Ochrona danych medycznych według najnowszych przepisów

Transkrypt

1 Praca zbiorowa pod redakcją Mariusza Jendry Ochrona danych medycznych według najnowszych przepisów 25 praktycznych porad Cena: 69 zł

2 Praca zbiorowa pod redakcją Mariusza Jendry Ochrona danych medycznych według najnowszych przepisów 25 PRAKTYCZNYCH PORAD

3 Publikacja Ochrona danych medycznych według najnowszych przepisów. 25 praktycznych porad to zbiór najbardziej aktualnych odpowiedzi na problemy pojawiające się przy przetwarzaniu danych osobowych pacjentów w szpitalach i innych placówkach medycznych. W systemach ochrony danych w każdej jednostce, w związku z uruchomieniem od połowy przyszłego roku elektronicznej wymiany dokumentów medycznych, będą musiały zostać uwzględnione nowe, specjalne procedury. Muszą one zabezpieczać placówki przed masowym wyciekiem danych, przetwarzanych w ich wewnętrznych systemach informatycznych. Sektor zdrowia będzie musiał przygotować się na nieznane dotychczas zagrożenia związane z atakami hakerskimi. Przetwarzanie dokumentacji w formie papierowej do tej pory wykluczało powstanie tego zjawiska. Publikacja zawiera 23 praktyczne porady oraz 2 przydatne wzory dokumentów. Wybór na podstawie tekstów: Piotra Glen, Doroty Kaczmarczyk, Anny Zubkowskiej, Łukasza Siudaka, Krzysztofa Nyczaja, Pawła Piecucha, Jolanty Ziętek-Vargi, Jakuba Jurasza, Elizy Gossy, Pauliny Wójcik -Lulki, Agnieszki Sieńko, Tomasza Ozga, Mariusza Jendry. Konsultacja merytoryczna Piotr Glen Redaktor naczelna grupy wydawniczej Aldona Kapica Wydawca Alina Sulgostowska Redaktor prowadzący Mariusz Jendra Korekta Zespół Koordynator produkcji Katarzyna Kopeć Skład i łamanie Dariusz Ziach Druk Miller Źródła foto: okładka ISBN Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2014 Wydawnictwo Wiedza i Praktyka sp. z o.o. ul. Łotewska 9a, Warszawa tel , faks , cok@wip.pl NIP: , KRS: Sąd rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, Wysokość kapitału zakładowego zł 2

4 SPIS TREŚCI ROZDZIAŁ 1. PRZETWARZANIE DANYCH OSOBOWYCH I DANYCH MEDYCZNYCH... 5 I. Przeszkolenie, nadanie uprawnień i zobowiązanie do zachowania tajemnicy... 5 II. Dostęp osób upoważnionych oraz innych podmiotów do dokumentacji medycznej... 9 III. Udostępnianie dokumentacji placówkom współpracującym...10 IV. Po zmianie lekarza przekazanie danych innemu podmiotowi...12 V. Dostęp do dokumentacji przez prezesa placówki niebędącego lekarzem...15 ROZDZIAŁ 2. ODPOWIEDZIALNOŚĆ PRAWNA ZA BEZPIECZEŃSTWO DANYCH...18 I. Zakres odpowiedzialności lekarza i kierownika podmiotu za dokumentację medyczną...18 II. Konsekwencje nieprawidłowego przetwarzania danych osobowych...20 III. Kontrola baz danych medycznych...21 IV. Narzędzia służące do unikania błędów przy przetwarzaniu informacji wrażliwych...22 ROZDZIAŁ 3. BEZPIECZEŃSTWO INFORMACJI A ELEKTRONICZNA DOKUMENTACJA MEDYCZNA...25 I. Kiedy plik zawierający dane medyczne staje się dokumentem elektronicznym...25 II. Wymogi dla systemu teleinformatycznego służącego do zarządzania dokumentami medycznymi...26 III. Anonimizacja, pseudonimizacja i separacja sposoby na zapewnienie bezpieczeństwa danych medycznych...28 IV. Przepisy ustawowe i polskie normy dotyczące bezpieczeństwa danych...33 V. Identyfikacja pacjentów, zabezpieczenie sieci i procedury chroniące przed wyciekiem danych

5 Ochrona danych medycznych według najnowszych przepisów VI. Zastosowanie norm ISO, zabezpieczenie pomieszczeń oraz likwidacja nośników danych...40 VII. Szyfrowanie tożsamości i danych medycznych pacjentów na opaskach szpitalnych...43 VIII. Standaryzacja sposobu identyfikacji lekarza, pacjenta i skierowania...46 IX. Procedury wewnętrzne chroniące placówkę przed utratą danych...49 ROZDZIAŁ 4. OUTSOURCING PRZETWARZANIA DANYCH ORAZ CLOUD COMPUTING W OCHRONIE ZDROWIA...54 I. Modele Cloud Computing a bezpieczeństwo danych w placówce medycznej...54 II. Szyfrowanie zabezpieczy dane przy zleceniu ich przetwarzania firmie zewnętrznej...57 III. Zlecenie przetwarzania danych nie zwalnia od odpowiedzialności...59 ROZDZIAŁ 5. POLITYKA BEZPIECZEŃSTWA INFORMACJI I INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM...64 I. Polityka bezpieczeństwa informacji podstawowym dokumentem określającym sposoby zabezpieczania danych w placówce...64 II. Instrukcja zarządzania systemem informatycznym...67 PODSTAWA PRAWNA...79 Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych

6 ROZDZIAŁ 1. PRZETWARZANIE DANYCH OSOBOWYCH I DANYCH MEDYCZNYCH I. Przeszkolenie, nadanie uprawnień i zobowiązanie do zachowania tajemnicy Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby przeszkolone, zobowiązane do zachowania tajemnicy. Przetwarzaniem nazywamy jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie. Oznacza to, że przetwarzaniem jest już samo przeglądanie danych. Takie rozumienie przetwarzania danych wynika z ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Za przetwarzanie danych bez upoważnienia grozi z reguły grzywna, a w przypadku notorycznego łamania przepisów nawet do dwóch lat więzienia (art. 49 ustawy o ochronie danych osobowych). Administrator zbioru danych (właściciel placówki, prezes), który umożliwia dostęp do nich osobom nieupoważnionym albo nie zabezpiecza ich odpowiednio, również może być pociągnięty do odpowiedzialności (szerzej o odpowiedzialności w rozdziale 2). Najlepszym sposobem na zabezpieczenie się przed nieprawidłowym przetwarzaniem danych są szkolenia dla pracowników. Przepisy wspomnianej ustawy nie precyzują trybu i częstotliwości organizowania takich kursów. Jednak to w interesie administratora danych (właściciela placówki) jest poinformowanie wszystkich pracowników o obowiązujących przepisach. Administrator danych odpowiedzialny jest też za późniejsze kontrolowanie sposobu przetwarzania danych i w razie potrzeby skorygowanie błędów. Warto więc żeby szkolenia takie odbywały się regularnie, w zależności od zauważonych potrzeb. Stałe edukowanie użytkowników jest podstawowym sposobem na zminimalizowanie ryzyka wycieku informacji wrażliwych z systemów informatycznych. 5

7 Ochrona danych medycznych według najnowszych przepisów Jak rozróżnić administratorów w placówce? W podmiocie medycznym zazwyczaj występuje trzech różnych administratorów odpowiedzialnych za przetwarzanie danych: Administrator danych organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych, np. szpital lub przychodnia reprezentowana przez właściciela (dyrektora, prezesa itd.). Administrator bezpieczeństwa informacji (ABI) osoba wyznaczona przez administratora danych, nadzorująca przestrzeganie zasad ochrony przetwarzanych danych osobowych i informacji chronionych prawem. Administrator systemu informatycznego (ASI) informatyk wyznaczony przez administratora danych, odpowiedzialny za poprawne funkcjonowanie sprzętu, oprogramowania i jego konserwację, za techniczno-organizacyjną obsługę systemu teleinformatycznego. Za organizację szkoleń powinien odpowiadać (wyznaczony przez administratora danych) administrator bezpieczeństwa informacji (ABI). Może je prowadzić samodzielnie lub też korzystać z pomocy specjalistów praktyków w konkretnych zagadnieniach. Dopuszczalne jest również wysyłanie kierowników działów na szkolenia i konferencje otwarte. Muszą oni jednak później samodzielnie przeszkolić z tego zakresu swoich pracowników. Nieodzowne są natomiast szkolenia stanowiskowe, czyli przy komputerze użytkownika, przeprowadzane przez informatyka administratora systemu informatycznego (ASI). Informatyk, na komputerze obsługiwanym na co dzień przez pracownika, powinien pokazać, jak w praktyce chronić dane m.in. poprzez system logowania i cyklicznych zmian haseł. Każdy użytkownik systemu informatycznego przetwarzającego dane osobowe powinien mieć umiejętność bezpiecznej obsługi komputera oraz posiadać dobrą znajomość oprogramowania systemowego i operacyjnego, z którego będzie korzystał. Liczy się przede wszystkim praktyczna wiedza i umiejętność jej stosowania. Dowodem na przeszkolenie pracownika jest podpisana lista obecności ze szkolenia oraz pisemne oświadczenie pracownika o tym, że został zaznajomiony z zasadami ochrony danych osobowych. Nadanie uprawnień do przetwarzania informacji Po odbyciu przeszkolenia pracownicy powinni otrzymać upoważnienia do przetwarzania danych. Muszą je dostać wszystkie osoby zatrudnione przy przetwa 6

8 Przetwarzanie danych osobowych i danych medycznych rzaniu informacji osobowych, ale również praktykanci i stażyści. Upoważnienie powinno zawierać informacje, jakie uprawnienia ma dana osoba i w jakim zakresie uprawniona jest do przetwarzania danych. Wzór upoważnienia do przetwarzania danych osobowych Data nadania upoważnienia:... Upoważnienie do przetwarzania danych osobowych 1. Upoważniam Panią/Pana... (imię i nazwisko upoważnianego) zatrudnioną/-ego na stanowisku... w... (nazwa administratora pracodawcy) do dostępu do następujących danych osobowych: (zakres upoważnienia: wskazanie kategorii danych, które może przetwarzać określona w upoważnieniu osoba, lub rodzaj czynności lub operacji, jakich może dokonywać na danych osobowych) 2. Identyfikator:... (wypełnia się w przypadku, gdy dane przetwarzane są w systemie informatycznym) 3. Okres trwania upoważnienia:... (okres obowiązywania upoważnienia) Wystawił:... (podpis administratora lub osoby reprezentującej administratora) 4. Osoba upoważniona do przetwarzania danych, objętych zakresem, o którym mowa wyżej, jest zobowiązana do zachowania ich w tajemnicy, również po ustaniu zatrudnienia oraz zachowania w tajemnicy informacji o ich zabezpieczeniu. Data i podpis osoby upoważnionej:... 7

9 Ochrona danych medycznych według najnowszych przepisów W przepisach ustawy o ochronie danych osobowych ani w rozporządzeniach wykonawczych nie określono wzoru upoważnienia. Każdy administrator danych powinien wypracować odpowiedni dla siebie, jak również przystający do organizacji jednostki, formularz nadawania uprawnień. Taka procedura powinna być opisana w polityce bezpieczeństwa informacji lub instrukcji zarządzania systemem informatycznym. Do przetwarzania jakich danych upoważniona jest rejestratorka? W przypadku recepcjonistek i rejestratorek, jako pracowników wykonujących zawód niemedyczny, upoważnienie do przetwarzania danych może zawierać uprawnienia do wglądu, wprowadzania, nanoszenia zmian (modyfikowania), ewentualnie przekazywania danych osobowych, z ograniczonym dostępem do historii choroby. Upoważnienie powinno zobowiązywać pracownika do dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Dlatego na stanowiskach, na których przetwarzane są dane osobowe, muszą je mieć wszyscy pracownicy. Dotyczy to nie tylko lekarzy, ale też osób niewykonujących zawodów medycznych, np. recepcjonistek, sekretarek, informatyków. Kolejnym obowiązkiem pracodawcy jest prowadzenie ewidencji osób, które mają upoważnienia do przetwarzania danych. Wynika tak z art. 39 ustawy o ochronie danych osobowych. Ewidencja musi zawierać imiona i nazwiska wszystkich upoważnionych przez administratora do wykorzystywania danych osobowych, daty nadania i ustania upoważnienia oraz jego zakres. Jeżeli dane przetwarzane są w sieci komputerowej, ewidencja powinna również obejmować identyfikatory osób (np. pierwsza litera imienia i nazwisko) dopuszczonych do przetwarzania danych. Zobowiązanie do zachowania tajemnicy Bardzo ważne jest zobowiązanie do zachowania tajemnicy danych osobowych. Przy przetwarzaniu danych osobowych znaczenie ma nie tylko tajemnica lekarska. Tajemnica danych osobowych zobowiązuje (również lekarzy) do bezterminowego zachowania poufności przetwarzanych danych osobowych, a także sposobów ich zabezpieczenia. Należy przy tym pamiętać, że dane osobowe należy rozumieć jako wszelkie informacje dotyczące możliwej do zidentyfikowania osoby 8

10 Przetwarzanie danych osobowych i danych medycznych fizycznej. Pojęcie to obejmuje więc również numery identyfikacyjne (np. NIP, RESEL) czy specyficzne czynniki określające cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne (np. nietypowy wzrost, specyficzny kształt uszu, pochodzenie z innego kraju). Takich szeroko rozumianych danych osobowych nigdy nie wolno ujawniać publicznie. Dokumentacja medyczna chroniona jest szczególnym reżimem prawnym (wynikającym z art. 40 ustawy 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty), ale i dane osobowe nie mogą być udostępnione osobom nieupoważnionym, zabrane przez osobę nieuprawnioną, utracone, uszkodzone lub zniszczone. II. Dostęp osób upoważnionych oraz innych podmiotów do dokumentacji medycznej Osobami, którym podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną, są przede wszystkim: przedstawiciel ustawowy pacjenta lub osoba przez niego upoważniona. Pacjent może wskazać dowolną liczbę osób, które upoważnia do wglądu do swojej dokumentacji medycznej. W przypadku śmierci pacjenta, w myśl przepisów ustawy z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, prawo wglądu do dokumentacji medycznej ma tylko osoba upoważniona przez niego w tym celu za życia. Zatem krąg osób upoważnionych do wglądu do dokumentacji medycznej nie może zostać rozszerzony po śmierci pacjenta. Należy zatem pamiętać, że wbrew powszechnej opinii pokrewieństwo nie daje prawa do uzyskania dostępu do dokumentacji medycznej. Konieczne jest posiadanie upoważnienia, nawet jeśli o wgląd do dokumentacji ubiegają się bliscy zmarłego pacjenta. Kto z urzędu ma prawo wglądu do dokumentacji medycznej? Poza osobami upoważnionymi przez pacjenta wgląd do jego dokumentacji, na podstawie art. 26 ust. 3 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, przysługuje także: podmiotom udzielającym świadczeń zdrowotnych, jeżeli dokumentacja ta jest niezbędna do zapewnienia ciągłości tych świadczeń, organom władzy publicznej, Narodowemu Funduszowi Zdrowia, organom samorządów medycznych oraz konsultantom krajowym i wojewódzkim 9

11 Ochrona danych medycznych według najnowszych przepisów w zakresie niezbędnym do wykonywania przez te podmioty ich zadań, przede wszystkim kontroli i nadzoru, wojewodom, konsultantom krajowym, jednostkom organizacyjnym podległym właściwemu ministrowi lub przez niego nadzorowanym, organom samorządów zawodów medycznych, medycznym towarzystwom naukowym, uczelniom medycznym, instytutom badawczym, specjalistom z poszczególnych dziedzin medycyny w zakresie niezbędnym do przeprowadzenia kontroli na zlecenie ministra właściwego do spraw zdrowia, ministrowi właściwemu do spraw zdrowia, sądom, w tym sądom dyscyplinarnym, prokuratorom, lekarzom sądowym i rzecznikom odpowiedzialności zawodowej w związku z prowadzonym postępowaniem, organom i instytucjom uprawnionym do tego na mocy innych ustaw, jeżeli badanie zostało przeprowadzone na ich wniosek, organom rentowym oraz zespołom do spraw orzekania o niepełnosprawności w związku z prowadzonym przez nie postępowaniem, podmiotom prowadzącym rejestry usług medycznych w zakresie niezbędnym do prowadzenia rejestrów, zakładom ubezpieczeń, ale tylko za zgodą pacjenta, lekarzowi, pielęgniarce lub położnej w związku z prowadzeniem procedury oceniającej podmiot udzielający świadczeń zdrowotnych na podstawie przepisów o akredytacji w ochronie zdrowia, w zakresie niezbędnym do jej przeprowadzenia, szkole wyższej lub instytutowi badawczemu do wykorzystania w celach naukowych, ale bez ujawnienia nazwiska i innych danych umożliwiających identyfikację osoby, której dotyczy dokumentacja, wojewódzkiej komisji do spraw orzekania o zdarzeniach medycznych w zakresie prowadzonego postępowania, spadkobiercom w zakresie prowadzonego postępowania przed wojewódzką komisją do spraw orzekania o zdarzeniach medycznych, osobom wykonującym czynności kontrolne na zlecenie ministra właściwego do spraw zdrowia, w zakresie niezbędnym do ich przeprowadzenia. Na liście tej nie ma osób ubiegających się o uzyskanie uprawnień do wykonywania zawodów medycznych. Można im więc udostępnić dokumentację medyczną, tylko jeśli dane umożliwiające identyfikację pacjenta zostaną utajnione. 10