Ochrona danych medycznych w 2015 r. Prawo, praktyka, wzory dokumentów według najnowszych przepisów - ebook
Ochrona danych medycznych w 2015 r. Prawo, praktyka, wzory dokumentów według najnowszych przepisów - ebook
Spis treści
I. ZMIANY PRAWNE W OCHRONIE DANYCH OSOBOWYCH OBOWIĄZUJĄCE OD 1 STYCZNIA 2015 R.
II. KONTROLA BEZPIECZEŃSTWA DANYCH MEDYCZNYCH
1. Jak wygląda kontrola Generalnego Inspektora Ochrony Danych Osobowych
2. 13 obszarów ochrony danych podlegających kontroli inspektorów GIODO
3. Jak przygotować się do kontroli inspektorów ochrony danych osobowych
4. Procedura na wypadek naruszenia bezpieczeństwa danych
III. PORADY PRAWNE ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W PLACÓWCE MEDYCZNEJ
1. Jak zabezpieczyć placówkę przed wyciekiem danych medycznych
2. Ochrona serwerów placówki przed atakiem hakerów
3. Czy można gromadzić dane osobowe bez zgody pacjenta
4. Jak nie naruszać intymności pacjenta
5. Czy upoważniony może usunąć swoje dane z dokumentacji medycznej
6. Czy upoważnienie może dotyczyć tylko części dokumentacji medycznej
7. Czy placówki mogą zbierać dane „na zapas”
8. Jakość wpisów w dokumentacji medycznej – „niemy świadek” procesu leczenia
9. Kary za zgubienie dokumentacji medycznej
10. Ubezpieczyciel może żądać dokumentacji zmarłego pacjenta
11. Zawartość umowy o powierzenie danych podmiotowi trzeciemu (firmie przechowującej dane)
IV. PRAKTYKA OCHRONY DANYCH – ODPOWIEDZI NA NAJCZĘŚCIEJ ZADAWANE PYTANIA
1. Upoważnienie do przetwarzania danych
Czy informatyk może mieć dostęp do dokumentacji medycznej Jak się zabezpieczyć przed nieoczekiwaną nieobecnością głównego informatyka
Czy upoważnienie do przetwarzania danych osobowych może być wydane w formie służbowego e-maila, który byłby następnie zachowany w celach dowodowych
Czy recepcjonistka lub asystentka wydająca lub wypisująca wyniki badań musi mieć upoważnienie do przetwarzania danych osobowych
Czy serwisant z firmy zewnętrznej mający dostęp do sprzętu medycznego, np. tomografu lub aparatów usg, ma mieć upoważnienie do przetwarzania danych
Czy wolontariusze to osoby upoważnione do przetwarzania danych, czy nadaje się im upoważnienia do przetwarzania danych osobowych
Czy osoba, która zajmuje się przetargami i przygotowuje różne oferty, powinna mieć nadane upoważnienie do przetwarzania danych
Czy szkolenia z zakresu ochrony danych dla personelu są obowiązkowe
Czy każdy pracownik placówki ochrony zdrowia musi posiadać upoważnienie do przetwarzania danych osobowych i czy to musi być osobny, szczegółowy dokument
2. Potwierdzenie tożsamości
Jak zidentyfikować i potwierdzić tożsamość osoby dzwoniącej do placówki ochrony zdrowia, która pyta o wyniki swoich badań
Pracuję w Zakładzie Lecznictwa Odwykowego. Bardzo często dzwonią do nas kuratorzy sądowi, policja, sąd czy też rodziny pacjentów z pytaniem, czy wymieniony z nazwiska Pan/Pani u nas przebywa.
Czy odpowiedź na zasadzie tak/nie bez podania jakichkolwiek innych danych o leczeniu jest naruszeniem ustawy
3. Ochrona danych lekarzy
Czy na stronie internetowej przychodni można zamieścić zdjęcia zatrudnionych lekarzy
Czy miesięczne wynagrodzenie dyrektora szpitala to informacja publiczna
4. Przenoszenie i wydawanie dokumentacji
Czy zakład opieki zdrowotnej może odmówić mężowi wydania dokumentacji medycznej dotyczącej żony
Pacjent, w związku ze zmianą miejsca zamieszkania, chce przenieść się do innej przychodni. Zażądał, aby nasza placówka przekazała jego dotychczasową dokumentację medyczną do nowej przychodni. Dodam, że nasz podmiot jeszcze nie wdrożył elektronicznej dokumentacji medycznej, więc wszystkie dane przechowywane są w formie papierowej. Czy jego roszczenie jest zasadne
5. Zgoda pacjenta
Czy pacjent może wyrazić zgodę na leczenie, jednocześnie nie wyrażając zgody na przetwarzanie jego danych
Czy osoba rejestrująca się w przychodni może odmówić podania numeru PESEL
Czy na wysłanie maila lub sms-a z przypomnieniem o zaplanowanej wizycie u lekarza potrzebna jest pisemna zgoda pacjenta
6. Prawo do informowania
Czy osoba żyjąca w konkubinacie lub związku nieformalnym np. homoseksualnym, może być poinformowana o stanie zdrowia osoby jej bliskiej przebywającej w szpitalu
7. Rejestracja zbiorów danych osobowych
Czy podmioty udzielające świadczeń zdrowotnych mają obowiązek rejestracji zbiorów danych osobowych swoich pacjentów u Generalnego Inspektora Ochrony Danych Osobowych
8. Powierzenie przetwarzania danych
Lekarz prowadzący własną praktykę na podstawie umowy zlecenia wykonuje badania genetyczne pacjentom szpitala. Używa w tym celu własnego komputera i programu. Wyniki badań są zapisywane na jego twardym dysku. Jak to uregulować formalnie i zgodnie z przepisami związanymi z ochroną danych osobowych i prawami pacjenta
Czy dyrektor szpitala może przekazać dane osobowe pacjentów do przyszpitalnej szkoły
Czy z zewnętrznym laboratorium lub inną specjalistyczną placówką medyczną wykonującą usługi dla administratora danych potrzebna jest umowa powierzenia
9. Polityka haseł
Czy dyrektor szpitala lub inny administrator danych może mieć u siebie zdeponowane hasła użytkowników, na wypadek gdy pracownik zapomni swojego
Czy polityka haseł opisana w „Instrukcji zarządzania systemem informatycznym” administratora danych może narzucać obowiązek zmiany hasła co 60 lub 90 dni
Czy w przypadku umowy o serwis oprogramowania lub urządzeń medycznych pracownicy serwisujący mogą korzystać z haseł naszych pracowników w ich obecności
10. Naruszenie ochrony danych
Czy naruszenie ochrony danych w placówce leczniczej trzeba zgłaszać do Generalnego Inspektora Ochrony Danych Osobowych lub innego organu
11. Udostępnienie informacji
Czy zakład pracy może zwrócić się do ZOZ-u z prośbą o udostępnienie informacji dotyczącej stanu zdrowia pracownika na potrzeby prowadzonego postępowania powypadkowego
12. Rola ABI
Czy ABI to wyodrębniony etat i samodzielne stanowisko pracy
13. Ochrona wizerunku (monitoring)
Czy w przypadku stosowania monitoringu wizyjnego w sali dzieci młodszych oddziału dziecięcego lub na oddziale porodowym należy uzyskać zgodę rodziców na przetwarzanie wizerunku ich dzieci
14. Przechowywanie i zabezpieczenie dokumentacji
Z czego wynika i w jakim celu narzucony jest obowiązek inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania danych osobowych i medycznych
Czy papierową dokumentację medyczną należy przechowywać w metalowych szafach
Jakie przepisy prawa mówią o tym, że papierowa dokumentacja medyczna musi być przechowywana w zamkniętych metalowych szafach
15. Przetwarzanie danych
Czy dopuszczalne jest umieszczanie przed gabinetami lekarskimi list z nazwiskami pacjentów zapisanych na dany dzień na wizytę lekarską
Czy w dokumentacji medycznej można przechowywać ksero dowodu osobistego lub paszportu pacjenta
V.WZORY FORMULARZY
Upoważnienie do przetwarzania danych osobowych
Ewidencja osób upoważnionych do przetwarzania danych
Oświadczenie o upoważnieniu osoby bliskiej do zasięgania informacji o stanie zdrowia
Oświadczenie o braku upoważnienia do zasięgania informacji o stanie zdrowia
Upoważnienie do dostępu do dokumentacji medycznej
Jawny wykaz zbiorów danych osobowych
Roczny program sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych
VI. PODSTAWA PRAWNA
| Kategoria: | Inne |
| Zabezpieczenie: |
Watermark
|
| ISBN: | 978-83-269-3759-0 |
| Rozmiar pliku: | 195 KB |
FRAGMENT KSIĄŻKI
Od 1 stycznia 2015 r. obowiązuje ustawa z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej, przyjęta w ramach tzw. IV pakietu deregulacyjnego, która wprowadziła zmiany w ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych.
Nowe zasady ochrony danych osobowych dotyczą przede wszystkim: zmiany statusu administratorów bezpieczeństwa informacji (ABI), którzy staną się wewnętrznymi inspektorami ochrony danych i będą nadzorować proces przetwarzania danych w firmie, zwolnienia z obowiązku zgłaszania zbiorów danych do GIODO w określonych przypadkach i ułatwienia transferu danych do państw trzecich.
Najważniejsze zmiany praktyczne dotyczą jednak roli ABI oraz jego nowych zadań w organizacji.
Powołanie i zgłoszenie administratora bezpieczeństwa informacji
Artykuł 36a ustawy o ochronie danych osobowych mówi, że administrator danych, np. kierownik placówki medycznej, może powołać administratora bezpieczeństwa informacji. Oznacza to, że nie ma już bezpośredniego obowiązku jego powoływania. Jednak zgodnie z brzmieniem art. 36b w przypadku niepowołania administratora bezpieczeństwa informacji zadania ABI wykonuje administrator danych. W obu przypadkach musi więc w organizacji być ktoś, kto zapewni przestrzeganie przepisów o ochronie danych osobowych. Natomiast powołując administratora bezpieczeństwa informacji i zgłaszając taką osobę do Generalnego Inspektora Ochrony Danych Osobowych (GIODO), administrator danych będzie zwolniony z niektórych obowiązków.
+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Pamiętaj! |
| |
| ABI powołany przed 1 stycznia 2015 r. powinien zostać zgłoszony do rejestru GIODO do 30 czerwca. Jeżeli nie zostanie zgłoszony – to jego zadania przejmuje administrator danych osobowych – czyli szef (właściciel, dyrektor) placówki. |
+-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
Administrator danych jest zobowiązany zgłosić do rejestracji Generalnemu Inspektorowi powołanie i odwołanie administratora bezpieczeństwa informacji w terminie 30 dni od dnia jego powołania lub odwołania. Generalny Inspektor prowadzi ogólnokrajowy, jawny rejestr administratorów bezpieczeństwa informacji. Wykreślenie ABI z rejestru następuje po powiadomieniu GIODO przez administratora danych o odwołaniu. Generalny Inspektor może również z urzędu wydać administratorowi danych decyzję o wykreśleniu administratora bezpieczeństwa informacji z rejestru, jeżeli dany ABI nie spełnia określonych warunków lub nie wykonuje swoich zadań.
Sprawdzanie zgodności przetwarzania danych osobowych
Do zadań administratora bezpieczeństwa informacji należą m.in.: sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla administratora danych. ABI wprawdzie zawsze miał to robić, ale teraz obowiązek audytu wewnętrznego, sprawdzeń i sporządzania rocznych sprawozdań został szczegółowo określony.
Powstał projekt rozporządzenia ministra administracji i cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych. Projekt ten określa tryb i sposób sprawdzania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz opracowania sprawozdania w tym zakresie. Wprawdzie trwają jeszcze konsultacje tego dokumentu, ale najpewniej treść przedstawiona na stronach MAiC już bez większych zmian wejdzie w życie.
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Pamiętaj! |
| |
| Generalny Inspektor może zwrócić się do administratora bezpieczeństwa informacji (ale tylko wpisanego do rejestru GIODO) o dokonanie sprawdzenia w danej placówce „zgodności przetwarzania danych osobowych z przepisami” – wskazując zakres i termin sprawdzenia. |
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
W projekcie opisano czynności, jakie należy podjąć w ramach sprawdzenia i w celu zweryfikowania zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych. Sprawdzenie ma być dokonywane dla administratora danych, a czasami dla Generalnego Inspektora. Sprawdzenie dla administratora danych ma mieć charakter sprawdzenia planowego – według planu sprawdzeń przygotowanego przez administratora bezpieczeństwa informacji lub sprawdzenia pozaplanowego – w przypadku wystąpienia naruszenia ochrony danych osobowych.
Dzięki temu GIODO nie musi już osobiście (czyli w praktyce przez swoich inspektorów) odwiedzać z kontrolą administratora danych – wystarczy, że otrzyma wyczerpujące odpowiedzi w danej sprawie od ABI. Dotyczy to jednak administratora danych, który powołał administratora bezpieczeństwa informacji i zgłosił go do GIODO. Zgłoszeń można dokonywać już od 1 stycznia 2015 r. na podstawie rozporządzenia ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji. Administratorzy bezpieczeństwa informacji obecnie pełniący tę funkcję również będą musieli być zgłoszeni przez administratora danych do Generalnego Inspektora. Do 28 stycznia 2015 r. – kiedy to obchodzony jest dzień ochrony danych osobowych – zgłoszonych do rejestru GIODO było 100 administratorów.
Nadzorowanie opracowania i aktualizowania dokumentacji
Kolejnym zadaniem ABI jest nadzorowanie opracowania i aktualizowania dokumentacji, tj. Polityki bezpieczeństwa i Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych oraz przestrzegania zasad w niej określonych. Chodzi o to, aby dokumentacja była kompletna, zgodna z obowiązującymi przepisami oraz opisywała stan faktyczny w zakresie przetwarzania danych osobowych.
+-------------------------------------------------------------------------------------------------------------+
| Pamiętaj! |
| |
| Na Politykę bezpieczeństwa informacji może składać się wiele różnych instrukcji, procedur, regulaminów itd. |
+-------------------------------------------------------------------------------------------------------------+
Z zasadami określonymi w Polityce bezpieczeństwa informacji oraz z przepisami ochrony danych ABI ma obowiązek zapoznać wszystkie osoby upoważnione do przetwarzania danych osobowych.
W jaki sposób to zrobi, to już kwestia wtórna. Może zorganizować szkolenie, instruktaż, odesłać do dokumentacji, przeprowadzić szkolenie online itp. Po jego odbyciu powinien pobrać od współpracowników oświadczenia o zapoznaniu się z obowiązującymi przepisami odnośnie do ochrony danych.
Natomiast podmioty wykonujące zadania publiczne są zobowiązane do zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak zagrożenia bezpieczeństwa informacji, skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna, stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich. Obowiązek ten wynika z § 20 ust. 2 pkt 6 rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Zwolnienie z obowiązku rejestrowania zbiorów danych u GIODO
Administrator danych, który powoła administratora bezpieczeństwa informacji, będzie zwolniony z obowiązku rejestrowania zbiorów danych u GIODO, z wyjątkiem zbiorów zawierających dane wrażliwe, a podlegających zgłoszeniu. Obowiązek prowadzenia jawnego rejestru zbiorów jest zadaniem ABI. Jawnego, czyli na przykład opublikowanego na stronie internetowej administratora danych lub dostępnego na żądanie osoby, której dane dotyczą. W przygotowaniu i konsultacjach jest także rozporządzenie ministra administracji i cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.
Niezależność i skuteczność ABI
W zmienionych przepisach dużą wagę kładzie się na niezależność i skuteczność administratora bezpieczeństwa informacji. Artykuł 36a ust. 4 mówi, że administrator danych może powierzyć administratorowi bezpieczeństwa informacji wykonywanie innych obowiązków, jeżeli nie naruszy to prawidłowego wykonywania zadań określonych w przepisach. Kolejne ustępy 7 i 8 mówią, że administrator bezpieczeństwa informacji podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych.
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
| Pamiętaj! |
| |
| Administrator danych osobowych – to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych, np. szpital lub przychodnia reprezentowana przez dyrektora. |
+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
Administrator danych zapewnia środki i organizacyjną odrębność administratora bezpieczeństwa informacji niezbędne do niezależnego wykonywania przez niego zadań. Tym samym ABI powinien w strukturze organizacyjnej zajmować pozycję pozwalającą mu na skuteczne egzekwowanie przestrzegania przepisów ochrony danych.
Darmowy fragmentVI. PODSTAWA PRAWNA
- Ustawa z 14 czerwca 1960 r. – Kodeks postępowania administracyjnego (tekst jedn.: Dz.U. z 2013 r. poz. 267).
- Ustawa z 23 kwietnia 1964 r. – Kodeks cywilny (tekst jedn.: Dz.U. z 2014 r. poz. 121).
- Ustawa z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty (tekst jedn.: Dz.U. z 2011 r. nr 277, poz. 1634 ze zm.).
- Ustawa z 6 czerwca 1997 r. – Kodeks karny (Dz.U. z 1997 r. nr 88, poz. 553 ze zm.).
- Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2014 r. poz. 1182 ze zm.).
- Ustawa z 22 maja 2003 r. o działalności ubezpieczeniowej (tekst jedn.: Dz.U. z 2013 r. poz. 950).
- Ustawa z 2 lipca 2004 r. o swobodzie działalności gospodarczej (tekst jedn.: Dz.U. z 2013 r. poz. 672).
- Ustawa z 27 sierpnia 2004 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (tekst jedn.: Dz.U. z 2008 r. nr 164, poz. 1027 ze zm.).
- Ustawa z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (tekst jedn.: Dz.U. z 2012 r. poz. 159 ze zm.).
- Ustawa z 15 kwietnia 2011 r. o działalności leczniczej (tekst jedn.: Dz.U. z 2013 r. poz. 217 ze zm.).
- Ustawa z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz.U. nr 113, poz. 657 ze zm.).
- Ustawa z 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. z 2014 r. poz. 1662).
- Rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. nr 100, poz. 1024).
- Rozporządzenie ministra zdrowia z 6 maja 2008 r. w sprawie ogólnych warunków umów o udzielanie świadczeń opieki zdrowotnej (Dz.U. nr 81, poz. 484).
- Rozporządzenie ministra zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (tekst jedn.: Dz.U. z 2014 r. poz. 177 ze zm.).
- Rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z 2012 r. poz. 526).
- Rozporządzenie ministra zdrowia z 26 czerwca 2012 r. w sprawie szczegółowych wymagań, jakim powinny odpowiadać pomieszczenia i urządzenia podmiotu wykonującego działalność leczniczą (Dz.U. z 2012 r. poz. 739).
- Rozporządzenie ministra zdrowia z 11 grudnia 2012 r. w sprawie sposobu i trybu przeprowadzania kontroli podmiotów prowadzących bazy danych w zakresie ochrony zdrowia (Dz.U. z 2012 r. poz. 1458).
- Rozporządzenie ministra administracji i cyfryzacji z 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. z 2014 r. poz. 1934).
- Projekt rozporządzenia ministra administracji i cyfryzacji w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych.
- Projekt rozporządzenia ministra administracji i cyfryzacji w sprawie sposobu prowadzenia przez administratora bezpieczeństwa informacji rejestru zbiorów danych.
