RRODO

Najciekawsze wydarzenia – marzec 2018

1
Shares
1
0
0
0
Podziel się

Na początku mały wstęp o aktualnej sytuacji. Dużo się dzieje. Dużo ostatnio mówię i myślę o chmurze, o czym świadczą chociażby spotkania – m.in z Piotrem Marczukiem z Microsoft w ramach Młodych Menadżerów Medycyny, konferencja Centrum Promocji Informatyki i tam prelekcja o chmurze, do tego artykuły na temat wykorzystania chmury w IT Professional oraz dla Menadżera Zdrowia. Obydwa ukażą się w marcu, jeden z nich mam już wydrukowany u siebie!

Myślę, że te wszystkie działania i wydarzenia potwierdzają, że chmura jest dobrym kierunkiem rozwoju placówek związanych z ochroną zdrowia. Tym bardziej w kontekście RODO ale o tym więcej będzie już niebawem – w ramach kodeksu RODO dla branży medycznej. Właśnie a propos i miękko przechodząc do tematu wpisu –

14 marca, Uczelnia Łazarskiego, ul. Świeradowska 43, Warszawa – konferencja RODO w Zdrowiu

na której zaprezentowana zostanie cześć kodeksu oraz stan prac nad nim. Zapisy na http://www.rodowzdrowiu.pl/

Oprócz tego mamy między innymi:

27 marca 2017 r. Auditorium Maximum Uniwersytetu Jagiellońskiego, Kraków – Międzynarodowe Forum Medycyny Personalizowanej

zapisy na: http://www.medycynapersonalizowana.pl/

8-10.03.2018, Katowice, II edycja Kongresu Wyzwań Zdrowotnych – Health Challenges Congress (HCC)

zapisy na: http://www.hccongress.pl/pl/

 

zapisy: https://www.termedia.pl/Konferencje?intro&e=724&p=4623

 

23.03.2018, Warszawa ,Kongres Innova Med Management

Zapisy: http://www.ibfgroup.pl/konferencje/fkzioz-innova-med-management-warszawa-23-03-2018/program-konferencji.html

 

Jeszcze z tematów chmurowych jakby ktoś był zainteresowany. 15 marca Public Cloud User Group robi Meetup w Warszawie. Jest jeszcze kilka miejsc: https://www.meetup.com/pl-PL/publiccloudpl/events/247707928/ . Jednym z prelegentów będzie kolega z branży – Vladimir Alekseichenko – Architect w GE Healthcare. Ja będę 🙂

 

W agendach troszkę o telemedycynie pod katem prawnym i technologicznym i dużo o bezpieczeństwie i RODO. Warto zerknąć bo pojawić wszędzie to się z pewnością nie da 🙂
1 Shares:
Share 1
Tweet 0
Pin it 0

4 comments
  1. Pingback: how to keto diet
  2. Pingback: how many eggs per day can someone eat on keto diet?
  3. Pingback: free gay dating forums
  4. Pingback: gay dating hiv positive
Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

— Previous article

Chmura w praktyce część 2 - bezpieczeństwo danych w chmurze (na przykładzie SQL databases w Azure)

Next article —

Najciekawsze wydarzenia - kwiecień 2018

You May Also Like
CChmura

Elektroniczne zwolnienia lekarskie – nowa metoda autoryzacji

Podziel się

ZUS nie próżnuje. Miesiąc temu udostępnił swój kanał autoryzacji do portalu umożliwiającego wystawianie lekarzom elektronicznych zwolnień lekarskich. Warto przypomnieć, że od 1 lipca 2018 roku  lekarze mają wystawiać zwolnienia tylko w formie elektronicznej. Biorąc pod uwagę to, że wielu lekarzy (chociażby w praktykach lekarskich) nie ma komputera, nie mówiąc już o systemie do elektronicznej dokumentacji jest to pewnie jakieś ułatwienie. Jedyne co trzeba zrobić to założyć sobie konto. Oficjalna instrukcja dostępna jest na YouTube . Sprawa jest prosta, podobnie jak w przypadku ePUAPu trzeba się pofatygować do urzędu. Po utworzeniu i weryfikacji konta generujemy sobie ważny 5 lat certyfikat, który zabezpieczamy hasłem i możemy go wykorzystywać do podpisywania zwolnień generowanych na portalu ZUS lub w aplikacji, której używamy w placówce (szczegóły tutaj).

Jakby ktoś nie wiedział (jest to niewykluczone biorąc pod uwagę, że w roku 2017 tylko około 3% zwolnień było wystawionych w formie elektronicznej) w skrócie obieg dokumentu wygląda tak, że lekarz przekazuje zaświadczenie lekarskie e-ZLA (po jego podpisaniu z wykorzystaniem certyfikatu z ZUS, kwalifikowanego certyfikatu lub profilu zaufanego ePUAP) elektronicznie do ZUS. ZUS udostępnia e-ZLA płatnikowi składek (np. pracodawcy) na jego profilu na PUE ZUS nie później niż w dniu następującym po dniu otrzymania e-ZLA (bez podawania numeru statystycznego choroby). Informacja ta jest przekazywana także ubezpieczonemu (m.in. pracownikowi) posiadającemu profil ubezpieczonego/świadczeniobiorcy na PUE ZUS. W przypadku gdy pracodawca nie posiada konta PUE ZUS niezbędne jest wydrukowanie zwolnienia dla pacjenta.

Dostawcy oprogramowania oczywiście udostępniają możliwość wystawiania zwolnień z poziomu swojego oprogramowywania (przynajmniej mają taką możliwość – szczegóły znajdują się tutaj).

Platforma daje także możliwość “elektronizacji” zwolnienia (nie lubię tego określenia) czyli wygenerowania sobie do druku formularzy zwolnień in blanco, żeby móc je wypisać np. w terenie gdzie nie ma Internetu. Dokumenty te można później uzupełnić na platformie ZUS.

Wszystkie filmy instruktażowe dotyczące “obsługi” elektronicznych zwolnień można znaleźć tutaj:

Generalnie kierunek myślenia jest dobry. Małymi kroczkami (zwolnienia, recepty) trzeba iść do przodu. Nie wiem czy akurat mnogość opcji autoryzacji jest dobrym pomysłem, chyba nie. W każdym razie trzeba zwrócić uwagę na jeden, najważniejszy w tym momencie fakt. Wszystkie te czynności, oczywiście potrzebne i wymagane, dostarczą dużo dodatkowej pracy lekarzom. Dla wprawnego “komputerowca” będzie to chwila ale rzesza środowiska nie jest aż tak “za pan brat” z technikaliami. To trochę błędne koło, bo teoretycznie systemy EDM mają te rzeczy automatyzować swoimi mechanizmami ale z drugiej strony jak ktoś ich (jeszcze?) nie używa to pewnie pójdzie ścieżką korzystania chociażby z portalu ZUS. Trochę się boję, że to wszystko będzie odbywało się kosztem czasu poświęcanego pacjentom. Jaki jest na to ratunek? Jeden – równoczesne prace nad automatyzacją pracy tych systemów. Tak aby lekarze poświęcali jak najmniej czasu ale jednocześnie robili także w tej materii to, co jest niezbędne. Niemożliwe? Oczywiście, że możliwe. Wzorców w innych krajach jest mnóstwo. Nic, tylko korzystać!

Widzę w tym wszystkim także jeszcze jeden problem. Mianowicie wszystkie te systemy cały czas nie są nastawione na bycie pro-pacjenckimi. Po co te zwolnienia? W dużej mierze po to, żeby była po prostu kontrola nad ich zasadnością itp. Pewnie to także jest potrzebne ale widzę trochę zatracenie w tym. Bo te wszystkie mechanizmy powinny służyć też pacjentom. A tutaj pacjent będzie miał z tego tyle, że nie będzie brał odpowiedzialności za niedostarczenie zwolnienia, którego dostarczanie przez niego jest przecież ogromnym absurdem..

WWydarzenia

Microsoft Healthcare Day

Podziel się

Miło mi poinformować, że w najbliższy wtorek – 5 czerwca będę miał przyjemność powiedzieć coś więcej o potrzebach szpitali w zakresie nowych technologii jako przedstawiciel Polskiej Federacji Szpitali podczas wydarzenia Microsoft Healthcare Day .

Jest to wydarzenie inaugurujące ścieżkę Startberry Digital Health dla startupów z sektora zdrowia. Bardzo się cieszę, że wydarzeń tego typu jest coraz więcej – potrzeby branży są ogromne więc pole do kreowania jest ogromne!

Ramowa agenda:

9.30 – 10.00 – Rejestracja
10.00 – 10.45 – Michał Jaworski, “Wpływ nowych regulacji (GDPR, NIS) na IT w medycynie”
10.45 – 11.30 – Waldemar Skrzypiec, “Azure jako platforma dla rozwiązań telemedycznych?”
11.30 – 11.45 – Przerwa kawowa
11.45 – 12.30 – Artur Pruszko, “Nowe kierunki rozwoju eZdrowia”
12.30 – 13.15 – Polska Federacja Szpitali, “Potrzeby szpitali w zakresie nowych technologi”
13.15 – 14.00 – Lunch
14.00 – 16.00 – Sesje tematyczne

Lokalizacja:

Startberry
ul. Grochowska 306/308, Warszawa

Bezpłatna rejestracja pod adresem: https://www.microsoftevents.com/profile/form/index.cfm?PKformID=0x4234341abcd

WWydarzenia

Wydarzenia – październik 2017

  • byadmin
  • 4 października 2017
Podziel się

Ogólnopolski Kongres Praw Pacjenta

Data: 19-21 października 2017

Miejsce: ul. Chłodna 51 00-867 Warszawa Google maps

Na tym wydarzeniu kilka prelekcji może nas zainteresować. Między innymi:

  • “Bezpieczeństwo danych pacjenta w nowoczesnej placówce medycznej”
  • “Poprawa jakości obsługi pacjenta dzięki nowym mediom i internetowi”
  • “Prawa pacjenta w obrębie dostępu do elektronicznej dokumentacji medycznej”

Pełna agenda i rejestracja dostępna jest tutaj.

V Międzynarodowe Targi Medyczne EXPO XXI Warszawa

Data: 19-21 października 2017

Miejsce: ul. Prądzyńskiego 12/14

WIHE Hospital to specjalistyczne wydarzenie o charakterze biznesowo-edukacyjnym, skierowane do lekarzy różnych specjalizacji, pielęgniarek i położnych, ratowników medycznych oraz kadry zarządzającej placówkami medycznymi. Jednocześnie jest to najbardziej ceniona w Polsce, międzynarodowa wystawa wyrobów i urządzeń medycznych oraz rozwiązań z zakresu telemedycyny. Warto zajrzeć!

 

Rejestracja dostępna pod adresem: http://wihehospital.pl/Dla-Odwiedzajacych/Rejestracja-online

Roboty zdrowotne i mobilne systemy wspomagające lekarza, pielęgniarkę, aptekarze

To kolejna edycja spotkać ekspertów IT przedstawiających stan wiedzy o rynku medycznym w kontekście rozwiązań informatycznych wspierających pracę lekarzy, pielęgniarek, aptekarzy i pacjentów. Organizowane przez firmę KamSoft.

Białystok– 03.10.2017, Hotel Wileński, ul. Knosały 5

Rzeszów – 10.10.2017, Hilton Garden Inn Rzeszów, ul. Kopisto 1

Kraków – 11.10.2017, Qubus Hotel, ul. Nadwiślańska 6

Szczecin – 17.10.2017, Hotel Dana, ul. Wyzwolenia 50

Poznań – 18.10.2017, IBB Andersia, ul. Plac Andersa 3

Opole – 24.10.2017, Hotel DeSilva Premium, ul. Powolnego 10

Katowice – 25.10.2017, Siedziba KamSoft, ul. 1 maja 133

Rejestracja dostępna jest tutaj: http://dmpgroup.pl/osoz-tour-2017/

RRODO

Identyfikacja zbiorów danych osobowych i medycznych w placówce

Podziel się

Od czegoś trzeba zacząć.. zgodnie z wpisem http://itwmedycynie.pl/2017/08/28/elektroniczna-dokumentacja-medyczna-podstawowe-zasady-przetwarzania-obowiazujace-wszystkich/ zakładam, że mamy już wyznaczonego Inspektora Ochrony Danych w postaci jednego z pracowników lub zewnętrznego podmiotu, który będzie proces przetwarzania danych w naszej placówce nadzorował. Pora teraz na identyfikację wszystkich zbiorów danych, które powinny podlegać ochronie oraz przypisanie do tych zbiorów osób/podmiotów zewnętrznych, które te dane przetwarzają. Przy okazji taka operacja może się przydać nie tylko przez wzgląd na spełnienie wymagań przetwarzania danych, może także wpłynąć na zagadnienia takie jak:

  • chęć lepszego zrozumienia wszystkich działań i powiązań między nimi
  • chęć usprawniania komunikacji między pracownikami – wiadomo do kogo się zgłaszać w określonej sprawie
  • możliwość szybszego wykrywania obszarów nieefektywnych, np. tzw. „wąskich gardeł”
  • sprawniejsze wdrożenie nowych pracowników
  • poprawa efektywności funkcjonowania placówki i procesu obsługi pacjenta

Jak się za to zabrać?

  1. Określenie struktury organizacyjnej placówki

Najłatwiej będzie wyjść od struktury organizacyjnej naszej placówki. To powinno być łatwe – trzeba po prostu wyartykułować wszystkie “jednostki organizacyjne” – nawet w przypadku, gdy jedna osoba zajmuje się kilkoma rzeczami. Możemy także do tych jednostek przypisać od razu osoby/firmy zewnętrzne, które mają dane kompetencje – to będzie nam potrzebne do określenia osób przetwarzających konkretny zbiór danych. Trzeba też zwrócić uwagę na to, że pewne rzeczy zlecamy na zewnątrz – to również jest jakiś rodzaj komórki należącej do struktury organizacyjnej naszej jednostki – chociaż w tym przypadku zajmuje się tym firma zewnętrzna (chociażby firma księgowa). Szybki przykład takiego podziału to:

  • rejestracja
  • sekretariat
  • księgowość
  • kadry/płace
  • laboratorium
  • podstawowa opieka zdrowotna (lekarze)
  • rehabilitacja
  • usg
  • kardiologia.

2. Określenie procesów dla każdej z jednostek

Następnie dla powyższych “jednostek” trzeba zrobić audyt wszystkich procesów w placówce, żeby później wybrać te, które używają danych osobowych i wrażliwych. Zgodnie z zasadami modelowania procesów biznesowych najlepiej zrobić sobie na początku podział na:

  • procesy główne, które dotyczą kluczowych obszarów funkcjonowania (w naszym przypadku będzie to chociażby zapisanie pacjenta na wizytę, obsługa pacjenta podczas wizyty, wystawienie skierowania itp)
  • procesy wspierające, które zapewniają wsparcie do realizacji procesów głównych (np. marketing, finanse i księgowość).

Ten podział został odzwierciedlony w kolorach naszych jednostek organizacyjnych – główne zaznaczyłem na zielono, wspierające na niebiesko.

Czeka nas zatem przemyślenie co tak właściwie się robi w danym obszarze. Nie tylko informatycznie, ogólnie. Dane osobowe w wielu przypadkach są przecież (chciałoby się rzec – jeszcze) przetwarzane papierowo. To możemy uzyskać na podstawie swojej wiedzy i zweryfikować to z pracownikami, którzy wykonują dane czynności. W przypadku gdy np. sprawami księgowości , ZUSem itp. zajmuje się inna firma możemy ich po prostu o to zapytać – z pewnością chętnie udzielą tego typu informacji chwaląc się przy okazji jak dużo rzeczy robią i jak bardzo są nam potrzebni. Weźmy pierwszą z brzegu rejestrację. W mojej wymyślonej przychodni w rejestracji wykonuje się  następujące czynności:

  • umawianie telefoniczne wizyt pacjentów
  • weryfikacja i potwierdzanie wizyt pacjentów z e-rejestracji
  • rejestracja pacjentów którzy przyszli osobiście
  • zmiana terminów wizyt / odwoływanie wizyt
  • wprowadzanie harmonogramu pracy lekarzy
  • wystawianie zwolnień lekarskich (sprawa dyskusyjna czy rejestracja powinna takie rzeczy robić ale moje doświadczenie pokazuje, że czasem się to zdarza…)
  • wprowadzanie nowego pacjenta

3. Określenie zbiorów danych dla procesów

Teraz pora w końcu na zastanowienie się jakie dane są wykorzystywane w danym procesie. Najlepiej wypisać sobie wszystkie rodzaje danych, osobowe i medyczne łatwo wśród nich znajdziemy. I tak:

  • umawianie telefoniczne wizyt pacjentów
    • dane pacjenta rejestracja(imię, nazwisko, PESEL, numer telefonu, adres zamieszkania)
    • terminarz wizyt (dzień, miesiąc, rok, godzina wizyty, imię i nazwisko lekarza przyjmującego, imię i nazwisko, PESEL pacjenta)
    • harmonogram pracy lekarzy (imię, nazwisko, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • weryfikacja i potwierdzanie wizyt pacjentów z e-rejestracji
    • dane pacjenta rejestracja (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania, e-mail)
    • terminarz wizyt (dzień, miesiąc, rok, godzina wizyty, imię i nazwisko lekarza przyjmującego, imię i nazwisko, PESEL pacjenta)
    • harmonogram pracy lekarzy (imię, nazwisko, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • rejestracja pacjentów którzy przyszli osobiście:
    • dane pacjenta rejestracja (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania)
    • terminarz wizyt (dzień, miesiąc, rok, godzina wizyty, imię i nazwisko lekarza przyjmującego, imię i nazwisko, PESEL pacjenta)
    • harmonogram pracy lekarzy (imię, nazwisko, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • zmiana terminów wizyt / odwoływanie wizyt
    • dane pacjenta (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania)
    • terminarz wizyt (dzień, miesiąc, rok, godzina wizyty, imię i nazwisko lekarza przyjmującego, imię i nazwisko, PESEL pacjenta)
    • harmonogram pracy lekarzy (imię, nazwisko, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • wprowadzanie harmonogramu pracy lekarzy
    • harmonogram pracy lekarzy (imię, nazwisko, numer telefonu, e-mail, adres, tygodniowy harmonogram pracy – dzień, miesiąc, rok, godziny)
  • wystawianie zwolnień lekarskich (sprawa dyskusyjna czy rejestracja powinna takie rzeczy robić ale moje doświadczenie pokazuje, że czasem się to zdarza…)
    • dane pacjenta zwolnienie (imię, nazwisko, PESEL, adres zamieszkania, rozpoznanie)
    • dane zakładu pracy pacjenta (NIP, nazwa, adres)
    • data obowiązywania dokumentu (data od-do)
  • wprowadzanie nowego pacjenta
    • kartoteka pacjenta (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania, dane o oddziale NFZ, dane miejsca pracy)
    • wyniki badań laboratoryjnych
    • wypisy ze szpitala
    • wyniki testów alergicznych (itp…)
  • wprowadzanie nowego lekarza
    • dane lekarza (imię, nazwisko, PESEL, numer telefonu, adres zamieszkania, informacje o uczelni, historia zatrudnienia)

4. Ostatnim krokiem jest wyłuskanie z powyższego wszystkich zbiorów danych osobowych i medycznych (bo jak słusznie zauważyliście powtarzają się one w procesach – co jest naturalne) oraz przypisanie ich do nich danych, które już mamy (dział/jednostka organizacyjna, osoby przetwarzające) oraz dodanie miejsca w którym fizycznie dany zbiór się znajduje (np. serwerownia – host “BazaPOZ” czy “archiwum w recepcji”) oraz miejsc przetwarzania danych. Taki komplet zbieramy w tabelce i mamy temat ogarnięty. Tabelka natomiast posłuży nam jako wkład do Polityki Bezpieczeństwa. Zbiory do umieszczenia w tabelce zaznaczyłem powyżej kolorem czerwonym.

W jaki sposób zweryfikować czy dany zbiór to dane osobowe? Pojęcie danych osobowych zostało określone w art. 6 ust. 1 ustawy o ochronie danych osobowych. Zgodnie z jego treścią przez dane osobowe rozumie się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.

Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników, określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Trzeba zwrócić uwagę jeszcze na jedną rzecz. Zbiory teoretycznie tych samych lub podobnych danych nie są zawsze danymi osobowymi. Weźmy na przykład harmonogram pracy lekarzy. Załóżmy, że w danym systemie widoczne jest tylko imię i nazwisko lekarza przy tej funkcjonalności – osoba, która zarządza tymi danymi nie ma z tego poziomu możliwości podejrzenia/przetwarzania innych danych lekarza. Zatem jeżeli inna osoba/jednostka zajmuje się dodawaniem nowego lekarza do systemu (np. kadry) a inna harmonogramami pracy lekarzy (np. rejestracja) to dane osobowe przetwarzają tylko kadry – zgodnie z definicją danych osobowych. W miarę praktyki stanie się to jeszcze prostsze.

Finalnie efekt naszej pracy wygląda tak (wypełniłem ją tylko dla 4 pierwszych zbiorów danych, dalej postępujemy analogicznie):

Lp Zbiór Danych Dział/ jednostka organizacyjna Osoby Lokalizacja bazy danych Miejsce przetwarzania danych
1. dane pacjenta rejestracja rejestracja Urszula Malinowska, Joanna Jaworska serwer “BazaPOZ” pomieszczenie recepcji
2. terminarz wizyt rejestracja Urszula Malinowska, Joanna Jaworska serwer “BazaPOZ”, serwer “OSOZ” pomieszczenie recepcji
3. dane pacjenta zwolnienie lekarze, rejestracja Urszula Malinowska, Joanna Jaworska, Piotr Skowroński, Albert Poniatowski, Michał Sumiński, Małgorzata Kwiatkowska serwer “BazaPOZ”, archiwum w recepcji (wersja papierowa) pomieszczenie recepcji, gabinety lekarzy
4 kartoteka pacjenta rejestracja Urszula Malinowska, Joanna Jaworska serwer “BazaPOZ”, archiwum w recepcji (wersja papierowa) pomieszczenie recepcji

 

Prawda, że proste? Wiem, że czasochłonne ale postępując zgodnie z powyższymi wskazówkami z pewnością do ogarnięcia. Wystarczą dobre chęci, trochę czasu i cierpliwości 🙂

 

Read More
  • 3 minute read
EElektroniczna Dokumentacja Medyczna

Dofinansowanie NFZ na informatyzację POZ – szczegóły

Podziel się

Zgodnie z zamieszczonym 6 listopada Zarządzaniem Prezesa NFZ “w sprawie warunków rozliczania środków pochodzących z dotacji celowej z budżetu państwa na dofinansowanie zakupu urządzeń informatycznychi oprogramowania oraz kosztów niezbędnego szkolenia świadczeniodawców” możliwe stało się ubieganie o zwrot kosztów na informatyzację. Proces obwarowany jest kilkoma wymogami a maksymalna kwota zwrotu o jaką można się ubiegać to 3500 zł na “stanowisko lekarza”, maksymalnie na 4 stanowiska w placówce. Po Polsku – maksymalnie 14000 zł.

Pierwotnie pieniądze  były “konkretnie” na:

  • wydatki poniesione przez świadczeniodawców na zakup urządzeń informatycznych i oprogramowania oraz niezbędnego szkolenia świadczeniodawcy w 2018 r., pod warunkiem, że zostały sfinansowane ze środków własnych świadczeniodawcy, przed złożeniem wniosku o udzielenie dofinansowania
  • wydatki poniesione przez świadczeniodawców na szkolenia z zakresu kompetencji cyfrowych osób wystawiających zaświadczenia lekarskie i osób upoważnionych do wystawiania takich zaświadczeń

W związku z wieloma zapytaniami i niezgodnościami co do możliwości zwrotu poniesionych kosztów NFZ opublikował wczoraj komunikat dla świadczeniodawców POZ ubiegających się o dofinansowanie informatyzacji ze środków pochodzących z dotacji celowej z budżetu państwa gdzie precyzyjniej wskazano co autor w pierwotnym zarządzaniu miał na myśli. Cytując źródło:

“W związku z licznymi pytaniami kierowanymi do Narodowego Funduszu Zdrowia w zakresie prawidłowej kwalifikacji urządzeń informatycznych i oprogramowania do dofinansowania ze środków z dotacji celowej z budżetu państwa Narodowy Fundusz Zdrowia uprzejmie informuje:

Urządzenia informatyczne to:

  • maszyny przenośne do automatycznego przetwarzania danych o masie do 10 kg, tj.: laptopy, notebooki,
  • komputery kieszonkowe (np. notesy komputerowe) i podobne,
  • maszyny do automatycznego przetwarzania danych w formie systemów,
  • pozostałe maszyny do automatycznego przetwarzania danych, zawierające lub nie w tej samej obudowie jedno lub dwa urządzenia następującego typu: urządzenia pamięci, urządzenia wejścia i wyjścia,
  • urządzenia peryferyjne wyjścia (klawiatura, mysz itp.),
  • skanery (z wyłączeniem urządzeń wielofunkcyjnych zawierających drukarkę, skaner, kopiarkę i/lub faks),
  • drukarki atramentowe używane z urządzeniami do przetwarzania danych,
  • drukarki laserowe używane z urządzeniami do przetwarzania danych,
  • pozostałe drukarki używane z urządzeniami do przetwarzania danych,
  • jednostki wykonujące co najmniej dwie z następujących funkcji: drukowanie, skanowanie, kopiowanie, faksowanie,
  • pozostałe peryferyjne urządzenia wejścia lub wyjścia,
  • urządzenia pamięci do nieruchomych nośników informacji,
  • urządzenia pamięci do ruchomych nośników informacji,
  • pozostałe jednostki do maszyn do automatycznego przetwarzania danych,
  • części i akcesoria do maszyn liczących,
  • półprzewodnikowe urządzenia pamięci trwałej.

Oprogramowanie to:

  • systemy operacyjne
  • programy użytkowe (aplikacje) wykorzystywane do obsługi poradni,
  • oprogramowanie zabezpieczające właściwe oprogramowanie wykorzystywane do obsługi poradni (antywirus, firewall, itp.)”

Sprawa zatem powinna się bardziej rozjaśnić (podejrzewam, że dla obu stron). I nie czepiajmy się nomenklatury: “maszyny przenośne do automatycznego przetwarzania danych o masie do 10 kg, tj.: laptopy, notebooki” 🙂

Odpowiadając na pytania Klientów – tak – wdrożenie naszego rozwiązania usprawniającego pracę recepcji i koordynację kontaktu z pacjentem (3cx) zgodnie z zamieszczonym uszczegółowieniem “łapie się” do tego dofinansowania.

Miłego weekendu!

RRODO

Polityka bezpieczeństwa – wykaz budynków, pomieszczeń

Podziel się

Dzisiaj krótka i łatwa kontynuacja budowania naszej polityki bezpieczeństwa. Mamy zidentyfikowane zbiory danych, przypisane osoby oraz pomieszczenia w których te osoby się znajdują. Teraz, żeby wszystko było w porządku spróbujmy wyłuskać pomieszczenia z poprzedniego przykładu. Czyli np.:

recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1 .

Zastanówmy się czy to z pewnością wszystkie miejsca? Ułatwi to poniższa tabelka do której dla porządku dopiszmy sobie jeszcze oprogramowanie w których są przetwarzane dane osobowe.

1. Wykaz pomieszczeń, w których przetwarzane są dane osobowe (wskazanie konkretnych nr pomieszczeń) recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1
2. Wykaz pomieszczeń, w których znajdują się komputery stanowiące element systemu informatycznego recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1, pomieszczenie informatyka
3. Wykaz pomieszczeń, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1, serwerownia, archiwum, pomieszczenie informatyka
4. Wykaz pomieszczeń, w których składowane są uszkodzone komputerowe nośniki danych (taśmy, dyski, płyty CD, dyski przenośne, uszkodzone komputery) recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1, serwerownia, archiwum, pomieszczenie informatyka
5. Wykaz pomieszczeń archiwum pokój nr 6
6. Wykaz programów, w których przetwarzane są dane osobowe Symfonia, Płatnik, PSS

 
7. Wykaz podmiotów zewnętrznych, które mają dostęp do danych osobowych lub je przetwarzają na podstawie podpisanych umów (np. informatyk) – nazwa firmy, imię, nazwisko, adres, funkcja. Firma “Usługi IT” Michał Zieliński

ul. Długa 80, Warszawa

osoby: Michał Zieliński, Łukasz Madejski – informatycy

Usługi księgowe Bożena Słomiana

ul. Niska 100, Skierniewice

osoby: Bożena Słomiana

 

 

 

 

 

To bardziej szczegółowe zestawienie. Tutaj nie do końca interesują nas przetwarzane zbiory danych. Może być tak, że na przykład w danym pomieszczeniu nie są dane zbiory przetwarzane ale mimo wszystko jest tam dostęp (czy to fizyczny czy poprzez system IT) do danych osobowych i medycznych. Na komentarz zasługuje z pewnością punkt 3 w tabeli. Chodzi tutaj o np. szafy z dokumentacją papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe. W pkt. 6 nie mamy pomieszczeń tylko oprogramowanie. To także ważne, żeby wiedzieć i mieć świadomość w jakich aplikacjach wrażliwe dane są przetwarzane – chociażby w kontekście zabezpieczeń tych systemów. Uzupełnieniem tego spojrzenia jest wykaz podmiotów zewnętrznych, które czy to w naszej placówce (np. informatyk) czy na zewnątrz (np. biuro księgowe) przetwarzają dane naszych pracowników czy pacjentów.

Ostatnio na jednej z konferencji spotkałem się z prawniczą opinią, że zgodnie z nowymi przepisami RODO posiadanie polityki bezpieczeństwa nie jest konieczne (a do tej pory trzeba było ją mieć jakby ktoś nie wiedział :)) Moim zdaniem nie zmienia to faktu, że jest to dokument niezbędny do uporządkowania miejsc i zasad przetwarzania danych a także ujednolicenia na poziomie firmy poziomów zabezpieczeń i odpowiednich procedur (np. szkolenia pracowników). Powiem inaczej – 100% rzeczy, które powinny znajdować się w Polityce Bezpieczeństwa RODO wymaga. Dlatego przedstawiona opinia mnie poruszyła bo jest to niepotrzebne “zamydlanie oczu” i kolejna komplikacja dla osób odpowiedzialnych za porządek w placówce.

Biorąc pod uwagę powyższe z uporem maniaka będę przedstawiał kolejne aspekty, które taki dokument powinien zawierać.