Interoperacyjność i bezpieczeństwo danych w związku z analizą danych medycznych

Podobne dokumenty
Niepełnosprawność: szczególna kategoria danych osobowych

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

PRELEGENT Przemek Frańczak Członek SIODO

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Ochrona danych osobowych w biurach rachunkowych

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Szczegółowy opis przedmiotu zamówienia:

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

PARTNER.

Zdrowe podejście do informacji

Ochrona danych osobowych w biurach rachunkowych

ZAŁĄCZNIK SPROSTOWANIE

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Systemy informatyczne w samorządzie. Łódź, czerwca 2016

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

SZCZEGÓŁOWY HARMONOGRAM KURSU

WPROWADZENIE DO RODO OGÓLNE UNIJNE ROZPORZĄDZENIE O OCHRONIE DANYCH. - Leszek Zając

Promotor: dr inż. Krzysztof Różanowski

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych

XXIII Międzynarodowy Kongres Otwartego Systemu Ochrony Zdrowia

Kompleksowe Przygotowanie do Egzaminu CISMP

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Szkolenie otwarte 2016 r.

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

Nowe przepisy i zasady ochrony danych osobowych

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Imed El Fray Włodzimierz Chocianowicz

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Urzędzie Gminy Miłkowice

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Maciej Byczkowski ENSI 2017 ENSI 2017

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI (1) z dnia 29 kwietnia 2004 r.

Krzysztof Świtała WPiA UKSW

Monitorowanie systemów IT

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Opinia 5/2018. w sprawie projektu wykazu sporządzonego przez właściwe niemieckie organy nadzorcze. dotyczącego

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 29 kwietnia 2004 r.

POLITYKA OCHRONY DANYCH OSOBOWYCH

Zalecenia standaryzacyjne dotyczące bezpieczeństwa wymiany danych osobowych drogą elektroniczną. Andrzej Kaczmarek Biuro GIODO

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

1 S t r o n a ZAŁĄCZNIK NR 1 P1.1 PODEJŚCIE DO KLASYFIKACJI DLA DOKUMENTACJI MEDYCZNEJ - AKTUALNY STAN PRAWNY

leczniczego w kontekście RODO

Opinia 18/2018. w sprawie projektu wykazu sporządzonego przez właściwy portugalski organ nadzorczy. dotyczącego

dr hab. prof. UO DARIUSZ SZOSTEK Kancelaria Szostek-Bar i Partnerzy RODO a cyberbezpieczeństwo

Prywatność i bezpieczeństwo danych medycznych

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

adw. Łukasz Przebindowski Biuro Prawne KAMSOFT S.A.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Nowe wyzwania dla systemów IT, w kontekście planowanych zmian w ustawodawstwie

L.p. Obszar nauki Symbol Nr Efekt kształcenia 1 Obszar nauk technicznych: wiedza. ochronie informacji. usługi sieciowe

Zarządzanie projektami a zarządzanie ryzykiem

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

ROZPORZĄDZENIE MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI 1) z dnia 2007 r.

Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych?

Polityka bezpieczeństwa przetwarzania danych osobowych w SCANIX Sp. z o.o. w restrukturyzacji

Nowa Strategia Cyberbezpieczeństwa RP na lata główne założenia i cele

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Polityka Ochrony Danych Osobowych. Magdalena Młynarczyk Lege Artis Biuro Obrotu Nieruchomościami

Rodzaje danych (informacji) m.in.: Podmioty przetwarzające dane: podmioty publiczne, podmioty prywatne.

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Praktyczne aspekty wdrożenia RODO Data Protection Impact Assessment (DPIA)

Centrum Kompetencyjne Zarządzanie Ryzykiem RISK ALERT

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Zarządzanie ryzykiem w bezpieczeostwie IT

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Audytowane obszary IT

Opinia 4/2018. w sprawie projektu wykazu sporządzonego przez właściwy czeski organ nadzorczy. dotyczącego

Rozporządzenie Ogólne o Ochronie Danych Osobowych - General Data Protection Regulation

Opinia 17/2018. w sprawie projektu wykazu sporządzonego przez właściwy polski organ nadzorczy. dotyczącego

Umowa powierzenia przetwarzania danych osobowych nr..

Comarch EDM System zarządzania elektroniczną dokumentacją medyczną.

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

przyjęta 4 grudnia 2018 r. Tekst przyjęty

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

ZASADY PRZETWARZANIA I OCHRONY DANYCH OSOBOWYCH NA UCZELNIACH WYŻSZYCH

ZASADY POWIERZANIA DANYCH OSOBOWYCH FIRMY ELEKTROMONTAŻ RZESZÓW S.A. z dnia 25 maja 2018r.

Prelegent : Krzysztof Struk Stanowisko: Analityk

Stosowanie rodo w księgowości obowiązki w zakresie ochrony danych osobowych

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

WYMAGANIA I STANDARDY ZWIĄZANE Z PRZETWARZANIEM DANYCH MEDYCZNYCH

Opinia 9/2018. w sprawie projektu wykazu sporządzonego przez właściwy francuski organ nadzorczy. dotyczącego

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

Transkrypt:

XI Konferencja Naukowa Bezpieczeostwo w Internecie. Analityka danych Interoperacyjność i bezpieczeństwo danych w związku z analizą danych medycznych Dr inż. Krzysztof Świtała

Plan prezentacji Rola interoperacyjności w kontekście zapewniania odpowiedniego poziomu bezpieczeostwa przetwarzanych zasobów informacyjnych Interoperacyjnośd i bezpieczeostwo przetwarzanych zasobów informacyjnych w ochronie zdrowia a ochrona danych osobowych Przykłady problemów bezpieczeostwa związanych z przetwarzaniem danych w ochronie zdrowia Dobre praktyki w zakresie stosowania zabezpieczeo technicznych 2

Rola interoperacyjności w kontekście zapewniania odpowiedniego poziomu bezpieczeństwa przetwarzanych zasobów informacyjnych 3

Interoperacyjność Art. 3 pkt 18 USTAWY z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne Jest to zdolnośd różnych podmiotów oraz używanych przez nie systemów teleinformatycznych i rejestrów publicznych do współdziałania na rzecz osiągnięcia wzajemnie korzystnych i uzgodnionych celów, z uwzględnieniem współdzielenia informacji i wiedzy przez wspierane przez nie procesy biznesowe realizowane za pomocą wymiany danych za pośrednictwem wykorzystywanych przez te podmioty systemów teleinformatycznych. 4

Porównanie definicji normatywnych pojęcia interoperacyjności występujących w prawie polskim Akt prawny Art. 3 pkt 18 UoInf Art. 2 pkt 13 PrTelekom Art. 3 pkt 3 InfoPrzestrzU Definicja normatywna Zdolność różnych podmiotów oraz używanych przez nie systemów teleinformatycznych i rejestrów publicznych do współdziałania na rzecz osiągnięcia wzajemnie korzystnych i uzgodnionych celów, z uwzględnieniem współdzielenia informacji i wiedzy przez wspierane przez nie procesy biznesowe realizowane za pomocą wymiany danych za pośrednictwem wykorzystywanych przez te podmioty systemów teleinformatycznych. Zdolność sieci telekomunikacyjnych do efektywnej współpracy w celu zapewnienia wzajemnego dostępu użytkowników do usług świadczonych w tych sieciach. Rozumie się przez to możliwość łączenia zbiorów danych przestrzennych oraz współdziałania usług danych przestrzennych, bez powtarzalnej interwencji manualnej, w taki sposób, aby wynik był spójny, a wartość dodana zbiorów i usług danych przestrzennych została zwiększona. Art. 4 pkt 29 TrKolejU Zdolność systemu kolei do zapewnienia bezpiecznego i nieprzerwanego ruchu pociągów, spełniającego warunki techniczne, ruchowe, eksploatacyjne i prawne, których zachowanie zapewnia dotrzymanie zasadniczych wymagań dotyczących interoperacyjności systemu kolei i umożliwia efektywne poruszanie się po transeuropejskiej sieci kolejowej. Art. 4 pkt 34 DrPublU Zdolność systemów oraz będących ich podstawą procesów gospodarczych do wymiany danych, informacji i wiedzy. 5

Poziomy interoperacyjności Organizacyjna zakłada on ujednolicenie standardów zarządczych, struktur organizacyjnych, polityk i procesów biznesowych związanych z przetwarzaniem informacji, Semantyczna rozumiana jest jako ustanowienie uzgodnionych, spójnych i jednoznacznych struktur danych na wszystkich etapach procesów przetwarzania informacji, Technologiczna zapewnienie kompatybilności rozwiązao technicznych (m.in. protokołów komunikacyjnych) i oprogramowania służącego do przetwarzania informacji (m.in. poprzez sformułowanie minimalnych wymagao dla takich rozwiązao w przepisach prawa, czy wskazanie stosownych norm technicznych, które powinny byd przestrzegane, aby zapewnid efektywną wymianę danych). 6

Bezpieczeństwo a interoperacyjność Zapewnienie odpowiedniego standardu ochrony informacji, gwarantującego realizację interesów i uprawnieo osób naturalnie ogranicza bariery w swobodnym przepływie takich zasobów. Współdziałanie różnych podmiotów na rzecz osiągnięcia celów związanych z bezpieczeostwem przetwarzanych przez nie zasobów informacyjnych stanowid może praktykę związaną z zapewnianiem interoperacyjności na wszystkich poziomach. 7

Interoperacyjność i bezpieczeństwo przetwarzanych zasobów informacyjnych w ochronie zdrowia a ochrona danych osobowych 8

Definicja danych dotyczących zdrowia Art. 4 pkt 15 RODO. Oznaczają one dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej w tym o korzystaniu z usług opieki zdrowotnej ujawniające informacje o stanie jej zdrowia; Motyw 35. Do danych osobowych dotyczących zdrowia należy zaliczyd wszystkie dane o stanie zdrowia osoby, której dane dotyczą, ujawniające informacje o przeszłym, obecnym lub przyszłym stanie fizycznego lub psychicznego zdrowia osoby, której dane dotyczą. Do danych takich należą informacje o danej osobie fizycznej zbierane podczas jej rejestracji do usług opieki zdrowotnej lub podczas świadczenia jej usług opieki zdrowotnej, ( ) numer, symbol lub oznaczenie przypisane danej osobie fizycznej w celu jednoznacznego zidentyfikowania tej osoby fizycznej do celów zdrowotnych; informacje pochodzące z badao laboratoryjnych lub lekarskich części ciała lub płynów ustrojowych, w tym danych genetycznych i próbek biologicznych; oraz wszelkie informacje, na przykład o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym lub stanie fizjologicznym lub biomedycznym osoby, której dane dotyczą, niezależnie od ich źródła, którym może byd na przykład lekarz lub inny pracownik służby zdrowia, szpital, urządzenie medyczne lub badanie diagnostyczne in vitro. 9

Obowiązki administratora (art. 24 RODO) 1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieostwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazad. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. 2. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. 3. Stosowanie zatwierdzonych kodeksów postępowania, o których mowa wart. 40, lub zatwierdzonego mechanizmu certyfikacji, o którym mowa wart. 42, może byd wykorzystane jako element dla stwierdzenia przestrzegania przez administratora ciążących na nim obowiązków. 10

Kodeksy postępowania KODEKS POSTĘPOWANIA DLA SEKTORA OCHRONY ZDROWIA WYDANY ZGODNIE Z ART. 40 RODO DOTYCZĄCY PODMIOTÓW WYKONUJĄCYCH DZIAŁALNOŚD LECZNICZĄ I PODMIOTÓW PRZETWARZAJĄCYCH (data przygotowania 13.11.2018) Załącznik nr 4. Przykładowa metodyka analizy ryzyka, której wdrożenie i stosowanie zapewnia realizację podejścia opartego na ryzyku niepełna, koncentruje się tylko na etapie szacowania ryzyka. Załącznik nr 5. Wykaz zabezpieczeo systemów IT matryca składająca się z niespójnych elementów (zabezpieczenia pomieszane z podatnościami i zagrożeniami, brak związku z opisaną wcześniej metodyką analizy ryzyka) pozbawiona jakiegokolwiek komentarza dotyczącego jej stosowania. Załącznik nr 7. Rekomendacje w zakresie bezpieczeostwa oraz rozwiązao technologicznych stosowanych podczas przetwarzania danych w podmiotach wykonujących działalnośd leczniczą, w których przetwarzanie danych nie jest uznane za przetwarzanie na dużą skalę koncentracja na zabezpieczeniach organizacyjnych i fizycznych. Techniczne środki bezpieczeostwa ograniczono do mechanizmów kontroli dostępu, tworzenia kopii zapasowych i oprogramowania antywirusowego. 11

Przykłady problemów bezpieczeństwa związanych z przetwarzaniem danych w ochronie zdrowia 12

Nieszyfrowany formularz logowania do zasobów wewnętrznych podmiotu leczniczego 13

Nieszyfrowany formularz kontaktowy 14

Nieszyfrowany formularz logowania do interfejsu administracyjnego strony WWW podmiotu leczniczego 15

Niezaufane certyfikaty systemów obsługi pacjenta online 16

Nieprawidłowo ukrywane nagłówki HTTP dotyczące konfiguracji serwera 17

Nieprawidłowo ukrywane nagłówki HTTP dotyczące konfiguracji serwera 18

Dobre praktyki w zakresie stosowania zabezpieczeń technicznych Systematyczne utwardzanie konfiguracji (ang. hardening); Stosowanie skutecznych algorytmów kryptograficznych i odpowiednio długich kluczy, którymi należy również prawidłowo zarządzad; Zarządzanie zapisami zdarzeo w systemach teleinformatycznych (tzw. logami) i cykliczne ich analizowanie; Stosowanie sprzętu i oprogramowania Intrusion Detection System/Intrusion Prevention System (np. Snort, OSSEC, Suricata); Odpowiednia konfiguracja zapór sieciowych i portów TCP/UDP; Stosowanie wirtualnych sieci prywatnych (ang. Virtual Private Network) do wewnętrznej komunikacji w podmiocie (np. dostęp do poczty elektronicznej, systemu obiegu dokumentów); Testy penetracyjne (np. przy wykorzystaniu Kali Linux). 19

Dziękuję za uwagę

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres