Konsultacje społeczne projektu przepisów wdrażających ogólne rozporządzenie o ochronie danych (RODO)

Podziel się

Oczywiście musimy trzymać się wytycznych ogólnych na poziomie europejskim jeżeli chodzi o nowe zasady przetwarzania danych osobowych ale różne uwarunkowania wewnętrzne wymuszają na nas dostosowanie przepisów szczególnych pod nasze – specyficzne i wyjątkowe warunki i potrzeby. To akurat dobrze, bo jak dobrze wiemy niektórych przepisów w ogóle nie mamy 🙂 W związku z tym Ministerstwo Cyfryzacji ogłosiło kolejny już etap konsultacji społecznych dotyczących projektu ustawy  “Przepisy wprowadzające ustawę o ochronie danych osobowych oraz projektu ustawy o ochronie danych osobowych”.

Bardzo ważnymi obszarami w projektowanym dokumencie są rzeczy, których na naszym poziomie brak lub takie, które nie są jasno sprecyzowane. Często i wielu branżach – także w służbie zdrowia. Powoduje to ograniczenia możliwości w cyfryzacji systemów. Mam tutaj na myśli między innymi wymóg pisemności, który ma zostać zastąpiony tzw. wymogiem zgody wyraźnej. Dodatkowo projektowane przepisy po raz pierwszy określały będą również zasady przetwarzania danych biometrycznych czyli np. linii papilarnych, wizerunek twarzy, ton głosu czy tęczówka oka.

Konsultacje są otwarte zatem warto zabrać głos – ja z pewnością tak zrobię. Myślę, że jest to też dobra okazja na wyjaśnienie wątpliwości na około nowych przepisów. W razie potrzeby można pisać na adres konsultacyjny Konsultacje.odo@mc.gov.pl . Możliwe jest to do 13 października 2017. Gdyby ktoś miał jakieś pytania ja służę pomocą. Adres e-mail dostępny jest w zakładce O mnie.

Oficjalne info dostępne jest tutaj: https://mc.gov.pl/konsultacje/konsultacje-spoleczne-projektu-przepisow-wdrazajacych-ogolne-rozporzadzenie-o-ochronie

0 Shares:
1 comment
Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

You May Also Like
Read More

Znów dane medyczne udostępnione publicznie czyli kolejny “wyciek”

Podziel się

“Setki zrzutów ekranu i dokumentów z danymi osobowymi i medycznymi pacjentów oraz dane finansowe dziesiątek szpitali, w tym dane dostępowe do różnych systemów informatycznych oraz dane osobowe pracowników szpitali — takie informacje znajdowały się w publicznie dostępnym katalogu systemu stosowanego do obsługi placówek opieki zdrowotnej, obsługiwanego przez firmę Konsultant IT. Pobrać je mógł każdy. Ilość ujawnionych danych jest znaczna i może dotyczyć wielu szpitali z całej Polski, w tym szpitali psychiatrycznych.” – poinformował wczoraj serwis Niebezpiecznik.pl .

Pełną treść informacji można znaleźć tutaj: https://niebezpiecznik.pl/post/dane-pacjentow-i-szpitali-wyciekly-z-helpdesku-eskulapa-szpitale-powinny-zmienic-hasla/

Generalnie, podobnie jak w przypadku “wycieku” danych ze szpitala w Kole sprawa jest trywialna pod kątem bezpieczeństwa. Na koncie FTP na którym znajduje się system helpdeskowy firmy Konsultant IT udostępniony był przynajmniej do odczytu folder w którym znajdowały się wszystkie pliki załączników ze zgłoszeń systemu helpdeskowego firmy. Wśród tych załączników były m.in. zrzuty ekranu systemu Eskulap. Zrzuty zawierające między innymi dane osobowe pacjentów, rozpoznania chorób itp. Oprócz tego można tam było znaleźć dane finansowe w plikach Excel. Wśród tych plików były także dane osobowe pacjentów. Dodatkowo udostępniono dane dostępowe VPN do szpitali, pliki SQL.

Firma Konsultant IT wydała w tej sprawie oświadczenie, w którym poinformowano, że:

“System helpdesk zainstalowany jest na zewnętrznym serwerze, stworzyła go dla nas i realizuje nadzór autorski Firma DIMIMO. Do udostępnienia danych doszło na skutek błędu podczas migracji przez DIMIMO helpdesku, na nowy serwer. Katalog, który był zabezpieczony w oparciu o plik .htaccess został przeniesiony na serwer, na którym konfiguracja serwera www nie dopuszczała zmian w oparciu o ten plik. W ten sposób zabezpieczenie zostało zniwelowane. Po migracji zweryfikowano wiele zabezpieczeń, niestety prawdopodobnie z powodu rutyny popełniono błąd.”

Idąc za ciosem postanowiłem napisać maila do firmy Konsultant IT z pytaniami, które mnie nurtują:

Szanowni Państwo,
Zaniepokojony informacjami o umieszczeniu do publicznej wiadomości danych medycznych i osobowych w używanym przez Państwa systemie helpdeskowym, biorąc pod uwagę, że oprócz tego, że zawodowo zajmuję się ochroną danych osobowych i medycznych w systemach IT jestem także pacjentem kilku ośrodków w Polsce proszę o odpowiedzi na poniższe pytania ponieważ istnieje prawdopodobieństwo, że niepowołane osoby otrzymały dostęp m.in. do danych moich lub mojej rodziny na co kategorycznie nie wyrażałem zgody.

  1. Czy dla potrzeb świadczenia usług wsparcia użytkowników, biorąc pod uwagę, że jak mniemam mają Państwo dostęp do systemów zawierających dane osobowe i medyczne przetwarzane przez klienta, podpisywali Państwo ze współpracującymi szpitalami umowy powierzenia danych osobowych?
  2. Czy posiadają Państwo politykę bezpieczeństwa i instrukcję zarządzania systemami informatycznymi?
  3. Czy podpisują Państwo ze swoimi pracownikami jakiekolwiek klauzule poufności odnośnie danych przetwarzanych przez nich podczas świadczenia usług?
  4. Poproszę listę Państwa klientów korzystających z systemu helpdeskowego w woj. łodzkim i mazowieckim ponieważ tam korzystam usług ośrodków. Chcę wiedzieć czy szpitale, które przetwarzają moje dane stosują praktyki robienia zrzutów ekranu z danymi wrażliwymi do tego typu systemów jak Państwa helpdesk.
  5. Czy biorąc pod uwagę, że system helpdeskowy tworzyła dla Państwa firma zewnętrzna i jak się domyślam świadczyła usługi wsparcia mieli Państwo z nimi podpisaną przynajmniej umowę o powierzenie danych osobowych? Czy Państwa klienci wiedzieli o tym, że dane udostępniane są jeszcze komuś?

Proszę o pilne odniesienie się do zadanych pytań i potraktowanie sprawy poważnie. Przykro mi, że padło akurat na Państa ale w obliczu RODO temat ochrony tego typu danych jest szczególnie ważny i tego typu sytuacje pokazują jak wiele jeszcze jest w tym zakresie do zrobienia. Także w świadomości użytkowników i usługodawców..

Czekam na odpowiedź.

Zbierając to wszystko nasuwa mi się tylko jedno. Po raz kolejny przerażające jest jak wielka jest niewiedza i nieświadomość wszystkich osób zaangażowanych w tą sytuację.

Po pierwsze użytkowników systemów, co bardziej bolesne podejrzewam, że często także działów IT szpitali. Jak można załączać do systemu helpdeskowego takie dane? Zrozumiałe jest, że w pracy pewne rzeczy robi się na szybko, że problemy muszą być skutecznie rozwiązywane ale kompletnie nie jest to usprawiedliwieniem tego typu działań. Robienie zrzutów z hasłami dostępowymi do VPN itp. pozostawię bez komentarza.

Niestety w tej całej sytuacji nieprofesjonalna jest też postawa firmy udzielającej wsparcia a tłumaczenie się, że system ten robiła firma zewnętrzna jest śmieszne. Poza wszystkim już to właśnie oni powinni zwrócić uwagę swoim klientom na to, że takich rzeczy się robić nie powinno..

Dopóki nie zbudujemy we wszystkich na około świadomości i potrzeby bezpiecznego przetwarzania tego typu danych wszystkie konferencje odnośnie RODO, prawnicze wykłady na ten temat lub nawet próby egzekwowania nie dadzą żadnego efektu. Trzeba zacząć od zupełnych podstaw.

Elektroniczna Dokumentacja Medyczna – podstawowe zasady przetwarzania obowiązujące wszystkich – czy się chce czy nie

Podziel się

 

No właśnie.. RODO, GIODO, ABI, IOD, wytyczne CSIOZ odnośnie przetwarzania danych medycznych, dziesiątki przepisów, ustaw, rozporządzeń dotyczących definicji danych osobowych, danych medycznych i kwestii ich prawidłowego przetwarzania, różne interpretacje – jednym słowem nie wiadomo czym się kierować w przypadku chęci prawidłowego podejścia do tematu. Spróbujmy wyłuskać z powyższego absolutne must have dla wszystkich przetwarzających dane medyczne.

A co to tak właściwie są te dane medyczne? Niestety w Polskim prawodawstwie, jak to często bywa jest kilka nieścisłości w kwestii prawidłowego uszeregowania danych medycznych w kontekście danych osobowych itp. Na szczęście nie jest to blog prawniczy, bo te kwestie wydają się nierozstrzygalne i są często kwestią interpretacji. Szczegółowe informacje na ten temat można znaleźć chociażby tutaj . Na nasze potrzeby – nazwijmy je organizacyjno-informatycznymi, przyjmijmy, że dane medyczne są danymi osobowymi o charakterze wrażliwym. I z takim przeświadczeniem powinniśmy je przetwarzać.

I tutaj trzeba zacząć od RODO – tak, trzymajmy się tej wersji bo na nią trzeba być przygotowanym – od 25 maja 2018 będzie obowiązywało wszystkich. Co to jest RODO? RODO czyli GDPR, zwane także „Ogólnym Rozporządzeniem o Ochronie Danych” to Rozporządzenie Parlamentu Europejskiego i Rady (UE)2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. Nie możemy zapomnieć także o UODO ponieważ dokument ten nakłada na podmioty przetwarzające tego typu dane liczne zobowiązania, które należy uwzględnić podczas projektowania systemów informatycznych mających przetwarzać dane osobowe w tym dane wrażliwe.

Idąc od najwyższego poziomu abstrakcji Art. 5 ust. RODO wskazuje na sześć podstawowych zasad przetwarzania danych osobowych:

1. Zasada zgodności z prawem, rzetelności i przejrzystości przetwarzania – w skrócie oznacza ona, że podmiot przetwarzający zawsze i na każdym etapie
przetwarzania danych jest zobowiązany dbać o interesy osoby, której dane dotyczą

2. Zasada ograniczoności celu – dane osobowe muszą być zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach

3. Zasada minimalizacji danych – przetwarzane dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Nie wolno zbierać i przetwarzać danych, które nie są niezbędne do osiągnięciu celu przetwarzania i są w stosunku do niego nadmiarowe. Czyli w przypadku danych medycznych numer buta nie jest nam potrzebny 🙂

4. Zasada prawidłowości – przetwarzane dane osobowe muszą być prawidłowe i w razie potrzeby uaktualniane – wydaje się oczywiste ale niech rzuci kamieniem ten, który jest bez winy. Dbanie o aktualność danych jest zawsze zmorą w organizacjach.

5. Zasada ograniczoności przechowywania – dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane. To jest bardzo ciekawe zagadnienie, które mam nadzieje będzie jeszcze okazja poruszyć. Ciekawa ponieważ jednocześnie mając na uwadze zapisy art. 25 ust. 1 oraz art. 32 ust. 1 RODO w zakresie uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych i
bezpieczeństwa przetwarzania, placówka medyczna prowadząca dokumentację w postaci elektronicznej powinna zorganizować sposób gromadzenia informacji w taki sposób, aby nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji pod warunkiem, że informacje te są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi
ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Trochę się to wyklucza ale to zagadnienie (dotyczące pseudonimizacji) to temat na oddzielny wpis.

Co trzeba zrobić, żeby to spełniać? Oczywiście niezależnie od tego czy przetwarzamy dane w praktyce lekarskiej, małej przychodni, większej placówce chociażby specjalistycznej czy szpitalu. Obowiązek ten wymusza sam fakt przetwarzania danych.

 

1. Powołanie IOD (Inspektora Ochrony Danych) w starej nomenklaturze (jeszcze obowiązującej ) to mniej więcej ABI (Administrator Bezpieczeństwa Informacji).

 

Administrator danych może nie powoływać takiego kogoś – wtedy sam przejmuje jego obowiązki. Jeżeli jest to osoba zatrudniona w danej placówce powinna ona mieć to wpisane w zakres obowiązków, w przypadku gdy zdecydujemy się powierzyć tę rolę osobie/firmie zewnętrznej potrzebujemy umowy powierzenia.

 

2. Identyfikacja wszystkich osób, które przetwarzają dane osobowe

 

Osoby te powinny otrzymać upoważnienia do przetwarzania danych osobowych zgodnie z art. 37 UODO, jednocześnie powinny zostać zapoznane z przepisami o ochronie danych osobowych. Zapoznanie z przepisami powinno zostać potwierdzone przez pracownika upoważnianego stosownym oświadczeniem a oświadczenie to powinno zostać dołączone do akt osobowych pracownika zgodnie z art. 36a ust. 2 pkt 1 lit. c UODO a od 2018 r zgodnie z art. 39 ust. 1 pkt a i b  RODO. Wszystkie osoby, które zostały upoważnione i dopuszczone do przetwarzania danych osobowych, powinny zostać zobowiązane do zachowania danych oraz sposobu ich zabezpieczenia w tajemnicy jednocześnie zapewniając spisanie potwierdzenia takiego zobowiązania oraz dołączenia go do akt pracowniczych (art. 39 ust. 2 UODO).

 

3. Ustalenie procedur mających na celu cykliczne sprawdzanie zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych

 

Sprawdzenia takiego dokonuje nasz Inspektor Ochrony Danych. Najpierw musi on jednak ustalić plan sprawdzeń obejmujących minimalnie kwartał a maksymalnie rok – w tym okresie musi odbyć się co najmniej jedna taka analiza.

 

Powinna ona obejmować 4 elementy:

 

  • inwentaryzację zbiorów
  • sprawdzenie, czy są realizowane obowiązki z ustawy o ochronie danych osobowych UODO,
  • sprawdzenie, czy zbiory i systemy przetwarzające dane osobowe są odpowiednio
    zabezpieczone,
  • weryfikacja i aktualizacja dokumentacji z zakresu ochrony danych osobowych oraz weryfikacja przestrzegania zasad i procedur w niej zawartych.

Procedura ta składa się z przepisów zawartych w UODO oraz w Rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych
(Dz.U. 2004 r. Nr 100 poz. 1024). Trochę tego jest, dlatego tutaj sczegóły odpuszczam – w razie potrzeby proszę pytać.

Należy pamiętać, że trzeba prowadzić sprawozdania z wykonywania tych czynności.

4. Opracowanie polityki bezpieczeństwa ochrony danych osobowych

Musi ona zawierać:

  • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe
  • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
  • opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
  • sposób przepływu danych pomiędzy poszczególnymi systemami
  • określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.

4. Opracowanie instrukcji zarządzania systemami informatycznymi zawierająca w szczególności:

  •  procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności
  • stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
  • procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
  • procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
  • sposób, miejsce i okres przechowywania: elektronicznych nośników informacji zawierających dane osobowe, kopii zapasowych
  • sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie nieuprawnionego dostępu do systemu informatycznego
  • sposób realizacji wymogów w zakresie odnotowywania przez system informacji o odbiorcach,w rozumieniu art. 7 pkt 6 UODO, którym dane osobowe zostały udostępnione, dacie i 50 zakresie tego udostępnienia, chyba że system informatyczny używany jest do przetwarzania danych zawartych w zbiorach jawnych
  • sposób realizacji wymogów w zakresie odnotowywania przez system informacji o odbiorcach, w rozumieniu art. 7 pkt 6 UODO, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia
  • procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych.

5. Bezpieczeństwo fizyczne w obszarach przetwarzania danych osobowych i wrażliwych

Na podstawie przeprowadzonej analizy ryzyka i planu postępowania z ryzykiem, których obowiązek przeprowadzenia wynika z art. 36 ust. 1 UODO każdy podmiot ma obowiązek wdrożenia odpowiednich środków bezpieczeństwa. W związku z tym w zakresie ochrony fizycznej należy rozważyć wyznaczenie obszarów bezpiecznych oraz podział na strefy w zależności od ich dostępności zarówno dla personelu, jak i pacjentów oraz przedstawicieli podmiotów współpracujących.

Podział na strefy umożliwia dobór stosowanych zabezpieczeń fizycznych (np. identyfikatory osobowe, system kontroli dostępu, zarządzanie kluczami tradycyjnymi oraz elektronicznymi w postaci kart dostępu, system monitorowania wizyjnego, systemy przeciwwłamaniowe,, zabezpieczenie okien i drzwi, służba ochrony całodobowa lub po godzinach pracy, systemy przeciwpożarowe lub gaśnice, klimatyzacja, czujniki temperatury i wilgotności.

6. Wdrożenie Systemu Zarządzania Bezpieczeństwem informacji

System ten w telegraficznym skrócie zbiera wszystko co powyżej, identyfikuje zagrożenia związane z przetwarzaniem danych oraz tworzy plan postępowania z ryzykiem i politykę zarządzania incydentami bezpieczeństwa.

Mniej więcej tyle trzeba mieć na początek. A właściwie inaczej – teraz można przejść do wybierania odpowiedniego dla nas modelu przetwarzania danych informatycznych bo wszystkie formalności i organizację pracy mamy załatwione. Szczerze mówiąc sam zebrałem to do kupy w jednym miejscu po raz pierwszy i widzę, że jest tego sporo i sporo rzeczy wymaga uszczegółowienia i głębszej analizy. Będziemy nad tym pracować 😉

Źródła:

  1. Ustawa o Ochronie danych osobowych 
  2. Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej
  3. Sylwia Czub – blog
  4. Ochrona danych medycznych – bartakalinski.pl
  5. Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia (Dz.U. z 2016r. poz. 1535)
  6. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. 2016 r. poz. 113)
  7. Rozporządzenie Ministra Cyfryzacji z dnia 5 października 2016 r. w sprawie zakresu i warunków korzystania z elektronicznej platformy usług administracji publicznej (Dz.U.2016 poz. 1626)
  8. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 25 lutego 2016 r. w sprawie rodzajów, zakresu i wzorów oraz sposobu przetwarzania dokumentacji medycznej w podmiotach leczniczych utworzonych przez ministra właściwego do spraw wewnętrznych (Dz.U. 2016 poz. 249)
  9. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW
  10. Norma PN-EN 13609-1:2007 Informatyka w ochronie zdrowia

Zabezpieczenia danych medycznych w chmurze

Podziel się

I idąc za ciosem kolejny artykuł (żeby nie było, że nic nie publikuje ;)) Tym razem o sposobach zabezpieczeń danych medycznych na przykładzie konkretnych mechanizmów w Azure.

Przyglądamy się rozwiązaniom chmurowym pod kątem zabezpieczenia danych w sektorze medycznym w podziale na ogólnie przyjęte rodzaje platform chmurowych oraz mechanizmy, dzięki którym to bezpieczeństwo można zwiększyć, a także wykazać się zasadą rozliczalności, o której tak wiele mówi się w kontekście nowego unijnego rozporządzenia o ochronie danych osobowych.

Bardzo ważnym aspektem pojawiającym się u każdego managera IT, którego organizacja przetwarza dane o szczególnym priorytecie, jest kwestia zapewnienia bezpieczeństwa tych danych. Nie inaczej jest i w przypadku danych medycznych – ich bezpieczeństwo powinno być priorytetem. „No jak to, przecież się nie da”, „przecież muszę mieć możliwość fizycznego audytu danych, za które odpowiadam”, „trzymanie danych medycznych gdzieś za granicą jest niemożliwe i niebezpieczne” – często na konferencjach w oficjalnych pytaniach czy kuluarowych rozmowach słychać takie wątpliwości. Przyjrzyjmy się zatem w pierwszej kolejności temu, co mówią nam nowe regulacje odnośnie do wymagań, jakie trzeba spełnić z perspektywy podmiotu przetwarzającego dane osobowe w chmurze.

Zarówno przepisy uodo, jak i rodo regulują i dopuszczają powierzenie danych osobowych. Trzeba pamiętać o tym, że Komisja Europejska w motywie 81 preambuły rodo wskazuje na konieczność korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby, odpowiadających wymaganiom bezpieczeństwa przetwarzania, w tym wymaganiom określonym przez rodo. Najlepszą wskazówką w szukaniu odpowiedniego usługodawcy usług chmurowych (także zgodnie z dokumentem „Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej”) mogą być międzynarodowe standardy postępowania z danymi osobowymi, a zatem normy takie jak: ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 22301 oraz normy branżowe, np. ISO 13606-1, ISO 13606-4. Warto zwrócić też uwagę na normę ISO/IEC 27018.

Oczywiście trzeba zdawać sobie sprawę z możliwych incydentów bezpieczeństwa, które są nieco odmienne dla rozwiązań chmurowych w porównaniu z rozwiązaniami on premise. Rozważaniami na ten temat na poziomie europejskim zajęła się Grupa Robocza art. 29, która w opinii 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej przyjętej w dniu 1 lipca 2012 r. przeanalizowała kwestie istotne dla dostawców usług przetwarzania danych w chmurze działających w Europejskim Obszarze Gospodarczym (EOG) oraz ich klientów, określając wszystkie mające zastosowanie zasady z dyrektywy o ochronie danych UE (95/46/WE) oraz dyrektywy o prywatności i łączności elektronicznej 2002/58/WE (zrewidowanej dyrektywą 2009/136/WE). Wtedy nie było jeszcze mowy o rodo, ale specjaliści wskazują, że w tym zakresie nie zachodzą żadne zmiany w opinii.

Główne opisane zagrożenia obejmują brak kontroli oraz brak przejrzystości (różne aspekty, m.in.: brak dostępności, brak integralności, brak odizolowania). W ramach grupy roboczej opracowano także wytyczne dla klientów i dostawców usług przetwarzania danych w chmurze. To ważny aspekt związany z bezpieczeństwem przetwarzania danych osobowych i wrażliwych (a zatem także medycznych), ponieważ właśnie te wytyczne powinny być dla działów IT podstawą do opracowywania procedur ochrony danych przetwarzanych w środowiskach, za które odpowiadają. Są one także podstawą do zrozumienia, na jakich zasadach przetwarzać w chmurze dane swojej organizacji, aby zapewnić im bezpieczeństwo oraz sobie kontrolę nad nimi. Zgodnie ze wspominanym wcześniej dokumentem opracowanym przez CSIOZ najważniejsze z nich to:

  • Odpowiedzialność klienta usługi w chmurze jako administratora – klient powinien wybrać dostawcę usługi w chmurze, który gwarantuje zgodność z przepisami w zakresie ochrony danych, co odzwierciedlają odpowiednie zabezpieczenia umowne;
  • Zabezpieczenia w przypadku powierzenia – przepisy dla podmiotów, którym powierzono realizację usług, powinny być przewidziane w każdej umowie pomiędzy dostawcą usługi w chmurze i jego klientami;
  • Przestrzeganie podstawowych zasad ochrony danych – klientowi należy zapewnić zrozumiałe informacje na temat środków technicznych i organizacyjnych wdrożonych przez dostawcę; klient w ramach dobrych praktyk powinien przekazać osobom, których dane dotyczą, informacje na temat dostawcy usługi w chmurze, jak również dane na temat lokalizacji, w których dane mogą być przechowywane lub przetwarzane;
  • Określenie i ograniczenie celu – klient powinien zapewnić zgodność z zasadami określenia i ograniczenia celu przetwarzania danych oraz zadbać o to, aby żadne dane nie były przetwarzane do innych celów przez dostawcę;
  • Zatrzymywanie danych – klient jest odpowiedzialny za zapewnienie, aby dane osobowe zostały usunięte ze wszystkich miejsc, w których są przechowywane, w przypadku gdy ich przetwarzanie nie odbywa się lub realizowane jest prawo (do zapomnienia) osoby, której dane dotyczą;
  • Zabezpieczenia umowne – umowa z dostawcą powinna zapewniać wystarczające gwarancje pod względem technicznych środków bezpieczeństwa i środków organizacyjnych;
  • Dostęp do danych – tylko upoważnione osoby powinny mieć dostęp do danych. W umowie powinna być zawarta klauzula poufności w odniesieniu do dostawcy i jego pracowników;
  • Zobowiązania do współpracy – klient powinien zapewnić, aby dostawca był zobowiązany do współpracy w związku z prawem klienta do monitorowania operacji przetwarzania, do ułatwiania realizacji praw osób, których dane dotyczą, do dostępu do/poprawiania/usuwania ich danych oraz do powiadamiania klienta usługi w chmurze o wszelkich naruszeniach ochrony danych mających wpływ na dane klienta;

źródło:  Artykuł pochodzi z czasopisma „IT Professional” nr 04/2018.

(http://www.it-professional.pl/archiwum/art,7951,zabezpieczenia-danych-medycznych-w-chmurze.html)

Polityka bezpieczeństwa – wykaz budynków, pomieszczeń

Podziel się

Dzisiaj krótka i łatwa kontynuacja budowania naszej polityki bezpieczeństwa. Mamy zidentyfikowane zbiory danych, przypisane osoby oraz pomieszczenia w których te osoby się znajdują. Teraz, żeby wszystko było w porządku spróbujmy wyłuskać pomieszczenia z poprzedniego przykładu. Czyli np.:

recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1 .

Zastanówmy się czy to z pewnością wszystkie miejsca? Ułatwi to poniższa tabelka do której dla porządku dopiszmy sobie jeszcze oprogramowanie w których są przetwarzane dane osobowe.

1. Wykaz pomieszczeń, w których przetwarzane są dane osobowe (wskazanie konkretnych nr pomieszczeń) recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1
2. Wykaz pomieszczeń, w których znajdują się komputery stanowiące element systemu informatycznego recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1, pomieszczenie informatyka
3. Wykaz pomieszczeń, gdzie przechowuje się wszelkie nośniki informacji zawierające dane osobowe recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1, serwerownia, archiwum, pomieszczenie informatyka
4. Wykaz pomieszczeń, w których składowane są uszkodzone komputerowe nośniki danych (taśmy, dyski, płyty CD, dyski przenośne, uszkodzone komputery) recepcja, gabinet 1, gabinet 2, gabinet 3, sekretariat, sala rehabilitacji 1, serwerownia, archiwum, pomieszczenie informatyka
5. Wykaz pomieszczeń archiwum pokój nr 6
6. Wykaz programów, w których przetwarzane są dane osobowe Symfonia, Płatnik, PSS

 

7. Wykaz podmiotów zewnętrznych, które mają dostęp do danych osobowych lub je przetwarzają na podstawie podpisanych umów (np. informatyk) – nazwa firmy, imię, nazwisko, adres, funkcja. Firma “Usługi IT” Michał Zieliński

ul. Długa 80, Warszawa

osoby: Michał Zieliński, Łukasz Madejski – informatycy


Usługi księgowe Bożena Słomiana

ul. Niska 100, Skierniewice

osoby: Bożena Słomiana

 

 

 

 

 

To bardziej szczegółowe zestawienie. Tutaj nie do końca interesują nas przetwarzane zbiory danych. Może być tak, że na przykład w danym pomieszczeniu nie są dane zbiory przetwarzane ale mimo wszystko jest tam dostęp (czy to fizyczny czy poprzez system IT) do danych osobowych i medycznych. Na komentarz zasługuje z pewnością punkt 3 w tabeli. Chodzi tutaj o np. szafy z dokumentacją papierową, szafy zawierające komputerowe nośniki informacji z kopiami zapasowymi danych, stacje komputerowe, serwery i inne urządzenia komputerowe. W pkt. 6 nie mamy pomieszczeń tylko oprogramowanie. To także ważne, żeby wiedzieć i mieć świadomość w jakich aplikacjach wrażliwe dane są przetwarzane – chociażby w kontekście zabezpieczeń tych systemów. Uzupełnieniem tego spojrzenia jest wykaz podmiotów zewnętrznych, które czy to w naszej placówce (np. informatyk) czy na zewnątrz (np. biuro księgowe) przetwarzają dane naszych pracowników czy pacjentów.

Ostatnio na jednej z konferencji spotkałem się z prawniczą opinią, że zgodnie z nowymi przepisami RODO posiadanie polityki bezpieczeństwa nie jest konieczne (a do tej pory trzeba było ją mieć jakby ktoś nie wiedział :)) Moim zdaniem nie zmienia to faktu, że jest to dokument niezbędny do uporządkowania miejsc i zasad przetwarzania danych a także ujednolicenia na poziomie firmy poziomów zabezpieczeń i odpowiednich procedur (np. szkolenia pracowników). Powiem inaczej – 100% rzeczy, które powinny znajdować się w Polityce Bezpieczeństwa RODO wymaga. Dlatego przedstawiona opinia mnie poruszyła bo jest to niepotrzebne “zamydlanie oczu” i kolejna komplikacja dla osób odpowiedzialnych za porządek w placówce.

Biorąc pod uwagę powyższe z uporem maniaka będę przedstawiał kolejne aspekty, które taki dokument powinien zawierać.

Chmura a potrzeby podmiotów medycznych

Podziel się

Poniżej zamieszczam treść do zajawki artykułu zamieszczonego na łamach IT Professional. Aktualnie z tego cyklu ukazały się 3 artykuły, czwarty jest w trakcie drukowania.

Informatyzacja placówek szeroko pojętej ochrony zdrowia trwa w najlepsze. Mnogość różnego rodzaju projektów, regulacji prawnych, a także zbliżające się wielkimi krokami nowe rozporządzenie o zasadach przetwarzania danych osobowych (rodo) wywołuje duże poruszenie w branży. Czy chmura odpowiada potrzebom podmiotów medycznych? Czy warto przyjrzeć się tego typu rozwiązaniom? Jak wygląda sytuacja u samych zainteresowanych?

Z  doniesień medialnych wszyscy wiemy, że nasz system ochrony zdrowia od lat zmaga się z wieloma problemami organizacyjno-finansowymi. Podobna sytuacja występuje w przypadku informatyzacji sektora. Informatyzacji rozumianej jako spójny zestaw usług na poziomie ogólnopolskim, bo nie ma co ukrywać, że prywatne podmioty oferujące usługi medyczne (zwłaszcza te duże) mają dużą świadomość informatyczną i radzą sobie znakomicie. I to radzą sobie zarówno z wykorzystaniem najnowocześniejszych technologii w celu ułatwienia życia pacjentom, jak i sprawnością systemów IT w zakresie obsługi procesów wewnątrz organizacji. Dzięki środkom unijnym także duża liczba szpitali podległych resortom czy też władzom na różnego rodzaju szczeblach samorządowych wdrożyła, bądź wdraża, nowoczesne rozwiązania. Na szczeblu ogólnopolskim sprawa jednak nie jest taka prosta. Od lat trwają prace nad Elektroniczną Platformą Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych (tzw. system P1).

Na projekt ten wydano już ogromnie dużo pieniędzy, a z powodu wielu problemów został dla niego opracowany plan naprawczy. Przyjęto nowe założenia, które mówią o tym, co i kiedy ma zostać wdrożone i uruchomione.

Zgodnie z opublikowanym 9 maja 2017 r. komunikatem dotyczącym regulacji prawnych w zakresie Elektronicznej Dokumentacji Medycznej (tinyurl.com/mz-komunikat) „trwają prace legislacyjne dotyczące nowelizacji ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia, których celem jest m.in. doprecyzowanie definicji elektronicznej dokumentacji medycznej (EDM) oraz obowiązku stosowania Polskiej Implementacji Krajowej (PIK) HL7 CDA (Clinical Document Architecture) oraz formatów EDM, które będą publikowane w Biuletynie Informacji Publicznej Ministerstwa Zdrowia, a także zmiana terminów dotyczących obowiązku stosowania EDM”. Ustalono też następujące terminy obowiązywania poszczególnych usług:

  • e-recepta – obowiązek wystawiania recepty w postaci elektronicznej – od 1 stycznia 2020 r.;
  • e-skierowanie – obowiązek wystawiania skierowania w postaci elektronicznej – od 1 stycznia 2021 r.;
  • pozostała część EDM (tj. dokumenty wskazane w rozporządzeniu wydanym na podstawie art. 13 ustawy):

– obowiązek prowadzenia w postaci elektronicznej – od 1 stycznia 2019 r.;
– obowiązek wymiany za pośrednictwem Platformy P1 – od 1 stycznia 2021 r.
Na „pierwszy ogień” idą zatem głównie szpitale. Nie możemy jednak zapominać o tym, że od lipca 2018 r. Zakład Ubezpieczeń Społecznych uruchamia obowiązek wystawiania elektronicznych zwolnień lekarskich dla wszystkich lekarzy. Dodatkowo pojawiają się legislacyjne ułatwienia dla rozwiązań telemedycznych. Zgodnie z wizją opracowaną na potrzeby nowo powstającej Strategii Rozwoju e-Zdrowia dla Polski na lata 2018–2022 „(…) dzięki spójnemu rozwojowi e-zdrowia do 2022 roku system opieki zdrowotnej w Polsce stanie się bardziej skuteczny, efektywny ekonomicznie i dostępny dla obywatela (…)”.

Nie bez wpływu na potrzeby placówek ochrony zdrowia jest także mające zastosowanie dla każdej branży wchodzące w życie od maja 2018 roku unijne ogólne rozporządzenie o ochronie danych osobowych (rodo), które reguluje zasady przetwarzania tego typu danych. Biorąc pod uwagę, że w środowiskach informatycznych ochrony zdrowia mamy dodatkowo dane medyczne, które są opatrzone klauzulą szczególnej wrażliwości, nie można przejść obojętnie obok potrzeb technicznych i możliwości, jakie dają nam rozwiązania informatyczne w tym kontekście.

Jak widać, wyzwań informatycznych jest bardzo dużo. Aby mieć pełny obraz sytuacji, należy jeszcze przyjrzeć się aktualnemu stanowi informatyzacji podmiotów ochrony zdrowia.

źródło: Artykuł pochodzi z czasopisma „IT Professional” nr 03/2018.

http://www.it-professional.pl/archiwum/art,7919,chmura-a-potrzeby-podmiotow-medycznych.html

Czy wdrożenie RODO to zadanie IT?

Podziel się

Klienci podczas rozmów bardzo często poruszają tę kwestię, mało tego, często w mniejszych placówkach słyszę, że informatyk się zajmuje RODO. Sprawa nie jest jednak taka prosta i oczywista. Aspekty IT to dość otwarta kwestia w RODO, ponieważ akt nie nakazuje niczego szczególnego. System i dane powinny być odpowiednio zabezpieczone. Należy sobie jednak zdawać sprawę z tego, że warstwa systemów informatycznych to tylko część procesu wdrożenia RODO w organizacji a samo wdrożenie to proces interdyscyplinarny wymagający zaangażowania trzech głównych warstw kompetencyjnych – regulacyjnej, organizacyjno-procesowej i dopiero warstwy systemów i infrastruktury IT.  Warstwa informatyczna jest to istotny, jednakże nie jedyny czynnik, który trzeba przystosować do nowych regulacji. Istotna w tym wymiarze jest także współpraca specjalistów z tych dziedzin tak aby wszystko przebiegło pomyślnie i z korzyścią dla szpitala, przychodni czy innego podmiotu.

Poniżej krótko opisałem ramowe czynności, które są do zrobienia przy wdrażaniu RODO w organizacji z podziałem na wspominane wcześniej obszary.

1. Warstwa regulacyjna:

– analiza konieczności powołania inspektora ochrony danych osobowych

– analiza konieczności prowadzenia rejestru czynności przetwarzania danych osobowych

– ocena legalności przetwarzania danych (podstawy prawnej, celu, zakresu przetwarzania)

– weryfikacja umów powierzenia

– weryfikacja dotychczasowych dokumentów dotyczących ochrony danych osobowych

2. Warstwa organizacyjno-procesowa

– identyfikacja zbiorów danych osobowych w organizacji

– identyfikacja procesów biznesowych przetwarzających dane osobowe

– weryfikacja osób i podmiotów zewnętrznych przetwarzających dane osobowe

– wskazanie kluczowych obszarów ryzyka, niezgodności oraz luk podczas przetwarzania danych w odniesieniu zarówno do procesów jak również dokumentacji biznesowej (polityk, procedur, umów) oraz klienckiej (np. klauzule zgód)

3. Warstwa systemów informatycznych

– obszar zarządzania danymi i procesami:

  • inwentaryzacja danych osobowych i ich jakości w zakresie całego środowiska informatycznego
  • identyfikacja narzędzi i przeprowadzenie działań inwentaryzacyjnych w procesach użytkowników końcowych

– obszar architektury systemów:

  • analiza funkcjonalności systemów informatycznych z uwzględnieniem wymogu anonimizacji i pseudonimizacji danych
  • „privacy by design”
  • analiza realizacji praw podmiotów danych – m.in. do usunięcia, przeniesienia, ograniczenia przetwarzania oraz aktualizacji w systemach informatycznych

– obszar bezpieczeństwa systemów:

  • środki zabezpieczające dane osobowe a istniejące standardy bezpieczeństwa
  • przeprowadzenie oceny wpływu planowanych operacji przetwarzania na prywatność
  • przygotowanie do zgłaszania naruszeń danych osobowych i przygotowanie rejestru czynności przetwarzania

Miłego wdrażania! 🙂