ochrona danych medycznych

background image

Ochrona danych

medycznych według

najnowszych przepisów

25 praktycznych porad

O

ch

ro

na dan

yc

h m

ed

yc

zn

yc

h w
ed

łu

g na

jn

o

w

sz

yc

h p
rz

ep

is

ó

w

UOV13

Praca zbiorowa pod redakcją Mariusza Jendry

Cena: 69 zł

background image

Praca zbiorowa pod redakcją Mariusza Jendry

Ochrona danych

medycznych według

najnowszych przepisów

25 PRAKTYCZNYCH PORAD

background image

2

Publikacja „Ochrona danych medycznych według najnowszych przepisów. 25 praktycznych porad”

to zbiór najbardziej aktualnych odpowiedzi na problemy pojawiające się przy przetwarzaniu danych osobo­

wych pacjentów w szpitalach i innych placówkach medycznych. W systemach ochrony danych w każdej

jednostce, w związku z uruchomieniem od połowy przyszłego roku elektronicznej wymiany dokumentów

medycznych, będą musiały zostać uwzględnione nowe, specjalne procedury. Muszą one zabezpieczać pla­

cówki przed masowym wyciekiem danych, przetwarzanych w ich wewnętrznych systemach informatycz­

nych. Sektor zdrowia będzie musiał przygotować się na nieznane dotychczas zagrożenia związane z ata­

kami hakerskimi. Przetwarzanie dokumentacji w formie papierowej do tej pory wykluczało powstanie

tego zjawiska. Publikacja zawiera 23 praktyczne porady oraz 2 przydatne wzory dokumentów.
Wybór na podstawie tekstów: Piotra Glen, Doroty Kaczmarczyk, Anny Zubkowskiej, Łukasza Siudaka,

Krzysztofa Nyczaja, Pawła Piecucha, Jolanty Ziętek­Vargi, Jakuba Jurasza, Elizy Gossy, Pauliny Wójcik­

­Lulki, Agnieszki Sieńko, Tomasza Ozga, Mariusza Jendry.
Konsultacja merytoryczna

Piotr Glen
Redaktor naczelna grupy wydawniczej

Aldona Kapica
Wydawca

Alina Sulgostowska
Redaktor prowadzący

Mariusz Jendra
Korekta

Zespół
Koordynator produkcji

Katarzyna Kopeć
Skład i łamanie

Dariusz Ziach
Druk

Miller
Źródła foto:

okładka – www.fotolia.pl
ISBN 978­83­269­2784­3
Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o.

Warszawa 2014
Wydawnictwo Wiedza i Praktyka sp. z o.o.

ul. Łotewska 9a, 03­918 Warszawa

tel. 22 518 29 29, faks 22 617 60 10, e­mail: cok@wip.pl
NIP: 526­19­92­256, KRS: 0000098264 – Sąd rejonowy dla m.st. Warszawy w Warszawie,

XIII Wydział Gospodarczy Krajowego Rejestru Sądowego,
Wysokość kapitału zakładowego 200.000 zł 

background image

3

SPIS TREŚCI

ROZDZIAŁ 1. PRZETWARZANIE DANYCH OSOBOWYCH I DANYCH

MEDYCZNYCH ..............................................................................................................................5
I. Przeszkolenie, nadanie uprawnień i zobowiązanie do zachowania tajemnicy ........................5
II. Dostęp osób upoważnionych oraz innych podmiotów do dokumentacji medycznej .......9
III. Udostępnianie dokumentacji placówkom współpracującym ............................................10
IV. Po zmianie lekarza – przekazanie danych innemu podmiotowi ........................................12
V. Dostęp do dokumentacji przez prezesa placówki niebędącego lekarzem ..........................15

ROZDZIAŁ 2. ODPOWIEDZIALNOŚĆ PRAWNA ZA BEZPIECZEŃSTWO

DANYCH ........................................................................................................................................18
I. Zakres odpowiedzialności lekarza i kierownika podmiotu za dokumentację

medyczną .........................................................................................................................................18
II. Konsekwencje nieprawidłowego przetwarzania danych osobowych .................................20
III. Kontrola baz danych medycznych .........................................................................................21
IV. Narzędzia służące do unikania błędów przy przetwarzaniu informacji wrażliwych.......22

ROZDZIAŁ 3. BEZPIECZEŃSTWO INFORMACJI A ELEKTRONICZNA

DOKUMENTACJA MEDYCZNA ..............................................................................................25
I. Kiedy plik zawierający dane medyczne staje się dokumentem elektronicznym .................25
II. Wymogi dla systemu teleinformatycznego służącego do zarządzania dokumentami

medycznymi ....................................................................................................................................26
III. Anonimizacja, pseudonimizacja i separacja – sposoby na zapewnienie

bezpieczeństwa danych medycznych ...........................................................................................28
IV. Przepisy ustawowe i polskie normy dotyczące bezpieczeństwa danych ...........................33
V. Identyfikacja pacjentów, zabezpieczenie sieci i procedury chroniące

przed wyciekiem danych ...............................................................................................................37

background image

Ochrona danych medycznych według najnowszych przepisów

4

VI. Zastosowanie norm ISO, zabezpieczenie pomieszczeń oraz likwidacja

nośników danych ............................................................................................................................40
VII. Szyfrowanie tożsamości i danych medycznych pacjentów na opaskach szpitalnych ....43
VIII. Standaryzacja sposobu identyfikacji lekarza, pacjenta i skierowania ............................46
IX. Procedury wewnętrzne chroniące placówkę przed utratą danych ....................................49

ROZDZIAŁ 4. OUTSOURCING PRZETWARZANIA DANYCH
ORAZ CLOUD COMPUTING W OCHRONIE ZDROWIA
...............................................54
I. Modele Cloud Computing a bezpieczeństwo danych w placówce medycznej ...................54
II. Szyfrowanie zabezpieczy dane przy zleceniu ich przetwarzania firmie zewnętrznej .......57
III. Zlecenie przetwarzania danych nie zwalnia od odpowiedzialności ..................................59

ROZDZIAŁ 5. POLITYKA BEZPIECZEŃSTWA INFORMACJI I INSTRUKCJA

ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM .........................................................64
I. Polityka bezpieczeństwa informacji podstawowym dokumentem określającym

sposoby zabezpieczania danych w placówce ..............................................................................64
II. Instrukcja zarządzania systemem informatycznym .............................................................67

PODSTAWA PRAWNA ...............................................................................................................79
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych ....................................................79

background image

5

ROZDZIAŁ 1.

PRZETWARZANIE DANYCH OSOBOWYCH

I DANYCH MEDYCZNYCH

I. Przeszkolenie, nadanie uprawnień i zobowiązanie

do zachowania tajemnicy

Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby

przeszkolone, zobowiązane do zachowania tajemnicy. Przetwarzaniem nazywa­

my jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbie­

ranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostęp­

nianie i usuwanie. Oznacza to, że przetwarzaniem jest już samo przeglądanie

danych. Takie rozumienie przetwarzania danych wynika z ustawy z 29 sierpnia

1997 r. o ochronie danych osobowych.

Za przetwarzanie danych bez upoważnienia grozi z reguły grzywna, a w przy­

padku notorycznego łamania przepisów – nawet do dwóch lat więzienia (art. 49

ustawy o ochronie danych osobowych). Administrator zbioru danych (właściciel

placówki, prezes), który umożliwia dostęp do nich osobom nieupoważnionym

albo nie zabezpiecza ich odpowiednio, również może być pociągnięty do odpo­

wiedzialności (szerzej o odpowiedzialności w rozdziale 2).

Najlepszym sposobem na zabezpieczenie się przed nieprawidłowym przetwarza­

niem danych są szkolenia dla pracowników. Przepisy wspomnianej ustawy nie

precyzują trybu i częstotliwości organizowania takich kursów. Jednak to w inte­

resie administratora danych (właściciela placówki) jest poinformowanie wszyst­

kich pracowników o obowiązujących przepisach. Administrator danych odpo­

wiedzialny jest też za późniejsze kontrolowanie sposobu przetwarzania danych

i w razie potrzeby skorygowanie błędów. Warto więc żeby szkolenia takie odby­

wały się regularnie, w zależności od zauważonych potrzeb. Stałe edukowanie

użytkowników jest podstawowym sposobem na zminimalizowanie ryzyka wy­

cieku informacji wrażliwych z systemów informatycznych.

background image

Ochrona danych medycznych według najnowszych przepisów

6

Jak rozróżnić administratorów w placówce?
W podmiocie medycznym zazwyczaj występuje trzech różnych administrato­

rów odpowiedzialnych za przetwarzanie danych:

Administrator danych – organ, jednostka organizacyjna, podmiot lub osoba

decydująca o celach i środkach przetwarzania danych, np. szpital lub przy­

chodnia reprezentowana przez właściciela (dyrektora, prezesa itd.).

Administrator bezpieczeństwa informacji (ABI) – osoba wyznaczona przez

administratora danych, nadzorująca przestrzeganie zasad ochrony prze­

twarzanych danych osobowych i informacji chronionych prawem.

Administrator systemu informatycznego (ASI) – informatyk wyznaczony

przez administratora danych, odpowiedzialny za poprawne funkcjonowanie

sprzętu, oprogramowania i jego konserwację, za techniczno­organizacyjną

obsługę systemu teleinformatycznego.

Za organizację szkoleń powinien odpowiadać (wyznaczony przez administratora

danych) administrator bezpieczeństwa informacji (ABI). Może je prowadzić samo­

dzielnie lub też korzystać z pomocy specjalistów – praktyków w konkretnych

zagadnieniach. Dopuszczalne jest również wysyłanie kierowników działów na

szkolenia i konferencje otwarte. Muszą oni jednak później samodzielnie prze­

szkolić z tego zakresu swoich pracowników.

Nieodzowne są natomiast szkolenia stanowiskowe, czyli przy komputerze użyt­

kownika, przeprowadzane przez informatyka – administratora systemu infor­

matycznego (ASI). Informatyk, na komputerze obsługiwanym na co dzień przez

pracownika, powinien pokazać, jak w praktyce chronić dane m.in. poprzez system

logowania i cyklicznych zmian haseł. Każdy użytkownik systemu informatycz­

nego przetwarzającego dane osobowe powinien mieć umiejętność bezpiecznej

obsługi komputera oraz posiadać dobrą znajomość oprogramowania systemo­

wego i operacyjnego, z którego będzie korzystał. Liczy się przede wszystkim

praktyczna wiedza i umiejętność jej stosowania.

Dowodem na przeszkolenie pracownika jest podpisana lista obecności ze szkolenia

oraz pisemne oświadczenie pracownika o tym, że został zaznajomiony z zasadami

ochrony danych osobowych.

Nadanie uprawnień do przetwarzania informacji
Po odbyciu przeszkolenia pracownicy powinni otrzymać upoważnienia do prze­

twarzania danych. Muszą je dostać wszystkie osoby zatrudnione przy przetwa­

background image

Przetwarzanie danych osobowych i danych medycznych

7

rzaniu informacji osobowych, ale również praktykanci i stażyści. Upoważnienie

powinno zawierać informacje, jakie uprawnienia ma dana osoba i w jakim zakre­

sie uprawniona jest do przetwarzania danych.

Wzór upoważnienia do przetwarzania danych osobowych

Data nadania upoważnienia: .....................................

Upoważnienie do przetwarzania danych osobowych

1. Upoważniam Panią/Pana ...................................................................................

(imię i nazwisko upoważnianego)

zatrudnioną/­ego na stanowisku .......................................................................

w ............................................................................................................................

(nazwa administratora – pracodawcy)

do dostępu do następujących danych osobowych:

– ............................................................................................................................

– ............................................................................................................................

– ............................................................................................................................

(zakres upoważnienia: wskazanie kategorii danych, które może

przetwarzać określona w upoważnieniu osoba, lub rodzaj czynności

lub operacji, jakich może dokonywać na danych osobowych)

2. Identyfikator: .......................................................................................................

(wypełnia się w przypadku, gdy dane przetwarzane są w systemie informatycznym)

3. Okres trwania upoważnienia: ............................................................................

(okres obowiązywania upoważnienia)

Wystawił: ..............................................................................................................

(podpis administratora lub osoby reprezentującej administratora)

4. Osoba upoważniona do przetwarzania danych, objętych zakresem, o którym

mowa wyżej, jest zobowiązana do zachowania ich w tajemnicy, również po

ustaniu zatrudnienia oraz zachowania w tajemnicy informacji o ich zabez­

pieczeniu.

Data i podpis osoby upoważnionej: .......................................................................

background image

Ochrona danych medycznych według najnowszych przepisów

8

W przepisach ustawy o ochronie danych osobowych ani w rozporządzeniach

wykonawczych nie określono wzoru upoważnienia. Każdy administrator danych

powinien wypracować odpowiedni dla siebie, jak również przystający do organi­

zacji jednostki, formularz nadawania uprawnień. Taka procedura powinna być

opisana w polityce bezpieczeństwa informacji lub instrukcji zarządzania syste­

mem informatycznym.

Do przetwarzania jakich danych upoważniona jest rejestratorka?
W przypadku recepcjonistek i rejestratorek, jako pracowników wykonujących

zawód niemedyczny, upoważnienie do przetwarzania danych może zawierać

uprawnienia do wglądu, wprowadzania, nanoszenia zmian (modyfikowania),

ewentualnie przekazywania danych osobowych, z ograniczonym dostępem

do historii choroby.

Upoważnienie powinno zobowiązywać pracownika do dołożenia szczególnej

staranności w celu ochrony interesów osób, których dane dotyczą. Dlatego na

stanowiskach, na których przetwarzane są dane osobowe, muszą je mieć wszyscy

pracownicy. Dotyczy to nie tylko lekarzy, ale też osób niewykonujących zawo­

dów medycznych, np. recepcjonistek, sekretarek, informatyków.

Kolejnym obowiązkiem pracodawcy jest prowadzenie ewidencji osób, które

mają upoważnienia do przetwarzania danych. Wynika tak z art. 39 ustawy

o ochronie danych osobowych. Ewidencja  musi zawierać imiona i  nazwiska

wszystkich upoważnionych przez administratora do wykorzystywania danych

osobowych, daty nadania i ustania upoważnienia oraz jego zakres. Jeżeli dane

przetwarzane są w sieci komputerowej, ewidencja powinna również obejmować

identyfikatory osób (np. pierwsza litera imienia i nazwisko) dopuszczonych do

przetwarzania danych.

Zobowiązanie do zachowania tajemnicy
Bardzo ważne jest zobowiązanie do zachowania tajemnicy danych osobowych.

Przy przetwarzaniu danych osobowych znaczenie ma nie tylko tajemnica lekarska.

Tajemnica danych osobowych zobowiązuje (również lekarzy) do beztermino­

wego zachowania poufności przetwarzanych danych osobowych, a także spo­

sobów ich zabezpieczenia. Należy przy tym pamiętać, że dane osobowe należy

rozumieć jako wszelkie informacje dotyczące możliwej do zidentyfikowania osoby

background image

Przetwarzanie danych osobowych i danych medycznych

9

fizycznej. Pojęcie to obejmuje więc również numery identyfikacyjne (np. NIP,

RESEL) czy specyficzne czynniki określające cechy fizyczne, fizjologiczne, umy­

słowe, ekonomiczne, kulturowe lub społeczne (np. nietypowy wzrost, specyficzny

kształt uszu, pochodzenie z innego kraju). Takich szeroko rozumianych danych

osobowych nigdy nie wolno ujawniać publicznie. Dokumentacja medyczna

chroniona jest szczególnym reżimem prawnym (wynikającym z art. 40 ustawy

5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty), ale i dane osobowe nie

mogą być udostępnione osobom nieupoważnionym, zabrane przez osobę nie­

uprawnioną, utracone, uszkodzone lub zniszczone.


II. Dostęp osób upoważnionych oraz innych podmiotów

do dokumentacji medycznej

Osobami, którym podmiot udzielający świadczeń zdrowotnych udostępnia do­

kumentację medyczną, są przede wszystkim: przedstawiciel ustawowy pacjenta

lub osoba przez niego upoważniona. Pacjent może wskazać dowolną liczbę osób,

które upoważnia do wglądu do swojej dokumentacji medycznej. W przypadku

śmierci pacjenta, w myśl przepisów ustawy z 6 listopada 2008 r. o prawach pa­

cjenta i Rzeczniku Praw Pacjenta, prawo wglądu do dokumentacji medycznej ma

tylko osoba upoważniona przez niego w tym celu za życia. Zatem krąg osób upo­

ważnionych do wglądu do dokumentacji medycznej nie może zostać rozszerzony

po śmierci pacjenta.

Należy zatem pamiętać, że wbrew powszechnej opinii pokrewieństwo nie

daje prawa do uzyskania dostępu do dokumentacji medycznej. Konieczne jest

posiadanie upoważnienia, nawet jeśli o wgląd do dokumentacji ubiegają się

bliscy zmarłego pacjenta.

Kto z urzędu ma prawo wglądu do dokumentacji medycznej?
Poza osobami upoważnionymi przez pacjenta wgląd do jego dokumentacji, na

podstawie art. 26 ust. 3 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta,

przysługuje także:

podmiotom udzielającym świadczeń zdrowotnych, jeżeli dokumentacja ta

jest niezbędna do zapewnienia ciągłości tych świadczeń,

organom władzy publicznej, Narodowemu Funduszowi Zdrowia, organom

samorządów medycznych oraz konsultantom krajowym i wojewódzkim –

background image

Ochrona danych medycznych według najnowszych przepisów

10

w zakresie niezbędnym do wykonywania przez te podmioty ich zadań,

przede wszystkim kontroli i nadzoru,

wojewodom, konsultantom krajowym, jednostkom organizacyjnym pod­

ległym właściwemu ministrowi lub przez niego nadzorowanym, organom

samorządów zawodów medycznych, medycznym towarzystwom naukowym,

uczelniom medycznym, instytutom badawczym, specjalistom z poszcze­

gólnych dziedzin medycyny – w zakresie niezbędnym do przeprowadzenia

kontroli na zlecenie ministra właściwego do spraw zdrowia,

ministrowi właściwemu do spraw zdrowia, sądom, w tym sądom dyscypli­

narnym, prokuratorom, lekarzom sądowym i rzecznikom odpowiedzial­

ności zawodowej – w związku z prowadzonym postępowaniem,

organom i instytucjom uprawnionym do tego na mocy innych ustaw, jeżeli

badanie zostało przeprowadzone na ich wniosek,

organom rentowym oraz zespołom do spraw orzekania o niepełnospraw­

ności – w związku z prowadzonym przez nie postępowaniem,

podmiotom prowadzącym rejestry usług medycznych – w zakresie nie­

zbędnym do prowadzenia rejestrów,

zakładom ubezpieczeń, ale tylko za zgodą pacjenta,

lekarzowi, pielęgniarce lub położnej – w związku z prowadzeniem proce­

dury oceniającej podmiot udzielający świadczeń zdrowotnych na podsta­

wie przepisów o akredytacji w ochronie zdrowia, w zakresie niezbędnym

do jej przeprowadzenia,

szkole wyższej lub instytutowi badawczemu do wykorzystania w celach na­

ukowych, ale bez ujawnienia nazwiska i innych danych umożliwiających

identyfikację osoby, której dotyczy dokumentacja,

wojewódzkiej komisji do spraw orzekania o zdarzeniach medycznych –

w zakresie prowadzonego postępowania,

spadkobiercom w zakresie prowadzonego postępowania przed wojewódzką

komisją do spraw orzekania o zdarzeniach medycznych,

osobom wykonującym czynności kontrolne na zlecenie ministra właściwego

do spraw zdrowia, w zakresie niezbędnym do ich przeprowadzenia.

Na liście tej nie ma osób ubiegających się o uzyskanie uprawnień do wykonywa­

nia zawodów medycznych. Można im więc udostępnić dokumentację medyczną,

tylko jeśli dane umożliwiające identyfikację pacjenta zostaną utajnione.


Wyszukiwarka

Podobne podstrony:
Ochrona danych medycznych wedlug najnowszych przepisow 25 praktycznych porad
Ochrona danych medycznych i osobowych pacjentow
Ochrona danych medycznych i osobowych pacjentów
Ochrona danych medycznych wedlug najnowszych przepisow 25 praktycznych porad
BLD ochrona danych osobowych VI ppt
GIODO, abi-ochrona danych osobowych
Ochrona prywatności w połączonym świecie – europejskie ramy ochrony danych w XXI wieku
Ochrona danych osobowych a bezpieczeństwo informacji, Studia, Ochrona własności intelektualnej
Administracyjnoprawna ochrona danych osobowych
ochrona danych osobowych adm pol
BLD ochrona danych osobowych II ppt
Obowiazujacy tekst ustawy Ustawa z dnia 29 sierpnia 1997 r o ochronie danych 2
Ochrona danych osobowych po now Nieznany
kołaczek,bezpieczeństwo i ochrona danych, metody progowe
Ochrona danych osobowych prezentacja

więcej podobnych podstron