Ochrona danych medycznych według najnowszych
Transkrypt
Ochrona danych medycznych według najnowszych
Praca zbiorowa pod redakcją Mariusza Jendry Ochrona danych medycznych według najnowszych przepisów Ochrona danych medycznych według najnowszych przepisów UOV13 25 praktycznych porad Cena: 69 zł Praca zbiorowa pod redakcją Mariusza Jendry Ochrona danych medycznych według najnowszych przepisów 25 PRAKTYCZNYCH PORAD Publikacja „Ochrona danych medycznych według najnowszych przepisów. 25 praktycznych porad” to zbiór najbardziej aktualnych odpowiedzi na problemy pojawiające się przy przetwarzaniu danych osobo wych pacjentów w szpitalach i innych placówkach medycznych. W systemach ochrony danych w każdej jednostce, w związku z uruchomieniem od połowy przyszłego roku elektronicznej wymiany dokumentów medycznych, będą musiały zostać uwzględnione nowe, specjalne procedury. Muszą one zabezpieczać pla cówki przed masowym wyciekiem danych, przetwarzanych w ich wewnętrznych systemach informatycz nych. Sektor zdrowia będzie musiał przygotować się na nieznane dotychczas zagrożenia związane z ata kami hakerskimi. Przetwarzanie dokumentacji w formie papierowej do tej pory wykluczało powstanie tego zjawiska. Publikacja zawiera 23 praktyczne porady oraz 2 przydatne wzory dokumentów. Wybór na podstawie tekstów: Piotra Glen, Doroty Kaczmarczyk, Anny Zubkowskiej, Łukasza Siudaka, Krzysztofa Nyczaja, Pawła Piecucha, Jolanty Ziętek-Vargi, Jakuba Jurasza, Elizy Gossy, Pauliny Wójcik -Lulki, Agnieszki Sieńko, Tomasza Ozga, Mariusza Jendry. Konsultacja merytoryczna Piotr Glen Redaktor naczelna grupy wydawniczej Aldona Kapica Wydawca Alina Sulgostowska Redaktor prowadzący Mariusz Jendra Korekta Zespół Koordynator produkcji Katarzyna Kopeć Skład i łamanie Dariusz Ziach Druk Miller Źródła foto: okładka – www.fotolia.pl ISBN 978-83-269-2784-3 Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2014 Wydawnictwo Wiedza i Praktyka sp. z o.o. ul. Łotewska 9a, 03-918 Warszawa tel. 22 518 29 29, faks 22 617 60 10, e-mail: [email protected] NIP: 526-19-92-256, KRS: 0000098264 – Sąd rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, Wysokość kapitału zakładowego 200.000 zł 2 SPIS TREŚCI ROZDZIAŁ 1. PRZETWARZANIE DANYCH OSOBOWYCH I DANYCH MEDYCZNYCH............................................................................................................................... 5 I. Przeszkolenie, nadanie uprawnień i zobowiązanie do zachowania tajemnicy......................... 5 II. Dostęp osób upoważnionych oraz innych podmiotów do dokumentacji medycznej........ 9 III. Udostępnianie dokumentacji placówkom współpracującym............................................. 10 IV. Po zmianie lekarza – przekazanie danych innemu podmiotowi......................................... 12 V. Dostęp do dokumentacji przez prezesa placówki niebędącego lekarzem........................... 15 ROZDZIAŁ 2. ODPOWIEDZIALNOŚĆ PRAWNA ZA BEZPIECZEŃSTWO DANYCH......................................................................................................................................... 18 I. Zakres odpowiedzialności lekarza i kierownika podmiotu za dokumentację medyczną.......................................................................................................................................... 18 II. Konsekwencje nieprawidłowego przetwarzania danych osobowych.................................. 20 III. Kontrola baz danych medycznych.......................................................................................... 21 IV. Narzędzia służące do unikania błędów przy przetwarzaniu informacji wrażliwych....... 22 ROZDZIAŁ 3. BEZPIECZEŃSTWO INFORMACJI A ELEKTRONICZNA DOKUMENTACJA MEDYCZNA............................................................................................... 25 I. Kiedy plik zawierający dane medyczne staje się dokumentem elektronicznym.................. 25 II. Wymogi dla systemu teleinformatycznego służącego do zarządzania dokumentami medycznymi..................................................................................................................................... 26 III. Anonimizacja, pseudonimizacja i separacja – sposoby na zapewnienie bezpieczeństwa danych medycznych............................................................................................ 28 IV. Przepisy ustawowe i polskie normy dotyczące bezpieczeństwa danych............................ 33 V. Identyfikacja pacjentów, zabezpieczenie sieci i procedury chroniące przed wyciekiem danych................................................................................................................ 37 3 Ochrona danych medycznych według najnowszych przepisów VI. Zastosowanie norm ISO, zabezpieczenie pomieszczeń oraz likwidacja nośników danych............................................................................................................................. 40 VII. Szyfrowanie tożsamości i danych medycznych pacjentów na opaskach szpitalnych..... 43 VIII. Standaryzacja sposobu identyfikacji lekarza, pacjenta i skierowania............................. 46 IX. Procedury wewnętrzne chroniące placówkę przed utratą danych..................................... 49 ROZDZIAŁ 4. OUTSOURCING PRZETWARZANIA DANYCH ORAZ CLOUD COMPUTING W OCHRONIE ZDROWIA................................................ 54 I. Modele Cloud Computing a bezpieczeństwo danych w placówce medycznej.................... 54 II. Szyfrowanie zabezpieczy dane przy zleceniu ich przetwarzania firmie zewnętrznej........ 57 III. Zlecenie przetwarzania danych nie zwalnia od odpowiedzialności................................... 59 ROZDZIAŁ 5. POLITYKA BEZPIECZEŃSTWA INFORMACJI I INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM.......................................................... 64 I. Polityka bezpieczeństwa informacji podstawowym dokumentem określającym sposoby zabezpieczania danych w placówce ............................................................................... 64 II. Instrukcja zarządzania systemem informatycznym .............................................................. 67 PODSTAWA PRAWNA ................................................................................................................ 79 Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych..................................................... 79 4 ROZDZIAŁ 1. PRZETWARZANIE DANYCH OSOBOWYCH I DANYCH MEDYCZNYCH I. Przeszkolenie, nadanie uprawnień i zobowiązanie do zachowania tajemnicy Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby przeszkolone, zobowiązane do zachowania tajemnicy. Przetwarzaniem nazywa my jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbie ranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostęp nianie i usuwanie. Oznacza to, że przetwarzaniem jest już samo przeglądanie danych. Takie rozumienie przetwarzania danych wynika z ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Za przetwarzanie danych bez upoważnienia grozi z reguły grzywna, a w przy padku notorycznego łamania przepisów – nawet do dwóch lat więzienia (art. 49 ustawy o ochronie danych osobowych). Administrator zbioru danych (właściciel placówki, prezes), który umożliwia dostęp do nich osobom nieupoważnionym albo nie zabezpiecza ich odpowiednio, również może być pociągnięty do odpo wiedzialności (szerzej o odpowiedzialności w rozdziale 2). Najlepszym sposobem na zabezpieczenie się przed nieprawidłowym przetwarza niem danych są szkolenia dla pracowników. Przepisy wspomnianej ustawy nie precyzują trybu i częstotliwości organizowania takich kursów. Jednak to w inte resie administratora danych (właściciela placówki) jest poinformowanie wszyst kich pracowników o obowiązujących przepisach. Administrator danych odpo wiedzialny jest też za późniejsze kontrolowanie sposobu przetwarzania danych i w razie potrzeby skorygowanie błędów. Warto więc żeby szkolenia takie odby wały się regularnie, w zależności od zauważonych potrzeb. Stałe edukowanie użytkowników jest podstawowym sposobem na zminimalizowanie ryzyka wy cieku informacji wrażliwych z systemów informatycznych. 5 Ochrona danych medycznych według najnowszych przepisów Jak rozróżnić administratorów w placówce? W podmiocie medycznym zazwyczaj występuje trzech różnych administrato rów odpowiedzialnych za przetwarzanie danych: ▶▶ Administrator danych – organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych, np. szpital lub przy chodnia reprezentowana przez właściciela (dyrektora, prezesa itd.). ▶▶ Administrator bezpieczeństwa informacji (ABI) – osoba wyznaczona przez administratora danych, nadzorująca przestrzeganie zasad ochrony prze twarzanych danych osobowych i informacji chronionych prawem. ▶▶ Administrator systemu informatycznego (ASI) – informatyk wyznaczony przez administratora danych, odpowiedzialny za poprawne funkcjonowanie sprzętu, oprogramowania i jego konserwację, za techniczno-organizacyjną obsługę systemu teleinformatycznego. Za organizację szkoleń powinien odpowiadać (wyznaczony przez administratora danych) administrator bezpieczeństwa informacji (ABI). Może je prowadzić samo dzielnie lub też korzystać z pomocy specjalistów – praktyków w konkretnych zagadnieniach. Dopuszczalne jest również wysyłanie kierowników działów na szkolenia i konferencje otwarte. Muszą oni jednak później samodzielnie prze szkolić z tego zakresu swoich pracowników. Nieodzowne są natomiast szkolenia stanowiskowe, czyli przy komputerze użyt kownika, przeprowadzane przez informatyka – administratora systemu infor matycznego (ASI). Informatyk, na komputerze obsługiwanym na co dzień przez pracownika, powinien pokazać, jak w praktyce chronić dane m.in. poprzez system logowania i cyklicznych zmian haseł. Każdy użytkownik systemu informatycz nego przetwarzającego dane osobowe powinien mieć umiejętność bezpiecznej obsługi komputera oraz posiadać dobrą znajomość oprogramowania systemo wego i operacyjnego, z którego będzie korzystał. Liczy się przede wszystkim praktyczna wiedza i umiejętność jej stosowania. Dowodem na przeszkolenie pracownika jest podpisana lista obecności ze szkolenia oraz pisemne oświadczenie pracownika o tym, że został zaznajomiony z zasadami ochrony danych osobowych. Nadanie uprawnień do przetwarzania informacji Po odbyciu przeszkolenia pracownicy powinni otrzymać upoważnienia do prze twarzania danych. Muszą je dostać wszystkie osoby zatrudnione przy przetwa 6 Praca zbiorowa pod redakcją Mariusza Jendry Ochrona danych medycznych według najnowszych przepisów Ochrona danych medycznych według najnowszych przepisów UOV13 25 praktycznych porad Cena: 69 zł