ELEKTRONICZNA DOKUMENTACJA MEDYCZNA, A OCHRONA DANYCH OSOBOWYCH. dr Piotr Karniej Uniwersytet Medyczny we Wrocławiu

Transkrypt

1 ELEKTRONICZNA DOKUMENTACJA MEDYCZNA, A OCHRONA DANYCH OSOBOWYCH dr Piotr Karniej Uniwersytet Medyczny we Wrocławiu

2 Problemy zarządcze Obligatoryjność elektronicznej dokumentacji medycznej od 1 sierpnia 2014r. we wszystkich podmiotach wykonujących działalność leczniczą Nadejście terminu ustawowego nie jest wystarczające dla wdrożenia dokumentacji elektronicznej, konieczne jest stworzenie pełnych gwarancji ochrony danych osobowych, o których mowa w art. art. 27 ust. 2 pkt. 7 u.o.d.o. Potrzeba zapewnienia we własnym zakresie środków na informatyzację placówki medycznej Kluczowa dla powodzenia wdrożenia dokumentacji elektronicznej i bezpieczeństwa obiegu informacji w środowisku elektronicznym jest współpraca i zrozumienie pracowników

3 Otoczenie prawne

4 Technologia

5 Właściwe procedury

6 Pracownicy

7 Osoby odpowiedzialne Administrator danych osobowych (ADO) organ, jednostka organizacyjna, osoba lub podmiot, decydująca o celach i środkach przetwarzania danych osobowych (np. właściciel firmy) Administrator bezpieczeństwa informacji (ABI) wyznaczona przez Administratora danych osobowych osoba, odpowiedzialna za przestrzeganie zasad ochrony danych Administrator systemu informatycznego (ASI) informatyk lub zespół informatyków wyznaczony przez Administratora danych, odpowiedzialny za funkcjonowanie systemów informatycznych, sprzętu i oprogramowania

8 Administrator Danych Osobowych ADO właściciel, zarząd, dyrektor SPZOZ (jednostki budżetowej) ADO staje się z urzędu, nikt nikogo nie powołuje na stanowisko ADO Jeśli ADO nie powoła w podległym sobie obszarze przetwarzania danych ABI lub ASI, przejmuje wówczas jego obowiązki i odpowiedzialność ADO może udzielić pełnomocnictwa pracownikowi do wykonania określonych czynności wchodzących w zakres działań ADO, ale cedując zadania nie przekazuje odpowiedzialności ustawowej. Nadal to ADO odpowiada przez GIODO za naruszenie dyscypliny danych osobowych

9 ADO, a przepisy o kontroli zarządczej W świetle ustawy o finansach publicznych (art. 68), kontrolę zarządczą stanowi ogół działań podejmowanych dla zapewnienia realizacji celów i zadań w sposób zgodny z prawem, efektywny, oszczędny i terminowy. Natomiast celem tej kontroli jest zapewnienie: zgodności działalności z przepisami prawa oraz procedurami wewnętrznymi skuteczności i efektywności działania wiarygodności sprawozdań ochrony zasobów przestrzegania i promowania zasad etycznego postępowania efektywności i skuteczności przepływu informacji zarządzania ryzykiem

10 Bezpieczeństwo elektronicznej dokumentacji medycznej wymaga Powołania ABI, ASI, opracowania procedur Zapoznania pracowników z regulacjami Stałego monitorowania zagrożeń i zachowań

11 Nie ma bezpieczeństwa bez procedur i monitorowania zagrożeń Stały nadzór ABI nad wszystkimi stanowiskami, na których przetwarzane są dane osobowe Ścisła współpraca pomiędzy ABI i ASI Wyrobienie u pracowników nawyków czystego biurka, czystego ekranu i ochrony danych wrażliwych Stosowanie adekwatnych do możliwych zagrożeń środków ochrony fizycznej danych

12 Koordynacja systemów jakości i systemu bezpieczeństwa danych System Zarządzania Bezpieczeństwem Informacji zgodny z PN ISO/IEC 27001:2007 System ten określa wymagania, oraz zasady inicjowania, wdrażania, utrzymania i poprawy zarządzania bezpieczeństwem informacji w organizacji, oraz zawiera najlepsze praktyki celów stosowania zabezpieczeń w obszarach zarządzania bezpieczeństwem informacji

13 Koordynacja systemów jakości i systemu bezpieczeństwa danych polityka bezpieczeństwa informacji organizacja bezpieczeństwa informacji zarządzanie aktywami bezpieczeństwo osobowego bezpieczeństwo fizyczne i środowiskowe zarządzanie systemami i sieciami kontrola dostępu uzyskiwanie, rozwój i utrzymanie systemów informacyjnych zarządzanie incydentami związanymi z bezpieczeństwem informacji zarządzanie ciągłością działania zgodność

14 WDROŻENIE POLITYKI BEZPIECZEŃSTWA, INSTRUKCJI PRZETWARZANIA DANYCH I ZAŁĄCZNIKÓW MA SŁUŻYĆ ORGANIZACJI I BEZPIECZEŃSTWU JEJ ISTNIENIA

15 Potrzeba ochrony danych wrażliwych Zabrania się przetwarzania danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne i filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz danych dotyczących skazań, orzeczeń o ukaraniu, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym (art. 27 ust. 1 u.o.d.o. tzw. dane wrażliwe) Przetwarzanie danych o których mowa w ust. 1 jest jednak dopuszczalne, jeżeli: osoba, której dane dotyczą wyrazi na to zgodę na piśmie, przepis szczególny innej ustawy zezwala na przetwarzanie takich danych bez zgody osoby, której dane dotyczą i stwarza pełne gwarancje ich ochrony

16 Potrzeba ochrony danych wrażliwych przetwarzanie takich danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba której dane dotyczą nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzania danych jest określony w ustawie przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem usług medycznych, zarządzaniem udzielania usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych (art. 27 ust. 2 pkt. 7 u.o.d.o.)

17 Potrzeba ochrony danych wrażliwych przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą, jest to niezbędne dla prowadzenia badań naukowych, w tym przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego; publikowanie badań naukowych nie może następować w sposób umożliwiający identyfikację osób, których dane zostały przetworzone

18 Polityka bezpieczeństwa

19 Niezbędne akty prawne Właściwość Pracownicy + Przełożeni Pracownicy + Przełożeni Przełożeni (ADO, ABI, ASI) Przełożeni (ADO, ABI, ASI) Nazwa aktu Ustawa z dnia r. o ochronie danych osobowych (Dz.U ze zm.) Ustawa z dnia r. o prawach pacjenta i Rzeczniku Praw Pacjenta (t.j. Dz.U ) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dn r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U ze zm.) Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dn r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz.U )

20 Rozwój procesu Dążenie do profesjonalizmu Stały monitoring i rozwój Wdrożenie rozwiązań Identyfikacja problemu Czas

21 Bezpieczeństwo w pracy zdalnej Wystawianie e-recept na wizytach domowych Dostęp do dokumentacji poza siedzibą podmiotu (miejscem przetwarzania), np. pielęgniarki i położne środowiskowe, lekarze rodzinni Dostęp zdalny administratora systemu lub serwisanta Różnorodność urządzeń zdalnego dostępu (tablety, laptopy, smartfony) Zabezpieczanie nie tylko programów, ale też urządzeń (np. przed kradzieżą albo zniszczeniem)

22 Kluczowe etapy wdrożenia Identyfikacja miejsc przetwarzania danych osobowych w tym wrażliwych Określenie procedur przetwarzania i zabezpieczania danych, wskazanie osób odpowiedzialnych za bezpieczeństwo danych na każdym etapie procesu świadczenia i rozliczania usług medycznych Likwidacja nieuzasadnionych miejsc przetwarzania Nadanie uprawnień do przetwarzania danych (z wyjątkiem osób wykonujących zawody medyczne), dostępu do systemów elektronicznych, podpisanie umów powierzenia przetwarzania danych

23 Kluczowe etapy wdrożenia Nieustanne szkolenia personelu i wyrabianie nawyków związanych z ochroną dokumentów zawierających dane osobowe (w tym wrażliwe) Polityka czystego biurka, czystego monitora, polityka kluczy Stałe monitorowanie zagrożeń wpływających na bezpieczeństwo przetwarzania danych osobowych, stosowanie adekwatnych zabezpieczeń technicznych i technologicznych Bezwzględne uznanie decyzyjności ABI w zakresie stosowania polityki bezpieczeństwa i instrukcji zarządzania systemem przetwarzania danych

24 Procedury do systemu podmiotów zewnętrznych Ustawodawca dopuszcza dostęp podmiotów zewnętrznych do systemów przetwarzania medycznych danych osobowych (np. firmy informatyczne, zewnętrzni partnerzy medyczni) Podmiot musi opracować instrukcję dostępu do systemu firm zewnętrznych, zaleca się aby te firmy miały opracowane własne polityki bezpieczeństwa danych, ale nie jest to bezwzględnie konieczne Dopuszcza się przechowywanie zasobów w tzw. chmurze, jednak nie można zapominać, że nawet w przypadku powierzenia danych innemu podmiotowi, za ich bezpieczeństwo odpowiada przed pacjentem placówka medyczna

25 Uwierzytelnianie osoby wprowadzającej dane logowanie za pomocą indywidualnego identyfikatora i hasła (wymagane opracowanie instrukcji cyklicznej zmiany haseł) logowanie za pomocą skanu odcisku palca i/lub indywidualnego hasła logowanie za pomocą karty identyfikacyjnej (zbliżeniowej lub magnetycznej) inne metody, które są zapisane w polityce bezpieczeństwa danych osobowych, gwarantują właściwy dostęp do danych i uniemożliwiają wpisanie danych przez osobę która podszywa się pod osobę uprawnioną

26 Rozpoczęcie i kończenie pracy w systemie Pracownik korzysta wyłącznie ze swojego loginu, nie udostępnia go osobom postronnym w żadnym razie W trakcie pracy, jeśli nie zachodzi potrzeba korzystania z systemu należy się wylogować, a następnie ponownie zalogować przy ponownym użyciu systemu Po zakończeniu przy stosować politykę czystego biurka, nie dopuszczać do pozostawiania jakichkolwiek danych osobowych, w tym także danych wrażliwych Po zakończeniu przy w systemie należy zabezpieczyć obszar przetwarzania danych (pomieszczenie), zgodnie z polityką kluczy

27 Kopie bezpieczeństwa i kopie programów Dane osobowe zabezpiecza się poprzez sporządzanie kopii zapasowych zbiorów danych i programów do przetwarzania Kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem, zniszczeniem Kopie zapasowe usuwa się niezwłocznie po ustaniu ich użyteczności UWAGA! Kopie bezpieczeństwa należy okresowo sprawdzać, tj. wgrywać je do systemu i kontrolować czy dane te nadają się do użycia. Po każdym takim sprawdzeniu należy spisać protokół

28 Odpowiedzialność karna za naruszenie ochrony danych osobowych Art. 49. ust. 1. u.o.d.o. Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. ust. 2. Jeżeli czyn określony w ust. 1 dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3.

29 Odpowiedzialność karna za naruszenie ochrony danych osobowych Art. 51 ust. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. ust. 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

30 Podsumowanie Ochrona danych medycznych w środowisku elektronicznym leży w interesie podmiotu wykonującego działalność leczniczą Nie da się zapewnić bezpieczeństwa danych bez udziału pracowników Istniejące przepisy prawne zobowiązują do wprowadzenia elektronicznej dokumentacji medycznej od 1 sierpnia 2014r., ale podmiot może to zrobić dopiero wtedy, gdy wprowadzi procedury pełnego bezpieczeństwa tych danych Przetwarzanie danych wrażliwych (w tym w środowisku elektronicznym) bez zachowania środków bezpieczeństwa grozi odpowiedzialnością karną

31 DZIĘKUJĘ ZA UWAGĘ