Polityka bezpieczeństwa informacji w podmiocie leczniczym

Transkrypt

1 Polityka bezpieczeństwa informacji w podmiocie leczniczym Aspekty praktyczne Prowadzący Piotr Glen Administrator Bezpieczeństwa Informacji Audytor SZBI wg PN-ISO/IEC

2 Administrator danych - to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych

3 OBOWIĄZKI ADMINISTRATORA DANYCH 1. Zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Prowadzić dokumentację opisującą sposób przetwarzania i ochrony danych. 3. Wyznaczyć administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności. 4. Do przetwarzania danych dopuścić wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. 5. Zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. 6. Prowadzić ewidencję osób upoważnionych do ich przetwarzania 7. Zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO).

4 Wymagania w ramach obsługi systemu informacji w ochronie zdrowia: - zapewnienie aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia; - utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację; - przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy; - podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;

5 - zapewnienie szkoleń osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak: a) zagrożenia bezpieczeństwa informacji, b) skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, c) stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;

6 - ustanowienie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość; - zabezpieczenie informacji w sposób uniemożliwiający nieuprawnione jej ujawnienie, modyfikacje, usunięcie lub zniszczenie; - zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji; - bezzwłoczne zgłaszanie incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących; - zapewnienie okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

7 - zapewnienie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na: a) dbałości o aktualizację oprogramowania, b) minimalizowaniu ryzyka utraty informacji w wyniku awarii, c) ochronie przed błędami, utratą, nieuprawnioną modyfikacją, d) stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa, - zabezpieczenie fizyczne obiektów i urządzeń systemu (opisany obszar przetwarzania danych) - przygotowanie i realizacja planów przechowywania dokumentacji w długim czasie, w tym jej przenoszenia na nowe informatyczne nośniki danych i do nowych formatów danych, jeżeli tego wymaga zapewnienie ciągłości dostępu do dokumentacji.

8 Wymagania uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie : PN-ISI/IEC Technika informatyczna Techniki bezpieczeństwa Systemy zarządzania bezpieczeństwem informacji; PN-ISO/IEC w odniesieniu do ustanawiania zabezpieczeń; 2) PN-ISO/IEC w odniesieniu do zarządzania ryzykiem; 3) PN-ISO/IEC w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania; PN-EN Informatyka w ochronie zdrowia

9 C S I O Z Centrum Systemów Informacyjnych Ochrony Zdrowia

10 Pojęcie polityka bezpieczeństwa to zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej (danych osobowych, dokumentacji medycznej) wewnątrz organizacji. Polityka bezpieczeństwa powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie jak i danych przetwarzanych w systemach informatycznych. Celem polityki bezpieczeństwa, jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postepowania, które należy stosować, aby właściwie wykonać obowiązek odpowiedniej ochrony danych.

11 ORGANIZACJA NADZORU OCHRONY DANYCH OSOBOWYCH A D O DYREKTOR A B I Administrator bezpieczeństwa informacji A S I INFORMATYK KIEROWNICY I OSOBY NA SAMODZIELNYCH STANOWISKACH U Ż Y T K O W N I C Y

12 Załącznik do Polityki Bezpieczeństwa Informacji Zadania Administratora Bezpieczeństwa Informacji Wyznaczenie A B I Administrator danych powierza Administratorowi Bezpieczeństwa Informacji następujące zadania: 1) Zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, 2) Nadzór środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych, 3) Informowanie i doradzanie administratorowi danych oraz pracownikom, którzy przetwarzają dane osobowe w zakresie ich obowiązków wynikających z przepisów prawa w zakresie ochrony danych osobowych, 4) Monitorowanie stosowania się do polityki bezpieczeństwa informacji wdrożonej przez administratora danych w zakresie ochrony danych osobowych, w tym przydział obowiązków, podnoszenie świadomości i szkolenie personelu zaangażowanego w operacje przetwarzania, oraz powiązane kontrole; 5) Monitorowanie odpowiedzi na wnioski organu nadzorczego oraz nadzór korespondencji związanej z przetwarzaniem i ochroną danych osobowych; 6) Przygotowanie lub opiniowanie umów związanych z przetwarzaniem danych osobowych; 7) Przeprowadzanie okresowych kontroli wewnętrznych oraz reprezentowanie administratora danych w czasie kontroli zewnętrznych. Obowiązki Administratora Bezpieczeństwa Informacji pełni

13 Załącznik do Polityki Bezpieczeństwa Informacji Zadania Administratora Systemu Informatycznego Wyznaczenie A S I (Informatyka) Administrator danych powierza Administratorowi Systemu Informatycznego (ASI), zwanego również Informatykiem, następujące zadania z zakresu technicznoorganizacyjnej obsługi systemu teleinformatycznego: 1) Zapewnienie poufności danych tj. zabezpieczenie danych przetwarzanych w systemie informatycznym administratora danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną oraz zmianą, utratą, uszkodzeniem lub zniszczeniem; 2) Zapewnienie integralności danych tj. właściwości zapewniającej, że dane osobowe nie zostaną zmienione lub zniszczone w sposób nieautoryzowany; 3) Zapewnienie integralności systemu rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej jak i przypadkowej. 4) Informowanie i doradzanie administratorowi danych oraz pracownikom, którzy przetwarzają dane osobowe w zakresie ich obowiązków wynikających z zasad opisanych w Instrukcji zarządzania systemem informatycznym; 5) Monitorowanie stosowania się do Instrukcji zarządzania systemem informatycznym wdrożonej przez administratora danych w zakresie ochrony danych osobowych, w tym przydział obowiązków, podnoszenie świadomości i szkolenie personelu zaangażowanego w operacje przetwarzania, oraz powiązane kontrole; 6) Monitorowanie stosowania środków ochrony przed szkodliwym oprogramowaniem takim, jak np. robaki, wirusy, konie trojańskie, rootkity. 7) Przeprowadzanie okresowych kontroli wewnętrznych oraz reprezentowanie administratora danych w czasie kontroli zewnętrznych.

14 Kim są osoby przetwarzające dane?

15 (pieczęć nagłówkowa Administratora danych) (miejscowość i data) Upoważnienie do przetwarzania danych osobowych Na podstawie art. 37 ustawy o ochronie danych osobowych (tj. Dz. U. z 2002 r Nr 101, poz. 926 ze zm.) upoważniam Panią/Pana* (imię i nazwisko osoby upoważnionej) zatrudnionej w (współpracującej z) (nazwa jednostki, komórki organizacyjnej, stanowisko, funkcja) do przetwarzania danych osobowych na wyznaczonym stanowisku pracy, zgodnie z obowiązkami pracowniczymi i poleceniami Administratora Danych w następującym zakresie**:.... (Podpis Administratora danych) Zobowiązuję się do przestrzegania przepisów dotyczących ochrony danych osobowych oraz wprowadzonych i wdrożonych do stosowania przez Administratora Danych Polityki bezpieczeństwa danych osobowych oraz Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Zobowiązuję również do zachowania w tajemnicy danych osobowych... (podpis osoby upoważnionej) *niepotrzebne skreślić **uprawnienia składające się na zakres upoważnienia: O-odczyt/wgląd, W-wprowadzanie, M-modyfikowanie, K kopiowanie, powielanie, U-usuwanie/niszczenie, P-przekazywanie(udostępnianie/powierzanie do przetwarzania)

16 -W Z Ó R EWIDENCJA OSÓB UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH L.p. Imię i nazwisko Data nadania upoważnienia Data ustania upoważnienia Zakres upoważnienia Login/ identyfikator Uwagi Zakres upoważnienia: D wgląd W wprowadzanie M modyfikacja U usuwanie P - powierzanie

17 Powierzenie - Administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. - Podmiot, któremu dane zostały powierzone, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. - Podmiot, któremu dane zostały powierzone, jest obowiązany przed rozpoczęciem przetwarzania danych podjąć środki zabezpieczające zbiór danych oraz spełnić wymagania określone w przepisach prawa. - W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. - Do kontroli zgodności z przepisami o ochronie danych osobowych przetwarzanych danych przez podmiot, któremu dane zostały powierzone ma prawo GIODO.

18 NAZWA ZBIORU PODSTAWA PRAWNA CEL KATEGORIA OSÓB NR KSIĘGI REJESTROWEJ DATA REJESTRACJI PROGRAM KOMPUTEROWY ZASTOSOWANY DO PRZETWARZANI A DANYCH W ZBIORZE PACJENCI Ustawa o zakładach opieki zdrowotnej udzielanie świadczeń zdrowotnych Pacjenci Zwolniony wg Art. 43. ust.1 pkt 5 ustawy o ochronie danych osobowych PRACOWNICY Ustawa o zakładach opieki zdrowotnej Dopełnienie obowiązków określonych w przepisach prawa pracownicy zakładu opieki zdrowotnej Zwolniony wg Art. 43. ust.1 pkt 4 ustawy o ochronie danych osobowych REJESTR KORESPONDENC JI Kodeks postępowania administracyjneg o Rejestr korespondencji przychodzącej i wychodzącej Nadawcy i odbiorcy korespondencji ARCHIWUM Ustawa o narodowym zasobie archiwalnym i archiwach Dopełnienie obowiązków określonych w przepisach prawa Osoby, których dotyczą materiały archiwalne OSOBY UPOWAŻNIONE DO ODBIORU WYNIKÓW BADAŃ Zgoda osoby, której dane dotyczą Wydanie wyniku badania osobie upoważnionej osoby upoważnione do odbioru wyników badań

19 Polityka bezpieczeństwa informacji musi identyfikować zasoby jakie chronimy, w jaki sposób, kto i gdzie. polityka bezpieczeństwa powinna zawierać w szczególności: Definicje: - Administrator Danych - Administrator Bezpieczeństwa Informacji - Administrator Systemu Informatycznego - Użytkownik - Pomieszczenia (obszar przetwarzania) - Poufność danych - Integralność danych i systemu informatycznego - Rozliczalność - Dostępność

20 określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych, a tj.: - Gospodarka kluczami do pomieszczeń; - Systemy alarmowe, monitoringu, kontroli dostępu, ochrony zewnętrznej; - Sposób przechowywania dokumentów w formie papierowej; - Sposób przechowywania kopii zapasowych; - Sposób niszczenia danych po ustaniu ich przydatności - Zabezpieczenia ppoż. i przeciwwłamaniowe - Sposoby zabezpieczenia komputerów i innych urządzeń przenośnych;

21 - Zabezpieczenia przed skutkami awarii zasilania; - Proces uwierzytelnienia dostępu do systemu; - Konfiguracja i częstotliwość zmiany haseł dostępu; - Środki bezpieczeństwa przy korzystaniu z Internetu i poczty elektronicznej; - Środki ochrony przed złośliwym oprogramowaniem; - Sposoby ustawienia monitorów, wygaszacze ekranów - Szkolenia użytkowników; - Deklaracja zachowania tajemnicy; - Upoważnienia do przetwarzania danych i Ewidencja osób upoważnionych.

22 Odpady medyczne i dokumenty na śmietniku Odpady medyczne i dokumentację lekarską znaleziono w poniedziałkowy późny wieczór w kontenerach na śmieci na osiedlu Batorego. Sprawę bada policja, bo w grę wchodzi wyciek danych osobowych. Odpady medyczne i dokumenty znaleźli strażnicy miejscy w Poznaniu. - Przed godziną 21 strażnicy zostali poinformowani przez mieszkańców, że w pojemnikach na makulaturę znajdują się odpady medyczne, a także dokumenty zawierające dane osobowe - Patrol pojechał na miejsce, żeby to sprawdzić. Strażnicy faktycznie znaleźli dokumentację medyczną z nazwiskami pacjentów, ich adresami i wynikami badań oraz zakrwawione waciki, rękawiczki lateksowe, strzykawki itp. O sprawie powiadomiono policję, bo złamanie ustawy o ochronie danych osobowych jest przestępstwem.

23 Wyłudzenia na podstawie danych osobowych skradzionych ze szpitala Wyniesione z jednej ze szczecińskich klinik dane osobowe 11 pacjentów stały się podstawą do wyłudzenia przez fikcyjną firmę 49 tys. zł kredytów. Wyłudzenie ponad 50 tys. zł na konto innych pacjentów uniemożliwiła interwencja policji. Akt oskarżenia w sprawie ośmiu osób, mieszkańców Szczecina, które zaangażowały się w fałszerstwa i wyłudzenia, skierowano do Sądu Rejonowego w Szczecinie. Wśród oskarżonych jest m.in. kobieta, która utworzyła fikcyjną firmę, były pracownik kliniki, który wyniósł z niej dane osobowe pacjentów zarejestrowane w szpitalnym komputerze, a także pośrednicy składający wnioski kredytowe i odbierający pieniądze. Posługując się danymi personalnymi pacjentów szczecińskiej kliniki oskarżeni w październiku i listopadzie ubiegłego roku składali w jednym z miejscowych banków wnioski kredytowe na kwoty od 2 do 5 tys. zł. Byli pacjenci nie wiedzieli, że zaciągnęli pożyczki. Dowiadywali się o tym, gdy przyszło im spłacać długi.

24 Pacjenci z katastrofy kolejowej na celowniku. Osoby poszkodowane w katastrofie kolejowej pod Szczekocinami oraz ich rodziny znaleźli się na celowniku kancelarii zajmującej się walką o odszkodowania. Zdarzają się kolejne przypadki, że osoby przedstawiające się za prawników lub psychologów chcą wyciągnąć od szpitali dane pacjentów z katastrofy. Placówki zostały już o tym procederze ostrzeżone. - Dziś dwie takie osoby dzwoniły. Przedstawiają się jako prawnicy - mówi Onetowi dyżurny Wojewódzkiego Centrum Zarządzania Kryzysowego w Katowicach. Dzwonią i chcą uzyskać dane osobowe poszkodowanych bądź ich bliskich. Dyżurny dodaje także: - Została już ogłoszona informacja o tym, aby szpitale i inne instytucje mające dane osobowe poszkodowanych, ich nie udostępniały.

25 Jak długo NFZ może udostępniać na stronie internetowej Biuletynu Informacji Publicznej informacje o wynikach naboru na określone stanowisko, w tym dane osób biorących udział w rekrutacji? Żaden przepis prawa tego wprost nie reguluje, dlatego należy kierować się ogólnymi zasadami udostępniania danych osobowych z ustawy o ochronie danych osobowych, z których wynika, że ustanie celu w jakim dane są przetwarzane kształtuje okres, od którego nie powinny być one udostępnianie. Do udostępniania przez NFZ w Biuletynie Informacji Publicznej (BIP) wyników naboru na określone stanowisko, w tym danych osób w nim biorących udział, zobowiązują zarówno przepisy ustawy o dostępie do informacji publicznej, jak również szczegółowe uregulowania dotyczące naboru kandydatów do zatrudnienia w tym organie określone w ustawie o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych. Niemniej jednak podkreślić należy, iż powyższe regulacje nie określają okresu, w którym dane osoby zatrudnionej mają być udostępniane w BIP-ie. Wobec powyższego zastosowanie w tej kwestii będą miały przepisy Ustawy o ochronie danych osobowych.

26 Czy dane pacjenta można wykorzystać jako dane marketingowe? Czy NZOZ ma prawo wykorzystać dane pacjenta (nazwisko, telefon) w celach marketingowych np. do przeprowadzenia sondy telefonicznej badającej poziom zadowolenia pacjenta przychodni, informacji o nowościach lub otwarciu nowej filii? Mimo iż, kwestia dotyczy legalności przetwarzania jedynie danych teleadresowych pacjentów, a nie danych o ich stanie zdrowia, dane adresowe i telefoniczne uzyskane zostały przez nzoz, w związku z udzielaniem świadczeń zdrowotnych i pochodzą z dokumentacji medycznej, a zatem przysługuje im szczególna ochrona prawna. Na przetwarzanie danych pacjenta w celach marketingowych przez niepubliczny zakład opieki zdrowotnej konieczna jest pisemna zgoda pacjenta.

27 Czy dopuszczalne jest umieszczanie przed gabinetami lekarskimi list z nazwiskami pacjentów zapisanych na dany dzień na wizytę lekarską? Nie, gdyż prowadziłoby to do naruszenia nie tylko przepisów regulujących działanie placówek medycznych, ale także zasad ustanowionych w ustawie o ochronie danych osobowych. Upublicznienie na drzwiach gabinetów lekarskich list z imionami i nazwiskami osób czekających danego dnia na wizytę u konkretnego lekarza jest niedozwolone, bowiem może naruszać prawo do prywatności zagwarantowane m.in. przepisami ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta. Artykuł 20 ust. 1 tej ustawy stanowi bowiem, że pacjent ma prawo do prywatności, poszanowania intymności i godności, zwłaszcza podczas udzielania mu świadczeń zdrowotnych.

28 Najdroższe wycieki informacji INCYDENT OFIARY KOSZT Wyciek danych dotyczących personelu oraz weteranów wojska Stanów Zjednoczonych Kradzież laptopa z Nationwide Building Society w Wielkiej Brytanii 28,7 milionów 11 milionów 45 miliardów dolarów 1,5 miliardów dol. Kradzież przenośnego dysku twardego zawierającego dane firmowe Dai Nippon Printing dokonana przez pracownika tej firmy Kradzież laptopa z amerykańskiego centrum medycznego dla weteranów wojennych w Birmingham zawierającego dane lekarzy i pacjentów Kradzież laptopa z samochodu pracownika koncernu Boeing W wyniku śledztwa przeprowadzonego w centrum medycznym Vassar Brothers stwierdzono zaginięcie laptopa oraz kopii zapasowej dysku z danymi pacjentów 8,64 milionów 1,8 milionów 1,2 miliardów dol. 367 milionów dol milionów dol milionów dol.

29 Rodzaje kontroli GIODO

30 Za nieprzestrzeganie przepisów ochrony danych osobowych grozi: ODPOWIEDZIALNOŚĆ ADMINISTRACYJNA ODPOWIEDZIALNOŚĆ DYSCYPLINARNA ODPOWIEDZIALNOŚĆ ODSZKODOWAWCZA ODPOWIEDZIALNOŚĆ KARNA ODPOWIEDZIALNOŚĆ FINANSOWA

31 -PYTANIA, - MATERIAŁY, - WSPÓŁPRACA; Piotr Glen specjalista ds. ochrony danych osobowych tel: piotr.glen@wiknet.net.pl