Jak zarządzać ryzykiem zgodnie z RODO w laboratorium medycznym?
Na czym polega ocena ryzyka w laboratorium medycznym, jaki jest cel tych działań i jakie korzyści zyskują podmioty wdrażające taką ocenę – o tym mówił podczas konferencji “RODO w sektorze medycznym” – Dawid Bochenek, inspektor ochrony danych w spółce Diagnostyka.
Szacowanie ryzyka to działanie wynikające z ogólnego rozporządzenia o ochronie danych osobowych RODO, które mówi o tym, że administrator danych osobowych wdraża odpowiednie środki techniczne i organizacyjne w celu przetwarzania tych danych, uwzględniając ich charakter i zakres oraz ryzyko naruszenia praw lub wolności osób, których te dane dotyczą.
Działanie zgodne z RODO wymaga podejścia opartego na ryzyku – bez właściwej oceny ryzyka podejmowane decyzje w zakresie zabezpieczeń czy skutków naruszeń mogą być niewłaściwe.
Ocena ryzyka w laboratorium medycznym uwzględnia wszelkie zarejestrowane czynności przetwarzania danych niezależnie od tego, czy czynności te związane są z udzielaniem świadczeń o charakterze zdrowotnym czy administracyjnym i technicznym.
Przy doborze metody dla szacowania ryzyka można wykorzystać sprawdzone wzorce, które są powszechnie dostępne i uznane. Przepisy RODO nie wskazują wprawdzie wprost na wybór określonej metodologii dla oceny ryzyka, jednak wskazówki dotyczące właściwego podejścia opartego na ryzyku zostały udostępnione między innymi przez Grupę Roboczą art. 29, UODO oraz Kodeks postępowania dla sektora ochrony zdrowia wydany na podstawie art. 40 RODO.
Czytaj także: Kodeks RODO dla ochrony zdrowia – jaki jest stan obecny?>>>
Jedną z proponowanych metod podejścia do szacowania ryzyka określa załącznik nr 4 do projektu Kodeksu postepowania dla sektora ochrony zdrowia, którego projekt został zatwierdzony przez UODO. Mówi on o identyfikacji czynności i podstaw przetwarzania danych osobowych, katalogu zagrożeń i skutków naruszenia praw i wolności osób, a także o wykorzystaniu normy ISO/IEC 29151:2017 i ISO/IEC 27001:2013 do wprowadzenia zabezpieczeń.
Kolejną metodą, którą można zastosować w celu oceny skutków naruszenia ochrony danych osobowych i jego wpływu na prawa i wolności osób, jest na przykład metodologia opracowana przez Agencję UE ds. Bezpieczeństwa Sieci i Informacji (ENISA) we współpracy z europejskimi organami ochrony danych osobowych w Niemczech i Grecji.
Do szacowania ryzyka można wykorzystać metodę ilościowo-jakościową, w której dla poszczególnych czynności wykorzystanych do przetwarzania danych osobowych określane są zagrożenia, skutki oraz prawdopodobieństwo materializacji zagrożenia. Na tej podstawie ustalany jest poziom ryzyka i podejmowane są decyzje o dalszym postępowaniu.
W zależności od wyników analizy ryzyka, zwłaszcza kiedy pozostaje ono na poziomie nieakceptowanym, podejmowane są działania w celu jego ograniczenia. Przeprowadza się ocenę skutków dla ochronnych danych osobowych w przypadku, kiedy analiza wykazuje na wysokie ryzyko materializacji zagrożenia.
Czytaj także: Diagnostyka wprowadziła dodatkowe zabezpieczenia wyników badań>>>
Działanie na rzecz minimalizacji ryzyka polegają na zastosowaniu dodatkowych środków technicznych i organizacyjnych, a unikanie ryzyka – na całkowitej rezygnacji z danej czynności.
Można także zdecydować o przeniesieniu ryzyka poprzez jego dzielenie lub przeniesienie na inny wyspecjalizowany podmiot albo o ubezpieczeniu od ryzyka, na przykład na wypadek roszczeń.
Gdy trudno o minimalizację ryzyka z wykorzystaniem zabezpieczeń technicznych i organizacyjnych, stosowane są sprawdzone metody jego ograniczenia poprzez poszukiwanie sposobów na dalszą minimalizację danych. Trzeba przy tym pamiętać, że zgodnie z zasadą dotycząca domyślnej ochrony danych osobowych (art. 25 ust. 2 RODO) dane powinny być zbierane w zakresie niezbędnym do realizacji celu przetwarzania oraz przez stosowanie technik szyfrowania i pseudonimizacji danych.
Po wprowadzeniu dodatkowych zabezpieczeń lub wykorzystaniu metod mających ograniczyć ryzyko, przeprowadza się ponowne szacowanie ryzyka i ponownie ocenia się skutki lub prawdopodobieństwo zmaterializowania zagrożenia.
Dla oceny skutków naruszenia przyjęto zestaw kryteriów, które pozwalają ustalić zagrożenia a także podjąć decyzję o powiadomieniu organu nadzorczego ochrony danych (UODO). Należą do nich: ocena charakteru naruszenia, możliwe negatywne skutki naruszenia oraz ocena czynników minimalizujących naruszenie.
Przy pierwszym kryterium sprawdzamy, czy naruszenie dotyczy danych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, czy dotyczy przynależności do związków zawodowych lub danych biometrycznych, danych genetycznych, dotyczących zdrowia lub życia seksualnego, albo czy dotyczy danych z wykorzystaniem których oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych, albo danych o wyrokach skazujących i naruszeń prawa czy danych osób wymagających szczególnej ochrony, w tym dzieci.
Sprawdzane jest także, czy naruszenie dotyczy dużej ilości danych osobowych, danych osobowych prawnie chronionych, na przykład tajemnicą ustawową lub zawodową, a także danych, które ulegały nieuprawionemu odwróceniu pseudonimizacji lub zostały odszyfrowane.
Możliwe negatywne skutki naruszenia danych osobowych to naruszenie dobrego imienia, dyskryminacja, utrata kontroli nad danymi, kradzież tożsamości i możliwe wynikające z tego oszustwa, straty finansowe, ograniczenie praw i wolności.
Czytaj także: Pracodawcy Medycyny Prywatnej partnerem Kongresu Wyzwań Zdrowotnych>>>
Czynniki minimalizujące ryzyko to zobowiązanie do zachowania poufności lub tajemnicy, szyfrowanie danych, a także minimalizacja lub pseudonimizacja danych.
W przypadku chociażby jednej twierdzącej odpowiedzi przy ocenie charakteru naruszenia, ryzyko uznaje się za wysokie, na przykład jeśli dotyczy szczególnych kategorii danych osobowych o stanie zdrowia.
Na podstawie oceny możliwych negatywnych skutków naruszenia dokonywana jest analiza oraz ocena prawdopodobieństwa wystąpienia negatywnego zdarzenia. Iloczyn wartości zdarzenia i prawdopodobieństwa wskazuje na poziom ryzyka.
Jeśli przeprowadzona ocena wskazuje na wysokie ryzyko niezależnie czy wynika to z oceny charakteru naruszenia czy oceny możliwych negatywnych skutków naruszenia dokonywane jest zawiadomienie organu nadzorczego ochrony danych osobowych (UODO) i podmiotów danych.
W przypadku wskazania średniego ryzyka zawiadamiany jest organ nadzorczy ochrony danych osobowych (UODO) – nie wymagane jest powiadomienie podmiotów danych, jednak nie jest to zabronione i może być traktowane jako dobra praktyka.
W przypadku naruszenia ochrony danych osobowych należy dokonać przeglądu analizy ryzyka, która pozwoli ponownie ocenić, czy zastosowane środki techniczne i organizacyjne są adekwatne do zagrożenia.
W przypadku kolejnego szacowania po naruszeniu ochrony danych osobowych należy zwracać szczególną uwagę nie tylko na zastosowane zabezpieczenia ale również na to, czy wartość prawdopodobieństwa jest na właściwym poziomie i nie wymaga zwiększenia w związku ze zdarzeniem.
Konferencja pt. “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?” odbyła się 25 maja 2021 roku.
Organizatorem Konferencji byli: Medexpert Ligia Kornowska oraz Polska Federacja Szpitali. Partnerem prawnym była Kancelaria DZP sp. k. Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem.
Więcej informacji na temat kodeksu RODO w ochronie zdrowia znajduje się na stronie www.rodowzdrowiu.pl.
