Będą kontrole GIODO - jak się przygotować

Kategoria: Zarządzanie
Data: 08-05-2017 r.

GIODO zapowiedział w tym roku kontrole przetwarzania danych w szpitalach i przychodniach. Dodatkowo placówki medyczne, które na dużą przetwarzają skalę dane osobowe, od maja 2018 r. będą musiały wyznaczyć inspektora ochrony danych. Sprawdź, dlaczego warto na te zmiany przygotować się już teraz.

Pacjenci często składają skargi do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) na nienależyte poszanowanie ich prawa do intymności i godności. Dlatego zarówno w planie kontroli, jak i w planie sprawdzeń przeprowadzanych przez inspektorów GIODO w 2017 roku, ujęto sektor ochrony zdrowia. Dzięki temu możliwa będzie ocena przetwarzania danych osobowych w większej liczbie placówek medycznych, niezależnie od tego, czy są prowadzone przez podmioty publiczne czy prywatne.

 

Plan kontroli sektorowych GIODO na rok 2017 przewiduje przeprowadzenie kontroli w przychodniach i poradniach lekarskich pod kątem zapewnienia poufności i poszanowania prywatności pacjentów podczas rejestracji.

Dane o stanie zdrowia należą do szczególnej kategorii danych. Są to tak zwane dane wrażliwe, sensytywne i tym samym należy je chronić w sposób szczególny, na najwyższym poziomie. Dlatego niedopuszczalne jest umieszczanie przed gabinetami lekarskimi list z nazwiskami pacjentów zapisanych na dany dzień na wizytę lekarską, szczególnie do lekarza specjalisty. Upublicznienie na drzwiach gabinetów lekarskich list z imionami i nazwiskami osób czekających danego dnia na wizytę u konkretnego lekarza narusza prawo pacjenta do poszanowania intymności i godności, zwłaszcza w czasie udzielania mu świadczeń zdrowotnych. Takie naruszenie można ryzykować również wywołując pacjentów po nazwisku. Oczywiście nie powinno się pacjenta traktować przedmiotowo, wyłącznie jak kolejny numer. Może więc wywołanie „pan Piotr zapisany na godz. 14.15” będzie dobrym kompromisem.  

Realizuj też „politykę czystego biurka” dla dokumentów papierowych i nośników elektronicznych. To znaczy, że w przypadku dłuższej nieobecności przy stanowisku pracy lub po jej zakończeniu umieszczaj wszelkie dokumenty i nośniki zawierające dane osobowe w bezpiecznym miejscu, np. zamykanej szafce, w celu uniemożliwienia dostępu do nich osobom nieuprawnionym. Nie zostawiaj również dokumentów i nośników w łatwo dostępnych miejscach, np. przy urządzeniach drukujących, znajdujących się np. na korytarzu.

Dla danych osobowych przekazywanych drogą teletransmisji zastosuj środki kryptograficznej ochrony danych. To znaczy, że powinieneś zlecić działowi IT zabezpieczenie strony do rejestracji drogą elektroniczną szyfrowanym protokołem. Najczęściej jest to SSL i zaczyna się od adresu https://. Należy też opatrzyć ją certyfikatem bezpieczeństwa. Symbolizuje to symbol zamkniętej kłódki, który znajduje się najczęściej w pasku adresowym.

Jeżeli przesyłasz dokumentację medyczną za pośrednictwem środków komunikacji elektronicznej, nie przesyłaj takich informacji e-mailem bez odpowiedniego zaszyfrowania pliku czy zabezpieczenia hasłem załączników.

Rejestracja telefoniczna czy za pośrednictwem poczty elektronicznej jest jak dopuszczalna i wskazana. Pamiętaj jednak, że nigdy nie wiadomo, kto jest po drugiej stronie słuchawki czy e-maila i w odpowiedni sposób potwierdzaj tożsamość pacjenta, zwłaszcza przed samą wizytą. Ponadto placówka, który udziela świadczenia opieki zdrowotnej w szpitalach i świadczenia specjalistyczne w ambulatoryjnej opiece zdrowotnej, jest zobowiązana umożliwić pacjentom umawianie się drogą elektroniczną na wizyty, monitorowanie statusu na liście oczekujących na udzielenie świadczenia oraz powiadamianie o terminie udzielenia świadczenia, zgodnie z art. 23 ustawy o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych. To oczywiście nie jest równoznaczne z wysłaniem maila z prośbą o zarejestrowanie. Mówimy tu o odpowiednich modułach, aplikacjach służących do e-rejestracji.

Zadbaj o odpowiednie upoważnienia

Jednym z ważnych elementów szeroko rozumianej polityki bezpieczeństwa informacji jest odpowiednie upoważnienie osób, które mogą przetwarzać dane osobowe pacjentów i zobowiązanie ich do zachowania tajemnicy. Zwłaszcza personel pomocniczy, osoby, które nie wykonują zawodu medycznego, na podstawie art. 24 ust. 2 i 3 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, są uprawniane na podstawie upoważnienia administratora danych do przetwarzania danych zawartych w dokumentacji medycznej.

Osoby upoważnione przez administratora danych są zobowiązane do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z wykonywaniem zadań. Osoby te są związane tajemnicą także po śmierci pacjenta.

Co się zmieni od maja 2018 roku

Odnosząc się do powołania administratora bezpieczeństwa informacji, obecnie jest to możliwość, uprawnienie administratora danych, a nie obowiązek. To się jednak zmieni od 25 maja 2018 r., czyli w momencie wejścia w życie RODO.

Podmioty, których główna działalność polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, czyli np. dotyczących stanu zdrowia, będą zobowiązane do wyznaczenia inspektora ochrony danych, podobnego do obecnego ABI. Mówiąc o dużej skali mamy na myśli szpital, dużą przychodnię, klinikę przyjmującą pacjentów z całego kraju. Nie będzie to natomiast lekarz prowadzący prywatną praktykę czy nieduży gabinet stomatologiczny, który działa lokalnie. Nie zwalnia to go jednak z odpowiedniego zorganizowania i zapewnienia ochrony danych.

Na wszelkie zmiany przygotuj się już teraz. Zwłaszcza, jeśli chcesz lub będziesz zobowiązany do wyznaczenia inspektora ochrony danych w swojej placówce. Wymagania stojące przed taką osobą, ale także jej status i uprawnienia, są bowiem bardzo wysokie.

Piotr Glen, ekspert ds. ochrony danych osobowych, administrator bezpieczeństwa informacji, audytor systemów zarządzania bezpieczeństwem informacji

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Ochrona danych osobowych w gabinecie lekarskim – przygotuj się do dużych zmian

pobierz

Elektroniczna dokumentacja medyczna

pobierz

Jak zarządzać ryzykiem w ujęciu ISO 9001:2015

pobierz

Jak przygotować raport o sytuacji ekonomiczno-finansowej SPZOZ Nowy obowiązek dla kierownika

pobierz

Polecane artykuły

Array ( [docId] => 40320 )
Array ( [docId] => 40320 )