Obowiązkiem każdego administratora, w tym podmiotu leczniczego, jest zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych poprzez wdrożenie takich środków technicznych i organizacyjnych, które odpowiadają ryzyku naruszenia praw i wolności osób, których dane są przetwarzane. Według Kodeksu odpowiedni poziom bezpieczeństwa zapewniają właściwie przeprowadzana analiza ryzyka, dobór i prawidłowe wdrożenie środków technicznych i organizacyjnych spośród wskazanych w załączniku nr 5 do Kodeksu oraz stosowanie uznanych norm/standardów międzynarodowych wskazanych w załączniku nr 6 do Kodeksu w odniesieniu do zagadnień objętych tymi normami/standardami.
Załącznik nr 6
Wykaz norm mających zastosowanie w obszarze bezpieczeństwa informacji i ochrony danych osobowych według projektu Kodeksu postępowania dla sektora ochrony zdrowia wydanego zgodnie z art. 40 RODO
- PN-EN ISO/IEC 27000:2017-06 Systemy zarządzania bezpieczeństwem informacji – Przegląd i terminologia.
- PN-EN ISO/IEC 27001:2017-06 Systemy zarządzania bezpieczeństwem informacji – Wymagania.
- PN-EN ISO/IEC 27002:2017-06 Praktyczne zasady zabezpieczania informacji.
- PN ISO/IEC 27005:2014-12 Techniki bezpieczeństwa. Zarządzanie ryzykiem w bezpieczeństwie informacji.
- PN-ISO/IEC 27018:2017-07 Praktyczne zasady ochrony danych identyfikujących osobę (PII) w chmurach publicznych działających jako przetwarzający PII.
- PN-EN ISO/IEC 27799:2016-10 Informatyka w ochronie zdrowia – Zarządzanie bezpieczeństwem informacji w ochronie zdrowia z wykorzystaniem ISO/IEC 27002.
- PN-ISO 31000:2012 Zarządzanie ryzykiem – zasady i wytyczne.
- PN-EN ISO 22301:2014-11 Systemy zarządzania ciągłością działania – Wymagania.
- PN-ISO/IEC 29100:2017-07 Techniki bezpieczeństwa – Ramy prywatności.
- PN-ISO/IEC 29101:2017-07 Techniki bezpieczeństwa – Ramy architektury i prywatności.
- PN-ISO/IEC 29134:2017 Techniki bezpieczeństwa – Wytyczne dotyczące oceny wpływu na prywatność.
- PN-ISO/IEC 29151:2017 Techniki bezpieczeństwa – Praktyczne zasady zabezpieczania PII.
W przypadku wydania normy zastępującej którąkolwiek z norm wskazanych powyżej uwzględnia się nową normę.
Ponadto Kodeks wprowadził znaczne ułatwienie dla podmiotów leczniczych, które nie przetwarzają danych na dużą skalę oraz są prowadzone w formie indywidualnej lub grupowej praktyki zawodowej, rekomendując gotowe rozwiązania w zakresie bezpieczeństwa oraz rozwiązań technologicznych (załącznik nr 7 do Kodeksu). Jest to więc uproszczone rozwiązanie dla małych podmiotów leczniczych, z którego mogą one skorzystać.
Powierzenie przetwarzania danych
Powierzając przetwarzanie danych, podmiot leczniczy musi pamiętać o wyborze takiego podmiotu, który zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych chroniących prawa osób, których dane...
Dalsza część jest dostępna dla użytkowników z wykupionym planem