Jak się przygotować do wymogów unijnego rozporządzenia dotyczącego ochrony danych osobowych

Rok 2018 będzie przełomowy pod względem zmian dla placówek medycznych. Oprócz obowiązku wprowadzenia elektronicznej dokumentacji medycznej będą one zobowiązane do stosowania przepisów ogólnego rozporządzenia w sprawie ochrony danych osobowych. Rewolucja, która nastąpi w najbliższym czasie, będzie wymagała od kadry zarządzającej placówek medycznych zaangażowania wszelkich dostępnych środków techniczno–organizacyjnych. Wszystko po to, aby sprostać wymaganiom stawianym przez nową regulację. Elementem mobilizującym do działania mogą być wysokie kary pieniężne sięgające do 20 mln euro za niewłaściwe traktowanie danych medycznych i sposobów ich zabezpieczenia.

Zyskaj darmowy dostęp do portalu serwiszoz.pl. Gwarantujemy, że znajdziesz na nim odpowiedzi na nurtujące Cię pytania! Nic za to nie zapłacisz. Zarejestruj się. To zajmie tylko 15 sekund!>>

Żeby - zgodnie z art. 32 unijnego rozporządzenia - zapewnić realizację zasady bezpieczeństwa przetwarzania danych medycznych, pracownicy ochrony zdrowia będą musieli podjąć wiele działań.

Są to między innymi:

Stosowanie pseudonimizacji i szyfrowania danych osobowych – placówki medyczne powinny wdrożyć rozwiązania techniczne, które będą pozwalać na szyfrowanie załączników zawierających dane osobowe przesyłanych przez sieć publiczną oraz treści wiadomości, o ile zawiera dane osobowe. Postulat stosowania środków kryptograficznych pozwoli na uniknięcie sytuacji, w której dane medyczne pacjenta (np. wyniki badań) udostępnimy osobie nieupoważnionej, chociażby przez wpisanie błędnego adresu e–mail. Dobrym rozwiązaniem w takiej sytuacji będzie przygotowanie i wdrożenie przez placówki medyczne odpowiedniej formalnej procedury udostępniania za pośrednictwem środków komunikacji elektronicznej tych danych.

Zapewnienie poufności, integralności, dostępności i odporności systemów i usług przetwarzania danych medycznych:

• zachowanie poufności oznacza, że nie udostępnimy lub nie ujawnimy osobom nieuprawnionym danych osobowych przetwarzanych w systemach informatycznych – zasada ta wiąże się m.in. z tym, że dostęp do danych pacjentów powinny mieć wyłącznie osoby, którym nadano upoważnienia do przetwarzania danych osobowych i odebrano od nich stosowne oświadczenia o zachowaniu danych w poufności (wzory tych dokumentów pobierzesz po zalogowaniu ze strony dokmed24.pl, zakładka Wzory dokumentów/Ochrona danych),
• integralność polega natomiast na zapewnieniu, że nie zmienimy lub nie zniszczymy w taki sposób, że nie da się m.in. z łatwością określić tożsamości osoby wprowadzającej zmiany, danych pacjentów – złą praktyką w tym zakresie jest chociażby prowadzenie zestawień zawierających dane osobowe pacjentów w formie tabeli programu Microsoft Excel,
• oprócz wymienionych elementów system służący do przetwarzania danych o pacjentach powinien charakteryzować się dostępnością i odpornością na nieupoważnione ingerencje.

Zapewnienie szybkiego przywrócenia dostępności do danych osobowych i dostępu do nich w razie wystąpienia incydentu – zdolność ta w dużej mierze wiąże się z koniecznością wdrożenia formalnych procedur - procedury postępowania w sytuacjach awaryjnych i informowania o wystąpieniu incydentu godzącego w bezpieczeństwo przetwarzanych danych osobowych. Te procedury powinny określać m.in.

• osoby, które należy poinformować w razie wystąpienia incydentu,
• czynności, jakie należy niezwłocznie podjąć w celu zminimalizowania negatywnych skutków,
• konsekwencje naruszenia ochrony danych medycznych,
• jakie działania prewencyjne należy podjąć, aby zmniejszyć ryzyko wystąpienia incydentów godzących w bezpieczeństwo przetwarzanych danych w przyszłości.

Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych, które zapewniają bezpieczeństwo przetwarzania danych – w tym przypadku kluczowa może okazać się rola inspektora ochrony danych osobowych (obecnie administrator bezpieczeństwa informacji). To on zgodnie z rozporządzeniem będzie monitorować przestrzeganie przepisów przez przeprowadzanie audytów powiązanych z oceną zgodności systemów informatycznych. Należy zauważyć, że wymóg permanentnego monitorowania i aktualizacji zastosowanych środków bezpieczeństwa będzie się wiązać z koniecznością stosowania zatwierdzonych kodeksów postępowania bądź poddawania się przez placówki medycznej certyfikacji.

Placówka medyczna jako administrator danych będzie zobowiązana do przygotowania i wdrożenia polityk ochrony danych. Rozporządzenie nie wskazuje na elementy składowe tych dokumentów. Dobrym rozwiązaniem jest włączenie do nich procedur dotyczących przeprowadzania przeglądów i aktualizacji stosowanych środków techniczno–organizacyjnych, które zapewniają bezpieczeństwo przetwarzanych danych.