otoczenie prawne technologia · 2013-12-20 1 bezpieczeŃstwo danych medycznych dr piotr karniej...
TRANSCRIPT
2013-12-20
1
BEZPIECZEŃSTWO DANYCH MEDYCZNYCH
dr Piotr KarniejUniwersytet Medyczny we Wrocławiu
Problemy zarządcze
• Obligatoryjność elektronicznej dokumentacjimedycznej od sierpnia 2014r. we wszystkichpodmiotachwykonujących działalność leczniczą
• Nadejście terminu ustawowego nie jest wystarczającedla wdrożenia dokumentacji elektronicznej, koniecznejest stworzenie pełnych gwarancji ochrony danychosobowych, o których mowa w art. art. 27 ust. 2 pkt.7 u.o.d.o.
• Potrzeba zapewnienia we własnym zakresie środkówna informatyzację placówki medycznej
• Kluczowa dla powodzenia wdrożenia dokumentacjielektronicznej i bezpieczeństwa obiegu informacji wśrodowisku elektronicznym jest współpracai zrozumienie pracowników
Otoczenie prawne Technologia
Właściwe
proceduryPracownicy
2013-12-20
2
Osoby odpowiedzialne
• Administrator danych osobowych (ADO) – organ,
jednostka organizacyjna, osoba lub podmiot, decydująca o
celach i środkach przetwarzania danych osobowych (np.
właściciel firmy)
• Administrator bezpieczeństwa informacji (ABI) –
wyznaczona przez Administratora danych osobowych
osoba, odpowiedzialna za przestrzeganie zasad ochrony
danych
• Administrator systemu informatycznego (ASI) –
informatyk lub zespół informatyków wyznaczony przez
Administratora danych, odpowiedzialny za funkcjonowanie
systemów informatycznych, sprzętu i oprogramowania
• Powołania ABI, ASI,
opracowania procedur
• Powołania ABI, ASI,
opracowania procedur1
• Zapoznania pracowników
z regulacjami
• Zapoznania pracowników
z regulacjami 2
• Stałego monitorowania
zagrożeń i zachowań
• Stałego monitorowania
zagrożeń i zachowań3
Bezpieczeństwo elektronicznej
dokumentacji medycznej wymaga
Nie ma bezpieczeństwa bez procedur
i monitorowania zagrożeń
• Stały nadzór ABI nad
wszystkimi stanowiskami, na których przetwarzane są dane osobowe
• Ścisła współpraca pomiędzy ABI i ASI
• Wyrobienie u pracowników nawyków „czystego biurka”, „czystego ekranu” i ochrony danych wrażliwych
• Stosowanie adekwatnych
do możliwych zagrożeń
środków ochrony fizycznej danych
WDROŻENIE POLITYKI BEZPIECZEŃSTWA,INSTRUKCJI PRZETWARZANIA DANYCHI ZAŁĄCZNIKÓW MA SŁUŻYĆ ORGANIZACJII BEZPIECZEŃSTWU JEJ ISTNIENIA
Potrzeba ochrony danych wrażliwych
• Zabrania się przetwarzania danych ujawniających pochodzenierasowe lub etniczne, poglądy polityczne, przekonania religijne ifilozoficzne, przynależność wyznaniową, partyjną lub związkową,jak również dane o stanie zdrowia, kodzie genetycznym,nałogach lub życiu seksualnym oraz danych dotyczących skazań,orzeczeń o ukaraniu, a także innych orzeczeń wydanych wpostępowaniu sądowym lub administracyjnym (art. 27 ust. 1u.o.d.o. – tzw. dane wrażliwe)
• Przetwarzanie danych o których mowa w ust. 1 jest jednakdopuszczalne, jeżeli:
– osoba, której dane dotyczą wyrazi na to zgodę na piśmie,
– przepis szczególny innej ustawy zezwala na przetwarzanietakich danych bez zgody osoby, której dane dotyczą i stwarzapełne gwarancje ich ochrony
Potrzeba ochrony danych wrażliwych
– przetwarzanie takich danych jest niezbędne dla ochronyżywotnych interesów osoby, której dane dotyczą, lub innejosoby, gdy osoba której dane dotyczą nie jest fizycznie lubprawnie zdolna do wyrażenia zgody, do czasu ustanowieniaopiekuna prawnego lub kuratora
– przetwarzanie jest niezbędne do wykonania zadańadministratora danych odnoszących się do zatrudnieniapracowników i innych osób, a zakres przetwarzania danychjest określony w ustawie
– przetwarzanie jest prowadzone w celu ochrony stanuzdrowia, świadczenia usług medycznych lub leczeniapacjentów przez osoby trudniące się zawodowo leczeniemlub świadczeniem usług medycznych, zarządzaniemudzielania usług medycznych i są stworzone pełnegwarancje ochrony danych osobowych (art. 27 ust. 2 pkt. 7u.o.d.o.)
2013-12-20
3
Potrzeba ochrony danych wrażliwych
– przetwarzanie dotyczy danych, które zostały podane do
wiadomości publicznej przez osobę, której dane
dotyczą,
– jest to niezbędne dla prowadzenia badań naukowych, w
tym przygotowania rozprawy wymaganej do uzyskania
dyplomu ukończenia szkoły wyższej lub stopnia
naukowego; publikowanie badań naukowych nie może
następować w sposób umożliwiający identyfikację
osób, których dane zostały przetworzone
Niezbędne akty prawne
Właściwość Nazwa aktu
Pracownicy
+ Przełożeni
Ustawa z dnia 29.08.1997r. o ochronie danych osobowych
(Dz.U.1997.133.883 ze zm.)
Pracownicy
+ Przełożeni
Ustawa z dnia 6.11.2008r. o prawach pacjenta i Rzeczniku Praw
Pacjenta (t.j. Dz.U.2009.52.417)
Przełożeni
(ADO, ABI,
ASI)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dn.
29.04.2004r. w sprawie dokumentacji przetwarzania danych
osobowych oraz warunków technicznych i organizacyjnych jakim
powinny odpowiadać urządzenia i systemy informatyczne służące
do przetwarzania danych osobowych (Dz.U.2004.100.1024 ze zm.)
Przełożeni
(ADO, ABI,
ASI)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dn.
11.12.2008r. w sprawie wzoru zgłoszenia zbioru danych do
rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych
(Dz.U.2008.229.1536)
Czas
Ro
zwó
j p
roce
su
Identyfikacja problemu
monitoring Stały
monitoring i rozwój
Dążenie do profesjonalizmu
Wdrożenie rozwiązań
Bezpieczeństwo w pracy zdalnej
• Wystawianie e-recept na wizytach domowych
• Dostęp do dokumentacji poza siedzibą podmiotu (miejscem przetwarzania), np. pielęgniarki i
położne środowiskowe, lekarze
rodzinni
• Dostęp zdalny administratora systemu lub serwisanta
• Różnorodność urządzeń zdalnego dostępu (tablety, laptopy, smartfony)
• Zabezpieczanie nie tylko programów, ale też urządzeń (np. przed kradzieżą albo zniszczeniem)
Kluczowe etapy
wdrożenia
• Identyfikacja miejsc przetwarzania danych osobowych – wtym wrażliwych
• Określenie procedur przetwarzania i zabezpieczaniadanych, wskazanie osób odpowiedzialnych zabezpieczeństwo danych na każdym etapie procesuświadczenia i rozliczania usług medycznych
• Likwidacja nieuzasadnionych miejsc przetwarzania
• Nadanie uprawnień do przetwarzania danych(z wyjątkiem osób wykonujących zawody medyczne),dostępu do systemów elektronicznych, podpisanie umówpowierzenia przetwarzania danych
Kluczowe etapy
wdrożenia
• Nieustanne szkolenia personelu i wyrabianie nawykówzwiązanych z ochroną dokumentów zawierających daneosobowe (w tym wrażliwe)
• Polityka „czystego biurka”, „czystego monitora”, „politykakluczy”
• Stałe monitorowanie zagrożeń wpływających nabezpieczeństwo przetwarzania danych osobowych,stosowanie adekwatnych zabezpieczeń technicznychi technologicznych
• Bezwzględne uznanie decyzyjności ABI w zakresiestosowania polityki bezpieczeństwa i instrukcji zarządzaniasystemem przetwarzania danych
2013-12-20
4
Procedury do systemu podmiotów zewnętrznych
• Ustawodawca dopuszcza dostęp podmiotów zewnętrznych do systemów przetwarzania medycznych danych osobowych (np. firmy informatyczne, zewnętrzni partnerzy medyczni)
• Podmiot musi opracować instrukcję dostępu do systemu firm zewnętrznych, zaleca się aby te firmy miały opracowane własne polityki bezpieczeństwa danych, ale nie jest to bezwzględnie konieczne
• Dopuszcza się przechowywanie zasobów w tzw. „chmurze”, jednak nie można zapominać, że nawet w przypadku powierzenia danych innemu podmiotowi, za ich bezpieczeństwo odpowiada przed pacjentem placówka medyczna
Uwierzytelnianie osoby wprowadzającej dane
• logowanie za pomocą indywidualnego identyfikatora i hasła (wymagane opracowanie instrukcji cyklicznej zmiany haseł)
• logowanie za pomocą skanu odcisku palca i/lub indywidualnego hasła
• logowanie za pomocą karty identyfikacyjnej (zbliżeniowej lub magnetycznej)
• inne metody, które są zapisane w polityce bezpieczeństwa danych osobowych, gwarantują właściwy dostęp do danych i uniemożliwiają wpisanie danych przez osobę która podszywa się pod osobę uprawnioną
Rozpoczęcie i kończenie pracy w systemie
• Pracownik korzysta wyłącznie ze swojego loginu, nie udostępnia go osobom postronnym w żadnym razie
• W trakcie pracy, jeśli nie zachodzi potrzeba korzystania z systemu należy się wylogować, a następnie ponownie zalogować przy ponownym użyciu systemu
• Po zakończeniu przy stosować „politykę czystego biurka”, nie dopuszczać do pozostawiania jakichkolwiek danych osobowych, w tym także danych wrażliwych
• Po zakończeniu przy w systemie należy zabezpieczyć obszar przetwarzania danych (pomieszczenie), zgodnie z „polityką kluczy”
Kopie bezpieczeństwa i kopie programów
• Dane osobowe zabezpiecza się poprzez sporządzanie kopii zapasowych zbiorów danych i programów do przetwarzania
• Kopie zapasowe przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem, zniszczeniem
• Kopie zapasowe usuwa się niezwłocznie po ustaniu ich użyteczności
• UWAGA! Kopie bezpieczeństwa należy okresowo sprawdzać, tj. wgrywać je do systemu i kontrolować czy dane te nadają się do użycia. Po każdym takim sprawdzeniu należy spisać protokół
Podsumowanie
• Ochrona danych medycznych w środowiskuelektronicznym leży w interesie podmiotuwykonującego działalność leczniczą
• Nie da się zapewnić bezpieczeństwa danych bezudziału pracowników
• Istniejące przepisy prawne zobowiązują dowprowadzenia elektronicznej dokumentacjimedycznej od 1 sierpnia 2014r., ale podmiot może tozrobić dopiero wtedy, gdy wprowadzi procedurypełnego bezpieczeństwa tych danych
• Przetwarzanie danych wrażliwych (w tym wśrodowisku elektronicznym) bez zachowania środkówbezpieczeństwa grozi odpowiedzialnością karną
DZIĘKUJĘ ZA UWAGĘ