Ochrona danych

medycznych według

najnowszych przepisów

25 praktycznych porad

O

ch

ro

na dan

yc

h m

ed

yc

zn

yc

h w
ed

łu

g na

jn

o

w

sz

yc

h p
rz

ep

is

ó

w

UOV13

Praca zbiorowa pod redakcją Mariusza Jendry

Cena: 69 zł

Praca zbiorowa pod redakcją Mariusza Jendry

Ochrona danych

medycznych według

najnowszych przepisów

25 PRAKTYCZNYCH PORAD

2

Publikacja „Ochrona danych medycznych według najnowszych przepisów. 25 praktycznych porad”

to zbiór najbardziej aktualnych odpowiedzi na problemy pojawiające się przy przetwarzaniu danych osobo­

wych pacjentów w szpitalach i innych placówkach medycznych. W systemach ochrony danych w każdej

jednostce, w związku z uruchomieniem od połowy przyszłego roku elektronicznej wymiany dokumentów

medycznych, będą musiały zostać uwzględnione nowe, specjalne procedury. Muszą one zabezpieczać pla­

cówki przed masowym wyciekiem danych, przetwarzanych w ich wewnętrznych systemach informatycz­

nych. Sektor zdrowia będzie musiał przygotować się na nieznane dotychczas zagrożenia związane z ata­

kami hakerskimi. Przetwarzanie dokumentacji w formie papierowej do tej pory wykluczało powstanie

tego zjawiska. Publikacja zawiera 23 praktyczne porady oraz 2 przydatne wzory dokumentów.
Wybór na podstawie tekstów: Piotra Glen, Doroty Kaczmarczyk, Anny Zubkowskiej, Łukasza Siudaka,

Krzysztofa Nyczaja, Pawła Piecucha, Jolanty Ziętek­Vargi, Jakuba Jurasza, Elizy Gossy, Pauliny Wójcik­

­Lulki, Agnieszki Sieńko, Tomasza Ozga, Mariusza Jendry.
Konsultacja merytoryczna

Piotr Glen
Redaktor naczelna grupy wydawniczej

Aldona Kapica
Wydawca

Alina Sulgostowska
Redaktor prowadzący

Mariusz Jendra
Korekta

Zespół
Koordynator produkcji

Katarzyna Kopeć
Skład i łamanie

Dariusz Ziach
Druk

Miller
Źródła foto:

okładka – www.fotolia.pl
ISBN 978­83­269­2784­3
Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o.

Warszawa 2014
Wydawnictwo Wiedza i Praktyka sp. z o.o.

ul. Łotewska 9a, 03­918 Warszawa

tel. 22 518 29 29, faks 22 617 60 10, e­mail: cok@wip.pl
NIP: 526­19­92­256, KRS: 0000098264 – Sąd rejonowy dla m.st. Warszawy w Warszawie,

XIII Wydział Gospodarczy Krajowego Rejestru Sądowego,
Wysokość kapitału zakładowego 200.000 zł 

3

SPIS TREŚCI

ROZDZIAŁ 1. PRZETWARZANIE DANYCH OSOBOWYCH I DANYCH

MEDYCZNYCH ..............................................................................................................................5
I. Przeszkolenie, nadanie uprawnień i zobowiązanie do zachowania tajemnicy ........................5
II. Dostęp osób upoważnionych oraz innych podmiotów do dokumentacji medycznej .......9
III. Udostępnianie dokumentacji placówkom współpracującym ............................................10
IV. Po zmianie lekarza – przekazanie danych innemu podmiotowi ........................................12
V. Dostęp do dokumentacji przez prezesa placówki niebędącego lekarzem ..........................15

ROZDZIAŁ 2. ODPOWIEDZIALNOŚĆ PRAWNA ZA BEZPIECZEŃSTWO

DANYCH ........................................................................................................................................18
I. Zakres odpowiedzialności lekarza i kierownika podmiotu za dokumentację

medyczną .........................................................................................................................................18
II. Konsekwencje nieprawidłowego przetwarzania danych osobowych .................................20
III. Kontrola baz danych medycznych .........................................................................................21
IV. Narzędzia służące do unikania błędów przy przetwarzaniu informacji wrażliwych.......22

ROZDZIAŁ 3. BEZPIECZEŃSTWO INFORMACJI A ELEKTRONICZNA

DOKUMENTACJA MEDYCZNA ..............................................................................................25
I. Kiedy plik zawierający dane medyczne staje się dokumentem elektronicznym .................25
II. Wymogi dla systemu teleinformatycznego służącego do zarządzania dokumentami

medycznymi ....................................................................................................................................26
III. Anonimizacja, pseudonimizacja i separacja – sposoby na zapewnienie

bezpieczeństwa danych medycznych ...........................................................................................28
IV. Przepisy ustawowe i polskie normy dotyczące bezpieczeństwa danych ...........................33
V. Identyfikacja pacjentów, zabezpieczenie sieci i procedury chroniące

przed wyciekiem danych ...............................................................................................................37

Ochrona danych medycznych według najnowszych przepisów

4

VI. Zastosowanie norm ISO, zabezpieczenie pomieszczeń oraz likwidacja

nośników danych ............................................................................................................................40
VII. Szyfrowanie tożsamości i danych medycznych pacjentów na opaskach szpitalnych ....43
VIII. Standaryzacja sposobu identyfikacji lekarza, pacjenta i skierowania ............................46
IX. Procedury wewnętrzne chroniące placówkę przed utratą danych ....................................49

ROZDZIAŁ 4. OUTSOURCING PRZETWARZANIA DANYCH
ORAZ CLOUD COMPUTING W OCHRONIE ZDROWIA ...............................................54
I. Modele Cloud Computing a bezpieczeństwo danych w placówce medycznej ...................54
II. Szyfrowanie zabezpieczy dane przy zleceniu ich przetwarzania firmie zewnętrznej .......57
III. Zlecenie przetwarzania danych nie zwalnia od odpowiedzialności ..................................59

ROZDZIAŁ 5. POLITYKA BEZPIECZEŃSTWA INFORMACJI I INSTRUKCJA

ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM .........................................................64
I. Polityka bezpieczeństwa informacji podstawowym dokumentem określającym

sposoby zabezpieczania danych w placówce ..............................................................................64
II. Instrukcja zarządzania systemem informatycznym .............................................................67

PODSTAWA PRAWNA ...............................................................................................................79
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych ....................................................79

5

ROZDZIAŁ 1.

PRZETWARZANIE DANYCH OSOBOWYCH

I DANYCH MEDYCZNYCH

I. Przeszkolenie, nadanie uprawnień i zobowiązanie

do zachowania tajemnicy

Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby

przeszkolone, zobowiązane do zachowania tajemnicy. Przetwarzaniem nazywa­

my jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbie­

ranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostęp­

nianie i usuwanie. Oznacza to, że przetwarzaniem jest już samo przeglądanie

danych. Takie rozumienie przetwarzania danych wynika z ustawy z 29 sierpnia

1997 r. o ochronie danych osobowych.

Za przetwarzanie danych bez upoważnienia grozi z reguły grzywna, a w przy­

padku notorycznego łamania przepisów – nawet do dwóch lat więzienia (art. 49

ustawy o ochronie danych osobowych). Administrator zbioru danych (właściciel

placówki, prezes), który umożliwia dostęp do nich osobom nieupoważnionym

albo nie zabezpiecza ich odpowiednio, również może być pociągnięty do odpo­

wiedzialności (szerzej o odpowiedzialności w rozdziale 2).

Najlepszym sposobem na zabezpieczenie się przed nieprawidłowym przetwarza­

niem danych są szkolenia dla pracowników. Przepisy wspomnianej ustawy nie

precyzują trybu i częstotliwości organizowania takich kursów. Jednak to w inte­

resie administratora danych (właściciela placówki) jest poinformowanie wszyst­

kich pracowników o obowiązujących przepisach. Administrator danych odpo­

wiedzialny jest też za późniejsze kontrolowanie sposobu przetwarzania danych

i w razie potrzeby skorygowanie błędów. Warto więc żeby szkolenia takie odby­

wały się regularnie, w zależności od zauważonych potrzeb. Stałe edukowanie

użytkowników jest podstawowym sposobem na zminimalizowanie ryzyka wy­

cieku informacji wrażliwych z systemów informatycznych.

Ochrona danych medycznych według najnowszych przepisów

6

Jak rozróżnić administratorów w placówce?
W podmiocie medycznym zazwyczaj występuje trzech różnych administrato­

rów odpowiedzialnych za przetwarzanie danych:

▶ Administrator danych – organ, jednostka organizacyjna, podmiot lub osoba

decydująca o celach i środkach przetwarzania danych, np. szpital lub przy­

chodnia reprezentowana przez właściciela (dyrektora, prezesa itd.).

▶ Administrator bezpieczeństwa informacji (ABI) – osoba wyznaczona przez

administratora danych, nadzorująca przestrzeganie zasad ochrony prze­

twarzanych danych osobowych i informacji chronionych prawem.

▶ Administrator systemu informatycznego (ASI) – informatyk wyznaczony

przez administratora danych, odpowiedzialny za poprawne funkcjonowanie

sprzętu, oprogramowania i jego konserwację, za techniczno­organizacyjną

obsługę systemu teleinformatycznego.

Za organizację szkoleń powinien odpowiadać (wyznaczony przez administratora

danych) administrator bezpieczeństwa informacji (ABI). Może je prowadzić samo­

dzielnie lub też korzystać z pomocy specjalistów – praktyków w konkretnych

zagadnieniach. Dopuszczalne jest również wysyłanie kierowników działów na

szkolenia i konferencje otwarte. Muszą oni jednak później samodzielnie prze­

szkolić z tego zakresu swoich pracowników.

Nieodzowne są natomiast szkolenia stanowiskowe, czyli przy komputerze użyt­

kownika, przeprowadzane przez informatyka – administratora systemu infor­

matycznego (ASI). Informatyk, na komputerze obsługiwanym na co dzień przez

pracownika, powinien pokazać, jak w praktyce chronić dane m.in. poprzez system

logowania i cyklicznych zmian haseł. Każdy użytkownik systemu informatycz­

nego przetwarzającego dane osobowe powinien mieć umiejętność bezpiecznej

obsługi komputera oraz posiadać dobrą znajomość oprogramowania systemo­

wego i operacyjnego, z którego będzie korzystał. Liczy się przede wszystkim

praktyczna wiedza i umiejętność jej stosowania.

Dowodem na przeszkolenie pracownika jest podpisana lista obecności ze szkolenia

oraz pisemne oświadczenie pracownika o tym, że został zaznajomiony z zasadami

ochrony danych osobowych.

Nadanie uprawnień do przetwarzania informacji
Po odbyciu przeszkolenia pracownicy powinni otrzymać upoważnienia do prze­

twarzania danych. Muszą je dostać wszystkie osoby zatrudnione przy przetwa­

Ochrona danych

medycznych według

najnowszych przepisów

25 praktycznych porad

O

ch

ro

na dan

yc

h m

ed

yc

zn

yc

h w
ed

łu

g na

jn

o

w

sz

yc

h p
rz

ep

is

ó

w

UOV13

Praca zbiorowa pod redakcją Mariusza Jendry

Cena: 69 zł