Rozporządzenie ogólne o ochronie danych oraz planowane kontrole w placówkach medycznych – te dwa tematy dominowały w trakcie zorganizowanych przez Generalnego Inspektora Ochrony Danych Osobowych szkoleń dla osób odpowiedzialnych za bezpieczeństwo danych w placówkach medycznych, które odbyły się w dniach 1-2 marca 2017 r. Jednym z prelegentów był prawnik JAMANO, Adam Klimowski. Jakim kwestiom poświęcone było szkolenie GIODO? Odpowiedź w najnowszym artykule!
Generalny Inspektor Ochrony Danych Osobowych jest świadomy istotnej roli, jaką administratorzy bezpieczeństwa informacji (ABI) odgrywają w zapewnieniu należytej ochrony danych w firmach, przedsiębiorstwach czy instytucjach. Dlatego regularnie organizowane są szkolenia, mające na celu poszerzenie teoretycznej i praktycznej wiedzy osób odpowiedzialnych za bezpieczeństwo informacji. Na początku marca takie właśnie zajęcia zorganizowano dla ABI z branży medycznej.
„Nowa rola administratorów bezpieczeństwa informacji w sektorze ochrony zdrowia w świetle krajowych i unijnych przepisów o ochronie danych osobowych” – tak brzmiał tytuł dwóch jednodniowych szkoleń w GIODO, na które do Warszawy zjechało blisko czterystu ABI z całej Polski. Każde ze szkoleń było zorganizowane w sposób następujący: w pierwszej części prelegentami byli pracownicy Biura GIODO, a dominowała tematyka wpływu przepisów unijnego rozporządzenia ogólnego o ochronie danych (RODO) na obowiązki ABI. Natomiast w drugiej części swoim doświadczeniem i sposobami na przygotowanie do RODO dzielili się praktycy – osoby pełniące funkcję ABI w placówkach medycznych.
Oto najważniejsze naszym zdaniem zmiany, jakie przyniesie RODO, a o których mówiono w trakcie szkolenia jako szczególnie ważnych dla placówek medycznych:
- Danymi wrażliwymi będą już nie tylko informacje o zdrowiu fizycznym lub psychicznym konkretnej osoby, ale także dane o korzystaniu z usług opieki zdrowotnej. Już sama informacja o tym, że pewna osoba leczy się u danego lekarza będzie zatem uznawana za daną dotyczącą zdrowia i tym samym powinna być szczególnie chroniona. Może to oznaczać konieczność wprowadzenia dodatkowych zabezpieczeń w systemach informatycznych wykorzystywanych do obsługi pacjentów lub wykazania przez dostawcę systemu, że wdraża odpowiednie zabezpieczenia w ochronie danych. Może jednak także mieć wpływ na tak prozaiczne kwestie jak… wywoływanie pacjentów przez lekarzy.
- Obecnie każda placówka medyczna samodzielnie decyduje o tym, czy chce powołać ABI, służącego jej pomocą w zakresie ochrony danych osobowych. GIODO podkreśla, że po 25 maja 2018 r. wyznaczenie ABI (a dokładnie inspektora ochrony danych – IOD) będzie obowiązkiem wszystkich podmiotów, których główna działalność polega na przetwarzaniu na dużą skalę danych osobowych wrażliwych. Oznacza to, że zdecydowana większość klinik, przychodni, szpitali itp. placówek medycznych będzie musiała powołać inspektora. Zakres zadań inspektora będzie też dużo szerszy od listy obowiązków ABI, ponieważ m.in. to inspektor będzie oceniał procesy przetwarzania danych pod kątem ich zgodności. IOD stanie się głównym „łącznikiem” pomiędzy organem nadzorczym i administratorem danych.
- W razie wystąpienia sytuacji, w której doszło do naruszenia zasad ochrony danych osobowych (np. awarii serwera będącej rezultatem ataku hakerskiego lub włamania do archiwum) placówka medyczna będzie musiała bez zbędnej zwłoki poinformować o tym fakcie zarówno osoby, których dotyczą dane (np. pacjentów, których dokumentacja medyczna została skradziona), jak i GIODO (co do zasady nie dłużej niż w ciągu 3 dni kalendarzowych!). Administratorzy danych, którzy wyznaczą inspektora, właśnie od niego będą mogli oczekiwać, że w odpowiednim czasie zgłosi on w ich imieniu naruszenia do organu nadzorczego oraz pomoże im w takiej organizacji wewnętrznych procesów, aby placówka realizowała zadania nałożone przez nowe przepisy.
- Istotną częścią informatyzacji służby zdrowia będzie posługiwanie się elektroniczną dokumentacją medyczną. W sytuacji, w której pacjent będzie wnioskował o udostępnienie mu takiej dokumentacji środkami komunikacji elektronicznej (np. e-mailem), konieczne będzie odpowiednie zabezpieczenie wysyłki m.in. poprzez autoryzację odbiorcy, potwierdzenie odbioru oraz szyfrowanie treści wiadomości e-mail. Oznaczać to będzie nowe obowiązki zarówno dla placówki medycznej, jak i dla jej inspektora ochrony danych.
- Zasada uwzględniania ochrony danych osobowych na etapie projektowania (ang. privacy by design) będzie równoznaczna z koniecznością angażowania ABI (przyszłego IOD) w każde nowe przedsięwzięcie czy projekt placówki medycznej, który jest związany z tematem ochrony danych osobowych czy bezpieczeństwa informacji. Przykładowo konsultacji z inspektorem będzie wymagało wprowadzenie internetowej rejestracji pacjentów, kupno oprogramowania antywirusowego czy wybór firmy zajmującej się utylizacją zbędnej papierowej dokumentacji.
W drugiej części szkolenia swoimi najlepszymi praktykami w zakresie przygotowań do RODO dzielili się zaproszeni przez Generalnego Inspektora administratorzy bezpieczeństwa informacji. Jednym z nich był prawnik JAMANO, Adam Klimowski.
Nasz kolega w swoim wystąpieniu zwrócił uwagę, że wszystkie obowiązki ABI, zarówno obecne, jak i te, które przyniesie rozporządzenie ogólne o ochronie danych, są łatwiejsze do spełnienia, jeżeli w temat bezpieczeństwa informacji zaangażują się wszystkie przeszkolone i upoważnione do przetwarzania danych osoby. „ABI może się dwoić i troić, ale nie zabezpieczy interesu placówki medycznej, jeżeli każdy z pracowników nie będzie świadomy swej własnej, indywidualnej odpowiedzialności za bezpieczeństwa informacji.” – podkreślił Adam.