Bezpieczeństwo danych: jak o nie zadbać w placówce

/appFiles/site_102/images/autor/JHBOqYt0y9DAgvI.jpeg

Autor: Piotr Janiszewski

Dodano: 26 listopada 2015

Placówki medyczne najczęściej naruszają zasadę bezpieczeństwa danych. Chodzi o zapewnienie, aby dostęp do danych miały wyłącznie osoby upoważnione. Za naruszenie tej zasady odpowiada każda osoba, która dopuściła się jej naruszenia, a więc praktycznie każdy pracownik czy współpracownik. Zasadę można naruszyć nawet nieumyślnie, np. przez pozostawienie danych na temat pacjenta przez przypadek w miejscu powszechnie dostępnym.

Jako przykład takiego naruszenia można np. wskazać sytuację, kiedy lekarz przyjmujący pacjenta wyjdzie na chwilę z gabinetu, nie wyloguje się wcześniej z komputera, na którym są zamieszczone, np. w elektronicznej dokumentacji medycznej, dane innych pacjentów. Pacjent może nie zajrzeć w ekran komputera, ale wystarczy już sama taka możliwość, aby mogło dojść do naruszenia.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Hasła do komputera

Ponowne zalogowanie powinno wymagać podania loginu i hasła. Hasło powinno składać się z 8 znaków i być złożone z małych i wielkich liter, cyfr oraz zawierać znak specjalny.

Dodatkowo każdy użytkownik powinien dbać o odpowiednie zabezpieczenie hasła – czyli przede wszystkim nie zapisywać hasła na kartkach które są następnie naklejane na ekran monitora lub trzymane pod klawiaturą.

Firmy zewnętrzne

Osobą nieupoważnioną może być również pracownik firmy zewnętrznej, która serwisuje sprzęt do badań i tym samym ma dostęp do danych zapisanych na serwisowanym urządzeniu. W przypadku takich firm, aby uniknąć naruszenia zasady bezpieczeństwa należy podpisać umowę powierzenia.

Dokumentacja

Dodatkowo, spełnienie zasady bezpieczeństwa to również opracowanie i wdrożenie niezbędnej dokumentacji z ochrony danych osobowych, do której możemy zaliczyć politykę bezpieczeństwa ochrony danych osobowych oraz instrukcję zarządzania systemami informatycznymi.

Z punktu nadania dostępu do danych osobowych należy pamiętać o stosowaniu odpowiednich upoważnień do przetwarzania danych. Przez „odpowiednie” należy rozumieć upoważnienia w których dostęp został nadany z uwzględnieniem przypisania do konkretnych zbiorów. Lista przetwarzanych zbiorów powinna zostać wyodrębniona w polityce bezpieczeństwa danych osobowych. Taka rekomendacja wynika z praktyki kontrolnej GIODO.

Niestety w ocenie GIODO upoważnienie odwołujące się wyłącznie do dostępu do danych osobowych wynikającego z obowiązków służbowych jest niewystarczające i jeżeli stosujemy takie upoważnienia możemy narazić się na zarzut, że umożliwiamy dostęp osobom nieupoważnionym. Od osób upoważnionych należy odebrać oświadczenia o zachowaniu danych w poufności. Wskazane oświadczenia powinny również zawierać zobowiązanie o zachowaniu w poufności sposób zabezpieczenia danych osobowych.

Administrator bezpieczeństwa informacji

Do ostatnich elementów związanych z przestrzeganiem zasady bezpieczeństwa przetwarzanych danych możemy zaliczyć powołanie administratora bezpieczeństwa informacji oraz przeprowadzenie szkoleń dla osób upoważnionych. Nie są to obligatoryjne elementy związane z przestrzeganiem zasady bezpieczeństwa, jednak bez wątpienia wpływają na podniesienie jego poziomu.

Konsekwencje

Przestępstwo wynikające z naruszenia zasady bezpieczeństwa jest przestępstwem bez skutkowym, tzn. aby do niego doszło nie musi powstać skutek w postaci udostępnienia danych osobie nieupoważnionej.

Za naruszenie zasady bezpieczeństwa grozi kara grzywny, ograniczenia wolności lub pozbawianie wolności do lat 2.

Autor: Piotr Janiszewski ochrona danych w placówce medycznej

Nie masz jeszcze konta?

Zamów pełny dostęp do portalu


SPRAWDŹ OFERTĘ

Chcesz przetestować nasze usługi?

Załóż konto testowe na 24 godziny


ZAŁÓŻ KONTO TESTOWE NA 24 GODZINY

Pełny dostęp do portalu to:

  • Aktualność tematów
  • Szeroki zasób informacji eksperckich
  • Porady ekspertów za pośrednictwem e-maila
  • Gotowe rozwiązania najistotniejszych problemów
Sprawdź »