QP-ZI/2-01 Zasady bezpieczeństwa informacji medycznej, w tym sposób postępowania w sytuacjach krytycznych

Transkrypt

1 Strona 1 z 9 SPIS TREŚCI 1. Cel procedury Przedmiot procedury Zakres stosowania Sposób postępowania Odpowiedzialność i uprawnienia Kontrola przebiegu procedury Terminologia Dokumenty związane z procedurą Załączniki Tabela zmian Rozdzielnik procedury Oświadczenia pracowników... 9 Kopia nr: Własność: Żadna część niniejszej procedury nie może być zmieniana bez wiedzy ani kopiowana bez zgody Pełnomocnika ds. Zarządzania Jakością OPRACOWAŁ SPRAWDZIŁ ZATWIERDZIŁ STANOWISKO NAZWISKO i IMIĘ PODPIS Inspektor Ochrony Węgiel Mariola Danych Z-ca Dyrektora ds. Opieki Zdrowotnej Dyrektor SP ZOZ Nr Chmielewski Zdzisław Kamiński Dariusz

2 Strona 2 z 9 1. Cel procedury Celem procedury jest zapewnienie bezpieczeństwa dokumentacji medycznej w formie papierowej i elektronicznej w. 2. Przedmiot procedury Przedmiotem procedury jest opracowanie zasad bezpieczeństwa dokumentacji medycznej poprzez zabezpieczenie jej przed utratą, zniszczeniem, zamianą oraz zasady dostępu do poszczególnych rodzajów dokumentacji medycznej a także sposób postępowania. 3. Zakres stosowania Procedura obowiązuje w. 4. Sposób postępowania W celu zapewnienia bezpieczeństwa dokumentacji medycznej w formie papierowej i elektronicznej w. wprowadza się następujące sposoby zabezpieczenia: I. Zabezpieczenia wewnątrz Zakładu; II. Zabezpieczenia na zewnątrz Zakładu. Zabezpieczenia wewnątrz Zakładu; 1. Środki ochrony fizycznej; 2. Środki sprzętowe, informatyczne i techniczne; 3. Środki organizacyjne; Ad.1 Środki ochrony fizycznej: 1) Okresowe badania stanu budynku w celu uniknięcia szkodliwych działań ze strony warunków atmosferycznych. 2) Budynek Szpitala im. Dr Wojciecha Oczki, jest wyposażony w system monitoringu wizyjnego. Zasady monitoringu normuje Regulamin funkcjonowania monitoringu w SP ZOZ Nr 1. 3) Klucze do budynku szpitala i pomieszczeń posiadają wyłącznie uprawnione osoby. Kucze

3 Strona 3 z 9 do budynku oraz do gabinetów i pomieszczeń medycznych po zakończeniu pracy przechowywane są w zamykanych szafkach/gablotach w pomieszczeniach do tego przystosowanych. 4) Pomieszczenia, w których przetwarza się dane osobowe, są zamykane na klucz; 5) Dokumentacja medyczna, w zależności od specyfiki jednostki/komórki organizacyjnej, przechowywana jest w szafach, biurkach, kartotekach, dostęp do niej posiadają uprawnione osoby. Po zakończeniu leczenia dokumentacja medyczna pacjentów przechowywana jest w Składnicy akt ; 6) Podczas nieobecności osób uprawnionych pomieszczeniach, w których przetwarzane są dane osobowe, drzwi zamykane są klucz; 7) Nadzór nad powierzonym sprzętem informatycznym sprawują użytkownicy tego sprzętu. oraz kierownicy jednostek/komórek organizacyjnych Zakładu;. Ad. 2 - Środki sprzętowe, informatyczne i techniczne: Zabezpieczenia sprzętowe; Sprzęt informatyczny spełnia odpowiednie normy techniczne, zgodnie z obowiązującymi przepisami prawa. Występuje zabezpieczenie przed zanikiem napięcia (awaryjne) UPS; Zabezpieczenia serwerów: 1) Wydzielone pomieszczenie dla serwerowni zabezpieczone drzwiami antywłamaniowymi i zamkiem patentowym, pomieszczenie wyposażone w sprzęt P/POŻ; 2) Pomieszczenie klimatyzowane; 3) Zasilanie serwerów wydzieloną siecią elektro-energetyczną z podtrzymywaniem zasilania (UPS). Zabezpieczenia informatyczne: 1) Zabezpieczenie dysków lokalnych serwerów systemem RAID; 2) Kopia zapasowa wykonywana automatycznie na nośnikach zewnętrznych; 3) Dodatkowe zabezpieczenie przez przesyłanie kopii baz z innych lokalizacji do głównych serwerów (kopie zapasowe baz poradni, pracowni diagnostycznych i dokumentów z oddziałów); 4) Zastosowanie mechanizmu umożliwiającego automatyczną rejestracje identyfikatora użytkownika modyfikującego dane. 5) Obowiązek okresowego skanowania systemów informatycznych diagnostyka. Zabezpieczenia techniczne: 1) Programy są oryginalne, oprogramowanie użytkowane zgodnie z prawami licencji;

4 Strona 4 z 9 2) Zastosowanie zabezpieczeń z wykorzystaniem identyfikatorów oraz haseł, wykorzystanie mechanizmów wymuszających zmianę haseł co 30 dni; 3) Zastosowanie mechanizmu umożliwiającego automatyczną rejestracje identyfikatora użytkownika modyfikującego dane; 4) Zastosowano środki umożliwiające określenie praw dostępu do wskazanego zakresu danych dla poszczególnych użytkowników; 5) Zastosowano kryptograficzne środki ochrony danych Ad. 3 - Środki organizacyjne; 1) Wydanie upoważnień do przetwarzania danych osobowych oraz oświadczeń o zachowaniu w tajemnicy sposobu zabezpieczenia danych osobowych, zgodnie z Polityką Ochrony Danych Osobowych dla pracowników zakładu; 2) Odwołanie upoważnienia do przetwarzania danych osobowych w przypadku rozwiązania umowy o pracę oraz umowy cywilno - prawnej; 3) Stosowanie procedur określonych w: - Polityce Ochrony Danych Osobowych; - Zasadach gospodarki kluczami; - Instrukcji kancelaryjnej; - JRWA; - Instrukcji w sprawie organizacji i zakresu działania składnicy akt; - Przepisach p/pożarowych; - Regulaminie monitoringu w - i innych obowiązujących regulaminach, zarządzeniach itp.: 4) Szkolenia osób nowozatrudnionych przy przetwarzaniu danych osobowych; 5) Przekazywanie dokumentów, po zakończeniu akt sprawy, do składnicy akt; 6)Kontrole wewnętrzne jednostek/komórek organizacyjnych w zakresie prawidłowego zabezpieczenia, przetwarzania i udostępniania danych osobowych. Zabezpieczenia na zewnątrz Zakładu Zabezpieczenia informatyczne: 1) Zastosowanie kryptograficznych środków ochrony danych; 2) Zastosowanie systemu antywirusowego systemie informatycznym.

5 Strona 5 z 9 Zabezpieczenie proceduralne - lista czynności zabronionych dla pracowników w celu wyeliminowania możliwość wypłynięcia danych na zewnątrz zakładu: a) Zabronione jest wynoszenie danych w formie papierowej i elektronicznej poza Zakład; b) Zabronione jest używanie prywatnych nośników danych w pracy; c) Uszkodzone nośniki danych należy przekazywać do ASI w celu ich trwałego zniszczenia; d) Zabronione jest niszczenie dokumentów w inny sposób niż za pomocą urządzeń do tego celu przeznaczonych (niszczarki); e) Zabronione jest udzielanie informacji telefonicznej zawierającej dane osobowe lub wrażliwe; f) Zabronione jest udzielani informacji stanowiących tajemnicę służbową; g) Zabronione jest wysyłanie zbiorów danych osobowych, danych medycznych pocztą elektroniczną bez zabezpieczenia; h) Zabronione jest wykorzystywanie Internetu zakładowego do celów nie związanych z pełnionymi obowiązkami; i) Dostęp podmiotów zewnętrznych do systemu informatycznego normuje Polityka Ochrony Danych Osobowych; j) Wizyty osób postronnych: np. w Serwerowni, w Składnicy akt, wpisywane w Dziennikach wizyt ; k) Naprawy, przeglądy sprzętu informatycznego, zgodnie z Polityką Ochrony Danych; Osobowych; l) Udostępnianie danych osobowych tylko na pisemny wniosek osoby lub podmiotu uprawnionego, zgodnie z Zasadami udostępniania dokumentacji medycznej w SP ZOZ Nr 1 ; Zabezpieczenie dokumentacji medycznej. W sytuacjach krytycznych obowiązują następujące czynności: Pożar, powódź należy powiadomić straż pożarną numer alarmowy telefonu - 112, jeżeli nie jest zagrożone własne lub czyjeś życie, należy przystąpić do ratowania dokumentacji medycznej. Kradzież należy powiadomić policję - numer alarmowy telefonu 112, udzielić jej wszelkiej informacji i pomocy. Klęska żywiołowa należy współdziałać ze służbami ratowniczymi. Zewnętrzny elektroniczny atak na system informatyczny oraz wewnętrzne zagrożenia związane z wprowadzeniem szkodliwego oprogramowania na nośnikach USB należy powiadomić: ADO, IOD, ASI udzielić im wszystkich informacji związanych z atakiem. ASI

6 Strona 6 z 9 zarządzający system informatycznym korzysta z procedur wewnętrznych zapewniających bezpieczeństwo informatyczne, podejmują działania naprawcze. Sygnalizacja alarmowa w postaci komunikatów SMS o przekroczeniu wartości temperatur: maksymalnych oraz minimalnych Termometr dokonuje pomiaru temperatury w dwóch miejscach. Po przekroczeniu założonej temperatury przez któryś z czujników, użytkownik sygnalizacji otrzymuje komunikat z informacją o przekroczonym alarmie MIN lub MAX temperatury oraz godzinie wystąpienia alarmu. Użytkownik sygnalizacji podejmuje działania zapobiegające awarii lub powiadamia inne odpowiedzialne osoby za bezpieczeństwo sytuacjach krytycznych. Sygnalizacja alarmowa jest zainstalowana jednostkach: Miejski Ośrodek Zdrowia, Gminny Ośrodek Zdrowia w Niedrzwicy Dużej, Gminny Ośrodek Zdrowia w Borzechowie, Wiejski Ośrodek Zdrowia w Szczuczkach. 4. Odpowiedzialność i uprawnienia Za bezpieczeństwo tej procedury odpowiadają: 1) Dyrektor ; 2) Inspektor Ochrony Danych /IOD/; 3) ASI - Kierownik Działu Informatycznego, Sprzedaży i Marketingu; 4) Z-ca Dyrektora ds. Opieki Zdrowotnej; 5) Kierownicy jednostek /komórek organizacyjnych w Zakładzie; 6) Lekarze, pielęgniarki, ratownicy medyczni i inny medyczny personel, sekretarki medyczne, rejestratorki medyczne, pracownicy administracji z dostępem do danych osobowych; 7) Archiwista. 5. Kontrola przebiegu procedury Nadzór nad procedurą sprawują: 1) Dyrektor ; 2) Inspektor Ochrony Danych /IOD/; 3) ASI - Kierownik Działu Informatycznego, Sprzedaży i Marketingu; 4) Z-ca Dyrektora ds. Opieki Zdrowotnej; 5) Kierownicy jednostek /komórek organizacyjnych w Zakładzie;

7 Strona 7 z 9 6. Terminologia Brak 7. Dokumenty związane z procedurą Dokumenty związane z procedurą: - Polityka Ochrony Danych Osobowych ; - Zasady gospodarki kluczami w ; - Instrukcja kancelaryjna; - JRWA ; - Instrukcja w sprawie organizacji i zakresu działania składnicy akt w Bełżycach; - Przepisy p/pożarowe. - Regulamin funkcjonowania monitoringu w. 8. Załączniki Brak Tabela zmian Nr karty zmian Symbol zmian Podpis Data

8 Strona 8 z 9 9. Rozdzielnik procedury Rodzaj dokumentu Oryginał Wersja papierowa Kopia papierowa Komórka organizacyjna- osoba otrzymująca dokument Pełnomocnik Dyrektora ds. Systemu Zarządzania Jakością Komórki działalności leczniczej-wg rozdzielnika dostępnego u Pełnomocnika

9 Strona 9 z Oświadczenia pracowników... (komórka organizacja szpitala - pieczątka) Oświadczam, że zapoznałem się z treścią dokumentu:... ( nazwa dokumentu) i zobowiązuję się do jego stosowania L.p Nazwisko i imię Stanowisko Data Podpis