RODO, czyli najczęściej zadawane pytania związane z wprowadzeniem rozporzadzenia w życie

Wejście w życie Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO) stanowi wyzwanie dla wszystkich podmiotów związanych z szeroko pojętym przetwarzaniem danych, u podstaw którego znajduje się m.in. obowiązek oszacowania ryzyka związanego z bezpieczeństwem i ochroną danych osobowych. Proces dostosowywania podmiotu do RODO jest zabiegiem długotrwałym i wymaga od administratora danych podjęcia działań gwarantujących odpowiedni poziom zabezpieczeń. W związku z często pojawiającymi się pytaniami dotyczącymi wprowadzenia RODO, poniżej prezentujemy kilka najczęściej zadawanych przez Państwa pytań wraz z odpowiedziami.

Kiedy zacznie obowiązywać RODO?

Z dniem 25.05.2018r. znajdą zastosowanie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej zwanego RODO.

Do czego zobowiązany jest podmiot leczniczy w związku z wprowadzeniem RODO?

Jednym z wymagań Unijnego Rozporządzenia o Ochronie Danych Osobowych jest zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych, w tym ochronę danych przed niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem.

Wdrożenie przepisów RODO w placówce medycznej, która występuje w roli administratora danych wrażliwych (tj. danych osobowych i medycznych pacjentów), wymaga weryfikacji podejścia do ochrony danych osobowych. Nowe wymagania obejmują m.in.:

• konieczność analizy ryzyka związanego z przetwarzaniem danych,
• dostosowanie dokumentacji i procedur do nowych wymagań,
• uwzględnienie szerokich praw osób, których dotyczą przetwarzane dane (m.in. prawo do usunięcia danych, prawo do sprzeciwu, prawo do przeniesienia danych, prawo do ograniczenia przetwarzania danych, prawo do sprostowania i uzupełnienia danych, itd.).

Zadaniem administratora danych jest przeprowadzanie wielowymiarowej analizy i oceny czy dotychczas zastosowane środki bezpieczeństwa i ochrony danych w placówce są adekwatne do ryzyka związanego z szeroko pojętym przetwarzaniem danych. Efektem przeprowadzonej analizy powinno być mi.in dobranie i zastosowanie w placówce odpowiednich środków bezpieczeństwa.

Więcej informacji o RODO znajdą państwo m.in. na stronie internetowej Urzędu Ochrony Danych Osobowych (UODO) www.uodo.gov.pl.

Jakie działania zalecamy administratorom systemu Mediporta w celu podniesienia poziomu bezpieczeństwa danych?

Biorąc pod uwagę działania administracyjne w systemie Mediporta, poniżej prezentujemy kilka zaleceń, w celu zwiększenia poziomu bezpieczeństwa i ochrony danych osobowych i medycznych pacjentów:

• Rekomenduje się przeprowadzenie wewnętrznego audytu uprawnień i ról poszczególnych użytkowników systemu Mediporta, w celu kontroli dostępu do określonych danych i funkcji aplikacji. Jeśli dotychczas przypisane role i uprawnienia np. wybiegają poza kompetencje i zakres obowiązków określonego pracownika placówki, należy je ograniczyć i dostosować tylko do wymagań ściśle powiązanych z danym stanowiskiem.

• Administrator systemu jest zobligowany do stałej weryfikacji czy poszczególni użytkownicy logują się do systemu Mediporta poprzez swoje indywidualne loginy i hasła. Niedopuszczalna jest sytuacja np. w której dwóch pracowników placówki korzysta z jednego i tego samego konta użytkownika systemu Mediporta.

• Zaleca się stały monitoring audytów, w tym audytu logowań użytkowników do systemu Mediporta przez administratora.

• Administrator systemu jest zobligowany do stałej weryfikacji kont użytkowników, w celu podjęcia odpowiednich działań w przypadku pracowników, którzy nie są już zatrudnieni w placówce, np. poprzez zablokowanie kont wybranych użytkowników i ograniczenie dostępu do systemu Mediporta.

• Zaleca się weryfikację czy poszczególni użytkownicy mają wprowadzony numer telefonu komórkowego w konfiguracji swojego konta, który jest niezbędny np. w celu zresetowania hasła do systemu Mediporta.

• Zalecana jest konfiguracja rozszerzonej polityki bezpieczeństwa haseł użytkowników systemu Mediporta, w tym określenie najdłuższego wieku hasła oraz ilości prób nieudanego logowania, po których dostęp do systemu jest blokowany. Jednocześnie przypominamy, że jeśli użytkownik nie zaloguje się na swoje konto przez okres 6 miesięcy wówczas konto zostanie zablokowane systemowo.

• Zalecane jest przygotowanie przez placówkę wzoru oświadczenia o dostępnie do dokumentacji medycznej pacjenta i wzoru zgody na przetwarzanie danych osobowych w celach marketingowych, bowiem placówka jako administrator danych odpowiada za to, aby poszczególne oświadczenia i zgody były odpowiednio przechowywane i oznaczane w placówce.

O innych zmianach i zaleceniach dotyczących działania oraz obsługi systemu Mediporta w zakresie bezpieczeństwa i ochrony danych będziemy informowali Państwa na bieżąco.

Czy system Mediporta jest przygotowany na to, aby praca w programie była zgodna z normami RODO?

Nasz zespół stale pracuje nad wieloma obszarami systemu w celu dostosowania go do norm i zaleceń wynikających z RODO. Jednym z głównym zadań, które realizujemy na bieżąco jest spełnienie wymagań dotyczących zabezpieczeń systemu i danych jakie są w nim przetwarzane. Spełnienie szczegółowych wymogów i zabezpieczeń dotyczących danych przetwarzanych w systemie Mediporta, gwarantuje wdrożenie odpowiednich środków kontroli wynikający z przeprowadzonej analizy ryzyka. Poniżej prezentujemy wybrane przykłady zabezpieczeń wykorzystywanych w systemie Mediporta:

• chmura obliczeniowa i odpowiednia infrastruktura techniczno-informatyczna (atestowane centra danych),
• gwarancja ciągłości danych (redundancja na poziomie plików i baz danych),
• mechanizm audytów dotyczący dostępu i edycji danych (medycznych i osobowych pacjentów),
• system uprawnień i ról użytkowników,
• możliwość podpisywania wizyt podpisem kwalifikowanym,
• możliwość eksportu danych osobowych pacjenta w standardzie HL7CDA,
• możliwość stosowania rozszerzonej polityki haseł (najdłuższy wiek hasła, minimalna długość i złożoność hasła),
• uwierzytelnianie użytkowników (indywidualne loginy i hasła, powiązanie z mechanizmem audytów),
• rejestr logowań użytkowników do systemu.

Spółka Mediporta deklaruje ciągłe doskonalenie tworzonego przez siebie oprogramowania w kontekście zasad dotyczących ochrony danych osobowych. Stale monitorujemy zalecenia dotyczące RODO, w szczególności przygotowywany przez CSIOZ kodeks branżowy, w celu podniesienia poziomu bezpieczeństwa systemu Mediporta.

Warto też dodać, że podnoszenie poziomu bezpieczeństwa nie jest procesem jednorazowym i przebiega w sposób ciągły, a poszczególne mechanizmy i zabezpieczenia są na bieżąco analizowane i dostosowywane do zmieniających się uwarunkowań i przepisów.

Więcej informacji o rekomendacjach w zakresie bezpieczeństwa, stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej znajdą Państwo m.in. na stronie internetowej ezdrowie.gov.pl.

W jaki sposób Spółka Mediporta realizuje obowiązki wynikające z RODO, biorąc pod uwagę dane osobowe przetwarzanie w ramach współpracy z określoną praktyką lub placówką medyczną?

Kwestie związane z przetwarzaniem danych osobowych i medycznych są uregulowane w umowie, w której Spółka Mediporta jako dostawca usług zobowiązuje się przetwarzać ww. dane wyłącznie w celu realizacji umowy. W umowie zawarte są m.in.:

• zobowiązania dotyczące aktualizacji oprogramowania oraz wykonywanych czynności serwisowych,
• kwestie bezpieczeństwa danych,
• informacje o polityce wykonywania i retencji kopii zapasowych.

Oprócz tego umowa zawiera również dane na temat dostawców usług w chmurze oraz informacje o lokalizacji poszczególnych serwerów.

Dodatkowo Spółka Mediporta jako podmiot przetwarzający dane (tzw. procesor), stale analizuje ryzyko dotyczące ochrony danych pod kątem zabezpieczeń związanych z ich przetwarzaniem, w celu zminimalizowania wystąpienia niepożądanego czynnika (np. ujawnienie danych, przechwycenie danych, itd.). Analiza wykonywana jest zarówno na etapie projektowania zmian w systemie jak również w trakcie jego eksploatacji. Jej efektem jest dobór odpowiednich zabezpieczeń uwzględniających przepisy prawa, wymagania biznesowe oraz wymagania dotyczące innych zasobów posiadających wartość dla ciągłości działania Spółki. Stałe podnoszenie poziomu bezpieczeństwa, wynikającego z analizy ryzyka w Spółce Mediporta obejmuje m.in. dobór odpowiednich środków organizacyjnych i technicznych, w celu zapewniania ochrony danych wrażliwych.

Co placówka medyczna powinna dostarczyć Spółce Mediporta w związku z wprowadzeniem RODO?

W przypadku, jeśli placówka posiada już wypracowany wzór upoważnienia do dostępu do danych medycznych pacjenta i zgody na przetwarzanie danych w celach marketingowych (w związku z wprowadzeniem RODO), prosimy o przesłanie go na adres pomoc@mediporta.pl. Po przesłaniu wzorów Specjalista z Centrum Wsparcia Mediporty skontaktuje się z Państwem w sprawie implementacji odpowiedniego formularza w systemie Mediporta (zgodnie z cennikiem). Należy dodać, że wzory upoważnień i zgód są kwestią indywidualną każdego podmiotu leczniczego (administratora danych) i mogą być różne dla poszczególnych placówek. Jednocześnie chcielibyśmy podkreślić, że przesłane wzory oświadczeń nie będą w żaden sposób analizowane i opiniowane przez Specjalistów z Centrum Wsparcia Mediporty (podmiot przetwarzający dane), pod kątem zgodność lub niezgodności z RODO. Przygotowanie odpowiednich wzorów oświadczeń (ich treści i zapisów), biorąc pod uwagę zgodność z RODO leży w kwestii administratora danych, a więc w kwestii określonego podmiotu leczniczego. Tym samym wzory oświadczeń zostaną zaimplementowane w systemie Mediporta w takiej formie, w jakiej zostały przesłane przez Państwa do Centrum Wsparcia Mediporty, bez wprowadzania modyfikacji i ingerowania w ich treści.