Wróć do bloga

Kategoria wpisu: Dla Managera

Dla Managera Anna Listopad | 2020-08-05

Jak stworzyć w placówce medycznej system ochrony danych osobowych zgodny z RODO?

Czas czytania: < 1 minuta
Jak stworzyć  w placówce medycznej system ochrony danych osobowych zgodny z RODO?
Jak stworzyć system ochrony danych osobowych zgodny z przepisami RODO? Wyjaśniamy, na jakie kwestie zwrócić uwagę, w kontekście placówki medycznej.

Wypróbuj Medidesk bezpłatnie!

Jakich danych dotyczy RODO?

RODO, czyli rozporządzenie o ochronie danych osobowych dotyczy przede wszystkim tzw. danych zwykłych. Są to informacje mówiące o zidentyfikowanych bądź możliwych do zidentyfikowania osobach fizycznych.

Wśród danych tych wyodrębnia się kategorię szczególnych danych osobowych. Zaliczają się do nich m.in. dane na temat pochodzenia rasowego lub etnicznego, dane genetyczne i biometryczne, dane na temat orientacji seksualnej, a także, co bardzo ważne w kontekście placówek medycznych – dane dotyczące zdrowia.

Jakie dane przetwarzane są w placówkach medycznych?

Zasadniczo podmioty medyczne stykają się na co dzień z ich dwoma rodzajami. Oprócz danych identyfikacyjnych pacjentów, służących do kontaktu i weryfikacji tożsamości osób, które stawiają się na wizytę, placówka przetwarza również informacje na temat historii ich choroby i stanu zdrowia. Dane te wprowadzane są zazwyczaj do systemów medycznych.

System ochrony danych osobowych w placówce medycznej

Kluczem do spełnienia wymogów związanych z RODO jest odpowiednio funkcjonujący system ochrony danych osobowych. Składają się na niego dwa czynniki:

Aby móc zaplanować funkcjonowanie takiego systemu, należy przeanalizować, kiedy i w jakich okolicznościach dane są przetwarzane w ramach placówki. W tym celu warto prześledzić całą ścieżkę, którą przebywają te informacje już od momentu ich pozyskania.

Miejsca przetwarzania danych osobowych w placówce medycznej

Zazwyczaj w placówce medycznej mówi się o trzech podstawowych punktach styczności z danymi osobowymi. Są to:

 

W praktyce dane przetwarzane są przede wszystkim podczas:

 

Nie należy jednak zapominać również o tym, że z danymi osobowymi mają również kontakt pracownicy niezwiązani bezpośrednio z obsługą pacjentów. Są to np. osoby zajmujące się zarządzaniem placówką, analizami informacji dostarczanymi przez systemy medyczne, marketingiem, księgowością, współpracą z podmiotami zewnętrznymi itp.

W zależności od charakteru pracy, osoby te powinny mieć zróżnicowany poziom dostępu do danych. Wymagane są również zabezpieczenia – odpowiednie dla każdego kanału i poziomu komunikacji.

Planowanie i analiza ryzyka

Aby mieć pewność, że system ochrony danych osobowych w placówce medycznej będzie zgodny z RODO, warto dobrze zaplanować jego działanie jeszcze przed wdrożeniem. W tym celu rekomendowane jest uwzględnianie środków zabezpieczeń wobec potencjalnego ryzyka, już na etapie planowania – np. nowej usługi lub aspektu działalności.

Dokumentacja ochrony danych osobowych

RODO nakłada na administratorów danych osobowych obowiązek dostosowania się do reguł, a ponadto wykazywania, że wdrażają oni niezbędne do tego celu środki. W tym celu należy prowadzić dokumentację, w zakresie której znajdą się przede wszystkim:

Polityka kluczy, czystego biurka i czystego ekranu

Odbicie w dokumentacji znajduje przestrzeganie procedur. W ramach placówek medycznych najczęściej mówi się o polityce kluczy, czystego biurka oraz ekranu.

Dotyczy zasad obchodzenia się i zarządzania kluczami do pomieszczeń, w których przechowywane są dane lub sprzęt umożliwiający taki dostęp. Dokumentacja powinna zawierać m.in. rejestr kluczy oraz informacje na temat tego, kto jest upoważniony do ich używania.

Dotyczy przechowywania dokumentacji w obrębie miejsca pracy. W jej ramach istotne jest przede wszystkim to, by dokumenty zawierające dane nie były widoczne dla osób przebywających w pobliżu (np. pacjenta wchodzącego do gabinetu lub personelu sprzątającego po godzinach pracy lekarzy).

Podobnie jak polityka czystego biurka dotyczy przechowywania dokumentów zawierających dane – z tą różnicą, że chodzi o informacje w wersji elektronicznej. Tu szczególnie istotne będzie ustawienie monitora względem osób nieupoważnionych (np. pacjentów siedzących naprzeciwko lekarza lub rejestratorki).

Sprawowanie kontroli nad nośnikami danych

Ważna jest też dbałość o dostęp i sposób użytkowania urządzeń służących do przechowywania danych (pendive, dyski zewnętrzne, płyty CD, itp.). Również w tym przypadku wskazane jest prowadzenie rejestru urządzeń. W ten sposób, w razie ich zaginięcia, łatwiej ustalić, jakie były okoliczności i przyczyny takiej sytuacji.

Inną formą zabezpieczenia są hasła i szyfrowanie danych. Dzięki wprowadzeniu takiego zabiegu znacząco ogranicza się ryzyko wydostania się informacji, nawet w przypadku zagubienia sprzętu.

Wyznaczenie IODO w placówce medycznej

Organy i instytucje o charakterze publicznym, a także podmioty medyczne przetwarzające dane osobowe na dużą skalę, mają obowiązek wyznaczenia Inspektora Ochrony Danych Osobowych. Jego rolą jest przede wszystkim wsparcie administratora danych i monitorowanie wypełniania przez niego obowiązków, które narzucają przepisy.

Pełni on też ważną funkcję w kontakcie i współpracy z organem nadzorczym – np. podczas kontroli. Do jego zadań należy też ocena ewentualnych incydentów, a także udzielanie zaleceń co do oceny skutków dla ochrony danych.

Ochrona i naruszenie danych osobowych

Każda placówka medyczna powinna mieć wypracowaną procedurę na wypadek wystąpienia naruszeń danych osobowych. System ich zgłaszania i oceny powinien zapewniać sprawny przepływ informacji.

W przypadku stwierdzenia naruszenia przepisy pozostawiają jedynie 72 godziny na zgłoszenie takiego incydentu do Prezesa Urzędu Ochrony Danych Osobowych.

Każdy, nawet najmniejszy przypadek naruszenia powinien znaleźć się w prowadzonej ewidencji takich zdarzeń. Natomiast jeśli skala incydentu była minimalna, można zrezygnować ze zgłoszenia do PUODO. W razie kontroli należy jednak móc uzasadnić brak takiego zgłoszenia. Ocenę skali naruszenia przeprowadza się na podstawie określonej metodyki.

Przetwarzanie danych osobowych zgodnie z RODO – jak się zabezpieczyć?

Skuteczny system ochrony danych osobowych to podstawa w zarządzaniu biznesem medycznym. Nie warto bagatelizować wagi wprowadzania odpowiednich procedur czy zabezpieczeń. O kwestiach związanych z ochroną danych należy myśleć już na etapie projektowania nowych rozwiązań w placówce.

Ważną kwestią jest też odpowiedni informatyczny system medyczny. W jego ramach przetwarzane są dane pracowników i pacjentów. Przy wyborze takiej usługi warto więc zwrócić uwagę na kwestie zgodności z RODO i częstotliwość aktualizacji.

Przetestuj Medidesk bezpłatnie przez 14 dni, bez zobowiązań

Umów się na bezpłatną prezentację Medidesk

Zostaw swoje dane, aby poznać ofertę Medidesk