Jakie dane przetwarzane są w placówkach medycznych?
Zasadniczo podmioty medyczne stykają się na co dzień z ich dwoma rodzajami. Oprócz danych identyfikacyjnych pacjentów, służących do kontaktu i weryfikacji tożsamości osób, które stawiają się na wizytę, placówka przetwarza również informacje na temat historii ich choroby i stanu zdrowia. Dane te wprowadzane są zazwyczaj do systemów medycznych.
System ochrony danych osobowych w placówce medycznej
Kluczem do spełnienia wymogów związanych z RODO jest odpowiednio funkcjonujący system ochrony danych osobowych. Składają się na niego dwa czynniki:
- wykonywanie faktycznych działań związanych z ochroną danych,
- prowadzenie dokumentacji.
Aby móc zaplanować funkcjonowanie takiego systemu, należy przeanalizować, kiedy i w jakich okolicznościach dane są przetwarzane w ramach placówki. W tym celu warto prześledzić całą ścieżkę, którą przebywają te informacje już od momentu ich pozyskania.
Miejsca przetwarzania danych osobowych w placówce medycznej
Zazwyczaj w placówce medycznej mówi się o trzech podstawowych punktach styczności z danymi osobowymi. Są to:
- rejestracja medyczna,
- moment udzielania świadczenia,
- archiwizowanie oraz przechowywanie informacji.
W praktyce dane przetwarzane są przede wszystkim podczas:
- deklarowania przez pacjenta wyboru placówki podstawowej opieki zdrowotnej, czy też położnej,
- rejestrowania pacjentów na wizytę – może się to odbywać telefonicznie, mailowo, a także osobiście, przy czym każdy z kanałów komunikacji wymaga osobnych zabezpieczeń,
- wizyty lekarskiej w placówce lub online (telekonsultacji, videorozmowy, czy konsultacji na chacie online – często organizowanej za pośrednictwem kompleksowych systemów medycznych online),
- badań diagnostycznych, czy zabiegów,
- odbioru wyników badań, a także skierowań, czy recept (w tym również e-recept odbieranych przez telefon lub mailowo).
Nie należy jednak zapominać również o tym, że z danymi osobowymi mają również kontakt pracownicy niezwiązani bezpośrednio z obsługą pacjentów. Są to np. osoby zajmujące się zarządzaniem placówką, analizami informacji dostarczanymi przez systemy medyczne, marketingiem, księgowością, współpracą z podmiotami zewnętrznymi itp.
W zależności od charakteru pracy, osoby te powinny mieć zróżnicowany poziom dostępu do danych. Wymagane są również zabezpieczenia – odpowiednie dla każdego kanału i poziomu komunikacji.
Planowanie i analiza ryzyka
Aby mieć pewność, że system ochrony danych osobowych w placówce medycznej będzie zgodny z RODO, warto dobrze zaplanować jego działanie jeszcze przed wdrożeniem. W tym celu rekomendowane jest uwzględnianie środków zabezpieczeń wobec potencjalnego ryzyka, już na etapie planowania – np. nowej usługi lub aspektu działalności.
Dokumentacja ochrony danych osobowych
RODO nakłada na administratorów danych osobowych obowiązek dostosowania się do reguł, a ponadto wykazywania, że wdrażają oni niezbędne do tego celu środki. W tym celu należy prowadzić dokumentację, w zakresie której znajdą się przede wszystkim:
- rejestr czynności przetwarzania w placówce medycznej bądź rejestr kategorii czynności przetwarzania,
- dokumentacja dotycząca oceny ryzyka naruszeń ochrony danych osobowych,
- dokumentacja dotycząca przypadków naruszeń oraz ocenę ich skutków dla ochrony danych,
- polityka ochrony danych osobowych.
Polityka kluczy, czystego biurka i czystego ekranu
Odbicie w dokumentacji znajduje przestrzeganie procedur. W ramach placówek medycznych najczęściej mówi się o polityce kluczy, czystego biurka oraz ekranu.
- polityka kluczy
Dotyczy zasad obchodzenia się i zarządzania kluczami do pomieszczeń, w których przechowywane są dane lub sprzęt umożliwiający taki dostęp. Dokumentacja powinna zawierać m.in. rejestr kluczy oraz informacje na temat tego, kto jest upoważniony do ich używania.
- polityka czystego biurka
Dotyczy przechowywania dokumentacji w obrębie miejsca pracy. W jej ramach istotne jest przede wszystkim to, by dokumenty zawierające dane nie były widoczne dla osób przebywających w pobliżu (np. pacjenta wchodzącego do gabinetu lub personelu sprzątającego po godzinach pracy lekarzy).
- polityka czystego ekranu
Podobnie jak polityka czystego biurka dotyczy przechowywania dokumentów zawierających dane – z tą różnicą, że chodzi o informacje w wersji elektronicznej. Tu szczególnie istotne będzie ustawienie monitora względem osób nieupoważnionych (np. pacjentów siedzących naprzeciwko lekarza lub rejestratorki).
Sprawowanie kontroli nad nośnikami danych
Ważna jest też dbałość o dostęp i sposób użytkowania urządzeń służących do przechowywania danych (pendive, dyski zewnętrzne, płyty CD, itp.). Również w tym przypadku wskazane jest prowadzenie rejestru urządzeń. W ten sposób, w razie ich zaginięcia, łatwiej ustalić, jakie były okoliczności i przyczyny takiej sytuacji.
Inną formą zabezpieczenia są hasła i szyfrowanie danych. Dzięki wprowadzeniu takiego zabiegu znacząco ogranicza się ryzyko wydostania się informacji, nawet w przypadku zagubienia sprzętu.
Wyznaczenie IODO w placówce medycznej
Organy i instytucje o charakterze publicznym, a także podmioty medyczne przetwarzające dane osobowe na dużą skalę, mają obowiązek wyznaczenia Inspektora Ochrony Danych Osobowych. Jego rolą jest przede wszystkim wsparcie administratora danych i monitorowanie wypełniania przez niego obowiązków, które narzucają przepisy.
Pełni on też ważną funkcję w kontakcie i współpracy z organem nadzorczym – np. podczas kontroli. Do jego zadań należy też ocena ewentualnych incydentów, a także udzielanie zaleceń co do oceny skutków dla ochrony danych.
Ochrona i naruszenie danych osobowych
Każda placówka medyczna powinna mieć wypracowaną procedurę na wypadek wystąpienia naruszeń danych osobowych. System ich zgłaszania i oceny powinien zapewniać sprawny przepływ informacji.
W przypadku stwierdzenia naruszenia przepisy pozostawiają jedynie 72 godziny na zgłoszenie takiego incydentu do Prezesa Urzędu Ochrony Danych Osobowych.
Każdy, nawet najmniejszy przypadek naruszenia powinien znaleźć się w prowadzonej ewidencji takich zdarzeń. Natomiast jeśli skala incydentu była minimalna, można zrezygnować ze zgłoszenia do PUODO. W razie kontroli należy jednak móc uzasadnić brak takiego zgłoszenia. Ocenę skali naruszenia przeprowadza się na podstawie określonej metodyki.
Przetwarzanie danych osobowych zgodnie z RODO – jak się zabezpieczyć?
Skuteczny system ochrony danych osobowych to podstawa w zarządzaniu biznesem medycznym. Nie warto bagatelizować wagi wprowadzania odpowiednich procedur czy zabezpieczeń. O kwestiach związanych z ochroną danych należy myśleć już na etapie projektowania nowych rozwiązań w placówce.
Ważną kwestią jest też odpowiedni informatyczny system medyczny. W jego ramach przetwarzane są dane pracowników i pacjentów. Przy wyborze takiej usługi warto więc zwrócić uwagę na kwestie zgodności z RODO i częstotliwość aktualizacji.