Ochrona danych medycznych i osobowych pacjentów

Transkrypt

1 Praca zbiorowa pod redakcją Mariusza Jendry Ochrona danych medycznych i osobowych pacjentów Zgodnie ze znowelizowaną 23 marca 2017 r. ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta Wydanie 4 Profesjonalne publikacje dla KADRY ZARZĄDZAJĄCEJ PODMIOTAMI LECZNICZYMI

2 !8Aí&A!2-' 6!$Õ>0í á Zostań Czytelnikiem magazynu, a zyskasz: 1 CZERWIEC 2016 ISSN Numer 1 DOKUMENTACJA MEDYCZNA w praktyce Magazyn papierowy z wydaniem specjalnym prosto na Twoje biurko Bez problemu znajdziesz informacje, których szukasz w serwisie dokmed24.pl Dokumentacja medyczna EDM kontrole NFZ roszczeniowy pacjent bezpiec zeństwo danych/giodo Co grozi za wynoszenie dokument acji medycznej do domu Dokumentacja medyczna w smartfonie usprawni wizyty domowe Wyeliminuj 5 najczęściej popełnian ych błędów w dokumentacji 5 zasad, które zabezpieczą placówkę przed wyciekiem danych Od połowy 2018 roku musisz wyznaczyć inspektora ochrony danych na Spotkasz się z ekspertami i specjalistami z branży podczas konferencji 5 4 Partner merytoryczny Wydanie online magazynu czytaj 3 2 Nasz ekspert rozwiąże Twój problem wyślij pytanie na do redakcji Będziesz na bieżąco, 2 razy w tygodniu otrzymasz najnowsze porady na Prenumerata półroczna: wersja papierowa + elektroniczna z PREZENTAMI*: Druga faktura Pierwsza faktura 'ঔ -V ր փ /'9;'ঔ >Ě!ঔ$-$-' '1 6!$Õ>0-T 1'2'&৹'8'1-0!&8@ A!8Aí&A!/í$'/ > 3$,832-' A&83>-!T ր փ9a<0!9a -2(381!$/- 3 A1-!2!$, 68!>2@$,T ր փ $,$'9A 3;8A@1@>! 638!&@ '096'8;Õ> &3;@$Aí$' A!8Aí&A!2-!T )2!29Õ>T T ঔ83&0Õ> <2-/2@$,T 3#9Ě<+- 6!$/'2;! ࢮ ã #-'8A #'A6Ě!;2' 'f638!&2-0-r UOV 53 okladka.indd 2 Oferta prenumeraty 6 wydań magazynu papierowego + 2 wydania specjalne z wersją elektroniczną + prezenty: 312,00 zł netto (327,60 zł brutto). Łączne koszty pakowania i wysyłki 59,40 zł netto (62,37 zł brutto). * Prezenty zostaną wysłane po opłaceniu faktury za prenumeratę. Zamówienia przyjmuje Centrum Obsugi Klienta: tel , cok@wip.pl, podaj kod MD0A PARTNER MERYTORYCZNY: Polecam czasopismo Dokumentacja medyczna w praktyce. Kancelaria Fortak & Karasiński Radcowie Prawni Sp. P. objęła nad nim patronat merytoryczny. Magazyn pomaga placówkom medycznym takim jak Twoja w poprawnym prowadzeniu dokumentacji medycznej. To uchroni placówkę w ewentualnych procesach sądowych związanych z roszczeniami pacjentów. Pozwoli Ci też uniknąć kar nakładanych przez NFZ. Katarzyna Fortak-Karasińska Radca Prawny PARTNER KANCELARII :26

3 Ochrona danych medycznych i osobowych pacjentów Wydanie 4

4

5 Spis treści Spis treści I.. WSTĘP... 9 II.. POWIERZENIE PRZETWARZANIA DOKUMENTACJI MEDYCZNEJ WEDŁUG NAJNOWSZYCH PRZEPISÓW III..KONTROLA BEZPIECZEŃSTWA DANYCH MEDYCZNYCH Jak wygląda kontrola Generalnego Inspektora Ochrony Danych Osobowych obszarów ochrony danych podlegających kontroli inspektorów GIODO Jak przygotować się do kontroli inspektorów ochrony danych osobowych Procedura na wypadek naruszenia bezpieczeństwa danych IV..OCHRONA DANYCH OSOBOWYCH PACJENTÓW W UJĘCIU PRAWNYM Jak zabezpieczyć placówkę przed wyciekiem danych medycznych Ochrona serwerów placówki przed atakiem hakerów Czy można gromadzić dane osobowe bez zgody pacjenta Jak nie naruszać intymności pacjenta Czy upoważniony może usunąć swoje dane z dokumentacji medycznej Czy upoważnienie może dotyczyć tylko części dokumentacji medycznej Czy placówki mogą zbierać dane na zapas Jakość wpisów w dokumentacji medycznej niemy świadek procesu leczenia Kary za zgubienie dokumentacji medycznej Ubezpieczyciel może żądać dokumentacji zmarłego pacjenta Zawartość umowy o powierzenie danych podmiotowi trzeciemu (firmie przechowującej dane) Ochrona dóbr osobistych personelu placówki Znaczenie ABI w placówce medycznej V.. PRAKTYKA OCHRONY DANYCH ODPOWIEDZI NA NAJCZĘŚCIEJ ZADAWANE PYTANIA Upoważnienie do przetwarzania danych Czy informatyk może mieć dostęp do dokumentacji medycznej

6 Ochrona danych medycznych w 2015 roku Jak się zabezpieczyć przed nieoczekiwaną nieobecnością głównego informatyka Czy upoważnienie do przetwarzania danych osobowych może być wydane w formie służbowego a, który byłby następnie zachowany w celach dowodowych Czy recepcjonistka lub asystentka wydająca lub wypisująca wyniki badań musi mieć upoważnienie do przetwarzania danych osobowych Czy serwisant z firmy zewnętrznej mający dostęp do sprzętu medycznego, np. tomografu lub aparatów usg, ma mieć upoważnienie do przetwarzania danych Czy wolontariusze to osoby upoważnione do przetwarzania danych, czy nadaje się im upoważnienia do przetwarzania danych osobowych Czy osoba, która zajmuje się przetargami i przygotowuje różne oferty, powinna mieć nadane upoważnienie do przetwarzania danych Czy szkolenia z zakresu ochrony danych dla personelu są obowiązkowe Czy każdy pracownik placówki ochrony zdrowia musi posiadać upoważnienie do przetwarzania danych osobowych i czy to musi być osobny, szczegółowy dokument Potwierdzenie tożsamości Jak zidentyfikować i potwierdzić tożsamość osoby dzwoniącej do placówki ochrony zdrowia, która pyta o wyniki swoich badań Jak odpowiadać na telefoniczne zapytania kuratorów sądowych, policji, sądu czy też rodziny pacjentów, którzy pytają czy wymieniony z nazwiska Pan/Pani u nas przebywa. Czy odpowiedź na zasadzie tak/nie bez podania jakichkolwiek innych danych o leczeniu jest naruszeniem ustawy Czy dane firm, przedsiębiorców, osób fizycznych prowadzących działalność gospodarczą, to dane osobowe Ochrona danych lekarzy Czy na stronie internetowej przychodni można zamieścić zdjęcia zatrudnionych lekarzy Czy miesięczne wynagrodzenie dyrektora szpitala to informacja publiczna Czy przewodniczący związków zawodowych może się zwrócić o udostępnienie listy pracowników i ich danych w zakresie imienia, nazwiska i komórki organizacyjnej celem przeprowadzenia referendum w sprawie akcji strajkowej

7 Spis treści 4. Przenoszenie i wydawanie dokumentacji Czy zakład opieki zdrowotnej może odmówić mężowi wydania dokumentacji medycznej dotyczącej żony Czy roszczenie pacjenta o przekazanie jego dotychczasowej papierowej dokumentacji medycznej do nowej przychodni (w związku z przeprowadzką pacjenta) jest zasadne Czy lekarz może zabrać dokumentację medyczną pacjenta do domu Zgoda pacjenta Czy pacjent może wyrazić zgodę na leczenie, jednocześnie nie wyrażając zgody na przetwarzanie jego danych Czy osoba rejestrująca się w przychodni może odmówić podania numeru PESEL Czy na wysłanie maila lub sms-a z przypomnieniem o zaplanowanej wizycie u lekarza potrzebna jest pisemna zgoda pacjenta Prawo do informowania Czy osoba żyjąca w konkubinacie lub związku nieformalnym np. homoseksualnym, może być poinformowana o stanie zdrowia osoby jej bliskiej przebywającej w szpitalu Rejestracja zbiorów danych osobowych Czy podmioty udzielające świadczeń zdrowotnych mają obowiązek rejestracji zbiorów danych osobowych swoich pacjentów u GIODO Co to znaczy, że administrator bezpieczeństwa informacji prowadzi jawny rejestr zbiorów danych przetwarzanych przez administratora danych Czy w jawnym rejestrze zbiorów danych należy opisać zbiory o nazwie pacjenci lub pracownicy zwłaszcza pod kątem nazw i adresów firm, którym powierzono dane z tych zbiorów do przetwarzania Powierzenie przetwarzania danych Jak uregulować formalnie współpracę z lekarzem prowadzącym własną praktykę, który na podstawie umowy zlecenia, używając własnego komputera i oprogramowania, wykonuje badania genetyczne pacjentom szpitala Czy dyrektor szpitala może przekazać dane osobowe pacjentów do przyszpitalnej szkoły Czy potrzebna jest umowa powierzenia z zewnętrznym laboratorium lub inną specjalistyczną placówką medyczną wykonującą usługi dla administratora danych

8 Ochrona danych medycznych i osobowych pacjentów 9. Polityka haseł Czy dyrektor szpitala lub inny administrator danych może mieć u siebie zdeponowane hasła użytkowników, na wypadek gdy pracownik zapomni swojego Czy polityka haseł opisana w Instrukcji zarządzania systemem informatycznym administratora danych może narzucać obowiązek zmiany hasła co 60 lub 90 dni Czy w przypadku umowy o serwis oprogramowania lub urządzeń medycznych pracownicy serwisujący mogą korzystać z haseł personelu w jego obecności Czy przy zmianie nazwiska użytkownika systemu powinno się zmienić jego identyfikator login odnotowany w ewidencji osób upoważnionych do przetwarzania danych Naruszenie ochrony danych Czy naruszenie ochrony danych w placówce leczniczej trzeba zgłaszać do Generalnego Inspektora Ochrony Danych Osobowych lub innego organu Udostępnienie informacji Czy zakład pracy może zwrócić się do ZOZ-u z prośbą o udostępnienie informacji dotyczącej stanu zdrowia pracownika na potrzeby prowadzonego postępowania powypadkowego Rola Administratora Bezpieczeństwa Informacji Czy ABI to wyodrębniony etat i samodzielne stanowisko pracy Czy administratorem bezpieczeństwa informacji (ABI) może być pracownik działu IT Czy ABI jest zobowiązany do przesyłania rocznych sprawozdań i raportów z audytów bezpieczeństwa informacji do GIODO Czy pełnomocnik ds. ochrony informacji niejawnych to, to samo co administrator bezpieczeństwa informacji (ABI) Ochrona wizerunku (monitoring) Czy w przypadku stosowania monitoringu wizyjnego w sali dzieci młodszych oddziału dziecięcego lub na oddziale porodowym należy uzyskać zgodę rodziców na przetwarzanie wizerunku ich dzieci Przechowywanie i zabezpieczenie dokumentacji Z czego wynika i w jakim celu narzucony jest obowiązek inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania danych osobowych i medycznych

9 Spis treści Czy papierową dokumentację medyczną należy przechowywać w metalowych szafach Przetwarzanie danych Czy dopuszczalne jest umieszczanie przed gabinetami lekarskimi list z nazwiskami pacjentów zapisanych na dany dzień na wizytę lekarską Czy w dokumentacji medycznej można przechowywać ksero dowodu osobistego lub paszportu pacjenta Jeśli system wykorzystywany w szpitalu nie zawiera imienia i nazwiska, a tylko numer identyfikacyjny pacjenta to informacje te nie pozwalają na identyfikację tożsamości danej osoby. Czy można założyć, że system ten nie służy do przetwarzania danych osobowych Jak należy postępować w przypadku uszkodzenia komputera, na którym są przetwarzane dane osobowe Czy kierownik medyczny, nie będący lekarzem może mieć dostęp do danych pacjentów na potrzeby tworzenia statystyk VI..WZORY FORMULARZY Upoważnienie do przetwarzania danych osobowych Ewidencja osób upoważnionych do przetwarzania danych Oświadczenie o upoważnieniu osoby bliskiej do zasięgania informacji o stanie zdrowia Oświadczenie o braku upoważnienia do zasięgania informacji o stanie zdrowia Upoważnienie do dostępu do dokumentacji medycznej Jawny wykaz zbiorów danych osobowych Roczny program sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych Analiza organizacyjnych środków bezpieczeństwa informacji Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych Dziennik Administratora Systemu Informatycznego Umowa powierzenia przetwarzania danych osobowych Umowa o zachowaniu poufności przetwarzania danych osobowych VII..PODSTAWA PRAWNA

10

11 I. WSTĘP Przeszło pół miliona pracowników medycznych przetwarza wrażliwe dane osobowe ponad 38 mln Polaków. Wprawdzie placówki medyczne nie muszą rejestrować zbiorów danych pacjentów do GIO- DO, ale ciążą na nich inne obowiązki związane z ochroną danych. Przetwarzanie danych osobowych w przypadku usług medycznych odbywa się na podstawie ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta oraz rozporządzenia ministra zdrowia w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania. Placówki medyczne mają obowiązek chronić dane swoich pacjentów w sposób szczególny. Wynika to z tego, że dokumentacja medyczna obejmuje poza tak zwanymi danymi zwykłymi również dane wrażliwe dotyczące opisu stanu zdrowia pacjenta lub udzielonych mu świadczeń zdrowotnych. W zależności od podmiotu świadczącego usługi medyczne administratorem danych będzie szpital bądź lekarz wykonujący działalność leczniczą w ramach praktyki zawodowej. Lekarze i podmioty lecznicze są zwolnieni z obowiązku zgłaszania zbiorów danych pacjentów do GIODO, niemniej ciążą na nich inne obowiązki. Jednym z nich jest prowadzenie i wdrożenie dokumentacji opisującej sposób przetwarzania danych oraz środków technicznych i organizacyjnych podjętych w celu wyeliminowania zagrożeń bezpieczeństwa danych. 9

12 Ochrona danych medycznych i osobowych pacjentów Chodzi m.in. o udostępnienie informacji o pacjentach osobom nieupoważnionym, zabranie ich przez osobę nieuprawnioną, przetwarzanie z naruszeniem ustawy oraz zmianę, utratę, uszkodzenie lub zniszczenie. Na dokumentację składa się polityka bezpieczeństwa oraz instrukcja zarządzania systemem informatycznym do przetwarzania danych osobowych. W wielu jednostkach nadal prowadzone są zbiory w postaci tradycyjnej (papierowej), tam wystarczająca będzie polityka bezpieczeństwa. Kierownicy placówek powinni zadbać, aby ich personel miał dostęp jedynie do tych danych, do których przetwarzania został upoważniony. Z punktu widzenia ustawy o ochronie danych osobowych nie ma znaczenia, czy dane są przetwarzane na papierze, czy w systemie informatycznym. Odpowiedzialność za jej nieprzestrzeganie w obu przypadkach jest taka sama. Od 11 maja 2017 r. obowiązują znowelizowane przepisy ustawy prawach pacjenta i Rzeczniku Praw Pacjenta. Nowelizacja precyzyjnie uregulowała, w jaki może być udostępniana dokumentacja medyczna. Uporządkowała sposoby i formy jej udostępniania. Wprowadziła też dodatkowy sposób w formie skanu poprzez elektroniczną transmisję danych. W ustawie wprost wskazano, że osoby przeglądające dokumentację mają prawo do sporządzania notatek lub zdjęć. Dokonano też zdefiniowania następujących pojęć: wyciąg jako skrótowy dokument zawierający wybrane informacje lub dane z całości dokumentacji medycznej; odpis dokument wytworzony przez przepisanie całości tekstu z oryginału dokumentacji medycznej; kopia to dokument stanowiący kserokopię lub skan oryginału dokumentacji medycznej. Za udostępnienie dokumentacji medycznej podmiot udzielający świadczeń zdrowotnych może pobierać opłatę. Wysokość tej opłaty ustala podmiot udzielający świadczeń. Maksymalna wysokość opłaty za: 10