DANE OSOBOWE TO WSZELKIE INFORMACJE DOTYCZĄCE: zidentyfikowanej osoby fizycznej

Transkrypt

1 DANE OSOBOWE TO WSZELKIE INFORMACJE DOTYCZĄCE: zidentyfikowanej osoby fizycznej możliwej do zidentyfikowania osoby fizycznej, której tożsamość można określić bezpośrednio lub pośrednio, przez powołanie się na: numer identyfikacyjny jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne chyba, że wymagałoby to nadmiernych kosztów, czasu i działań zgodnie z orzecznictwem danymi osobowymi nie są informacje o osobach zmarłych, przy czym przepisy dotyczące dokumentacji medycznej chronią również dane osób zmarłych wprowadzając szerszą ochronę w tym zakresie

2 STOSOWANIE PRZEPISÓW O OCHRONIE DANYCH OSOBOWYCH PRZEZ LEKARZY: ustawę stosuje się do przetwarzania danych osobowych: w kartotekach, skorowidzach, księgach, wykazach i w innych zbiorach ewidencyjnych, w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych ustawę stosuje się do osób fizycznych i osób prawnych oraz jednostek organizacyjnych niebędących osobami prawnymi, jeżeli: przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej

3 PRZETWARZANIE DANYCH OSOBOWYCH: jakiekolwiek operacje wykonywane na danych osobowych: zbieranie utrwalanie przechowywanie opracowywanie zmienianie udostępnianie usuwanie

4 DANE WRAŻLIWE TO WSZELKIE INFORMACJE DOTYCZĄCE: pochodzenia rasowego lub etnicznego poglądów politycznych przekonań religijnych lub filozoficznych przynależności wyznaniowej, partyjnej lub związkowej stanu zdrowia, kodu genetycznego, nałogów lub życia seksualnego skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym

5 USTAWOWY ZAKAZ PRZETWARZANIA DANYCH WRAŻLIWYCH Chyba, że: przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą, i stwarza pełne gwarancje ich ochrony przetwarzanie jest prowadzone: w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych są stworzone pełne gwarancje ochrony danych osobowych nie jest konieczna zgoda pacjenta

6 USTAWA O PRAWACH PACJENTA I RZECZNIKU PRAW PACJENTA pacjent ma prawo do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych podmiot udzielający świadczeń zdrowotnych jest obowiązany, w sposób określony w ustawie : prowadzić przechowywać udostępniać dokumentację medyczną zapewnić ochronę danych zawartych w tej dokumentacji lekarze, pielęgniarki i położne są uprawnieni do uzyskiwania i przetwarzania danych zawartych w dokumentacji medycznej

7 OBOWIĄZKI OKREŚLONE USTAWĄ O OCHRONIE DANYCH OSOBOWYCH lekarz jest administratorem danych osobowych przetwarzanych w związku z udzielaniem świadczeń - decyduje o celach i środkach przetwarzania danych podjęcie działań zapewniających przetwarzanie danych zgodnie z przepisami prawa stosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną wykorzystywanie danych tylko w określonym, dopuszczonym przepisami celu zabezpieczenie przed: udostępnieniem osobom nieupoważnionym zabraniem przez osobę nieuprawnioną przetwarzaniem z naruszeniem ustawy zmianą utratą uszkodzeniem zniszczeniem dokumentacja medyczna jako zbiór danych osobowych jest zwolniona z obowiązku rejestracji zbioru przez GIODO

8 BEZPIECZEŃSTWO INFORMACJI: poufność (informacja nie może być ujawniana nieautoryzowanym podmiotom lub osobom) integralność (dane nie mogą być zmieniane lub niszczone w sposób nieautoryzowany) dostępność (możliwość korzystania w każdym czasie na żądanie uprawnionego podmiotu) rozliczalność (przypisanie działania określonemu podmiotowi) autentyczność (dane zgodne z zadeklarowanymi) niezaprzeczalność (podmiot uczestniczący w przetwarzaniu nie może temu zaprzeczyć) niezawodność (system przetwarzania danych musi zapewnić w każdym czasie osiągnięcie celów, dla których jest prowadzony)

9 PRZETWARZANIE DANYCH OSOBOWYCH WYŁĄCZNIE PRZEZ OSOBY UPOWAŻNIONE: do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych zawierającej: imię i nazwisko osoby upoważnionej datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych identyfikator, jeżeli dane są przetwarzane w systemie informatycznym osoby upoważnione do przetwarzania danych osobowych mają obowiązek zachować w tajemnicy te dane oraz sposoby ich zabezpieczenia

10 POZIOMY BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH W SYSTEMIE INFORMATYCZNYM: podstawowy (dane niewrażliwe i brak dostępu do sieci publicznej) podwyższony (dane wrażliwe i brak dostępu do sieci publicznej) wysoki (dane wrażliwe i brak dostępu do sieci publicznej)

11 OBOWIĄZKI ADMINISTRATORA DANYCH zapewnienie dokumentacji opisującej sposoby przetwarzania danych oraz środki zapewniające ochronę danych stałe nadzorowanie przestrzegania zasad ochrony danych i ich doskonalenie wyznaczenie administratora bezpieczeństwa informacji (chyba że sam administrator wykonuje jego zadania) permanentne monitorowanie i aktualizowanie stosowanych środków bezpieczeństwa zapewnienie kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane

12 POLITYKA BEZPIECZEŃSTWA INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM DO PRZETWARZANIA DANYCH

13 POLITYKA BEZPIECZEŃSTWA wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi sposób przepływu danych pomiędzy poszczególnymi systemami określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych

14 WYKAZ BUDYNKÓW, POMIESZCZEŃ LUB CZĘŚCI POMIESZCZEŃ, TWORZĄCYCH OBSZAR, W KTÓRYM PRZETWARZANE SĄ DANE OSOBOWE wszystkie, w których następuje jakakolwiek forma przetwarzania danych również pomieszczenia, w których przechowuje się uszkodzony sprzęt, przechowuje nośniki danych z kopiami zapasowymi zabezpiecza się je przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych przebywanie osób nieuprawnionych w tych obszarach jest dopuszczalne: za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych

15 WYKAZ ZBIORÓW DANYCH OSOBOWYCH WRAZ ZE WSKAZANIEM PROGRAMÓW ZASTOSOWANYCH DO PRZETWARZANIA TYCH DANYCH nazwy zbiorów danych osobowych nazwy programów komputerowych używanych do przetwarzania danych

16 OPIS STRUKTURY ZBIORÓW DANYCH WSKAZUJĄCY ZAWARTOŚĆ POSZCZEGÓLNYCH PÓL INFORMACYJNYCH I POWIĄZANIA MIĘDZY NIMI zgodne z wymaganiami dla dokumentacji medycznej opisy pól informacyjnych jednoznaczne wskazanie danych jakie są przechowywane opis formatu zapisu jeśli możliwa jest niejednoznaczna interpretacja zawartości pola struktura danych i powiązania w tej strukturze: dane pacjenta dane identyfikujące osobę udzielającą świadczeń zdrowotnych oraz osobę kierującą na badanie, leczenie lub konsultacje datę dokonania wpisu i datę udzielenia świadczenia zdrowotnego informacje o stanie zdrowia i choroby oraz procesie diagnostyczno-leczniczym informacje o zakresie udzielonych świadczeń zdrowotnych informacje o produktach leczniczych, wraz z dawkowaniem, lub wyrobach medycznych zapisanych pacjentowi na receptach

17 SPOSÓB PRZEPŁYWU DANYCH POMIĘDZY POSZCZEGÓLNYMI SYSTEMAMI jakie systemy stosowane są do przetwarzania danych jaki przepływ informacji występuje między poszczególnymi systemami sposoby przenoszenia danych między systemami (manualny, automatyczny) kierunek przepływu informacji (odczyt, zapis/odczyt)

18 OKREŚLENIE ŚRODKÓW TECHNICZNYCH I ORGANIZACYJNYCH NIEZBĘDNYCH DLA ZAPEWNIENIA POUFNOŚCI, INTEGRALNOŚCI I ROZLICZALNOŚCI PRZETWARZANYCH DANYCH adekwatne do zagrożeń i kategorii danych kwestie uwierzytelnienia użytkowników w systemie informatycznym kwestie uprawnień do dostępu do pomieszczeń (przechowywanie kluczy)

19 INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem identyfikator indywidualny dla każdej osoby, zakaz nadawania tego samego identyfikatora hasło najmniej 8 znaków (małe i wielkie litery, cyfry, znaki), zmiana co 30 dni procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych przechowanie w miejscach zabezpieczonych usuwanie po ustaniu ich użyteczności sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do danych sposób realizacji wymogu generowania informacji o odbiorcach danych procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych

20 DOKUMENTACJA PROWADZONA W SYSTEMIE INFORMATYCZNYM System musi zapewniać (poza wymaganiami dla systemów niemedycznych): identyfikację osoby udzielającej świadczeń zdrowotnych i rejestrowanych przez nią zmian, przy czym musi ona następować automatycznie po zatwierdzeniu operacji udostępnienie, w tym przez eksport w postaci elektronicznej dokumentacji albo części dokumentacji będącej formą dokumentacji określonej w rozporządzeniu, w formacie XML i PDF; eksport całości danych w formacie XML, w sposób zapewniający możliwość odtworzenia tej dokumentacji w innym systemie teleinformatycznym; wydrukowanie dokumentacji w formach określonych w rozporządzeniu (z potwierdzeniem zgodności z dokumentacją elektroniczną) odwzorowanie cyfrowe dokumentacji tworzonej w innej postaci udostępnianie poprzez: przekazanie informatycznego nośnika danych z zapisaną dokumentacją dokonanie elektronicznej transmisji dokumentacji przekazanie papierowych wydruków ochronę przed nieuprawnionym dostępem z sieci publicznej

21 ZABEZPIECZENIE DOKUMENTACJI jest zapewniona jej dostępność wyłącznie dla osób uprawnionych jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem są zastosowane metody i środki ochrony dokumentacji, których skuteczność w czasie ich zastosowania jest powszechnie uznawana

22 ZABEZPIECZENIE DOKUMENTACJI PROWADZONEJ W POSTACI ELEKTRONICZNEJ WYMAGA W SZCZEGÓLNOŚCI: systematycznego dokonywania analizy zagrożeń (asymetryczność) opracowania i stosowania procedur zabezpieczania dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania stosowania środków bezpieczeństwa adekwatnych do zagrożeń bieżącego kontrolowania funkcjonowania wszystkich organizacyjnych i technicznoinformatycznych sposobów zabezpieczenia, a także okresowego dokonywania oceny skuteczności tych sposobów przygotowania i realizacji planów przechowywania dokumentacji w długim czasie, w tym jej przenoszenia na nowe informatyczne nośniki danych i do nowych formatów danych, jeżeli tego wymaga zapewnienie ciągłości dostępu do dokumentacji

23 OSOBA/PODMIOT UPRAWNIONY Pacjent (przedstawiciel ustawowy pacjenta, osoba upoważniona), po śmierci pacjenta osoba upoważniona przez niego za życia Podmioty udzielające świadczeń zdrowotnych NFZ, organy władzy publicznej, organy samorządu zawodów medycznych, konsultanci krajowi i wojewódzcy Minister Zdrowia i podmioty działające na jego zlecenie Minister Zdrowia, sądy, sądy dyscyplinarne, prokuratorzy, lekarze sądowi i rzecznicy odpowiedzialności zawodowej Organy rentowe/zespoły ds. orzekania o niepełnosprawności ZAKRES DANYCH MEDYCZNYCH, KTÓRE MOŻNA UZYSKAĆ Pełna dokumentacja medyczna, która go dotyczy Dokumentacja medyczna niezbędna do zapewnienia ciągłości świadczeń zdrowotnych Dokumentacja niezbędna do wykonywania zadań tych organów, zwłaszcza: kontroli i nadzoru Prowadzenie kontroli na podstawie ustawy o działalności leczniczej wyłącznie przez osoby wykonujące zawód medyczny W związku z postępowaniem sądowym, administracyjnym W związku z prowadzonym postępowaniem Podmioty prowadzące rejestr usług medycznych Zakład ubezpieczeń Organy i instytucje uprawnione na mocy odrębnych ustaw Szkoła wyższa/jednostka naukowo badawcza Dokumentacja medyczna niezbędna do prowadzenia rejestru W zakresie, w jakim pacjent zgodził się na udostępnienie danych: ocena ryzyka, weryfikacja danych przed zawarciem umowy, ustalenie prawa do świadczeń, przyczyna śmierci. Dane udostępnia się lekarzowi zakładu ubezpieczeń Dane dotyczące badań/świadczeń, które zostały przeprowadzone na ich wniosek. Dla celów naukowych, bez ujawniania nazwiska lub innych danych umożliwiających identyfikację osoby.

24 OSOBA/PODMIOT UPRAWNIONY Lekarz/pielęgniarka/położna oceniająca podmiot udzielający świadczeń zdrowotnych na podstawie przepisów o akredytacji wojewódzkiej komisji do spraw orzekania o zdarzeniach medycznych Spadkobiercom osobom wykonującym czynności kontrolne na podstawie Ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia ZAKRES DANYCH MEDYCZNYCH, KTÓRE MOŻNA UZYSKAĆ W zakresie niezbędnym do przeprowadzenia oceny. w zakresie prowadzonego postępowania w zakresie prowadzonego postępowania przed wojewódzką komisją do spraw orzekania o zdarzeniach medycznych w zakresie niezbędnym do prowadzenia czynności kontrolnych

25 POSTĘPOWANIE Z DOKUMENTACJĄ PO ZAKOŃCZENIU DZIAŁALNOŚCI obowiązek wpisania do rejestru miejsca przechowywania dokumentacji medycznej w przypadku zakończenia działalności leczniczej przez lekarza dokumentacja może być wydana przez lekarza na wniosek uprawnionych podmiotów za pokwitowaniem do podmiotów przechowujących i udostępniających dokumentację stosuje się w takich wypadkach przepisy dotyczące: podmiotów upoważnionych do żądania udostępnienia dokumentacji sposobów udostępniania dokumentacji i opłat za jej udostępnienie okresów przechowywania informacji sposobów przetwarzania informacji

26 BŁĘDY PRZY PRZETWARZANIU DOKUMENTACJI MEDYCZNEJ pełne historie choroby umieszczone przy łóżkach pacjentów przeprowadzanie wywiadów w obecności innych pacjentów, brak zabezpieczeń papierowej dokumentacji medycznej: przechowywanie na odkrytych regałach przechowywanie w szafach niewyposażonych w zamki Przechowywanie w pomieszczeniach, w których przyjmowane były osoby postronne brak upoważnień do przetwarzania danych osobowych niewłaściwe przechowywanie kluczy do pomieszczeń, w których gromadzone są dane brak lub nienależyte umocowanie administratora bezpieczeństwa informacji, wykorzystywanie danych w celach przekraczających zakres przewidziany ustawą, np. w celach marketingowych ogólnodostępne listy pacjentów zapisanych do lekarza pozostawienie danych w sprzęcie medycznym i komputerowym przekazywanym do serwisu, sprzęcie wydzierżawionym przez lekarza