogach lub życiu seksualnym oraz danych dotyczących skazań,
orzeczeń o ukaraniu, a także innych orzeczeń wydanych w
postępowaniu sądowym lub administracyjnym (art. 27 ust. 1
u.o.d.o. – tzw. dane wrażliwe)
• Przetwarzanie danych o których mowa w ust. 1 jest jednak
dopuszczalne, jeżeli:
– osoba, której dane dotyczą wyrazi na to zgodę na piśmie,
– przepis szczególny innej ustawy zezwala na przetwarzanie
takich danych bez zgody osoby, której dane dotyczą i stwarza
pełne gwarancje ich ochrony
Potrzeba ochrony danych wrażliwych
– przetwarzanie takich danych jest niezbędne dla ochrony
żywotnych interesów osoby, której dane dotyczą, lub innej
osoby, gdy osoba której dane dotyczą nie jest fizycznie lub
prawnie zdolna do wyrażenia zgody, do czasu ustanowienia
opiekuna prawnego lub kuratora
– przetwarzanie jest niezbędne do wykonania zadań
administratora danych odnoszących się do zatrudnienia
pracowników i innych osób, a zakres przetwarzania danych
jest określony w ustawie
– przetwarzanie jest prowadzone w celu ochrony stanu
zdrowia, świadczenia usług medycznych lub leczenia
pacjentów przez osoby trudniące się zawodowo leczeniem
lub świadczeniem usług medycznych, zarządzaniem
udzielania usług medycznych i są stworzone pełne
gwarancje ochrony danych osobowych (art. 27 ust. 2 pkt. 7
u.o.d.o.)
Potrzeba ochrony danych wrażliwych
– przetwarzanie dotyczy danych, które zostały podane do
wiadomości publicznej przez osobę, której dane
dotyczą,
– jest to niezbędne dla prowadzenia badań naukowych, w
tym przygotowania rozprawy wymaganej do uzyskania
dyplomu ukończenia szkoły wyższej lub stopnia
naukowego; publikowanie badań naukowych nie może
następować w sposób umożliwiający identyfikację
osób, których dane zostały przetworzone
Niezbędne akty prawne
Właściwość
Nazwa aktu
Pracownicy
+ Przełożeni
Ustawa z dnia 29.08.1997r. o ochronie danych osobowych
(Dz.U.1997.133.883 ze zm.)
Pracownicy
+ Przełożeni
Ustawa z dnia 6.11.2008r. o prawach pacjenta i Rzeczniku Praw
Pacjenta (t.j. Dz.U.2009.52.417)
Przełożeni
(ADO, ABI,
ASI)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dn.
29.04.2004r. w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych jakim
powinny odpowiadać urządzenia i systemy informatyczne służące
do przetwarzania danych osobowych (Dz.U.2004.100.1024 ze zm.)
Przełożeni
(ADO, ABI,
ASI)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dn.
11.12.2008r. w sprawie wzoru zgłoszenia zbioru danych do
rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych
(Dz.U.2008.229.1536)
Dążenie do profesjonalizmu
Rozwój procesu
Stały
monitoring
i rozwój
Wdrożenie
rozwiązań
Identyfikacja
problemu
Czas
Bezpieczeństwo w pracy zdalnej
• Wystawianie e-recept na wizytach
domowych
• Dostęp do dokumentacji poza
siedzibą podmiotu (miejscem
przetwarzania), np. pielęgniarki i
położne środowiskowe, lekarze
rodzinni
• Dostęp zdalny administratora
systemu lub serwisanta
• Różnorodność urządzeń zdalnego
dostępu (tablety, laptopy,
smartfony)
• Zabezpieczanie nie tylko
programów, ale też urządzeń (np.
przed kradzieżą albo zniszczeniem)
Kluczowe etapy
wdrożenia
• Identyfikacja miejsc przetwarzania danych osobowych – w
tym wrażliwych
• Określenie procedur przetwarzania i zabezpieczania
danych,
wskazanie
osób
odpowiedzialnych
za
bezpieczeństwo danych na każdym etapie procesu
świadczenia i rozliczania usług medycznych
• Likwidacja nieuzasadnionych miejsc przetwarzania
• Nadanie
uprawnień
do
przetwarzania
danych
(z wyjątkiem osób wykonujących zawody medyczne),
dostępu do systemów elektronicznych, podpisanie umów
powierzenia przetwarzania danych
Kluczowe etapy
wdrożenia
• Nieustanne szkolenia personelu i wyrabianie nawyków
związanych z ochroną dokumentów zawierających dane
osobowe (w tym wrażliwe)
• Polityka „czystego biurka”, „czystego monitora”, „polityka
kluczy”
• Stałe
monitorowanie
zagrożeń
wpływających
na
bezpieczeństwo
przetwarzania
danych
osobowych,
stosowanie adekwatnych zabezpieczeń technicznych
i technologicznych
• Bezwzględne uznanie decyzyjności ABI w zakresie
stosowania polityki bezpieczeństwa i instrukcji zarządzania
systemem przetwarzania danych
Podsumowanie
• Ochrona danych medycznych w środowisku
elektronicznym leży w interesie podmiotu
wykonującego działalność leczniczą
• Nie da się zapewnić bezpieczeństwa danych bez
udziału pracowników
• Istniejące przepisy prawne zobowiązują do
wprowadzenia
elektronicznej
dokumentacji
medycznej od 1 sierpnia 2014r., ale podmiot może to
zrobić dopiero wtedy, gdy wprowadzi procedury
pełnego bezpieczeństwa tych danych
• Przetwarzanie danych wrażliwych (w tym w
środowisku elektronicznym) bez zachowania środków
bezpieczeństwa grozi odpowiedzialnością karną
DZIĘKUJĘ ZA UWAGĘ