Praca zbiorowa pod redakcją Mariusza Jendry. Ochrona danych medycznych i osobowych pacjentów

Transkrypt

1 Praca zbiorowa pod redakcją Mariusza Jendry Ochrona danych medycznych i osobowych pacjentów ProfesJ onalne P ublikacj e dla kadry ZarZĄd Z a JĄceJ PodM iot a M i lecz niczymi

2 Ochrona danych medycznych i osobowych pacjentów

3 Publikacja Ochrona danych medycznych i osobowych pacjentów została opracowana na podstawie przepisów, które obowiązują w 2016 r. Zawiera zbiór najbardziej aktualnych odpowiedzi na problemy pojawiające się przy przetwarzaniu danych osobowych pacjentów w szpitalach i innych placówkach medycznych. Stopniowe przechodzenie placówek medycznych na elektroniczną dokumentację medyczną wymusza konieczność przygotowania się na nieznane dotychczas zagrożenia związane z atakami hakerów. Książka zawiera też porady oraz odpowiedzi na pytania dotyczące przetwarzania danych medycznych w formie papierowej. Publikacja zawiera 18 obszernych porad prawnych, 46 odpowiedzi na najczęściej zadawane pytania oraz 12 wzorów dokumentów związanych z ochroną danych medycznych. Kierownik Grupy Wydawniczej Agnieszka Konopacka-Kuramochi Wydawca Alina Sulgostowska Redaktor prowadzący Mariusz Jendra Korekta Zespół Koordynator produkcji Magdalena Huta Skład i łamanie Dariusz Ziach Projekt okładki Piotr Fedorczyk Druk Miller Źródła foto: okładka ISBN Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2015 Wydawnictwo Wiedza i Praktyka sp. z o.o. ul. Łotewska 9a, Warszawa tel , faks , e -mail: cok@wip.pl NIP: , KRS: Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, Wysokość kapitału zakładowego zł

4 Spis treści Spis treści I. WSTĘP... 9 II. POWIERZENIE PRZETWARZANIA DOKUMENTACJI MEDYCZNEJ WEDŁUG NAJNOWSZYCH PRZEPISÓW III. KONTROLA BEZPIECZEŃSTWA DANYCH MEDYCZNYCH Jak wygląda kontrola Generalnego Inspektora Ochrony Danych Osobowych obszarów ochrony danych podlegających kontroli inspektorów GIODO Jak przygotować się do kontroli inspektorów ochrony danych osobowych Procedura na wypadek naruszenia bezpieczeństwa danych IV. OCHRONA DANYCH OSOBOWYCH PACJENTÓW W UJĘCIU PRAWNYM Jak zabezpieczyć placówkę przed wyciekiem danych medycznych Ochrona serwerów placówki przed atakiem hakerów Czy można gromadzić dane osobowe bez zgody pacjenta Jak nie naruszać intymności pacjenta Czy upoważniony może usunąć swoje dane z dokumentacji medycznej Czy upoważnienie może dotyczyć tylko części dokumentacji medycznej Czy placówki mogą zbierać dane na zapas Jakość wpisów w dokumentacji medycznej niemy świadek procesu leczenia Kary za zgubienie dokumentacji medycznej Ubezpieczyciel może żądać dokumentacji zmarłego pacjenta Zawartość umowy o powierzenie danych podmiotowi trzeciemu (firmie przechowującej dane) Ochrona dóbr osobistych personelu placówki Znacznie ABI w placówce medycznej V. PRAKTYKA OCHRONY DANYCH ODPOWIEDZI NA NAJCZĘŚCIEJ ZADAWANE PYTANIA Upoważnienie do przetwarzania danych Czy informatyk może mieć dostęp do dokumentacji medycznej

5 Ochrona danych medycznych w 2015 roku Jak się zabezpieczyć przed nieoczekiwaną nieobecnością głównego informatyka Czy upoważnienie do przetwarzania danych osobowych może być wydane w formie służbowego a, który byłby następnie zachowany w celach dowodowych Czy recepcjonistka lub asystentka wydająca lub wypisująca wyniki badań musi mieć upoważnienie do przetwarzania danych osobowych Czy serwisant z firmy zewnętrznej mający dostęp do sprzętu medycznego, np. tomografu lub aparatów usg, ma mieć upoważnienie do przetwarzania danych Czy wolontariusze to osoby upoważnione do przetwarzania danych, czy nadaje się im upoważnienia do przetwarzania danych osobowych Czy osoba, która zajmuje się przetargami i przygotowuje różne oferty, powinna mieć nadane upoważnienie do przetwarzania danych Czy szkolenia z zakresu ochrony danych dla personelu są obowiązkowe Czy każdy pracownik placówki ochrony zdrowia musi posiadać upoważnienie do przetwarzania danych osobowych i czy to musi być osobny, szczegółowy dokument Potwierdzenie tożsamości Jak zidentyfikować i potwierdzić tożsamość osoby dzwoniącej do placówki ochrony zdrowia, która pyta o wyniki swoich badań Jak odpowiadać na telefoniczne zapytania kuratorów sądowych, policji, sądu czy też rodziny pacjentów, którzy pytają czy wymieniony z nazwiska Pan/Pani u nas przebywa. Czy odpowiedź na zasadzie tak/nie bez podania jakichkolwiek innych danych o leczeniu jest naruszeniem ustawy Czy dane firm, przedsiębiorców, osób fizycznych prowadzących działalność gospodarczą, to dane osobowe Ochrona danych lekarzy Czy na stronie internetowej przychodni można zamieścić zdjęcia zatrudnionych lekarzy Czy miesięczne wynagrodzenie dyrektora szpitala to informacja publiczna Czy przewodniczący związków zawodowych może się zwrócić o udostępnienie listy pracowników i ich danych w zakresie imienia, nazwiska i komórki organizacyjnej celem przeprowadzenia referendum w sprawie akcji strajkowej

6 Spis treści 4. Przenoszenie i wydawanie dokumentacji Czy zakład opieki zdrowotnej może odmówić mężowi wydania dokumentacji medycznej dotyczącej żony Czy roszczenie pacjenta o przekazanie jego dotychczasowej papierowej dokumentacji medycznej do nowej przychodni (w związku z przeprowadzką pacjenta) jest zasadne Czy lekarz może zabrać dokumentację medyczną pacjenta do domu Zgoda pacjenta Czy pacjent może wyrazić zgodę na leczenie, jednocześnie nie wyrażając zgody na przetwarzanie jego danych Czy osoba rejestrująca się w przychodni może odmówić podania numeru PESEL Czy na wysłanie maila lub sms-a z przypomnieniem o zaplanowanej wizycie u lekarza potrzebna jest pisemna zgoda pacjenta Prawo do informowania Czy osoba żyjąca w konkubinacie lub związku nieformalnym np. homoseksualnym, może być poinformowana o stanie zdrowia osoby jej bliskiej przebywającej w szpitalu Rejestracja zbiorów danych osobowych Czy podmioty udzielające świadczeń zdrowotnych mają obowiązek rejestracji zbiorów danych osobowych swoich pacjentów u GIODO Co to znaczy, że administrator bezpieczeństwa informacji prowadzi jawny rejestr zbiorów danych przetwarzanych przez administratora danych Czy w jawnym rejestrze zbiorów danych należy opisać zbiory o nazwie pacjenci lub pracownicy zwłaszcza pod kątem nazw i adresów firm, którym powierzono dane z tych zbiorów do przetwarzania Powierzenie przetwarzania danych Jak uregulować formalnie współpracę z lekarzem prowadzącym własną praktykę, który na podstawie umowy zlecenia, używając własnego komputera i oprogramowania, wykonuje badania genetyczne pacjentom szpitala Czy dyrektor szpitala może przekazać dane osobowe pacjentów do przyszpitalnej szkoły Czy potrzebna jest umowa powierzenia z zewnętrznym laboratorium lub inną specjalistyczną placówką medyczną wykonującą usługi dla administratora danych

7 Ochrona danych medycznych i osobowych pacjentów 9. Polityka haseł Czy dyrektor szpitala lub inny administrator danych może mieć u siebie zdeponowane hasła użytkowników, na wypadek gdy pracownik zapomni swojego Czy polityka haseł opisana w Instrukcji zarządzania systemem informatycznym administratora danych może narzucać obowiązek zmiany hasła co 60 lub 90 dni Czy w przypadku umowy o serwis oprogramowania lub urządzeń medycznych pracownicy serwisujący mogą korzystać z haseł personelu w jego obecności Czy przy zmianie nazwiska użytkownika systemu powinno się zmienić jego identyfikator login odnotowany w ewidencji osób upoważnionych do przetwarzania danych Naruszenie ochrony danych Czy naruszenie ochrony danych w placówce leczniczej trzeba zgłaszać do Generalnego Inspektora Ochrony Danych Osobowych lub innego organu Udostępnienie informacji Czy zakład pracy może zwrócić się do ZOZ-u z prośbą o udostępnienie informacji dotyczącej stanu zdrowia pracownika na potrzeby prowadzonego postępowania powypadkowego Rola Administratora Bezpieczeństwa Informacji Czy ABI to wyodrębniony etat i samodzielne stanowisko pracy Czy administratorem bezpieczeństwa informacji (ABI) może być pracownik działu IT Czy ABI jest zobowiązany do przesyłania rocznych sprawozdań i raportów z audytów bezpieczeństwa informacji do GIODO Czy pełnomocnik ds. ochrony informacji niejawnych to, to samo co administrator bezpieczeństwa informacji (ABI) Ochrona wizerunku (monitoring) Czy w przypadku stosowania monitoringu wizyjnego w sali dzieci młodszych oddziału dziecięcego lub na oddziale porodowym należy uzyskać zgodę rodziców na przetwarzanie wizerunku ich dzieci Przechowywanie i zabezpieczenie dokumentacji Z czego wynika i w jakim celu narzucony jest obowiązek inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania danych osobowych i medycznych

8 Spis treści Czy papierową dokumentację medyczną należy przechowywać w metalowych szafach Przetwarzanie danych Czy dopuszczalne jest umieszczanie przed gabinetami lekarskimi list z nazwiskami pacjentów zapisanych na dany dzień na wizytę lekarską Czy w dokumentacji medycznej można przechowywać ksero dowodu osobistego lub paszportu pacjenta Jeśli system wykorzystywany w szpitalu nie zawiera imienia i nazwiska, a tylko numer identyfikacyjny pacjenta to informacje te nie pozwalają na identyfikację tożsamości danej osoby. Czy można założyć, że system ten nie służy do przetwarzania danych osobowych Jak należy postępować w przypadku uszkodzenia komputera, na którym są przetwarzane dane osobowe Czy kierownik medyczny, nie będący lekarzem może mieć dostęp do danych pacjentów na potrzeby tworzenia statystyk VI. WZORY FORMULARZY Upoważnienie do przetwarzania danych osobowych Ewidencja osób upoważnionych do przetwarzania danych Oświadczenie o upoważnieniu osoby bliskiej do zasięgania informacji o stanie zdrowia Oświadczenie o braku upoważnienia do zasięgania informacji o stanie zdrowia Upoważnienie do dostępu do dokumentacji medycznej Jawny wykaz zbiorów danych osobowych Roczny program sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych Analiza organizacyjnych środków bezpieczeństwa informacji Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych Dziennik Administratora Systemu Informatycznego Umowa powierzenia przetwarzania danych osobowych Umowa o zachowaniu poufności przetwarzania danych osobowych VII. PODSTAWA PRAWNA

9

10 I. Wstęp I. WSTĘP Przeszło pół miliona pracowników medycznych przetwarza wrażliwe dane osobowe ponad 38 mln Polaków. Wprawdzie placówki medyczne nie muszą rejestrować zbiorów danych pacjentów do GIO- DO, ale ciążą na nich inne obowiązki związane z ochroną danych. Przetwarzanie danych osobowych w przypadku usług medycznych odbywa się na podstawie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz rozporządzenia ministra zdrowia w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania. Placówki medyczne mają obowiązek chronić dane swoich pacjentów w sposób szczególny. Wynika to z tego, że dokumentacja medyczna obejmuje poza tak zwanymi danymi zwykłymi również dane wrażliwe dotyczące opisu stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych. W zależności od podmiotu świadczącego usługi medyczne administratorem danych będzie szpital bądź lekarz wykonujący działalność leczniczą w ramach praktyki zawodowej. Lekarze i podmioty lecznicze są zwolnieni z obowiązku zgłaszania zbiorów danych pacjentów do GIODO, niemniej ciążą na nich inne obowiązki. Jednym z nich jest prowadzenie i wdrożenie dokumentacji opisującej sposób przetwarzania danych oraz środków technicznych i organizacyjnych podjętych w celu wyeliminowania zagrożeń bezpieczeństwa danych. 9

11 Ochrona danych medycznych i osobowych pacjentów Chodzi m.in. o udostępnienie informacji o pacjentach osobom nieupoważnionym, zabranie ich przez osobę nieuprawnioną, przetwarzanie z naruszeniem ustawy oraz zmianę, utratę, uszkodzenie lub zniszczenie. Na dokumentację składa się polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym do przetwarzania danych osobowych. W wielu jednostkach nadal prowadzone są zbiory w postaci tradycyjnej (papierowej), tam wystarczająca będzie polityka bezpieczeństwa. Zakres treści obu dokumentów został opisany w rozporządzeniu ministra spraw wewnętrznych i administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024). Administrator danych musi też stworzyć takie warunki organizacji pracy, aby dane osobowe pacjentów były odpowiednio chronione. Inną kwestią jest sygnalizowany przez GIODO dostęp pracowników medycznych do danych pacjentów zwłaszcza w dużych jednostkach. Kierownicy placówek powinni zadbać, aby ich personel miał dostęp jedynie do tych danych, do których przetwarzania został upoważniony. Z punktu widzenia ustawy o ochronie danych osobowych nie ma znaczenia, czy dane są przetwarzane na papierze, czy w systemie informatycznym. Odpowiedzialność za jej nieprzestrzeganie w obu przypadkach jest taka sama. 10

12 II. Powierzenie przetwarzania dokumentacji medycznej według najnowszych przepisów II. POWIERZENIE PRZETWARZANIA DOKUMENTACJI MEDYCZNEJ WEDŁUG NAJNOWSZYCH PRZEPISÓW Nowelizacja ustawy o zmianie ustawy o systemie informacji w ochronie zdrowia oraz niektórych innych ustaw przyjęta przez Sejm 9 października 2015 r. doprecyzowała zasady przetwarzania elektronicznej dokumentacji medycznej poza placówką opieki zdrowotnej. Zgodnie z nowymi przepisami powierzenie danych zewnętrznemu podmiotowi ma następować na podstawie umowy zawartej na piśmie i określającej zakres i cel przetwarzania danych. Administratorem danych pozostanie podmiot udzielający świadczeń zdrowotnych. Instytucja powierzenia przechowywania dokumentacji medycznej jest efektem postępującego procesu informatyzacji podmiotów udzielających świadczeń zdrowotnych. Umożliwia ona podmiotom udzielającym świadczeń zdrowotnych skorzystanie z wiedzy, infrastruktury, technologii, jakimi dysponują specjalistyczne podmioty zewnętrzne (np. informatyczne). Podmiot udzielający świadczeń zdrowotnych może powierzyć innemu podmiotowi wyspecjalizowanej firmie np. informatycznej przetwarzanie danych medycznych. Firma ta może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie. 11

13 Ochrona danych medycznych i osobowych pacjentów Przed rozpoczęciem przetwarzania danych medycznych firma jest zobowiązana do podjęcia środków zabezpieczających zbiór danych. Należą do nich (art ustawy o ochronie danych osobowych): zastosowanie środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, zabezpieczenie danych przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem, dopuszczenie do przetwarzania danych osób posiadających upoważnienie, utworzenie ewidencji osób upoważnionych do ich przetwarzania. W zakresie przestrzegania tych przepisów podmiot ponosi odpowiedzialność jak administrator danych. Umowa między placówką medyczną a firmą przetwarzającą dane może być zawarta pod warunkiem zapewnienia ochrony danych osobowych oraz prawa do kontroli przez podmiot udzielający świadczeń zdrowotnych zgodności przetwarzania danych osobowych z tą umową przez podmiot przyjmujący te dane. Realizacja umowy nie może powodować zakłócenia udzielania świadczeń zdrowotnych, w szczególności w zakresie zapewnienia, bez zbędnej zwłoki, dostępu do danych zawartych w dokumentacji medycznej. Firma, której powierzono przetwarzanie danych, jest obowiązana do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją umowy. Tajemnicą tą jest związana także po śmierci pacjenta. W przypadku zaprzestania przetwarzania danych osobowych zawartych w dokumentacji medycznej przez podmiot, któremu powierzono takie przetwarzanie np. z powodu likwidacji, jest on zobowiązany do przekazania danych osobowych zawartych w dokumentacji medycznej podmiotowi, który powierzył przetwarzanie danych osobowych. 12

14 III. KONTROLA BEZPIECZEŃSTWA DANYCH MEDYCZNYCH 1. Jak wygląda kontrola Generalnego Inspektora Ochrony Danych Osobowych Placówki medyczne mogą być ze względu na ilość i wrażliwy charakter przetwarzanych danych podmiotami podlegającymi kontroli Generalnego Inspektora Ochrony Danych Osobowych (GIODO). Kontrola zwykle zapowiadana jest 7 dni wcześniej, trwa od 2 do 4 dni i przeprowadzana jest przez trzech inspektorów. Przepisy prawa, których przestrzeganie podlega kontroli GIODO, są zawarte w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych (u.o.d.o.) oraz w wydanym na podstawie art. 39a tej ustawy rozporządzeniu ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. 13