Bezpieczeństwo przetwarzania danych osobowych w branży medycznej

Obowiązkiem każdego administratora, w tym podmiotu leczniczego, jest zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych poprzez wdrożenie takich środków technicznych i organizacyjnych, które odpowiadają ryzyku naruszenia praw i wolności osób, których dane są przetwarzane. Według Kodeksu odpowiedni poziom bezpieczeństwa zapewniają właściwie przeprowadzana analiza ryzyka, dobór i prawidłowe wdrożenie środków technicznych i organizacyjnych spośród wskazanych w załączniku nr 5 do Kodeksu oraz stosowanie uznanych norm/standardów międzynarodowych wskazanych w załączniku nr 6 do Kodeksu w odniesieniu do zagadnień objętych tymi normami/standardami.

Załącznik nr 6

Wykaz norm mających zastosowanie w obszarze bezpieczeństwa informacji i ochrony danych osobowych według projektu Kodeksu postępowania dla sektora ochrony zdrowia wydanego zgodnie z art. 40 RODO

  1. PN-EN ISO/IEC 27000:2017-06 Systemy zarządzania bezpieczeństwem informacji – Przegląd i terminologia.
  2. PN-EN ISO/IEC 27001:2017-06 Systemy zarządzania bezpieczeństwem informacji – Wymagania.
  3. PN-EN ISO/IEC 27002:2017-06 Praktyczne zasady zabezpieczania informacji.
  4. PN ISO/IEC 27005:2014-12 Techniki bezpieczeństwa. Zarządzanie ryzykiem w bezpieczeństwie informacji.
  5. PN-ISO/IEC 27018:2017-07 Praktyczne zasady ochrony danych identyfikujących osobę (PII) w chmurach publicznych działających jako przetwarzający PII.
  6. PN-EN ISO/IEC 27799:2016-10 Informatyka w ochronie zdrowia – Zarządzanie bezpieczeństwem informacji w ochronie zdrowia z wykorzystaniem ISO/IEC 27002.
  7. PN-ISO 31000:2012 Zarządzanie ryzykiem – zasady i wytyczne.
  8. PN-EN ISO 22301:2014-11 Systemy zarządzania ciągłoś­cią działania – Wymagania.
  9. PN-ISO/IEC 29100:2017-07 Techniki bezpieczeństwa – Ramy prywatności.
  10. PN-ISO/IEC 29101:2017-07 Techniki bezpieczeństwa – Ramy architektury i prywatności.
  11. PN-ISO/IEC 29134:2017 Techniki bezpieczeństwa – Wytyczne dotyczące oceny wpływu na prywatność.
  12. PN-ISO/IEC 29151:2017 Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania PII.

 

W przypadku wydania normy zastępującej którąkolwiek z norm wskazanych powyżej uwzględnia się nową normę.

Ponadto Kodeks wprowadził znaczne ułatwienie dla podmiotów leczniczych, które nie przetwarzają danych na dużą skalę oraz są prowadzone w formie indywidualnej lub grupowej praktyki zawodowej, rekomendując gotowe rozwiązania w zakresie bezpieczeństwa oraz rozwiązań technologicznych (załącznik nr 7 do Kodeksu). Jest to więc uproszczone rozwiązanie dla małych podmiotów leczniczych, z którego mogą one skorzystać.

Powierzenie przetwarzania danych

Powierzając przetwarzanie danych, podmiot leczniczy musi pamiętać o wyborze takiego podmiotu, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych chroniących prawa osób, których dane dotyczą, oraz spełnia wymogi RODO. To na podmiocie leczniczym ciąży obowiązek oceny, czy podmiot przetwarzający zapewnia wskazane wyżej gwarancje. Należy przy tym pamiętać, iż z wybranym przez siebie podmiotem przetwarzającym podmiot lecznicy musi zawrzeć stosowną umowę powierzenia przetwarzania danych.

Kiedy nie ma potrzeby zawarcia umowy powierzenia przetwarzania danych?

Twórcy Kodeksu uznali, że pracodawca, który przekazuje dane osobowe swoich pracowników w celu objęcia ich opieką medyczną (czy to w ramach medycyny pracy czy w szerszym zakresie), nie musi zawierać z takim podmiotem umowy powierzenia przetwarzania danych osobowych. Podmiot leczniczy jest bowiem traktowany jako odrębny administrator danych. Również nie ma takiej potrzeby, gdy inny podmiot leczniczy w ramach zachowania ciągłości usług medycznych (w tym jako podwykonawca) wykonuje badania diagnostyki laboratoryjnej i obrazowej oraz badań histopatologicznych. Kodeks zakłada również, że umowa powierzenia przetwarzania danych nie będzie potrzebna, gdy podmiot prowadzący szkołę przekazuje dane osobowe w celu udzielania świadczeń zdrowotnych z zakresu opieki profilaktycznej nad uczniami.

Szkolenia personelu

Bardzo ważne jest, aby podmiot leczniczy dbał o osiągnięcie i utrzymanie odpowiedniego poziomu kwalifikacji swojego personelu i to nie tylko w zakresie wiedzy merytorycznej, niezbędnej do należytego świadczenia usług medycznych, ale także w dziedzinie przetwarzania danych osobowych. Może to uzyskać, organizując szkolenia, zapewniając odpowiednie materiały czy prowadząc akcje edukacyjne. Co ważne, działania takie muszą mieć charakter cykliczny i być dokumentowane. Kodeks rekomenduje, aby pierwsze szkolenie odbyło się przed rozpoczęciem przetwarzania danych przez personel lub niezwłocznie po rozpoczęciu przetwarzania danych.