OCHRONA DANYCH MEDYCZNYCH

Transkrypt

1 PRENUMERATA Z RABATEM Praca zbiorowa pod redakcją Mariusza Jendry OCHRONA DANYCH MEDYCZNYCH WEDŁUG NAJNOWSZYCH PRZEPISÓW Technologie medyczne Prawo IT Strategie inwestycyjne w medycynie E-zdrowie w praktyce Trendy w branży Polityka bezpieczeństwa danych Prenum e 196 zł rata roczna 205,80 netto zł brut to Na 100 stronach kwartalnika: wywiady, komentarze i opinie fachowców z branży IT porady i wskazówki opracowane przez doświadczonych ekspertów praktyczne przykłady wdrożeń elektronicznej dokumentacji medycznej Zamówienia na prenumeratę Centrum Obsługi Klienta: tel.: , cok@wip.pl, NoweTechnologie@wip.pl Prenumerata roczna (4 wydania): 205,80 zł brutto + 36,89 zł brutto kosztów pakowania i wysyłki. WEDŁUG NAJNOWSZYCH PRZEPISÓW 25 praktycznych porad 1BV04 Elektroniczna Dokumentacja Medyczna OCHRONA DANYCH MEDYCZNYCH

2 Praca zbiorowa pod redakcją Mariusza Jendry Ochrona danych medycznych według najnowszych przepisów 25 PRAKTYCZNYCH PORAD

3 Publikacja Ochrona danych medycznych według najnowszych przepisów. 25 praktycznych porad to zbiór najbardziej aktualnych odpowiedzi na problemy pojawiające się przy przetwarzaniu danych osobowych pacjentów w szpitalach i innych placówkach medycznych. W systemach ochrony danych w każdej jednostce, w związku z uruchomieniem od połowy przyszłego roku elektronicznej wymiany dokumentów medycznych, będą musiały zostać uwzględnione nowe, specjalne procedury. Muszą one zabezpieczać placówki przed masowym wyciekiem danych, przetwarzanych w ich wewnętrznych systemach informatycznych. Sektor zdrowia będzie musiał przygotować się na nieznane dotychczas zagrożenia związane z atakami hakerskimi. Przetwarzanie dokumentacji w formie papierowej do tej pory wykluczało powstanie tego zjawiska. Publikacja zawiera 23 praktyczne porady oraz 2 przydatne wzory dokumentów. Książka uwzględnia stan prawny na marzec 2013 roku. Wybór na podstawie tekstów: Piotra Glen, Doroty Kaczmarczyk, Anny Zubkowskiej, Łukasza Siudaka, Krzysztofa Nyczaja, Pawła Piecucha, Jolanty Ziętek-Vargi, Jakuba Jurasza, Elizy Gossy, Pauliny Wójcik -Lulki, Agnieszki Sieńko, Tomasza Ozga, Mariusza Jendry. Konsultacja merytoryczna Piotr Glen Redaktor naczelna grupy wydawniczej Aldona Kapica Wydawca Alina Sulgostowska Redaktor prowadzący Mariusz Jendra Korekta Zespół Koordynator produkcji Katarzyna Kopeć Skład i łamanie Dariusz Ziach Druk Miller Źródła foto: okładka ISBN Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2013 Wydawnictwo Wiedza i Praktyka sp. z o.o. ul. Łotewska 9a, Warszawa tel , faks , cok@wip.pl NIP: , KRS: Sąd rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, Wysokość kapitału zakładowego zł 2

4 SPIS TREŚCI ROZDZIAŁ 1. PRZETWARZANIE DANYCH OSOBOWYCH I DANYCH MEDYCZNYCH... 5 I. Przeszkolenie, nadanie uprawnień i zobowiązanie do zachowania tajemnicy... 5 II. Dostęp osób upoważnionych oraz innych podmiotów do dokumentacji medycznej... 9 III. Udostępnianie dokumentacji placówkom współpracującym...10 IV. Po zmianie lekarza przekazanie danych innemu podmiotowi...12 V. Dostęp do dokumentacji przez prezesa placówki niebędącego lekarzem...15 Rozdział 2. ODPOWIEDZIALNOŚĆ PRAWNA ZA BEZPIECZEŃSTWO DANYCH...18 I. Zakres odpowiedzialności lekarza i kierownika podmiotu za dokumentację medyczną...18 II. Konsekwencje nieprawidłowego przetwarzania danych osobowych...20 III. Nowe przepisy o kontroli baz danych medycznych obowiązujące od stycznia 2013 roku...21 IV. Narzędzia służące do unikania błędów przy przetwarzaniu informacji wrażliwych...22 ROZDZIAŁ 3. BEZPIECZEŃSTWO INFORMACJI A ELEKTRONICZNA DOKUMENTACJA MEDYCZNA...25 I. Kiedy plik zawierający dane medyczne staje się dokumentem elektronicznym...25 II. Wymogi dla systemu teleinformatycznego służącego do zarządzania dokumentami medycznymi...26 III. Anonimizacja, pseudonimizacja i separacja sposoby na zapewnienie bezpieczeństwa danych medycznych...28 IV. Przepisy ustawowe i polskie normy dotyczące bezpieczeństwa danych

5 Ochrona danych medycznych według najnowszych przepisów V. Identyfikacja pacjentów, zabezpieczenie sieci i procedury chroniące przed wyciekiem danych...37 VI. Zastosowanie norm ISO, zabezpieczenie pomieszczeń oraz likwidacja nośników danych...40 VII. Szyfrowanie tożsamości i danych medycznych pacjentów na opaskach szpitalnych...43 VIII. Standaryzacja sposobu identyfikacji lekarza, pacjenta i skierowania...46 IX. Procedury wewnętrzne chroniące placówkę przed utratą danych...49 ROZDZIAŁ 4. OUTSOURCING PRZETWARZANIA DANYCH ORAZ CLOUD COMPUTING W OCHRONIE ZDROWIA...54 I. Modele Cloud Computing a bezpieczeństwo danych w placówce medycznej...54 II. Szyfrowanie zabezpieczy dane przy zleceniu ich przetwarzania firmie zewnętrznej...57 III. Zlecenie przetwarzania danych nie zwalnia od odpowiedzialności...59 ROZDZIAŁ 5. POLITYKA BEZPIECZEŃSTWA INFORMACJI I INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM...64 I. Polityka bezpieczeństwa informacji podstawowym dokumentem określającym sposoby zabezpieczania danych w placówce...64 II. Instrukcja zarządzania systemem informatycznym...67 PODSTAWA PRAWNA...79 Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych

6 ROZDZIAŁ 1. Przetwarzanie danych osobowych i danych medycznych I. Przeszkolenie, nadanie uprawnień i zobowiązanie do zachowania tajemnicy Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby przeszkolone, zobowiązane do zachowania tajemnicy. Przetwarzaniem nazywamy jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Oznacza to, że przetwarzaniem jest już samo przeglądanie danych. Takie rozumienie przetwarzania danych wynika z ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Za przetwarzanie danych bez upoważnienia grozi z reguły grzywna, a w przypadku notorycznego łamania przepisów nawet do dwóch lat więzienia (art. 49 ustawy o ochronie danych osobowych). Administrator zbioru danych (właściciel placówki, prezes), który umożliwia dostęp do nich osobom nieupoważnionym albo nie zabezpiecza ich odpowiednio, również może być pociągnięty do odpowiedzialności (szerzej o odpowiedzialności w rozdziale 2). Najlepszym sposobem na zabezpieczenie się przed nieprawidłowym przetwarzaniem danych są szkolenia dla pracowników. Przepisy wspomnianej ustawy nie precyzują trybu i częstotliwości organizowania takich kursów. Jednak to w interesie administratora danych (właściciela placówki) jest poinformowanie wszystkich pracowników o obowiązujących przepisach. Administrator danych odpowiedzialny jest też za późniejsze kontrolowanie sposobu przetwarzania danych i w razie potrzeby skorygowanie błędów. Warto więc żeby szkolenia takie odbywały się regularnie, w zależności od zauważonych potrzeb. Stałe edukowanie użytkowników jest podstawowym sposobem na zminimalizowanie ryzyka wycieku informacji wrażliwych z systemów informatycznych. 5

7 Ochrona danych medycznych według najnowszych przepisów Jak rozróżnić administratorów w placówce? W podmiocie medycznym zazwyczaj występuje trzech różnych administratorów odpowiedzialnych za przetwarzanie danych: Administrator danych organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych, np. szpital lub przychodnia reprezentowana przez właściciela (dyrektora, prezesa itd.). Administrator bezpieczeństwa informacji (ABI) osoba wyznaczona przez administratora danych, nadzorująca przestrzeganie zasad ochrony przetwarzanych danych osobowych i informacji chronionych prawem. Administrator systemu informatycznego (ASI) informatyk wyznaczony przez administratora danych, odpowiedzialny za poprawne funkcjonowanie sprzętu, oprogramowania i jego konserwację, za techniczno-organizacyjną obsługę systemu teleinformatycznego. Za organizację szkoleń powinien odpowiadać (wyznaczony przez administratora danych) administrator bezpieczeństwa informacji (ABI). Może je prowadzić samodzielnie lub też korzystać z pomocy specjalistów praktyków w konkretnych zagadnieniach. Dopuszczalne jest również wysyłanie kierowników działów na szkolenia i konferencje otwarte. Muszą oni jednak później samodzielnie przeszkolić z tego zakresu swoich pracowników. Nieodzowne są natomiast szkolenia stanowiskowe, czyli przy komputerze użytkownika, przeprowadzane przez informatyka administratora systemu informatycznego (ASI). Informatyk, na komputerze obsługiwanym na co dzień przez pracownika, powinien pokazać, jak w praktyce chronić dane m.in. poprzez system logowania i cyklicznych zmian haseł. Każdy użytkownik systemu informatycznego przetwarzającego dane osobowe powinien mieć umiejętność bezpiecznej obsługi komputera oraz posiadać dobrą znajomość oprogramowania systemowego i operacyjnego, z którego będzie korzystał. Liczy się przede wszystkim praktyczna wiedza i umiejętność jej stosowania. Dowodem na przeszkolenie pracownika jest podpisana lista obecności ze szkolenia oraz pisemne oświadczenie pracownika o tym, że został zaznajomiony z zasadami ochrony danych osobowych. Nadanie uprawnień do przetwarzania informacji Po odbyciu przeszkolenia pracownicy powinni otrzymać upoważnienia do przetwarzania danych. Muszą je dostać wszystkie osoby zatrudnione przy przetwa 6

8 Przetwarzanie danych osobowych i danych medycznych rzaniu informacji osobowych, ale również praktykanci i stażyści. Upoważnienie powinno zawierać informacje, jakie uprawnienia ma dana osoba i w jakim zakresie uprawniona jest do przetwarzania danych. Wzór upoważnienia do przetwarzania danych osobowych Data nadania upoważnienia:... Upoważnienie do przetwarzania danych osobowych 1. Upoważniam Panią/Pana... (imię i nazwisko upoważnianego) zatrudnioną/-ego na stanowisku... w... (nazwa administratora pracodawcy) do dostępu do następujących danych osobowych: (zakres upoważnienia: wskazanie kategorii danych, które może przetwarzać określona w upoważnieniu osoba, lub rodzaj czynności lub operacji, jakich może dokonywać na danych osobowych) 2. Identyfikator:... (wypełnia się w przypadku, gdy dane przetwarzane są w systemie informatycznym) 3. Okres trwania upoważnienia:... (okres obowiązywania upoważnienia) Wystawił:... (podpis administratora lub osoby reprezentującej administratora) 4. Osoba upoważniona do przetwarzania danych, objętych zakresem, o którym mowa wyżej, jest zobowiązana do zachowania ich w tajemnicy, również po ustaniu zatrudnienia oraz zachowania w tajemnicy informacji o ich zabezpieczeniu. Data i podpis osoby upoważnionej:... 7

9 Ochrona danych medycznych według najnowszych przepisów W przepisach ustawy o ochronie danych osobowych ani w rozporządzeniach wykonawczych nie określono wzoru upoważnienia. Każdy administrator danych powinien wypracować odpowiedni dla siebie, jak również przystający do organizacji jednostki, formularz nadawania uprawnień. Taka procedura powinna być opisana w polityce bezpieczeństwa informacji lub instrukcji zarządzania systemem informatycznym. Do przetwarzania jakich danych upoważniona jest rejestratorka? W przypadku recepcjonistek i rejestratorek, jako pracowników wykonujących zawód niemedyczny, upoważnienie do przetwarzania danych może zawierać uprawnienia do wglądu, wprowadzania, nanoszenia zmian (modyfikowania), ewentualnie przekazywania danych osobowych, z ograniczonym dostępem do historii choroby. Upoważnienie powinno zobowiązywać pracownika do dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Dlatego na stanowiskach, na których przetwarzane są dane osobowe, muszą je mieć wszyscy pracownicy. Dotyczy to nie tylko lekarzy, ale też osób niewykonujących zawodów medycznych, np. recepcjonistek, sekretarek, informatyków. Kolejnym obowiązkiem pracodawcy jest prowadzenie ewidencji osób, które mają upoważnienia do przetwarzania danych. Wynika tak z art. 39 ustawy o ochronie danych osobowych. Ewidencja musi zawierać imiona i nazwiska wszystkich upoważnionych przez administratora do wykorzystywania danych osobowych, daty nadania i ustania upoważnienia oraz jego zakres. Jeżeli dane przetwarzane są w sieci komputerowej, ewidencja powinna również obejmować identyfikatory osób (np. pierwsza litera imienia i nazwisko) dopuszczonych do przetwarzania danych. Zobowiązanie do zachowania tajemnicy Bardzo ważne jest zobowiązanie do zachowania tajemnicy danych osobowych. Przy przetwarzaniu danych osobowych znaczenie ma nie tylko tajemnica lekarska. Tajemnica danych osobowych zobowiązuje (również lekarzy) do bezterminowego zachowania poufności przetwarzanych danych osobowych, a także sposobów ich zabezpieczenia. Należy przy tym pamiętać, że dane osobowe należy rozumieć jako wszelkie informacje dotyczące możliwej do zidentyfikowania osoby 8

10 Przetwarzanie danych osobowych i danych medycznych fizycznej. Pojęcie to obejmuje więc również numery identyfikacyjne (np. NIP, RESEL) czy specyficzne czynniki określające cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (np. nietypowy wzrost, specyficzny kształt uszu, pochodzenie z innego kraju). Takich szeroko rozumianych danych osobowych nigdy nie wolno ujawniać publicznie. Dokumentacja medyczna chroniona jest szczególnym reżimem prawnym (wynikającym z art. 40 ustawy 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty), ale i dane osobowe nie mogą być udostępnione osobom nieupoważnionym, zabrane przez osobę nieuprawnioną, utracone, uszkodzone lub zniszczone. II. Dostęp osób upoważnionych oraz innych podmiotów do dokumentacji medycznej Osobami, którym podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną, są przede wszystkim: przedstawiciel ustawowy pacjenta lub osoba przez niego upoważniona. Pacjent może wskazać dowolną liczbę osób, które upoważnia do wglądu do swojej dokumentacji medycznej. W przypadku śmierci pacjenta, w myśl przepisów ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, prawo wglądu do dokumentacji medycznej ma tylko osoba upoważniona przez niego w tym celu za życia. Zatem krąg osób upoważnionych do wglądu do dokumentacji medycznej nie może zostać rozszerzony po śmierci pacjenta. Należy zatem pamiętać, że wbrew powszechnej opinii pokrewieństwo nie daje prawa do uzyskania dostępu do dokumentacji medycznej. Konieczne jest posiadanie upoważnienia, nawet jeśli o wgląd do dokumentacji ubiegają się bliscy zmarłego pacjenta. Kto z urzędu ma prawo wglądu do dokumentacji medycznej? Poza osobami upoważnionymi przez pacjenta wgląd do jego dokumentacji, na podstawie art. 26 ust. 3 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, przysługuje także: podmiotom udzielającym świadczeń zdrowotnych, jeżeli dokumentacja ta jest niezbędna do zapewnienia ciągłości tych świadczeń, organom władzy publicznej, Narodowemu Funduszowi Zdrowia, organom samorządów medycznych oraz konsultantom krajowym i wojewódzkim 9