Praktyka organów publicznych w zakresie cyberbezpieczeństwa i ochrony danych medycznych, kodeks branżowy, szanse i wyzwania związane z bezpieczeństwem danych medycznych w środowisku cyfrowym – to były główne tematy kolejnej – IV edycji konferencji RODO i cyberbezpieczeństwo w zdrowiu, która odbyła się 24 maja 2022, w przeddzień czwartej rocznicy wejścia w życie polskiej ustawy o ochronie danych.

Kluczowym zagadnieniem konferencji była dyskusja na temat obowiązków i wyzwań związanych z cyberzagrożeniami w prowadzeniu działalności leczniczej w środowisku cyfrowym. Eksperci sporo uwagi poświęcili potrzebie zwiększenia świadomości pacjentów w zakresie przysługujących im praw dotyczących ich danych osobowych.

Konferencja miała na celu również podnoszenie kompetencji cyfrowych pracowników ochrony zdrowia. Istotne okazuje się również prawidłowe zabezpieczenie stron internetowych przed atakami hakerów. Tematyka cyberbezpieczeństwa jest szczególnie ważna, zważywszy, że liczba cyberataków na podmioty medyczne stale rośnie, przyczyniając się do zwiększonego zagrożenia w zakresie wycieku danych medycznych pacjentów.

Kto i dlaczego stworzył kodeks branżowy „RODO w ochronie zdrowia”

Jednym z zagadnień IV edycji konferencji był „Kodeks Branżowy RODO w sektorze ochrony zdrowia”, który powstał w ramach prac szerokiej koalicji, składającej się między innymi z Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji oraz Porozumienia Zielonogórskiego, przy wsparciu prawnym Kancelarii DZP.

Prace nad kodeksem w „RODO w ochronie zdrowia” rozpoczęły się w lipcu 2017 roku Kodeks powstawał przy aktywnym udziale strony publicznej, w szczególności Ministerstwa Zdrowa, Centrum e-Zdrowia oraz Centrum Monitorowania Jakości w Ochronie Zdrowia.

Celem kodeksu „RODO w ochronie zdrowia” jest „zapewnienie adekwatnego poziomu ochrony pacjentów, w związku z przetwarzaniem ich danych osobowych, ze szczególnym uwzględnieniem ochrony zdrowia i życia, jako dóbr o nadrzędnym znaczeniu – czytamy we wstępie do projektu tego dokumentu.

– Inicjatywa opracowania projektu kodeksu narodziła się jako odpowiedź na liczne wątpliwości i problemy interpretacyjne związane ze stosowaniem RODO, które na początku obowiązywania nowych regulacji miały podmioty lecznicze – wyjaśnia Ligia Kornowska, dyrektor zarządzająca Polskiej Federacji Szpitali, a zarazem jedna z inicjatorów Kodeksu i samej konferencji. – Potrzeba przyjęcia i stosowania kodeksu jest aktualna. Wyznacza on bowiem pożądany standard ochrony danych osobowych, który ma zapewnić pacjentom lepszą gwarancję poszanowania ich prywatności, a placówkom medycznym pewność w zakresie wymogów i zasad prawidłowego postępowania – dodaje.

Kodeks branżowy zyskał pozytywną opinię Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Dzięki temu podmioty wykonujące działalność leczniczą, które chcą zapewnić pacjentom wysoki poziom ochrony ich danych osiągnięty w projekcie kodeksu, mogą rozpocząć dostosowywanie swojej aktywności do jego postanowień.

Prawdopodobnie już jesienią 2022 roku pierwsze placówki medyczne będą mogły ubiegać się o wydanie im certyfikat na podstawie kodeksu. Dokument ten w sierpniu ma być ostatecznie zatwierdzony przez Urząd Ochrony Danych Osobowych.

UODO ma też w najbliższym czasie rozpatrzyć wniosek o akredytację podmiotu monitorującego placówki medyczne pod kątem przestrzegania przez nie zapisów kodeksu. Wniosek taki złożyła firma KPMG Advisory Sp. z o.o. Jeśli uzyska on akceptację, spółka ta będzie przeprowadzać audyty w placówkach ochrony zdrowia i na tej podstawie podmioty lecznicze będą mogły uzyskiwać zaświadczenie (certyfikat) o przyznaniu im statusu Członka Kodeksu.

Aktualny projekt kodeksu można pobrać tutaj

Konferencję zorganizowali: Polska Federacja Szpitali, zespół ekspertów wZdrowiu i kancelaria DZP.

Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem.

Zapis konferencji „RODO i cyberbezpieczństwo w zdrowiu” z 24 maja 2022 roku dostępny jest na YouTube.com

Pierwszy w Polsce i jeden z pierwszych w Europie Kodeks Branżowy RODO w ochronie zdrowia (Polish Code of Conduct in Healthcare) otrzymał pierwszą nagrodę w międzynarodowym konkursie Emerging Europe Awards w kategorii „Modern and Future-proof Policymaking”. Kodeks opracowany był między innymi przy udziale Pracodawców Medycyny Prywatnej.

Prawie 50 organizacji i osób z całej Europy Środkowej, Wschodniej, Południowo-Wschodniej i Kaukazu było nominowanych do czwartej edycji Emerging Europe Awards Programme.

Wśród nich znalazł się Kodeks Branżowy RODO w ochronie zdrowia jako jedna z polskich inicjatyw. Został nominowany za „torowanie drogi do standaryzacji ochrony danych osobowych, dającej pacjentom prywatność, a instytucjom medycznym możliwości oferowania wysokiej jakości usług”.

– Dziękujemy za to wspaniale wyróżnienie. To nagroda dla dziesiątek ludzi, reprezentujących wiele organizacji zarówno z sektora prywatnego jak i publicznego, którzy pracowali nad Kodeksem. Jesteśmy zaszczyceni, że nasz Kodeks stanowi dla Europy przykład tworzenia regulacji. Gratulacje dla wszystkich zaangażowanych! – powiedziała Ligia Kornowska, dyrektor zarządzająca Polskiej Federacji Szpitali podczas odbierania nagrody.

– Kodeks Branżowy RODO w ochronie zdrowia jest wizytówką Polski i może posłużyć jako przykład dla pozostałych Państw Europejskich w zakresie wyznaczania standardu ochrony danych osobowych i współpracy publiczno-prywatnej w celu wypracowania wspólnego stanowiska regulacyjnego. Stosowanie go przez podmioty wykonujące działalność leczniczą zapewnia prawidłowe dostosowywanie się do wymogów przewidzianych w RODO i ochronę prywatności oraz praw pacjentów – wskazuje Jarosław J. Fedorowski, prezes Polskiej Federacji Szpitali.

– Nieustannie pracujemy nad zapewnieniem bezpieczeństwa pacjentom i pomocy placówkom medycznym, które przetwarzają na co dzień miliony danych osobowych. Wprowadzone regulacje w sektorze medycznym mają na celu zmniejszenie przypadków naruszeń danych, w tym danych wrażliwych. Jednym z projektów służących doprecyzowaniu wymogów RODO i przynoszących wartość praktyczną jest Kodeks Branżowy, wypracowany w porozumieniu sektora publicznego i prywatnego. Ogromnym sukcesem zarówno Polski, jak i twórców Kodeksu, jest nagrodzenie go w międzynarodowym konkursie Emerging Europe Awards – wskazuje Anna Goławska, podsekretarz stanu w Ministerstwie Zdrowia.

Czytaj także: Powinniśmy płacić za zdrowie, a nie za chorobę>>>

– W dobie cyfryzacji i postępu technologicznego coraz częściej zdarzają się przypadki naruszeń w sektorze ochrony zdrowia. Projekt kodeksu postępowania ma na celu w sposób jasny i klarowny dla podmiotów go stosujących zapobiegać naruszeniom, a tym samym zapewniać wysoki poziom ochrony danych osobowych. Do tego przyczyniają się postanowienia kodeksów branżowych, które pomogą nie tylko podmiotom medycznym wypełniać wymogi RODO, ale też upowszechnią wiedzę o ochronie danych wśród pacjentów. Odebranie nagrody w międzynarodowym konkursie niewątpliwie stanowi przykład, jak polskie ustawodawstwo wyznacza standardy w tej dziedzinie –zauważa Monika Krasińska, dyrektor Departamentu Orzecznictwa i Legislacji UODO.

Była to czwarta edycja Emerging Europe Awards Programme. Nominowanych zostało w niej prawie 50 organizacji i osób z Europy Środkowej, Wschodniej, Południowo-Wschodniej i Kaukazu.

Zwycięzcy konkursu zostali wybrani przez głosowanie na stronie internetowej. Wręczenie nagród miało miejsce 15 września 2021 w Brukseli.

W kategorii “Nowoczesne i przyszłościowe tworzenie polityki” („Modern and Future-proof Policymaking”) nominowane były także dwa inne projekty – z Litwy i Rumunii.

Kodeks RODO dla ochrony zdrowia to dokument stanowiący formę samoregulacji branżowej. Zaproponowane w nim rozwiązania dotyczą doprecyzowania zasad ochrony danych osobowych (zgodnie z unijnym rozporządzeniem RODO) w placówkach ochrony zdrowia.

Kodeks RODO dla branży medycznej powstał w wyniku prac szerokiej koalicji, składającej się między innymi z przedstawicieli Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji, Porozumienia Zielonogórskiego. Prace merytoryczne były koordynowane przez mec. Piotra Najbuka i mec. Pawła Kaźmierczyka. z Kancelarii Domański Zakrzewski Palinka (DZP). Kodeks uwzględnia postulaty i uwagi licznych podmiotów zainteresowanych, z którymi był konsultowany.

Czytaj na ten temat: Kodeks RODO dla ochrony zdrowia – jaki jest stan obecny? >>>

23 lutego 2021 roku Prezes Urzędu Ochrony Danych Osobowych (PUODO) pozytywnie zaopiniował projekt Kodeksu postępowania dla sektora ochrony zdrowia. Oznaczało to, że podmioty wykonujące działalność leczniczą, chcące zapewnić pacjentom wysoki poziom ochrony ich danych osiągnięty w projekcie kodeksu, mogły od tego dnia rozpocząć dostosowywanie się do jego postanowień.

– Ta nagroda to potwierdzenie tego, jak ważne są inicjatywy samo regulacyjne w sektorze ochrony zdrowia. Dzięki współpracy przedstawicieli szpitali, środowiska medycznego i organizacji pacjentów udało się wypracować rozwiązania, które mogą przyczynić się do zwiększenia ochrony prywatności pacjentów, a nawet szerzej – polepszenia jakości opieki zdrowotnej – komentuje mec. Paweł Kaźmierczyk.

11 grudnia 2018 odbyło się spotkanie z przedstawicielami grupy roboczej ds. opracowania kodeksu branżowego dla sektora ochrony zdrowia z przedstawicielami Urzędu Ochrony Danych Osobowych.

Było to pierwsze spotkanie konsultacyjne po złożeniu kodeksu na ręce Prezesa Urzędu Ochrony Danych Osobowych. Jego celem było omówienie wybranych zagadnień które kodeks porusza – tak, aby dać Urzędowi pełny obraz sytuacji i uzasadnić prezentowane w kodeksie podejście.

W spotkaniu wzięli udział przedstawiciele samorządu diagnostów laboratoryjnych, Naczelnej Rady Pielęgniarek i Położnych, Naczelnej Izby Lekarskiej, Centrum Systemów Informacyjnych Ochrony Zdrowia, Polskiej Federacji Szpitali, a także świadczeniodawców oraz kancelarii Domański, Zakrzewski Palinka. Obecni także byli przedstawiciele ministra zdrowia oraz rzecznika praw pacjenta, którzy otwarcie poparli przed UODO inicjatywę utworzenia kodeksu.

Na spotkaniu były omawiane między innymi kwestie monitorowania przestrzegania kodeksu. Piotr Drobek, zastępca dyrektora Departamentu Edukacji Społecznej i Współpracy Międzynarodowej UODO poinformował, że Urząd w dalszym ciągu czeka na wytyczne Europejskiej Rady Ochrony Danych dotyczące tych zagadnień. Jednak rozważane jest  przyjęcie procedur tymczasowych, które pozwoliłyby na stosowanie kodeksu w pewnym zakresie, do czasu wydania przez EROD odpowiednich wytycznych.

Prowadzone konsultacje przebiegały bardzo rzeczowo i stanowiły merytoryczny dialog pomiędzy grupą roboczą a przedstawicielami Urzędu. Strony uzgodniły, że będą kontynuować spotkania konsultacyjne, kolejne przewidziane jest na styczeń 2019 roku.

Projekt kodeksu branżowego dla podmiotów medycznych został złożony w Urzędzie Ochrony Danych Osobowych 13 listopada 2018. W pracach nad jego tworzeniem aktywnie uczestniczyli także przedstawiciele Pracodawców Medycyny Prywatnej.

Kodeks ma ułatwić podmiotom leczniczym stosowanie regulacji zawartych w unijnym rozporządzeniu dotyczącym ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych (RODO), do którego przepisów placówki medyczne z terenu całej Unii Europejskiej są zobowiązane stosować się od 25 maja 2018 roku.

Czytaj więcej na ten temat: Projekt Kodeksu Branżowego dla podmiotów medycznych złożony do Urzędu Ochrony Danych Osobowych>>>

13 listopada 2018 roku do Prezesa Urzędu Ochrony Danych Osobowych został złożony wniosek dotyczący zatwierdzenia projektu kodeksu branżowego. W pracach nad kodeksem aktywnie uczestniczyli przedstawiciele Pracodawców Medycyny Prywatnej.

Kodeks ma ułatwić podmiotom leczniczym stosowanie regulacji zawartych w unijnym rozporządzeniu dotyczącym ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych (RODO), do którego przepisów placówki medyczne z terenu całej Unii Europejskiej są zobowiązane stosować się od 25 maja 2018 roku.

Prace nad kodeksem rozpoczęły się na początku roku 2018. Od maja do września 2018 przeprowadzono szerokie konsultacje tego dokumentu i uwzględniono przekazane w ich toku uwagi.

Doprecyzowania wymagały między innymi zagadnienia dotyczące weryfikacji tożsamości pacjenta, przetwarzania danych przez podmioty lecznicze czy prawa do kopii danych w relacji do prawa pacjenta do dokumentacji medycznej.

Kodeks może regulować zasady przetwarzania danych przez wszystkie podmioty wykonujące działalność leczniczą, bez względu na ich formę prawną, strukturę właścicielską i podmiot prowadzący, uczestnictwo w systemie opieki zdrowotnej finansowanym ze środków publicznych oraz zakres i rodzaj prowadzonej działalności leczniczej. Nie reguluje natomiast zasad przetwarzania danych przez podmioty, które nie prowadzą działalności leczniczej, nawet jeżeli przetwarzają dane o stanie zdrowia (na przykład z  branży lifestyle, fitness czy dietetycznej itp.). Kodeks reguluje przetwarzanie danych w związku z prowadzoną działalnością leczniczą (zazwyczaj bez konieczności uzyskania zgody) oraz w innych celach (zazwyczaj na podstawie zgody pacjenta).

Czytaj także: Aktywnie uczestniczymy w pracach nad kodeksem dla branży medycznej>>>

Kodeks omawia podstawowe zasady przetwarzania danych osobowych przez podmioty wykonujące działalność leczniczą – podstawy przetwarzania danych, przetwarzanie danych w celach zdrowotnych oraz w celach innych, przetwarzanie danych na podstawie zgody pacjenta oraz bez zgody. Określa, kto jest administratorem danych osobowych pacjentów, kto ma dostęp do danych pacjentów, omawia kwestię udostępniania danych osobowych pacjenta zawartych w dokumentacji medycznej a także wybrane zagadnienia dotyczące kwalifikacji danych, materiałów i próbek jako danych osobowych.

Poszczególne rozdziały kodeksu omawiają także bezpieczeństwo przetwarzania danych, ocenę skutków dla ochrony danych, powierzenie przetwarzania danych, a także zasady weryfikacji tożsamości pacjentów, obowiązek informacyjny względem pacjentów w przypadku zbierania danych bezpośrednio oraz niebezpośrednio od nich, prawo pacjenta do dostępu do danych, do ograniczania ich przetwarzania, przenoszenia danych i sprzeciwu wobec przetwarzania, a także zagadnienia profilowania danych osobowych.

Kodeks zawiera także zasady monitorowania przestrzegania przepisów Kodeksu przez podmioty, które się do tego zobowiążą.

Załączniki do Kodeksu zawierają- wzór zgody na przetwarzanie danych osobowych, katalog danych jednoznacznie identyfikujących daną osobę, zasady postępowania w wybranych sytuacjach związanych ze zwiększonym ryzykiem naruszenia praw pacjentów w związku z przetwarzaniem danych osobowych, procedurę analizy ryzyka, której wdrożenie i stosowanie zapewnia realizację podejścia opartego na ryzyku, wykaz zabezpieczeń systemów IT, wykaz norm mających zastosowanie w obszarze bezpieczeństwa informacji i ochrony danych osobowych, rekomendacje w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania danych w podmiotach, gdzie przetwarzanie to nie odbywa się na dużą skalę, wzór oświadczenia o spełnieniu wymogów wynikających z Kodeksu, wzór wniosku o uzyskanie statusu podmiotu przestrzegającego Kodeksu oraz wzór kwestionariusza, który dołącza się do oświadczenia lub wniosku.

Oprócz Pracodawców Medycyny Prywatnej w pracach nad Kodeksem uczestniczyli:  Polska Federacja Szpitali, Federacja Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie, Fundacja Telemedyczna Grupa Robocza, Konfederacja Lewiatan, Polska Izba Informatyki i Telekomunikacji. Kodeks powstał także przy udziale strony publicznej, reprezentowanej przez CSIOZ, Centrum Monitorowania Jakości w Ochronie Zdrowia i Ministerstwo Zdrowia, a także podmiotów wspierających takich jak między innymi Naczelna Izba Lekarska, Naczelna Izba Pielęgniarek i Położnych, Fundacja My Pacjenci oraz Kancelaria Domański Zakrzewski Palinka.

Wniosek o zatwierdzenie Kodeksu złożony do UODO oraz projekt Kodeksu dostępne są na stronie: www.rodowzdrowiu.pl

Katarzyna Korulczyk, Inspektor Ochrony Danych, Grupa Lux Med

Na ukończeniu są prace nad kodeksem postępowania dla sektora ochrony zdrowia – niezwykle istotnego dokumentu dla całej branży medycznej. W pracach tych z dużym zaangażowaniem uczestniczyli także przedstawicieli Pracodawców Medycyny Prywatnej.

Interesowały nas szczególnie zagadnienia dotyczące weryfikacji tożsamości pacjenta, podstaw prawnych przetwarzania danych przez podmioty lecznicze czy prawa do kopii danych w relacji do prawa pacjenta do dokumentacji medycznej.

To ostatnie nabiera obecnie fundamentalnego znaczenia, w kontekście wytycznych wydanych  przez Rzecznika Praw Pacjenta oraz Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Zdaniem PUODO, uprawnienie pacjenta do dokumentacji medycznej nie jest tym samym prawem, co prawo do kopii danych w rozumieniu art. 15 RODO i nie mogą być one utożsamiane.

Treść kodeksu poruszająca tematykę dostępu do kopii danych oraz dokumentacji medycznej jest spójna ze stanowiskiem PUODO. Odmienne zdanie posiada Rzecznik Praw Pacjenta który uważa, że art. 15 RODO przyznaje pacjentowi prawo do bezpłatnej kopii dokumentacji medycznej. Rozbieżność stanowisk tych dwóch organów powoduje, że podmioty lecznicze zmagają się dziś z dużą ilością wpływających wniosków o nieodpłatne udostępnienie dokumentacji medycznej oraz skarg na odmowę takiego udostępnienia.

Działalność grupy roboczej to nie tylko prace nad kodeksem. Grupa zaangażowana jest w szereg innych aktywności, w tym mających na celu poprawę legislacji krajowej oraz podnoszenie świadomości podmiotów leczniczych oraz pacjentów co do stosowania RODO. Przedstawiciele zespołu ds. kodeksu są także członkami powołanej przez ministra cyfryzacji grupy roboczej ds. ochrony danych osobowych – Zespołu ds. ochrony zdrowia, której efektem pierwszych prac jest „Przewodnik po RODO w służbie zdrowia”. Grupa robocza angażuje się również intensywnie w prace legislacyjne, między innymi poprzez składanie uwag do projektów przepisów sektorowych implementujących RODO do polskiego porządku prawnego.

Członkowie grupy aktywnie promują kodeks, między innymi poprzez liczne uczestniczenie w konferencjach oraz wydarzeniach poświęconych tematyce RODO w służbie zdrowia, między innymi 20 września 2018 odbyła się konferencja Med&Pharma Data Secutiry Summit, w trakcie której członkowie grupy wzięli udział w godzinnej debacie panelowej, dzieląc się swoimi doświadczeniami i spostrzeżeniami co do prac nad kodeksem. Podejmowana jest inicjatywa przeprowadzenia kampanii informacyjnej dla pacjentów na temat przysługujących im na mocy RODO praw.

Najbliższe spotkanie komitetu sterującego grupy zaplanowane jest na 12 października 2018, po tej dacie planowane jest oficjalne złożenie kodeksu na ręce Prezes Urzędu Ochrony Danych Osobowych, w celu uzyskania akceptacji.

Oprócz Pracodawców Medycyny Prywatnej w pracach nad Kodeksem uczestniczyli:  Polska Federacja Szpitali, Federacja Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie, jak również strona publiczna, w tym między innymi CSIOZ, Naczelna Izba Lekarska, Naczelna Izba Pielęgniarek i Położnych,  a także Fundacja My Pacjenci oraz Kancelaria Domański Zakrzewski Palinka.

Aktualna treść kodeksu dostępna jest pod adresem: www.rodowzdrowiu.pl.