Ochrona danych
medycznych według
najnowszych przepisów
25 praktycznych porad
O
ch
ro
na dan
yc
h m
ed
yc
zn
yc
h w
ed
łu
g na
jn
o
w
sz
yc
h p
rz
ep
is
ó
w
UOV13
Praca zbiorowa pod redakcją Mariusza Jendry
Cena: 69 zł
Praca zbiorowa pod redakcją Mariusza Jendry
Ochrona danych
medycznych według
najnowszych przepisów
25 PRAKTYCZNYCH PORAD
2
Publikacja „Ochrona danych medycznych według najnowszych przepisów. 25 praktycznych porad”
to zbiór najbardziej aktualnych odpowiedzi na problemy pojawiające się przy przetwarzaniu danych osobo
wych pacjentów w szpitalach i innych placówkach medycznych. W systemach ochrony danych w każdej
jednostce, w związku z uruchomieniem od połowy przyszłego roku elektronicznej wymiany dokumentów
medycznych, będą musiały zostać uwzględnione nowe, specjalne procedury. Muszą one zabezpieczać pla
cówki przed masowym wyciekiem danych, przetwarzanych w ich wewnętrznych systemach informatycz
nych. Sektor zdrowia będzie musiał przygotować się na nieznane dotychczas zagrożenia związane z ata
kami hakerskimi. Przetwarzanie dokumentacji w formie papierowej do tej pory wykluczało powstanie
tego zjawiska. Publikacja zawiera 23 praktyczne porady oraz 2 przydatne wzory dokumentów.
Wybór na podstawie tekstów: Piotra Glen, Doroty Kaczmarczyk, Anny Zubkowskiej, Łukasza Siudaka,
Krzysztofa Nyczaja, Pawła Piecucha, Jolanty ZiętekVargi, Jakuba Jurasza, Elizy Gossy, Pauliny Wójcik
Lulki, Agnieszki Sieńko, Tomasza Ozga, Mariusza Jendry.
Konsultacja merytoryczna
Piotr Glen
Redaktor naczelna grupy wydawniczej
Aldona Kapica
Wydawca
Alina Sulgostowska
Redaktor prowadzący
Mariusz Jendra
Korekta
Zespół
Koordynator produkcji
Katarzyna Kopeć
Skład i łamanie
Dariusz Ziach
Druk
Miller
Źródła foto:
okładka – www.fotolia.pl
ISBN 9788326927843
Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o.
Warszawa 2014
Wydawnictwo Wiedza i Praktyka sp. z o.o.
ul. Łotewska 9a, 03918 Warszawa
tel. 22 518 29 29, faks 22 617 60 10, email: cok@wip.pl
NIP: 5261992256, KRS: 0000098264 – Sąd rejonowy dla m.st. Warszawy w Warszawie,
XIII Wydział Gospodarczy Krajowego Rejestru Sądowego,
Wysokość kapitału zakładowego 200.000 zł
3
SPIS TREŚCI
ROZDZIAŁ 1. PRZETWARZANIE DANYCH OSOBOWYCH I DANYCH
MEDYCZNYCH ..............................................................................................................................5
I. Przeszkolenie, nadanie uprawnień i zobowiązanie do zachowania tajemnicy ........................5
II. Dostęp osób upoważnionych oraz innych podmiotów do dokumentacji medycznej .......9
III. Udostępnianie dokumentacji placówkom współpracującym ............................................10
IV. Po zmianie lekarza – przekazanie danych innemu podmiotowi ........................................12
V. Dostęp do dokumentacji przez prezesa placówki niebędącego lekarzem ..........................15
ROZDZIAŁ 2. ODPOWIEDZIALNOŚĆ PRAWNA ZA BEZPIECZEŃSTWO
DANYCH ........................................................................................................................................18
I. Zakres odpowiedzialności lekarza i kierownika podmiotu za dokumentację
medyczną .........................................................................................................................................18
II. Konsekwencje nieprawidłowego przetwarzania danych osobowych .................................20
III. Kontrola baz danych medycznych .........................................................................................21
IV. Narzędzia służące do unikania błędów przy przetwarzaniu informacji wrażliwych.......22
ROZDZIAŁ 3. BEZPIECZEŃSTWO INFORMACJI A ELEKTRONICZNA
DOKUMENTACJA MEDYCZNA ..............................................................................................25
I. Kiedy plik zawierający dane medyczne staje się dokumentem elektronicznym .................25
II. Wymogi dla systemu teleinformatycznego służącego do zarządzania dokumentami
medycznymi ....................................................................................................................................26
III. Anonimizacja, pseudonimizacja i separacja – sposoby na zapewnienie
bezpieczeństwa danych medycznych ...........................................................................................28
IV. Przepisy ustawowe i polskie normy dotyczące bezpieczeństwa danych ...........................33
V. Identyfikacja pacjentów, zabezpieczenie sieci i procedury chroniące
przed wyciekiem danych ...............................................................................................................37
Ochrona danych medycznych według najnowszych przepisów
4
VI. Zastosowanie norm ISO, zabezpieczenie pomieszczeń oraz likwidacja
nośników danych ............................................................................................................................40
VII. Szyfrowanie tożsamości i danych medycznych pacjentów na opaskach szpitalnych ....43
VIII. Standaryzacja sposobu identyfikacji lekarza, pacjenta i skierowania ............................46
IX. Procedury wewnętrzne chroniące placówkę przed utratą danych ....................................49
ROZDZIAŁ 4. OUTSOURCING PRZETWARZANIA DANYCH
ORAZ CLOUD COMPUTING W OCHRONIE ZDROWIA ...............................................54
I. Modele Cloud Computing a bezpieczeństwo danych w placówce medycznej ...................54
II. Szyfrowanie zabezpieczy dane przy zleceniu ich przetwarzania firmie zewnętrznej .......57
III. Zlecenie przetwarzania danych nie zwalnia od odpowiedzialności ..................................59
ROZDZIAŁ 5. POLITYKA BEZPIECZEŃSTWA INFORMACJI I INSTRUKCJA
ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM .........................................................64
I. Polityka bezpieczeństwa informacji podstawowym dokumentem określającym
sposoby zabezpieczania danych w placówce ..............................................................................64
II. Instrukcja zarządzania systemem informatycznym .............................................................67
PODSTAWA PRAWNA ...............................................................................................................79
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych ....................................................79
5
ROZDZIAŁ 1.
PRZETWARZANIE DANYCH OSOBOWYCH
I DANYCH MEDYCZNYCH
I. Przeszkolenie, nadanie uprawnień i zobowiązanie
do zachowania tajemnicy
Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby
przeszkolone, zobowiązane do zachowania tajemnicy. Przetwarzaniem nazywa
my jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbie
ranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostęp
nianie i usuwanie. Oznacza to, że przetwarzaniem jest już samo przeglądanie
danych. Takie rozumienie przetwarzania danych wynika z ustawy z 29 sierpnia
1997 r. o ochronie danych osobowych.
Za przetwarzanie danych bez upoważnienia grozi z reguły grzywna, a w przy
padku notorycznego łamania przepisów – nawet do dwóch lat więzienia (art. 49
ustawy o ochronie danych osobowych). Administrator zbioru danych (właściciel
placówki, prezes), który umożliwia dostęp do nich osobom nieupoważnionym
albo nie zabezpiecza ich odpowiednio, również może być pociągnięty do odpo
wiedzialności (szerzej o odpowiedzialności w rozdziale 2).
Najlepszym sposobem na zabezpieczenie się przed nieprawidłowym przetwarza
niem danych są szkolenia dla pracowników. Przepisy wspomnianej ustawy nie
precyzują trybu i częstotliwości organizowania takich kursów. Jednak to w inte
resie administratora danych (właściciela placówki) jest poinformowanie wszyst
kich pracowników o obowiązujących przepisach. Administrator danych odpo
wiedzialny jest też za późniejsze kontrolowanie sposobu przetwarzania danych
i w razie potrzeby skorygowanie błędów. Warto więc żeby szkolenia takie odby
wały się regularnie, w zależności od zauważonych potrzeb. Stałe edukowanie
użytkowników jest podstawowym sposobem na zminimalizowanie ryzyka wy
cieku informacji wrażliwych z systemów informatycznych.
Ochrona danych medycznych według najnowszych przepisów
6
Jak rozróżnić administratorów w placówce?
W podmiocie medycznym zazwyczaj występuje trzech różnych administrato
rów odpowiedzialnych za przetwarzanie danych:
▶ Administrator danych – organ, jednostka organizacyjna, podmiot lub osoba
decydująca o celach i środkach przetwarzania danych, np. szpital lub przy
chodnia reprezentowana przez właściciela (dyrektora, prezesa itd.).
▶ Administrator bezpieczeństwa informacji (ABI) – osoba wyznaczona przez
administratora danych, nadzorująca przestrzeganie zasad ochrony prze
twarzanych danych osobowych i informacji chronionych prawem.
▶ Administrator systemu informatycznego (ASI) – informatyk wyznaczony
przez administratora danych, odpowiedzialny za poprawne funkcjonowanie
sprzętu, oprogramowania i jego konserwację, za technicznoorganizacyjną
obsługę systemu teleinformatycznego.
Za organizację szkoleń powinien odpowiadać (wyznaczony przez administratora
danych) administrator bezpieczeństwa informacji (ABI). Może je prowadzić samo
dzielnie lub też korzystać z pomocy specjalistów – praktyków w konkretnych
zagadnieniach. Dopuszczalne jest również wysyłanie kierowników działów na
szkolenia i konferencje otwarte. Muszą oni jednak później samodzielnie prze
szkolić z tego zakresu swoich pracowników.
Nieodzowne są natomiast szkolenia stanowiskowe, czyli przy komputerze użyt
kownika, przeprowadzane przez informatyka – administratora systemu infor
matycznego (ASI). Informatyk, na komputerze obsługiwanym na co dzień przez
pracownika, powinien pokazać, jak w praktyce chronić dane m.in. poprzez system
logowania i cyklicznych zmian haseł. Każdy użytkownik systemu informatycz
nego przetwarzającego dane osobowe powinien mieć umiejętność bezpiecznej
obsługi komputera oraz posiadać dobrą znajomość oprogramowania systemo
wego i operacyjnego, z którego będzie korzystał. Liczy się przede wszystkim
praktyczna wiedza i umiejętność jej stosowania.
Dowodem na przeszkolenie pracownika jest podpisana lista obecności ze szkolenia
oraz pisemne oświadczenie pracownika o tym, że został zaznajomiony z zasadami
ochrony danych osobowych.
Nadanie uprawnień do przetwarzania informacji
Po odbyciu przeszkolenia pracownicy powinni otrzymać upoważnienia do prze
twarzania danych. Muszą je dostać wszystkie osoby zatrudnione przy przetwa
Przetwarzanie danych osobowych i danych medycznych
7
rzaniu informacji osobowych, ale również praktykanci i stażyści. Upoważnienie
powinno zawierać informacje, jakie uprawnienia ma dana osoba i w jakim zakre
sie uprawniona jest do przetwarzania danych.
Wzór upoważnienia do przetwarzania danych osobowych
Data nadania upoważnienia: .....................................
Upoważnienie do przetwarzania danych osobowych
1. Upoważniam Panią/Pana ...................................................................................
(imię i nazwisko upoważnianego)
zatrudnioną/ego na stanowisku .......................................................................
w ............................................................................................................................
(nazwa administratora – pracodawcy)
do dostępu do następujących danych osobowych:
– ............................................................................................................................
– ............................................................................................................................
– ............................................................................................................................
(zakres upoważnienia: wskazanie kategorii danych, które może
przetwarzać określona w upoważnieniu osoba, lub rodzaj czynności
lub operacji, jakich może dokonywać na danych osobowych)
2. Identyfikator: .......................................................................................................
(wypełnia się w przypadku, gdy dane przetwarzane są w systemie informatycznym)
3. Okres trwania upoważnienia: ............................................................................
(okres obowiązywania upoważnienia)
Wystawił: ..............................................................................................................
(podpis administratora lub osoby reprezentującej administratora)
4. Osoba upoważniona do przetwarzania danych, objętych zakresem, o którym
mowa wyżej, jest zobowiązana do zachowania ich w tajemnicy, również po
ustaniu zatrudnienia oraz zachowania w tajemnicy informacji o ich zabez
pieczeniu.
Data i podpis osoby upoważnionej: .......................................................................
Ochrona danych medycznych według najnowszych przepisów
8
W przepisach ustawy o ochronie danych osobowych ani w rozporządzeniach
wykonawczych nie określono wzoru upoważnienia. Każdy administrator danych
powinien wypracować odpowiedni dla siebie, jak również przystający do organi
zacji jednostki, formularz nadawania uprawnień. Taka procedura powinna być
opisana w polityce bezpieczeństwa informacji lub instrukcji zarządzania syste
mem informatycznym.
Do przetwarzania jakich danych upoważniona jest rejestratorka?
W przypadku recepcjonistek i rejestratorek, jako pracowników wykonujących
zawód niemedyczny, upoważnienie do przetwarzania danych może zawierać
uprawnienia do wglądu, wprowadzania, nanoszenia zmian (modyfikowania),
ewentualnie przekazywania danych osobowych, z ograniczonym dostępem
do historii choroby.
Upoważnienie powinno zobowiązywać pracownika do dołożenia szczególnej
staranności w celu ochrony interesów osób, których dane dotyczą. Dlatego na
stanowiskach, na których przetwarzane są dane osobowe, muszą je mieć wszyscy
pracownicy. Dotyczy to nie tylko lekarzy, ale też osób niewykonujących zawo
dów medycznych, np. recepcjonistek, sekretarek, informatyków.
Kolejnym obowiązkiem pracodawcy jest prowadzenie ewidencji osób, które
mają upoważnienia do przetwarzania danych. Wynika tak z art. 39 ustawy
o ochronie danych osobowych. Ewidencja musi zawierać imiona i nazwiska
wszystkich upoważnionych przez administratora do wykorzystywania danych
osobowych, daty nadania i ustania upoważnienia oraz jego zakres. Jeżeli dane
przetwarzane są w sieci komputerowej, ewidencja powinna również obejmować
identyfikatory osób (np. pierwsza litera imienia i nazwisko) dopuszczonych do
przetwarzania danych.
Zobowiązanie do zachowania tajemnicy
Bardzo ważne jest zobowiązanie do zachowania tajemnicy danych osobowych.
Przy przetwarzaniu danych osobowych znaczenie ma nie tylko tajemnica lekarska.
Tajemnica danych osobowych zobowiązuje (również lekarzy) do beztermino
wego zachowania poufności przetwarzanych danych osobowych, a także spo
sobów ich zabezpieczenia. Należy przy tym pamiętać, że dane osobowe należy
rozumieć jako wszelkie informacje dotyczące możliwej do zidentyfikowania osoby
Przetwarzanie danych osobowych i danych medycznych
9
fizycznej. Pojęcie to obejmuje więc również numery identyfikacyjne (np. NIP,
RESEL) czy specyficzne czynniki określające cechy fizyczne, fizjologiczne, umy
słowe, ekonomiczne, kulturowe lub społeczne (np. nietypowy wzrost, specyficzny
kształt uszu, pochodzenie z innego kraju). Takich szeroko rozumianych danych
osobowych nigdy nie wolno ujawniać publicznie. Dokumentacja medyczna
chroniona jest szczególnym reżimem prawnym (wynikającym z art. 40 ustawy
5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty), ale i dane osobowe nie
mogą być udostępnione osobom nieupoważnionym, zabrane przez osobę nie
uprawnioną, utracone, uszkodzone lub zniszczone.
II. Dostęp osób upoważnionych oraz innych podmiotów
do dokumentacji medycznej
Osobami, którym podmiot udzielający świadczeń zdrowotnych udostępnia do
kumentację medyczną, są przede wszystkim: przedstawiciel ustawowy pacjenta
lub osoba przez niego upoważniona. Pacjent może wskazać dowolną liczbę osób,
które upoważnia do wglądu do swojej dokumentacji medycznej. W przypadku
śmierci pacjenta, w myśl przepisów ustawy z 6 listopada 2008 r. o prawach pa
cjenta i Rzeczniku Praw Pacjenta, prawo wglądu do dokumentacji medycznej ma
tylko osoba upoważniona przez niego w tym celu za życia. Zatem krąg osób upo
ważnionych do wglądu do dokumentacji medycznej nie może zostać rozszerzony
po śmierci pacjenta.
Należy zatem pamiętać, że wbrew powszechnej opinii pokrewieństwo nie
daje prawa do uzyskania dostępu do dokumentacji medycznej. Konieczne jest
posiadanie upoważnienia, nawet jeśli o wgląd do dokumentacji ubiegają się
bliscy zmarłego pacjenta.
Kto z urzędu ma prawo wglądu do dokumentacji medycznej?
Poza osobami upoważnionymi przez pacjenta wgląd do jego dokumentacji, na
podstawie art. 26 ust. 3 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta,
przysługuje także:
▶ podmiotom udzielającym świadczeń zdrowotnych, jeżeli dokumentacja ta
jest niezbędna do zapewnienia ciągłości tych świadczeń,
▶ organom władzy publicznej, Narodowemu Funduszowi Zdrowia, organom
samorządów medycznych oraz konsultantom krajowym i wojewódzkim –
Ochrona danych medycznych według najnowszych przepisów
10
w zakresie niezbędnym do wykonywania przez te podmioty ich zadań,
przede wszystkim kontroli i nadzoru,
▶ wojewodom, konsultantom krajowym, jednostkom organizacyjnym pod
ległym właściwemu ministrowi lub przez niego nadzorowanym, organom
samorządów zawodów medycznych, medycznym towarzystwom naukowym,
uczelniom medycznym, instytutom badawczym, specjalistom z poszcze
gólnych dziedzin medycyny – w zakresie niezbędnym do przeprowadzenia
kontroli na zlecenie ministra właściwego do spraw zdrowia,
▶ ministrowi właściwemu do spraw zdrowia, sądom, w tym sądom dyscypli
narnym, prokuratorom, lekarzom sądowym i rzecznikom odpowiedzial
ności zawodowej – w związku z prowadzonym postępowaniem,
▶ organom i instytucjom uprawnionym do tego na mocy innych ustaw, jeżeli
badanie zostało przeprowadzone na ich wniosek,
▶ organom rentowym oraz zespołom do spraw orzekania o niepełnospraw
ności – w związku z prowadzonym przez nie postępowaniem,
▶ podmiotom prowadzącym rejestry usług medycznych – w zakresie nie
zbędnym do prowadzenia rejestrów,
▶ zakładom ubezpieczeń, ale tylko za zgodą pacjenta,
▶ lekarzowi, pielęgniarce lub położnej – w związku z prowadzeniem proce
dury oceniającej podmiot udzielający świadczeń zdrowotnych na podsta
wie przepisów o akredytacji w ochronie zdrowia, w zakresie niezbędnym
do jej przeprowadzenia,
▶ szkole wyższej lub instytutowi badawczemu do wykorzystania w celach na
ukowych, ale bez ujawnienia nazwiska i innych danych umożliwiających
identyfikację osoby, której dotyczy dokumentacja,
▶ wojewódzkiej komisji do spraw orzekania o zdarzeniach medycznych –
w zakresie prowadzonego postępowania,
▶ spadkobiercom w zakresie prowadzonego postępowania przed wojewódzką
komisją do spraw orzekania o zdarzeniach medycznych,
▶ osobom wykonującym czynności kontrolne na zlecenie ministra właściwego
do spraw zdrowia, w zakresie niezbędnym do ich przeprowadzenia.
Na liście tej nie ma osób ubiegających się o uzyskanie uprawnień do wykonywa
nia zawodów medycznych. Można im więc udostępnić dokumentację medyczną,
tylko jeśli dane umożliwiające identyfikację pacjenta zostaną utajnione.