Obowiązki lekarza, lekarza dentysty wykonującego działalność
Transkrypt
Obowiązki lekarza, lekarza dentysty wykonującego działalność
Obowiązki lekarza, lekarza dentysty wykonującego działalność leczniczą w ramach praktyki zawodowej związane z ochroną danych osobowych Podstawa prawna: - ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, - ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, - rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania, - rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, - rozporządzenie Ministra Zdrowia z dnia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania. 1. Administrator danych Lekarz, lekarz dentysta wykonujący działalność leczniczą w ramach praktyki zawodowej jest administratorem danych w rozumieniu ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Administrator danych jest osobą decydującą o celach i środkach przetwarzania danych osobowych. Obowiązki administratora danych: · obowiązek informacyjny wypełniany przy zbieraniu danych osobowych, · szczególna staranność przy przetwarzaniu danych osobowych w celu ochrony interesów osób, których dane przetwarza, · udzielanie informacji o zakresie przetwarzanych danych osobowych, · obowiązek uzupełniania, uaktualnienia, sprostowania danych, czasowego lub stałego wstrzymania przetwarzania kwestionowanych danych lub ich usunięcia ze zbioru, gdy zażąda tego osoba, której dane są przetwarzane przez administratora, · obowiązek stosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, · kontrola, jakie dane, kiedy i przez kogo zostały wprowadzone do zbioru i komu są przekazywane, · prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych, · zgłaszanie zbioru do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych w przypadkach przewidzianych prawem (nie dotyczy zbiorów danych będących dokumentacją medyczną). 2. Gromadzenie i przetwarzanie danych w ramach prowadzenia dokumentacji medycznej Jedną z form przetwarzania danych osobowych jest prowadzenie dokumentacji medycznej. Podmioty wykonujące działalność leczniczą są obowiązane prowadzić dokumentację medyczną osób korzystających ze świadczeń zdrowotnych na zasadach określonych w ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta (Dz. U. z 2009 r. Nr 52, poz. 417 z późn. zm.). Podmioty wykonujące działalność leczniczą zapewniają ochronę danych zawartych w tej dokumentacji. Dokumentacja medyczna zawiera zatem dane osobowe pacjenta, w tym dane o jego stanie zdrowia, które podlegają szczególnej ochronie prawnej. Przetwarzanie tych danych, w tym także ich udostępnianie, może mieć miejsce albo tylko za zgodą osoby, której dotyczą albo w przypadkach wymienionych w art. 26 ustawy prawach pacjenta i Rzeczniku Praw Pacjenta, który wymienia przypadki zgodnego z prawem przekazania informacji objętych tą dokumentacją. Uwaga 1) zbiór danych osobowych gromadzony w ramach dokumentacji medycznej nie podlega zgłoszeniu do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych; 2) nie ma obowiązku uzyskiwania zgody pacjenta na przetwarzanie danych osobowych zawartych w dokumentacji medycznej w celach świadczenia usług medycznych; 3) przetwarzanie ww. danych w innym celu wymaga zgody pacjenta. 3. Sposób zabezpieczenia danych osobowych przez lekarza, lekarza dentystę wykonującego praktykę zawodową. Lekarz, lekarz dentysta jako administrator danych osobowych ma obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności obowiązek zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych został zobowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki, o których mowa powyżej, a także do wyznaczenia administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, jeżeli sam nie wykonuje tych czynności. Ww. obowiązek obejmuje: · poinformowanie pacjentów o nazwie praktyki lekarskiej, jej adresie, celu zbierania danych osobowych, prawie dostępu do treści swoich danych, · wdrożenie polityki bezpieczeństwa, · wdrożenie instrukcji zarządzania systemem informatycznym ( jeśli taki jest), który służy przetwarzaniu danych pacjentów, · wdrożenie środków technicznych i organizacyjnych – mających na celu realizację powyższych punktów, · w przypadku zatrudniania personelu pomocniczego, przygotowanie imiennych upoważnień dostępu do danych osobowych z określeniem zakresu dostępu, jak również ewidencji osób upoważnionych. Przy konstruowaniu dokumentu, polityki bezpieczeństwa należy uwzględnić w szczególności następujące elementy : · wykaz budynków i pomieszczeń gdzie dane osobowe są przetwarzane, · wykaz zbiorów danych osobowych, wraz ze wskazaniem narzędzi informatycznych używanych do zarządzania zbiorami, · opis struktury danych dokumentacji medycznej, który określa jakie pola informacyjne wypełnia pacjent. Jeśli dodatkowo lekarz w gabinecie prowadzi dokumentację medyczną pacjenta w formie elektronicznej powstaje konieczność przygotowania instrukcji przetwarzania danych: Przy redagowaniu takiej instrukcji należy uwzględnić w szczególności następujące elementy: · procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności; · stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem; · procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu; · procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania; · · sposób, miejsce i okres przechowywania: o elektronicznych nośników informacji zawierających dane osobowe, o kopii zapasowych, o których mowa w tirecie 4, sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego · sposób odnotowania informacji o odbiorcach, w rozumieniu art. 7 pkt 6 ustawy, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych; · procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. Ponadto wskazane jest wdrożenie środków technicznych polegających na : · zabezpieczeniu obszaru przetwarzania danych osobowych przed dostępem osób nieupoważnionych, · stosowanie systemów podtrzymywania napięcia lub innych metod zapobiegających nagłej utracie danych, · stosowanie wieloznakowego hasła dostępu, · stosowania szyfrowania danych w przypadku przesyłania ich za pomocą publicznej sieci internetowej. Naruszenie przepisów o ochronie danych osobowych może narazić administratora danych na odpowiedzialność administracyjną przed GIODO, jak i karną, stosownie do przepisów karnych ustawy o ochronie danych osobowych. Kwestie związane z zabezpieczeniem dokumentacji medycznej prowadzonej w postaci elektronicznej uregulowane są również rozporządzeniu Ministra Zdrowia z dnia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania. Zgodnie z § 86 tego rozporządzenia dokumentację prowadzoną w postaci elektronicznej uważa się za zabezpieczoną, jeżeli w sposób ciągły są spełnione łącznie następujące warunki: · jest zapewniona jej dostępność wyłącznie dla osób uprawnionych; · jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem; · są zastosowane metody i środki ochrony dokumentacji, których skuteczność w czasie ich zastosowania jest powszechnie uznawana. Zabezpieczenie dokumentacji prowadzonej w postaci elektronicznej wymaga w szczególności: · systematycznego dokonywania analizy zagrożeń; · opracowania i stosowania procedur zabezpieczania dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania; · stosowania środków bezpieczeństwa adekwatnych do zagrożeń; · bieżącego kontrolowania funkcjonowania wszystkich organizacyjnych i technicznoinformatycznych sposobów zabezpieczenia, a także okresowego dokonywania oceny skuteczności tych sposobów; · przygotowania i realizacji planów przechowywania dokumentacji w długim czasie, w tym jej przenoszenia na nowe informatyczne nośniki danych i do nowych formatów danych, jeżeli tego wymaga zapewnienie ciągłości dostępu do dokumentacji. Zgodnie z ww. rozporządzeniem ochronę informacji prawnie chronionych zawartych w dokumentacji prowadzonej w postaci elektronicznej realizuje się z odpowiednim stosowaniem zasad określonych w odrębnych przepisach, przez które należy rozumieć m.in. wymienione na wstępie przepisy dotyczące ochrony danych osobowych. Załączniki: 1) Apel Naczelnej Rady Lekarskiej z dnia 18 maja 2012 r. 2) Link do opracowania GIODO - Wytyczne w zakresie opracowania i wdrożenia polityki bezpieczeństwa: http://www.giodo.gov.pl/222/ Opracowały: Anna Pogorzelska - administrator bezpieczeństwa informacji Naczelnej Izby Lekarskiej Anna Miszczak - radca prawny Zespołu Radców Prawnych Naczelnej Izby Lekarskiej