Ochrona danych medycznych w 2015 r.

Transkrypt

1 Praca zbiorowa pod redakcją Mariusza Jendry Ochrona danych medycznych w 2015 r. Prawo, praktyka, wzory dokumentów według najnowszych przepisów Profesjonalne publikacje dla KADRY ZARZĄDZAJĄCEJ PODMIOTAMI LECZNICZYMI

2 Ochrona danych medycznych w 2015 r. Prawo, praktyka, wzory dokumentów według najnowszych przepisów

3 Publikacja Ochrona danych medycznych w 2015 r. Prawo, praktyka, wzory dokumentów według najnowszych przepisów została opracowana na podstawie nowych przepisów obowiązujących od 1 stycznia 2015 r. Zawiera zbiór najbardziej aktualnych odpowiedzi na problemy pojawiające się przy przetwarzaniu danych osobowych pacjentów w szpitalach i innych placówkach medycznych. W systemach ochrony danych w każdej jednostce, w związku z uruchomieniem od 1 sierpnia 2017 r. elektronicznej wymiany dokumentów medycznych, będą musiały zostać uwzględnione nowe, specjalne procedury. Muszą one zabezpieczać placówki przed masowym wyciekiem danych, przetwarzanych w ich wewnętrznych systemach informatycznych. Sektor zdrowia będzie musiał przygotować się na nieznane dotychczas zagrożenia związane z atakami hakerskimi. Książka zawiera też rady dla jednostek przetwarzających dane osobowe w formie papierowej. Publikacja zawiera 15 obszernych porad prawnych, 35 odpowiedzi na najczęściej zadawane pytania oraz 8 wzorów dokumentów związanych z ochroną danych medycznych. Wydawca Alina Sulgostowska Redaktor prowadzący Mariusz Jendra Korekta Zespół Koordynator produkcji Magdalena Huta Skład i łamanie Dariusz Ziach Projekt okładki Piotr Fedorczyk Druk Miller Źródła foto: okładka ISBN Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2015 Wydawnictwo Wiedza i Praktyka sp. z o.o. ul. Łotewska 9a, Warszawa tel , faks , e -mail: cok@wip.pl NIP: , KRS: Sąd Rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, Wysokość kapitału zakładowego zł

4 Spis treści Spis treści I.. ZMIANY PRAWNE W OCHRONIE DANYCH OSOBOWYCH OBOWIĄZUJĄCE OD 1 STYCZNIA 2015 R... 7 II..KONTROLA BEZPIECZEŃSTWA DANYCH MEDYCZNYCH Jak wygląda kontrola Generalnego Inspektora Ochrony Danych Osobowych obszarów ochrony danych podlegających kontroli inspektorów GIODO Jak przygotować się do kontroli inspektorów ochrony danych osobowych Procedura na wypadek naruszenia bezpieczeństwa danych III. PORADY PRAWNE ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W PLACÓWCE MEDYCZNEJ Jak zabezpieczyć placówkę przed wyciekiem danych medycznych Ochrona serwerów placówki przed atakiem hakerów Czy można gromadzić dane osobowe bez zgody pacjenta Jak nie naruszać intymności pacjenta Czy upoważniony może usunąć swoje dane z dokumentacji medycznej Czy upoważnienie może dotyczyć tylko części dokumentacji medycznej Czy placówki mogą zbierać dane na zapas Jakość wpisów w dokumentacji medycznej niemy świadek procesu leczenia Kary za zgubienie dokumentacji medycznej Ubezpieczyciel może żądać dokumentacji zmarłego pacjenta Zawartość umowy o powierzenie danych podmiotowi trzeciemu (firmie przechowującej dane) IV...PRAKTYKA OCHRONY DANYCH ODPOWIEDZI NA NAJCZĘŚCIEJ ZADAWANE PYTANIA Upoważnienie do przetwarzania danych Czy informatyk może mieć dostęp do dokumentacji medycznej Jak się zabezpieczyć przed nieoczekiwaną nieobecnością głównego informatyka Czy upoważnienie do przetwarzania danych osobowych może być wydane w formie służbowego a, który byłby następnie zachowany w celach dowodowych

5 Ochrona danych medycznych w 2015 roku Czy recepcjonistka lub asystentka wydająca lub wypisująca wyniki badań musi mieć upoważnienie do przetwarzania danych osobowych Czy serwisant z firmy zewnętrznej mający dostęp do sprzętu medycznego, np. tomografu lub aparatów usg, ma mieć upoważnienie do przetwarzania danych Czy wolontariusze to osoby upoważnione do przetwarzania danych, czy nadaje się im upoważnienia do przetwarzania danych osobowych Czy osoba, która zajmuje się przetargami i przygotowuje różne oferty, powinna mieć nadane upoważnienie do przetwarzania danych Czy szkolenia z zakresu ochrony danych dla personelu są obowiązkowe Czy każdy pracownik placówki ochrony zdrowia musi posiadać upoważnienie do przetwarzania danych osobowych i czy to musi być osobny, szczegółowy dokument Potwierdzenie tożsamości Jak zidentyfikować i potwierdzić tożsamość osoby dzwoniącej do placówki ochrony zdrowia, która pyta o wyniki swoich badań Pracuję w Zakładzie Lecznictwa Odwykowego. Bardzo często dzwonią do nas kuratorzy sądowi, policja, sąd czy też rodziny pacjentów z pytaniem, czy wymieniony z nazwiska Pan/Pani u nas przebywa. Czy odpowiedź na zasadzie tak/nie bez podania jakichkolwiek innych danych o leczeniu jest naruszeniem ustawy Ochrona danych lekarzy Czy na stronie internetowej przychodni można zamieścić zdjęcia zatrudnionych lekarzy Czy miesięczne wynagrodzenie dyrektora szpitala to informacja publiczna Przenoszenie i wydawanie dokumentacji Czy zakład opieki zdrowotnej może odmówić mężowi wydania dokumentacji medycznej dotyczącej żony Pacjent, w związku ze zmianą miejsca zamieszkania, chce przenieść się do innej przychodni. Zażądał, aby nasza placówka przekazała jego dotychczasową dokumentację medyczną do nowej przychodni. Dodam, że nasz podmiot jeszcze nie wdrożył elektronicznej dokumentacji medycznej, więc wszystkie dane przechowywane są w formie papierowej. Czy jego roszczenie jest zasadne Zgoda pacjenta Czy pacjent może wyrazić zgodę na leczenie, jednocześnie nie wyrażając zgody na przetwarzanie jego danych

6 Spis treści Czy osoba rejestrująca się w przychodni może odmówić podania numeru PESEL Czy na wysłanie maila lub sms-a z przypomnieniem o zaplanowanej wizycie u lekarza potrzebna jest pisemna zgoda pacjenta Prawo do informowania Czy osoba żyjąca w konkubinacie lub związku nieformalnym np. homoseksualnym, może być poinformowana o stanie zdrowia osoby jej bliskiej przebywającej w szpitalu Rejestracja zbiorów danych osobowych...87 Czy podmioty udzielające świadczeń zdrowotnych mają obowiązek rejestracji zbiorów danych osobowych swoich pacjentów u Generalnego Inspektora Ochrony Danych Osobowych Powierzenie przetwarzania danych Lekarz prowadzący własną praktykę na podstawie umowy zlecenia wykonuje badania genetyczne pacjentom szpitala. Używa w tym celu własnego komputera i programu. Wyniki badań są zapisywane na jego twardym dysku. Jak to uregulować formalnie i zgodnie z przepisami związanymi z ochroną danych osobowych i prawami pacjenta Czy dyrektor szpitala może przekazać dane osobowe pacjentów do przyszpitalnej szkoły Czy z zewnętrznym laboratorium lub inną specjalistyczną placówką medyczną wykonującą usługi dla administratora danych potrzebna jest umowa powierzenia Polityka haseł Czy dyrektor szpitala lub inny administrator danych może mieć u siebie zdeponowane hasła użytkowników, na wypadek gdy pracownik zapomni swojego Czy polityka haseł opisana w Instrukcji zarządzania systemem informatycznym administratora danych może narzucać obowiązek zmiany hasła co 60 lub 90 dni Czy w przypadku umowy o serwis oprogramowania lub urządzeń medycznych pracownicy serwisujący mogą korzystać z haseł naszych pracowników w ich obecności Naruszenie ochrony danych Czy naruszenie ochrony danych w placówce leczniczej trzeba zgłaszać do Generalnego Inspektora Ochrony Danych Osobowych lub innego organu

7 Ochrona danych medycznych w 2015 roku 11. Udostępnienie informacji Czy zakład pracy może zwrócić się do ZOZ-u z prośbą o udostępnienie informacji dotyczącej stanu zdrowia pracownika na potrzeby prowadzonego postępowania powypadkowego Rola ABI Czy ABI to wyodrębniony etat i samodzielne stanowisko pracy Ochrona wizerunku (monitoring) Czy w przypadku stosowania monitoringu wizyjnego w sali dzieci młodszych oddziału dziecięcego lub na oddziale porodowym należy uzyskać zgodę rodziców na przetwarzanie wizerunku ich dzieci Przechowywanie i zabezpieczenie dokumentacji Z czego wynika i w jakim celu narzucony jest obowiązek inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania danych osobowych i medycznych Czy papierową dokumentację medyczną należy przechowywać w metalowych szafach Jakie przepisy prawa mówią o tym, że papierowa dokumentacja medyczna musi być przechowywana w zamkniętych metalowych szafach Przetwarzanie danych Czy dopuszczalne jest umieszczanie przed gabinetami lekarskimi list z nazwiskami pacjentów zapisanych na dany dzień na wizytę lekarską Czy w dokumentacji medycznej można przechowywać ksero dowodu osobistego lub paszportu pacjenta V..WZORY FORMULARZY Upoważnienie do przetwarzania danych osobowych Ewidencja osób upoważnionych do przetwarzania danych Oświadczenie o upoważnieniu osoby bliskiej do zasięgania informacji o stanie zdrowia Oświadczenie o braku upoważnienia do zasięgania informacji o stanie zdrowia Upoważnienie do dostępu do dokumentacji medycznej Jawny wykaz zbiorów danych osobowych Roczny program sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych VI. PODSTAWA PRAWNA

8 I. ZMIANY PRAWNE W OCHRONIE DANYCH OSOBOWYCH OBOWIĄZUJĄCE OD 1 STYCZNIA 2015 R. Od 1 stycznia 2015 r. obowiązuje ustawa z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, przyjęta w ramach tzw. IV pakietu deregulacyjnego, która wprowadziła zmiany w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych. Nowe zasady ochrony danych osobowych dotyczą przede wszystkim: zmiany statusu administratorów bezpieczeństwa informacji (ABI), którzy staną się wewnętrznymi inspektorami ochrony danych i będą nadzorować proces przetwarzania danych w firmie, zwolnienia z obowiązku zgłaszania zbiorów danych do GIODO w określonych przypadkach i ułatwienia transferu danych do państw trzecich. Najważniejsze zmiany praktyczne dotyczą jednak roli ABI oraz jego nowych zadań w organizacji. Powołanie i zgłoszenie administratora bezpieczeństwa informacji Artykuł 36a ustawy o ochronie danych osobowych mówi, że administrator danych, np. kierownik placówki medycznej, może powołać administratora bezpieczeństwa informacji. Oznacza to, że nie ma 7

9 Ochrona danych medycznych w 2015 roku już bezpośredniego obowiązku jego powoływania. Jednak zgodnie z brzmieniem art. 36b w przypadku niepowołania administratora bezpieczeństwa informacji zadania ABI wykonuje administrator danych. W obu przypadkach musi więc w organizacji być ktoś, kto zapewni przestrzeganie przepisów o ochronie danych osobowych. Natomiast powołując administratora bezpieczeństwa informacji i zgłaszając taką osobę do Generalnego Inspektora Ochrony Danych Osobowych (GIODO), administrator danych będzie zwolniony z niektórych obowiązków. Pamiętaj! ABI powołany przed 1 stycznia 2015 r. powinien zostać zgłoszony do rejestru GIODO do 30 czerwca. Jeżeli nie zostanie zgłoszony to jego zadania przejmuje administrator danych osobowych czyli szef (właściciel, dyrektor) placówki. Administrator danych jest zobowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji. Wykreślenie ABI z rejestru następuje po powiadomieniu GIODO przez administratora danych o odwołaniu. Generalny Inspektor może również z urzędu wydać administratorowi danych decyzję o wykreśleniu administratora bezpieczeństwa informacji z rejestru, jeżeli dany ABI nie spełnia określonych warunków lub nie wykonuje swoich zadań. Sprawdzanie zgodności przetwarzania danych osobowych Do zadań administratora bezpieczeństwa informacji należą m.in.: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie 8

10 I. Zmiany prawne w ochronie danych osobowych obowiązujące od 1 stycznia 2015 r. sprawozdania dla administratora danych. ABI wprawdzie zawsze miał to robić, ale teraz obowiązek audytu wewnętrznego, sprawdzeń i sporządzania rocznych sprawozdań został szczegółowo określony. Powstał projekt rozporządzenia ministra administracji i cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych. Projekt ten określa tryb i sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania sprawozdania w tym zakresie. Wprawdzie trwają jeszcze konsultacje tego dokumentu, ale najpewniej treść przedstawiona na stronach MAiC już bez większych zmian wejdzie w życie. Pamiętaj! Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji (ale tylko wpisanego do rejestru GIODO) o dokonanie sprawdzenia w danej placówce zgodności przetwarzania danych osobowych z przepisami wskazując zakres i termin sprawdzenia. W projekcie opisano czynności, jakie należy podjąć w ramach sprawdzenia i w celu zweryfikowania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Sprawdzenie ma być dokonywane dla administratora danych, a czasami dla Generalnego Inspektora. Sprawdzenie dla administratora danych ma mieć charakter sprawdzenia planowego według planu sprawdzeń przygotowanego przez administratora bezpieczeństwa informacji lub sprawdzenia pozaplanowego w przypadku wystąpienia naruszenia ochrony danych osobowych. Dzięki temu GIODO nie musi już osobiście (czyli w praktyce przez swoich inspektorów) odwiedzać z kontrolą administratora danych wystarczy, że otrzyma wyczerpujące odpowiedzi w danej sprawie od ABI. Dotyczy to jednak administratora danych, który powołał 9

11 Ochrona danych medycznych w 2015 roku administratora bezpieczeństwa informacji i zgłosił go do GIODO. Zgłoszeń można dokonywać już od 1 stycznia 2015 r. na podstawie rozporządzenia ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. Administratorzy bezpieczeństwa informacji obecnie pełniący tę funkcję również będą musieli być zgłoszeni przez administratora danych do Generalnego Inspektora. Do 28 stycznia 2015 r. kiedy to obchodzony jest dzień ochrony danych osobowych zgłoszonych do rejestru GIODO było 100 administratorów. Nadzorowanie opracowania i aktualizowania dokumentacji Kolejnym zadaniem ABI jest nadzorowanie opracowania i aktualizowania dokumentacji, tj. Polityki bezpieczeństwa i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz przestrzegania zasad w niej określonych. Chodzi o to, aby dokumentacja była kompletna, zgodna z obowiązującymi przepisami oraz opisywała stan faktyczny w zakresie przetwarzania danych osobowych. Pamiętaj! Na Politykę bezpieczeństwa informacji może składać się wiele różnych instrukcji, procedur, regulaminów itd. Z zasadami określonymi w Polityce bezpieczeństwa informacji oraz z przepisami ochrony danych ABI ma obowiązek zapoznać wszystkie osoby upoważnione do przetwarzania danych osobowych. W jaki sposób to zrobi, to już kwestia wtórna. Może zorganizować szkolenie, instruktaż, odesłać do dokumentacji, przeprowadzić szkolenie online itp. Po jego odbyciu powinien pobrać od współpracowników oświadczenia o zapoznaniu się z obowiązującymi przepisami odnośnie do ochrony danych. 10

12 I. Zmiany prawne w ochronie danych osobowych obowiązujące od 1 stycznia 2015 r. Natomiast podmioty wykonujące zadania publiczne są zobowiązane do zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak zagrożenia bezpieczeństwa informacji, skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich. Obowiązek ten wynika z 20 ust. 2 pkt 6 rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Zwolnienie z obowiązku rejestrowania zbiorów danych u GIODO Administrator danych, który powoła administratora bezpieczeństwa informacji, będzie zwolniony z obowiązku rejestrowania zbiorów danych u GIODO, z wyjątkiem zbiorów zawierających dane wrażliwe, a podlegających zgłoszeniu. Obowiązek prowadzenia jawnego rejestru zbiorów jest zadaniem ABI. Jawnego, czyli na przykład opublikowanego na stronie internetowej administratora danych lub dostępnego na żądanie osoby, której dane dotyczą. W przygotowaniu i konsultacjach jest także rozporządzenie ministra administracji i cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych. Niezależność i skuteczność ABI W zmienionych przepisach dużą wagę kładzie się na niezależność i skuteczność administratora bezpieczeństwa informacji. Artykuł 36a ust. 4 mówi, że administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań określonych 11