W połowie przyszłego roku, w każdej placówce medycznej zostanie uruchomiony system elektronicznej wymiany dokumentów medycznych, a tym samym pojawi się nowe, realne źródło zagrożenia dla przetwarzanych w placówkach medycznych elektronicznych danych osobowych i medycznych. Menedżerowie, aby dobrze zabezpieczyć placówkę np. przed potencjalnymi atakami hakerów lub wyciekiem danych przetwarzanych w wykorzystaniem sieci wi-fi, muszą bezwzględnie w ciągu najbliższego roku, opracować i wdrożyć politykę bezpieczeństwa informacji w placówkach medycznych.
W niniejszym poradniku zawarto 23 praktyczne porady i 2 wzory dokumentów, dzięki którym bez problemu zapewnisz wysoki poziom bezpieczeństwa danych osobowych i medycznych w placówce.
Poradnik omawia najczęściej pojawiające się problemy związane z zarządzaniem systemem informacyjnym w placówce, począwszy od przetwarzania danych osobowych i danych medycznych, odpowiedzialności prawnej za bezpieczeństwo danych, po bezpieczeństwo informacji w kontekście elektronicznej dokumentacji medycznej.
Publikacja udziela odpowiedzi na kluczowe pytania dotyczące bezpieczeństwa danych, m.in.:
• Jaki jest zakres odpowiedzialności lekarza i kierownika podmiotu za dokumentację medyczną?
• Jakie są konsekwencje nieprawidłowego przetworzenia danych osobowych?
• Kiedy plik zawierający dane medyczne staje się dokumentem elektronicznym?
• Jakie są sposoby na zapewnienie bezpieczeństwa danych medycznych?
• Jakie są procedury chroniące przed wyciekiem danych?
Zawarte w publikacji wskazówki pozwolą uniknąć menedżerom i właścicielom placówek dotkliwych konsekwencji - karnej lub grzywny za nieprawidłowe przetwarzanie danych osobowych nałożonych przez GIODO.
Publikacja została uzupełniona o kluczowe, przy opracowywaniu polityki bezpieczeństwa informacji w podmiocie leczniczym, wzory dokumentów oraz tekst Ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych.
Stan prawny na dzień 1 kwietnia 2013 r.
ROZDZIAŁ 1. PRZETWARZANIE DANYCH OSOBOWYCH I DANYCH MEDYCZNYCH
I. Przeszkolenie, nadanie uprawnień i zobowiązanie do zachowania tajemnicy
II. Dostęp osób upoważnionych oraz innych podmiotów do dokumentacji medycznej
III. Udostępnianie dokumentacji placówkom współpracującym
IV. Po zmianie lekarza – przekazanie danych innemu podmiotowi
V. Dostęp do dokumentacji przez prezesa placówki niebędącego lekarzem
ROZDZIAŁ 2. ODPOWIEDZIALNOŚĆ PRAWNA ZA BEZPIECZEŃSTWO DANYCH
I. Zakres odpowiedzialności lekarza i kierownika podmiotu za dokumentację medyczną
II. Konsekwencje nieprawidłowego przetwarzania danych osobowych
III. Nowe przepisy o kontroli baz danych medycznych obowiązujące od stycznia 2013 roku
IV. Narzędzia służące do unikania błędów przy przetwarzaniu informacji wrażliwych
ROZDZIAŁ 3. BEZPIECZEŃSTWO INFORMACJI A ELEKTRONICZNA DOKUMENTACJA MEDYCZNA
I. Kiedy plik zawierający dane medyczne staje się dokumentem elektronicznym
II. Wymogi dla systemu teleinformatycznego służącego do zarządzania dokumentami medycznymi
III. Anonimizacja, pseudonimizacja i separacja – sposoby na zapewnienie bezpieczeństwa danych medycznych
IV. Przepisy ustawowe i polskie normy dotyczące bezpieczeństwa danych
V. Identyfikacja pacjentów, zabezpieczenie sieci i procedury chroniące przed wyciekiem danych
VI. Zastosowanie norm ISO, zabezpieczenie pomieszczeń oraz likwidacja nośników danych
VII. Szyfrowanie tożsamości i danych medycznych pacjentów na opaskach szpitalnych
VIII. Standaryzacja sposobu identyfikacji lekarza, pacjenta i skierowania
IX. Procedury wewnętrzne chroniące placówkę przed utratą danych
ROZDZIAŁ 4. OUTSOURCING PRZETWARZANIA DANYCH ORAZ CLOUD COMPUTING W OCHRONIE ZDROWIA
I. Modele Cloud Computing a bezpieczeństwo danych w placówce medycznej
II. Szyfrowanie zabezpieczy dane przy zleceniu ich przetwarzania firmie zewnętrznej
III. Zlecenie przetwarzania danych nie zwalnia od odpowiedzialności
ROZDZIAŁ 5. POLITYKA BEZPIECZEŃSTWA INFORMACJI I INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM
I. Polityka bezpieczeństwa informacji podstawowym dokumentem określającym sposoby zabezpieczania danych w placówce
II. Instrukcja zarządzania systemem informatycznym
PODSTAWA PRAWNA
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych
