RODO, czyli rozporządzenie o ochronie danych osobowych dotyczy przede wszystkim tzw. danych zwykłych. Są to informacje mówiące o zidentyfikowanych bądź możliwych do zidentyfikowania osobach fizycznych. Wśród danych tych wyodrębnia się kategorię szczególnych danych osobowych. Zaliczają się do nich m.in. dane na temat pochodzenia rasowego lub etnicznego, dane genetyczne i biometryczne, dane na temat orientacji seksualnej, a także, co bardzo ważne w kontekście placówek medycznych – dane dotyczące zdrowia.

Jakie dane przetwarzane są w placówkach medycznych?

Zasadniczo podmioty medyczne stykają się na co dzień z ich dwoma rodzajami. Oprócz danych identyfikacyjnych pacjentów, służących do kontaktu i weryfikacji tożsamości osób, które stawiają się na wizytę, placówka przetwarza również informacje na temat historii ich choroby i stanu zdrowia. Dane te wprowadzane są zazwyczaj do systemów medycznych.

System ochrony danych osobowych w placówce medycznej

Kluczem do spełnienia wymogów związanych z RODO jest odpowiednio funkcjonujący system ochrony danych osobowych. Składają się na niego dwa czynniki:

• wykonywanie faktycznych działań związanych z ochroną danych,
• prowadzenie dokumentacji.

Aby móc zaplanować funkcjonowanie takiego systemu, należy przeanalizować, kiedy i w jakich okolicznościach dane są przetwarzane w ramach placówki. W tym celu warto prześledzić całą ścieżkę, którą przebywają te informacje już od momentu ich pozyskania.

Miejsca przetwarzania danych osobowych w placówce medycznej

Zazwyczaj w placówce medycznej mówi się o trzech podstawowych punktach styczności z danymi osobowymi. Są to:

• rejestracja medyczna,
• moment udzielania świadczenia,
• archiwizowanie oraz przechowywanie informacji.

 

W praktyce dane przetwarzane są przede wszystkim podczas:

• deklarowania przez pacjenta wyboru placówki podstawowej opieki zdrowotnej, czy też położnej,
• rejestrowania pacjentów na wizytę – może się to odbywać telefonicznie, mailowo, a także osobiście, przy czym każdy z kanałów komunikacji wymaga osobnych zabezpieczeń,
• wizyty lekarskiej w placówce lub online (telekonsultacji, videorozmowy, czy konsultacji na chacie online – często organizowanej za pośrednictwem kompleksowych systemów medycznych online),
• badań diagnostycznych, czy zabiegów,
• odbioru wyników badań, a także skierowań, czy recept (w tym również e-recept odbieranych przez telefon lub mailowo).

 

Nie należy jednak zapominać również o tym, że z danymi osobowymi mają również kontakt pracownicy niezwiązani bezpośrednio z obsługą pacjentów. Są to np. osoby zajmujące się zarządzaniem placówką, analizami informacji dostarczanymi przez systemy medyczne, marketingiem, księgowością, współpracą z podmiotami zewnętrznymi itp.

W zależności od charakteru pracy, osoby te powinny mieć zróżnicowany poziom dostępu do danych. Wymagane są również zabezpieczenia – odpowiednie dla każdego kanału i poziomu komunikacji.

Planowanie i analiza ryzyka

Aby mieć pewność, że system ochrony danych osobowych w placówce medycznej będzie zgodny z RODO, warto dobrze zaplanować jego działanie jeszcze przed wdrożeniem. W tym celu rekomendowane jest uwzględnianie środków zabezpieczeń wobec potencjalnego ryzyka, już na etapie planowania – np. nowej usługi lub aspektu działalności.

Dokumentacja ochrony danych osobowych

RODO nakłada na administratorów danych osobowych obowiązek dostosowania się do reguł, a ponadto wykazywania, że wdrażają oni niezbędne do tego celu środki. W tym celu należy prowadzić dokumentację, w zakresie której znajdą się przede wszystkim:

• rejestr czynności przetwarzania w placówce medycznej bądź rejestr kategorii czynności przetwarzania,
• dokumentacja dotycząca oceny ryzyka naruszeń ochrony danych osobowych,
• dokumentacja dotycząca przypadków naruszeń oraz ocenę ich skutków dla ochrony danych,
• polityka ochrony danych osobowych.

Polityka kluczy, czystego biurka i czystego ekranu

Odbicie w dokumentacji znajduje przestrzeganie procedur. W ramach placówek medycznych najczęściej mówi się o polityce kluczy, czystego biurka oraz ekranu.

• polityka kluczy

Dotyczy zasad obchodzenia się i zarządzania kluczami do pomieszczeń, w których przechowywane są dane lub sprzęt umożliwiający taki dostęp. Dokumentacja powinna zawierać m.in. rejestr kluczy oraz informacje na temat tego, kto jest upoważniony do ich używania.

• polityka czystego biurka

Dotyczy przechowywania dokumentacji w obrębie miejsca pracy. W jej ramach istotne jest przede wszystkim to, by dokumenty zawierające dane nie były widoczne dla osób przebywających w pobliżu (np. pacjenta wchodzącego do gabinetu lub personelu sprzątającego po godzinach pracy lekarzy).

• polityka czystego ekranu

Podobnie jak polityka czystego biurka dotyczy przechowywania dokumentów zawierających dane – z tą różnicą, że chodzi o informacje w wersji elektronicznej. Tu szczególnie istotne będzie ustawienie monitora względem osób nieupoważnionych (np. pacjentów siedzących naprzeciwko lekarza lub rejestratorki).

Sprawowanie kontroli nad nośnikami danych

Ważna jest też dbałość o dostęp i sposób użytkowania urządzeń służących do przechowywania danych (pendive, dyski zewnętrzne, płyty CD, itp.). Również w tym przypadku wskazane jest prowadzenie rejestru urządzeń. W ten sposób, w razie ich zaginięcia, łatwiej ustalić, jakie były okoliczności i przyczyny takiej sytuacji.

Inną formą zabezpieczenia są hasła i szyfrowanie danych. Dzięki wprowadzeniu takiego zabiegu znacząco ogranicza się ryzyko wydostania się informacji, nawet w przypadku zagubienia sprzętu.

Wyznaczenie IODO w placówce medycznej

Organy i instytucje o charakterze publicznym, a także podmioty medyczne przetwarzające dane osobowe na dużą skalę, mają obowiązek wyznaczenia Inspektora Ochrony Danych Osobowych. Jego rolą jest przede wszystkim wsparcie administratora danych i monitorowanie wypełniania przez niego obowiązków, które narzucają przepisy.

Pełni on też ważną funkcję w kontakcie i współpracy z organem nadzorczym – np. podczas kontroli. Do jego zadań należy też ocena ewentualnych incydentów, a także udzielanie zaleceń co do oceny skutków dla ochrony danych.

Ochrona i naruszenie danych osobowych

Każda placówka medyczna powinna mieć wypracowaną procedurę na wypadek wystąpienia naruszeń danych osobowych. System ich zgłaszania i oceny powinien zapewniać sprawny przepływ informacji.

W przypadku stwierdzenia naruszenia przepisy pozostawiają jedynie 72 godziny na zgłoszenie takiego incydentu do Prezesa Urzędu Ochrony Danych Osobowych.

Każdy, nawet najmniejszy przypadek naruszenia powinien znaleźć się w prowadzonej ewidencji takich zdarzeń. Natomiast jeśli skala incydentu była minimalna, można zrezygnować ze zgłoszenia do PUODO. W razie kontroli należy jednak móc uzasadnić brak takiego zgłoszenia. Ocenę skali naruszenia przeprowadza się na podstawie określonej metodyki.

Przetwarzanie danych osobowych zgodnie z RODO – jak się zabezpieczyć?

Skuteczny system ochrony danych osobowych to podstawa w zarządzaniu biznesem medycznym. Nie warto bagatelizować wagi wprowadzania odpowiednich procedur czy zabezpieczeń. O kwestiach związanych z ochroną danych należy myśleć już na etapie projektowania nowych rozwiązań w placówce.

Ważną kwestią jest też odpowiedni informatyczny system medyczny. W jego ramach przetwarzane są dane pracowników i pacjentów. Przy wyborze takiej usługi warto więc zwrócić uwagę na kwestie zgodności z RODO i częstotliwość aktualizacji.