Kategoria wpisu: Dla Managera
Zasadniczo podmioty medyczne stykają się na co dzień z ich dwoma rodzajami. Oprócz danych identyfikacyjnych pacjentów, służących do kontaktu i weryfikacji tożsamości osób, które stawiają się na wizytę, placówka przetwarza również informacje na temat historii ich choroby i stanu zdrowia. Dane te wprowadzane są zazwyczaj do systemów medycznych.
Kluczem do spełnienia wymogów związanych z RODO jest odpowiednio funkcjonujący system ochrony danych osobowych. Składają się na niego dwa czynniki:
Aby móc zaplanować funkcjonowanie takiego systemu, należy przeanalizować, kiedy i w jakich okolicznościach dane są przetwarzane w ramach placówki. W tym celu warto prześledzić całą ścieżkę, którą przebywają te informacje już od momentu ich pozyskania.
Zazwyczaj w placówce medycznej mówi się o trzech podstawowych punktach styczności z danymi osobowymi. Są to:
W praktyce dane przetwarzane są przede wszystkim podczas:
Nie należy jednak zapominać również o tym, że z danymi osobowymi mają również kontakt pracownicy niezwiązani bezpośrednio z obsługą pacjentów. Są to np. osoby zajmujące się zarządzaniem placówką, analizami informacji dostarczanymi przez systemy medyczne, marketingiem, księgowością, współpracą z podmiotami zewnętrznymi itp.
W zależności od charakteru pracy, osoby te powinny mieć zróżnicowany poziom dostępu do danych. Wymagane są również zabezpieczenia – odpowiednie dla każdego kanału i poziomu komunikacji.
Aby mieć pewność, że system ochrony danych osobowych w placówce medycznej będzie zgodny z RODO, warto dobrze zaplanować jego działanie jeszcze przed wdrożeniem. W tym celu rekomendowane jest uwzględnianie środków zabezpieczeń wobec potencjalnego ryzyka, już na etapie planowania – np. nowej usługi lub aspektu działalności.
RODO nakłada na administratorów danych osobowych obowiązek dostosowania się do reguł, a ponadto wykazywania, że wdrażają oni niezbędne do tego celu środki. W tym celu należy prowadzić dokumentację, w zakresie której znajdą się przede wszystkim:
Odbicie w dokumentacji znajduje przestrzeganie procedur. W ramach placówek medycznych najczęściej mówi się o polityce kluczy, czystego biurka oraz ekranu.
Dotyczy zasad obchodzenia się i zarządzania kluczami do pomieszczeń, w których przechowywane są dane lub sprzęt umożliwiający taki dostęp. Dokumentacja powinna zawierać m.in. rejestr kluczy oraz informacje na temat tego, kto jest upoważniony do ich używania.
Dotyczy przechowywania dokumentacji w obrębie miejsca pracy. W jej ramach istotne jest przede wszystkim to, by dokumenty zawierające dane nie były widoczne dla osób przebywających w pobliżu (np. pacjenta wchodzącego do gabinetu lub personelu sprzątającego po godzinach pracy lekarzy).
Podobnie jak polityka czystego biurka dotyczy przechowywania dokumentów zawierających dane – z tą różnicą, że chodzi o informacje w wersji elektronicznej. Tu szczególnie istotne będzie ustawienie monitora względem osób nieupoważnionych (np. pacjentów siedzących naprzeciwko lekarza lub rejestratorki).
Ważna jest też dbałość o dostęp i sposób użytkowania urządzeń służących do przechowywania danych (pendive, dyski zewnętrzne, płyty CD, itp.). Również w tym przypadku wskazane jest prowadzenie rejestru urządzeń. W ten sposób, w razie ich zaginięcia, łatwiej ustalić, jakie były okoliczności i przyczyny takiej sytuacji.
Inną formą zabezpieczenia są hasła i szyfrowanie danych. Dzięki wprowadzeniu takiego zabiegu znacząco ogranicza się ryzyko wydostania się informacji, nawet w przypadku zagubienia sprzętu.
Organy i instytucje o charakterze publicznym, a także podmioty medyczne przetwarzające dane osobowe na dużą skalę, mają obowiązek wyznaczenia Inspektora Ochrony Danych Osobowych. Jego rolą jest przede wszystkim wsparcie administratora danych i monitorowanie wypełniania przez niego obowiązków, które narzucają przepisy.
Pełni on też ważną funkcję w kontakcie i współpracy z organem nadzorczym – np. podczas kontroli. Do jego zadań należy też ocena ewentualnych incydentów, a także udzielanie zaleceń co do oceny skutków dla ochrony danych.
Każda placówka medyczna powinna mieć wypracowaną procedurę na wypadek wystąpienia naruszeń danych osobowych. System ich zgłaszania i oceny powinien zapewniać sprawny przepływ informacji.
W przypadku stwierdzenia naruszenia przepisy pozostawiają jedynie 72 godziny na zgłoszenie takiego incydentu do Prezesa Urzędu Ochrony Danych Osobowych.
Każdy, nawet najmniejszy przypadek naruszenia powinien znaleźć się w prowadzonej ewidencji takich zdarzeń. Natomiast jeśli skala incydentu była minimalna, można zrezygnować ze zgłoszenia do PUODO. W razie kontroli należy jednak móc uzasadnić brak takiego zgłoszenia. Ocenę skali naruszenia przeprowadza się na podstawie określonej metodyki.
Skuteczny system ochrony danych osobowych to podstawa w zarządzaniu biznesem medycznym. Nie warto bagatelizować wagi wprowadzania odpowiednich procedur czy zabezpieczeń. O kwestiach związanych z ochroną danych należy myśleć już na etapie projektowania nowych rozwiązań w placówce.
Ważną kwestią jest też odpowiedni informatyczny system medyczny. W jego ramach przetwarzane są dane pracowników i pacjentów. Przy wyborze takiej usługi warto więc zwrócić uwagę na kwestie zgodności z RODO i częstotliwość aktualizacji.