Wejście w życie Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO) stanowi wyzwanie dla wszystkich podmiotów związanych z szeroko pojętym przetwarzaniem danych, u podstaw którego znajduje się m.in. obowiązek oszacowania ryzyka związanego z bezpieczeństwem i ochroną danych osobowych. Proces dostosowywania podmiotu do RODO jest zabiegiem długotrwałym i wymaga od administratora danych podjęcia działań gwarantujących odpowiedni poziom zabezpieczeń. W związku z często pojawiającymi się pytaniami dotyczącymi wprowadzenia RODO, poniżej prezentujemy kilka najczęściej zadawanych przez Państwa pytań wraz z odpowiedziami.
Kiedy zacznie obowiązywać RODO?
Z dniem 25.05.2018r. znajdą zastosowanie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej zwanego RODO.
Do czego zobowiązany jest podmiot leczniczy w związku z wprowadzeniem RODO?
Jednym z wymagań Unijnego Rozporządzenia o Ochronie Danych Osobowych jest zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych, w tym ochronę danych przed niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem.
Wdrożenie przepisów RODO w placówce medycznej, która występuje w roli administratora danych wrażliwych (tj. danych osobowych i medycznych pacjentów), wymaga weryfikacji podejścia do ochrony danych osobowych. Nowe wymagania obejmują m.in.:
- konieczność analizy ryzyka związanego z przetwarzaniem danych,
- dostosowanie dokumentacji i procedur do nowych wymagań,
- uwzględnienie szerokich praw osób, których dotyczą przetwarzane dane (m.in. prawo do usunięcia danych, prawo do sprzeciwu, prawo do przeniesienia danych, prawo do ograniczenia przetwarzania danych, prawo do sprostowania i uzupełnienia danych, itd.).
Zadaniem administratora danych jest przeprowadzanie wielowymiarowej analizy i oceny czy dotychczas zastosowane środki bezpieczeństwa i ochrony danych w placówce są adekwatne do ryzyka związanego z szeroko pojętym przetwarzaniem danych. Efektem przeprowadzonej analizy powinno być mi.in dobranie i zastosowanie w placówce odpowiednich środków bezpieczeństwa.
Więcej informacji o RODO znajdą państwo m.in. na stronie internetowej Generalnego Inspektora Ochrony Danych Osobowych:
- https://giodo.gov.pl/pl/569/9276– szczegółowe informacje dotyczące RODO,
- https://giodo.gov.pl/pl/p/opinie-wytyczne-wskazowki– wytyczne oraz wskazówki dotyczące podejścia do oceny ryzyka związanego z przetwarzaniem danych osobowych w ramach RODO.
Jakie działania zalecamy administratorom systemu Mediporta w celu podniesienia poziomu bezpieczeństwa danych?
Biorąc pod uwagę działania administracyjne w systemie Mediporta, poniżej prezentujemy kilka zaleceń, w celu zwiększenia poziomu bezpieczeństwa i ochrony danych osobowych i medycznych pacjentów:
- Rekomenduje się przeprowadzenie wewnętrznego audytu uprawnień i ról poszczególnych użytkowników systemu Mediporta, w celu kontroli dostępu do określonych danych i funkcji aplikacji. Jeśli dotychczas przypisane role i uprawnienia np. wybiegają poza kompetencje i zakres obowiązków określonego pracownika placówki, należy je ograniczyć i dostosować tylko do wymagań ściśle powiązanych z danym stanowiskiem.
- Administrator systemu jest zobligowany do stałej weryfikacji czy poszczególni użytkownicy logują się do systemu Mediporta poprzez swoje indywidualne loginy i hasła. Niedopuszczalna jest sytuacja np. w której dwóch pracowników placówki korzysta z jednego i tego samego konta użytkownika systemu Mediporta.
- Zaleca się stały monitoring audytów, w tym audytu logowań użytkowników do systemu Mediporta przez administratora.
- Administrator systemu jest zobligowany do stałej weryfikacji kont użytkowników, w celu podjęcia odpowiednich działań w przypadku pracowników, którzy nie są już zatrudnieni w placówce, np. poprzez zablokowanie kont wybranych użytkowników i ograniczenie dostępu do systemu Mediporta.
- Zaleca się weryfikację czy poszczególni użytkownicy mają wprowadzony numer telefonu komórkowego w konfiguracji swojego konta, który jest niezbędny np. w celu zresetowania hasła do systemu Mediporta.
- Zalecana jest konfiguracja rozszerzonej polityki bezpieczeństwa haseł użytkowników systemu Mediporta, w tym określenie najdłuższego wieku hasła oraz ilości prób nieudanego logowania, po których dostęp do systemu jest blokowany. Jednocześnie przypominamy, że jeśli użytkownik nie zaloguje się na swoje konto przez okres 6 miesięcy wówczas konto zostanie zablokowane systemowo.
- Zalecane jest przygotowanie przez placówkę wzoru oświadczenia o dostępnie do dokumentacji medycznej pacjenta i wzoru zgody na przetwarzanie danych osobowych w celach marketingowych, bowiem placówka jako administrator danych odpowiada za to, aby poszczególne oświadczenia i zgody były odpowiednio przechowywane i oznaczane w placówce.
O innych zmianach i zaleceniach dotyczących działania oraz obsługi systemu Mediporta w zakresie bezpieczeństwa i ochrony danych będziemy informowali Państwa na bieżąco.
Czy system Mediporta jest przygotowany na to, aby praca w programie była zgodna z normami RODO?
Nasz zespół stale pracuje nad wieloma obszarami systemu w celu dostosowania go do norm i zaleceń wynikających z RODO. Jednym z głównym zadań, które realizujemy na bieżąco jest spełnienie wymagań dotyczących zabezpieczeń systemu i danych jakie są w nim przetwarzane. Spełnienie szczegółowych wymogów i zabezpieczeń dotyczących danych przetwarzanych w systemie Mediporta, gwarantuje wdrożenie odpowiednich środków kontroli wynikający z przeprowadzonej analizy ryzyka. Poniżej prezentujemy wybrane przykłady zabezpieczeń wykorzystywanych w systemie Mediporta:
- chmura obliczeniowa i odpowiednia infrastruktura techniczno-informatyczna (atestowane centra danych),
- gwarancja ciągłości danych (redundancja na poziomie plików i baz danych),
- mechanizm audytów dotyczący dostępu i edycji danych (medycznych i osobowych pacjentów),
- system uprawnień i ról użytkowników,
- możliwość podpisywania wizyt podpisem kwalifikowanym,
- możliwość eksportu danych osobowych pacjenta w standardzie HL7CDA,
- możliwość stosowania rozszerzonej polityki haseł (najdłuższy wiek hasła, minimalna długość i złożoność hasła),
- uwierzytelnianie użytkowników (indywidualne loginy i hasła, powiązanie z mechanizmem audytów),
- rejestr logowań użytkowników do systemu.
Spółka Mediporta deklaruje ciągłe doskonalenie tworzonego przez siebie oprogramowania w kontekście zasad dotyczących ochrony danych osobowych. Stale monitorujemy zalecenia dotyczące RODO, w szczególności przygotowywany przez CSIOZ kodeks branżowy, w celu podniesienia poziomu bezpieczeństwa systemu Mediporta.
Warto też dodać, że podnoszenie poziomu bezpieczeństwa nie jest procesem jednorazowym i przebiega w sposób ciągły, a poszczególne mechanizmy i zabezpieczenia są na bieżąco analizowane i dostosowywane do zmieniających się uwarunkowań i przepisów.
Więcej informacji o rekomendacjach w zakresie bezpieczeństwa, stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej znajdą Państwo m.in. na stronie internetowej Centrum Systemów Informacyjnych Ochrony Zdrowia – https://www.csioz.gov.pl/aktualnosci/szczegoly/rekomendacje-w-zakresie-bezpieczenstwa-oraz-rozwiazan-technologicznych-stosowanych-podczas-przetw/.
W jaki sposób Spółka Mediporta realizuje obowiązki wynikające z RODO, biorąc pod uwagę dane osobowe przetwarzanie w ramach współpracy z określoną praktyką lub placówką medyczną?
Kwestie związane z przetwarzaniem danych osobowych i medycznych są uregulowane w umowie, w której Spółka Mediporta jako dostawca usług zobowiązuje się przetwarzać ww. dane wyłącznie w celu realizacji umowy. W umowie zawarte są m.in.:
- zobowiązania dotyczące aktualizacji oprogramowania oraz wykonywanych czynności serwisowych,
- kwestie bezpieczeństwa danych,
- informacje o polityce wykonywania i retencji kopii zapasowych.
Oprócz tego umowa zawiera również dane na temat dostawców usług w chmurze oraz informacje o lokalizacji poszczególnych serwerów.
Dodatkowo Spółka Mediporta jako podmiot przetwarzający dane (tzw. procesor), stale analizuje ryzyko dotyczące ochrony danych pod kątem zabezpieczeń związanych z ich przetwarzaniem, w celu zminimalizowania wystąpienia niepożądanego czynnika (np. ujawnienie danych, przechwycenie danych, itd.). Analiza wykonywana jest zarówno na etapie projektowania zmian w systemie jak również w trakcie jego eksploatacji. Jej efektem jest dobór odpowiednich zabezpieczeń uwzględniających przepisy prawa, wymagania biznesowe oraz wymagania dotyczące innych zasobów posiadających wartość dla ciągłości działania Spółki. Stałe podnoszenie poziomu bezpieczeństwa, wynikającego z analizy ryzyka w Spółce Mediporta obejmuje m.in. dobór odpowiednich środków organizacyjnych i technicznych, w celu zapewniania ochrony danych wrażliwych.
Co placówka medyczna powinna dostarczyć Spółce Mediporta w związku z wprowadzeniem RODO?
W przypadku, jeśli placówka posiada już wypracowany wzór upoważnienia do dostępu do danych medycznych pacjenta i zgody na przetwarzanie danych w celach marketingowych (w związku z wprowadzeniem RODO), prosimy o przesłanie go na adres pomoc@mediporta.pl. Po przesłaniu wzorów Specjalista z Centrum Wsparcia Mediporty skontaktuje się z Państwem w sprawie implementacji odpowiedniego formularza w systemie Mediporta (zgodnie z cennikiem). Należy dodać, że wzory upoważnień i zgód są kwestią indywidualną każdego podmiotu leczniczego (administratora danych) i mogą być różne dla poszczególnych placówek. Jednocześnie chcielibyśmy podkreślić, że przesłane wzory oświadczeń nie będą w żaden sposób analizowane i opiniowane przez Specjalistów z Centrum Wsparcia Mediporty (podmiot przetwarzający dane), pod kątem zgodność lub niezgodności z RODO. Przygotowanie odpowiednich wzorów oświadczeń (ich treści i zapisów), biorąc pod uwagę zgodność z RODO leży w kwestii administratora danych, a więc w kwestii określonego podmiotu leczniczego. Tym samym wzory oświadczeń zostaną zaimplementowane w systemie Mediporta w takiej formie, w jakiej zostały przesłane przez Państwa do Centrum Wsparcia Mediporty, bez wprowadzania modyfikacji i ingerowania w ich treści.