W przypadku gabinetów stomatologicznych, gdzie w zasadzie bardzo ograniczona i wręcz kameralna grupa osób ma dostęp do informacji, analiza ryzyka jest narzędziem prostym. Proponuję najpierw wyznaczyć ryzyka.
Lekarz dentysta musi zachować poufność przetwarzanych danych pacjenta
Chodzi nie tylko o zatrzymanie informacji zdobytych przez lekarza dentysty w procesie leczenia „dla siebie” i pacjenta, a również o zastosowanie zabezpieczeń uniemożliwiających dostęp do tych danych osobom nieupoważnionym. Środki techniczne to m.in. kraty w oknach, zamykane szafy, zamykane drzwi, gaśnice, zabezpieczenia systemu informatycznego. Organizacyjne to ubezpieczenie od utraty danych, instrukcje, procedury, regulaminy, umowy. Prowadzący gabinet stomatologiczny jest zobowiązany użyć takich środków w celu zabezpieczenia danych przed niepowołanym dostępem. Do tego celu służy analiza ryzyka.
Typowe ryzyka dla gabinetu stomatologicznego to np.: utracenie kontraktu z NFZ, skutki finansowe wynikające ze szkód oczywiście związanych z naruszeniem danych osobowych, zakaz wykonywania zawodu, negatywne wyniki postępowania prokuratorskiego czyli skutki prawne, odszkodowania wynikające z Kodeksu cywilnego za naruszenie dóbr i godności osobistej, utrata rynku w związku ze „złą sławą”.
Teraz do każdego ryzyka budujemy zagrożenia, zastanawiając się w kontekście przetwarzanych danych osobowych, jakie sytuacje mogą doprowadzić naszym zdaniem do wystąpienia takich ryzyk.
Stopień takiego zagrożenia traktujemy jako iloczyn prawdopodobieństwa wystąpienia takiego zagrożenia i wpływ na nasze ryzyko, jakie przyniesie jego wystąpienie.
Załóżmy np. że prawdopodobieństwo będzie posiadało 3-stopniową wartość (1 – mało prawdopodobne, 2 – prawdopodobne, 3 – bardzo prawdopodobne), skutki będą posiadały 3-stopniową skalę (1 – niewielki, 2 – średni, 3 – duży). Stopień zagrożenia ze wzoru:
P × W
gdzie:
P – prawdopodobieństwo
W – wpływ na ryzyko
Przyjmijmy, że akceptowalność stopnia zagrożenia to 1–3, monitorowanie takiego zagrożenia (kontrola, instrukcje) to zakres 4–6, natomiast 7–9 to stopień, który bezwzględnie trzeba zmniejszyć właśnie zastosowaniem środków technicznych lub organizacyjnych. Jeżeli np. mamy gabinet w miejscu, gdzie są częste włamania (a przecież skutek kradzieży lub zniszczenia dokumentacji medycznej może być bardzo nieprzyjemny), to obniżeniem takiego ryzyka jest być może zainwestowanie w szafę pancerną lub alarm z powiadomieniem grupy interwencyjnej.
Dzięki takiej analizie buduje nam się jeden z punktów obowiązkowej dokumentacji przetwarzania danych osobowych.
Osobiście nie przepadam za tą metoda analizy ryzyka z uwagi na duży subiektywizm. Jest ona jednak najprostsza i w gabinetach stomatologicznych – moim zdaniem – wystarczająca.
Podstawa prawna:
Art. 36 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922 ze zm.).
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
