Jak zarządzać ryzykiem zgodnie z RODO w laboratorium medycznym? 

Autor: Medycyna Prywatna
9 czerwca 2021

Na czym polega ocena ryzyka w laboratorium medycznym, jaki jest cel tych działań i jakie korzyści zyskują podmioty wdrażające taką ocenę – o tym mówił podczas konferencji “RODO w sektorze medycznym” – Dawid Bochenek, inspektor ochrony danych w spółce Diagnostyka. 

Szacowanie ryzyka to działanie wynikające z ogólnego rozporządzenia o ochronie danych osobowych RODO, które mówi o tym, że administrator danych osobowych wdraża odpowiednie środki techniczne i organizacyjne w celu przetwarzania tych danych, uwzględniając ich charakter i zakres oraz ryzyko naruszenia praw lub wolności osób, których te dane dotyczą. 

Działanie zgodne z RODO wymaga podejścia opartego na ryzyku – bez właściwej oceny ryzyka podejmowane decyzje w zakresie zabezpieczeń czy skutków naruszeń mogą być niewłaściwe. 

Ocena ryzyka w laboratorium medycznym uwzględnia wszelkie zarejestrowane czynności przetwarzania danych niezależnie od tego, czy czynności te związane są z udzielaniem świadczeń o charakterze zdrowotnym czy administracyjnym i technicznym. 

Przy doborze metody dla szacowania ryzyka można wykorzystać sprawdzone wzorce, które są powszechnie dostępne i uznane. Przepisy RODO nie wskazują wprawdzie wprost na wybór określonej metodologii dla oceny ryzyka, jednak wskazówki dotyczące właściwego podejścia opartego na ryzyku zostały udostępnione między innymi przez Grupę Roboczą art. 29, UODO oraz Kodeks postępowania dla sektora ochrony zdrowia wydany na podstawie art. 40 RODO. 

Czytaj także: Kodeks RODO dla ochrony zdrowia – jaki jest stan obecny?>>>

Jedną z proponowanych metod podejścia do szacowania ryzyka określa załącznik nr 4 do projektu Kodeksu postepowania dla sektora ochrony zdrowia, którego projekt został zatwierdzony przez UODO. Mówi on o identyfikacji czynności i podstaw przetwarzania danych osobowych, katalogu zagrożeń i skutków naruszenia praw i wolności osób, a także o wykorzystaniu normy ISO/IEC 29151:2017 i ISO/IEC 27001:2013 do wprowadzenia zabezpieczeń. 

Kolejną metodą, którą można zastosować w celu oceny skutków naruszenia ochrony danych osobowych i jego wpływu na prawa i wolności osób, jest na przykład metodologia opracowana przez Agencję UE ds. Bezpieczeństwa Sieci i Informacji (ENISA) we współpracy z europejskimi organami ochrony danych osobowych w Niemczech i Grecji. 

Do szacowania ryzyka można wykorzystać metodę ilościowo-jakościową, w której dla poszczególnych czynności wykorzystanych do przetwarzania danych osobowych określane są zagrożenia, skutki oraz prawdopodobieństwo materializacji zagrożenia. Na tej podstawie ustalany jest poziom ryzyka i podejmowane są decyzje o dalszym postępowaniu. 

W zależności od wyników analizy ryzyka, zwłaszcza kiedy pozostaje ono na poziomie nieakceptowanym, podejmowane są działania w celu jego ograniczenia. Przeprowadza się ocenę skutków dla ochronnych danych osobowych w przypadku, kiedy analiza wykazuje na wysokie ryzyko materializacji zagrożenia. 

Czytaj także: Diagnostyka wprowadziła dodatkowe zabezpieczenia wyników badań>>>

Działanie na rzecz minimalizacji ryzyka polegają na zastosowaniu dodatkowych środków technicznych i organizacyjnych, a unikanie ryzyka – na całkowitej rezygnacji z danej czynności. 

Można także zdecydować o przeniesieniu ryzyka poprzez jego dzielenie lub przeniesienie na inny wyspecjalizowany podmiot albo o ubezpieczeniu od ryzyka, na przykład na wypadek roszczeń. 

Gdy trudno o minimalizację ryzyka z wykorzystaniem zabezpieczeń technicznych i organizacyjnych, stosowane są sprawdzone metody jego ograniczenia poprzez poszukiwanie sposobów na dalszą minimalizację danych. Trzeba przy tym pamiętać, że zgodnie z zasadą dotycząca domyślnej ochrony danych osobowych (art. 25 ust. 2 RODO) dane powinny być zbierane w zakresie niezbędnym do realizacji celu przetwarzania oraz przez stosowanie technik szyfrowania i pseudonimizacji danych. 

Po wprowadzeniu dodatkowych zabezpieczeń lub wykorzystaniu metod mających ograniczyć ryzyko, przeprowadza się ponowne szacowanie ryzyka i ponownie ocenia się skutki lub prawdopodobieństwo zmaterializowania zagrożenia. 

Dla oceny skutków naruszenia przyjęto zestaw kryteriów, które pozwalają ustalić zagrożenia a także podjąć decyzję o powiadomieniu organu nadzorczego ochrony danych (UODO). Należą do nich: ocena charakteru naruszenia, możliwe negatywne skutki naruszenia oraz ocena czynników minimalizujących naruszenie. 

Przy pierwszym kryterium sprawdzamy, czy naruszenie dotyczy danych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, czy dotyczy przynależności do związków zawodowych lub danych biometrycznych, danych genetycznych, dotyczących zdrowia lub życia seksualnego, albo czy dotyczy danych z wykorzystaniem których oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych, albo danych o wyrokach skazujących i naruszeń prawa czy danych osób wymagających szczególnej ochrony, w tym dzieci. 

Sprawdzane jest także, czy naruszenie dotyczy dużej ilości danych osobowych, danych osobowych prawnie chronionych, na przykład tajemnicą ustawową lub zawodową, a także danych, które ulegały nieuprawionemu odwróceniu pseudonimizacji lub zostały odszyfrowane. 

Możliwe negatywne skutki naruszenia danych osobowych to naruszenie dobrego imienia, dyskryminacja, utrata kontroli nad danymi, kradzież tożsamości i możliwe wynikające z tego oszustwa, straty finansowe, ograniczenie praw i wolności. 

Czytaj także: Pracodawcy Medycyny Prywatnej partnerem Kongresu Wyzwań Zdrowotnych>>>

Czynniki minimalizujące ryzyko to zobowiązanie do zachowania poufności lub tajemnicy, szyfrowanie danych, a także minimalizacja lub pseudonimizacja danych. 

W przypadku chociażby jednej twierdzącej odpowiedzi przy ocenie charakteru naruszenia, ryzyko uznaje się za wysokie, na przykład jeśli dotyczy szczególnych kategorii danych osobowych o stanie zdrowia. 

Na podstawie oceny możliwych negatywnych skutków naruszenia dokonywana jest analiza oraz ocena prawdopodobieństwa wystąpienia negatywnego zdarzenia.  Iloczyn wartości zdarzenia i prawdopodobieństwa wskazuje na poziom ryzyka. 

Jeśli przeprowadzona ocena wskazuje na wysokie ryzyko niezależnie czy wynika to z oceny charakteru naruszenia czy oceny możliwych negatywnych skutków naruszenia dokonywane jest zawiadomienie organu nadzorczego ochrony danych osobowych (UODO) i podmiotów danych. 

W przypadku wskazania średniego ryzyka zawiadamiany jest organ nadzorczy ochrony danych osobowych (UODO) – nie wymagane jest powiadomienie podmiotów danych, jednak nie jest to zabronione i może być traktowane jako dobra praktyka.  

W przypadku naruszenia ochrony danych osobowych należy dokonać przeglądu analizy ryzyka, która pozwoli ponownie ocenić, czy zastosowane środki techniczne i organizacyjne są adekwatne do zagrożenia. 

W przypadku kolejnego szacowania po naruszeniu ochrony danych osobowych należy zwracać szczególną uwagę nie tylko na zastosowane zabezpieczenia ale również na to, czy wartość prawdopodobieństwa jest na właściwym poziomie i nie wymaga zwiększenia w związku ze zdarzeniem. 

Konferencja pt. “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?” odbyła się 25 maja 2021 roku. 

Organizatorem Konferencji byli: Medexpert Ligia Kornowska oraz Polska Federacja Szpitali. Partnerem prawnym była Kancelaria DZP sp. k. Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem. 

Więcej informacji na temat kodeksu RODO w ochronie zdrowia znajduje się na stronie www.rodowzdrowiu.pl. 

Inne artykuły

Pracodawcy Medycyny Prywatnej spotkali się z Dyrektor CeZ

Autor: Medycyna Prywatna
Dodano: 15.01.2025

14 stycznia 2025 r. w siedzibie Centrum e-Zdrowia odbyło się spotkanie przedstawicieli Pracodawców Medycyny Prywatnej (PMP) z Dyrektor CeZ – Małgorzatą Olszewską.

Ze strony CeZ w spotkaniu udział wzięli także: Andrzej Sarnowski – Dyrektor Pionu Rozwoju SIM i Wdrożeń (ZDII), Radosław Michałek – p.o. Dyrektora Pionu Rozwoju Produktów e-Zdrowia (ZDI) oraz Mariusz Czyżak – Dyrektor Pionu do Spraw Ładu Organizacji.

Rozmawialiśmy między innymi na temat:
📌 strategii rozwoju e-Zdrowia i priorytetowych obszarów,
📌 informatyzacji systemu ochrony zdrowia i wymiany danych medycznych,
📌 centralnej e-rejestracji i EKOK,
📌 finansowania działań w ramach KPO,
📌 technologii AI i ich zastosowania w medycynie,
📌 programu „Profilaktyka 40 PLUS” i jego przyszłości,
📌 jednolitego słownika badań diagnostyki laboratoryjnej,
📌 cyfryzacji dokumentacji medycznej w ramach medycyny pracy i medycyny szkolnej,
📌 projektów i działań CeZ w innych obszarach.

Serdecznie dziękujemy za możliwość merytorycznej dyskusji i jednocześnie mamy nadzieję, że to spotkanie będzie doskonałym wstępem do dalszej, owocnej współpracy w zakresie wprowadzania innowacyjnych narzędzi w celu informatyzacji systemu ochrony zdrowia.

Przeczytaj teraz

Pracodawcy Medycyny Prywatnej składają najserdeczniejsze życzenia!

Autor: Medycyna Prywatna
Dodano: 20.12.2024
Przeczytaj teraz

DO WYKORZYSTANIA: materiał edukacyjny „Wyzwania i zarządzanie ryzykiem związane z nowymi zagrożeniami dla zdrowia w pracy i w życiu codziennym”

Autor: Medycyna Prywatna
Dodano: 20.12.2024

w imieniu Instytutu Medycyny Pracy im. prof. J. Nofera w Łodzi (organizacji partnerskiej Pracodawców Medycyny Prywatnej) przekazujemy najnowszy materiał edukacyjny „Wyzwania i zarządzanie ryzykiem związane z nowymi zagrożeniami dla zdrowia w pracy i w życiu codziennym” przeznaczony dla pracodawców, menedżerów i kierowników odpowiedzialnych za działania na rzecz zdrowia pracowników.

Prezentowana broszura została opracowana pod redakcją dr hab. Anny Kozajdy w ramach Narodowego Programu Zdrowia na lata 2021-2025, finansowanego przez Ministra Zdrowia.

Opracowanie przedstawia wybrane czynniki szkodliwe i zagrożenia dla zdrowia, które coraz częściej stanowią wyzwanie dla pracodawców i kadry zarządzającej ryzykiem zdrowotnym w zakładach pracy. Przedstawione w opracowaniu informacje są szczególnie istotne w odniesieniu do populacji starzejących się pracowników. Autorami rozdziałów są eksperci w dziedzinie zagrożeń chemicznych, biologicznych, radiacyjnych oraz z zakresu psychologii i promocji zdrowia w miejscu pracy. Dołożono wszelkich starań, aby każde zagadnienie było omówione wyczerpująco, a broszura stanowiła kompendium praktycznej wiedzy dla pracodawcy.

W rozdziałach opisano kolejno:

  • Substancje chemiczne zaburzające funkcjonowanie układu hormonalnego – komu najbardziej zagrażają i jak chronić zdrowie pracowników?
  • Wirusy – czy ekspozycja w miejscu pracy zawsze ma charakter zawodowy i jak zapobiegać ogniskom zakażeń wirusowych w zakładzie pracy?
  • Pole elektromagnetyczne – jak wpływa na organizm człowieka i jakie obowiązki ma pracodawca, jeśli pracownicy są narażeni na działanie tego pola?
  • Klimatyzowanie pomieszczeń – czy jest konieczne i jakie zasady wdrożyć, aby zapewnić zarówno wydajność pracy, jak i komfort oraz bezpieczeństwo zdrowotne pracowników podczas upałów?
  • Stres – jakie są fizjologiczne, psychologiczne i behawioralne skutki zdrowotne stresu i jak pracodawca może ograniczyć czynniki stresogenne związane z pracą?
  • Otyłość – jakie jest nowe spojrzenie na otyłość i w jaki sposób pracodawca może skutecznie wspomóc pracowników w staraniach o poprawę lub odzyskanie zdrowia?

Instytut Medycyny Pracy im. prof. J. Nofera w Łodzi, w ramach Centrum Konsultacyjnego, oferuje również bezpłatne wsparcie wielodyscyplinarnego zespołu ekspertów, w tym m.in. służby medycyny pracy, zdrowia publicznego, promocji zdrowia w miejscu pracy, specjalistów ds. fizjologii pracy i ergonomii, bezpieczeństwa chemicznego i biologicznego oraz wsparcia zdrowia psychicznego – zapraszamy do konsultacji:

Projekt jest realizowany w ramach Celu Operacyjnego 5: Wyzwania Demograficzne, Narodowego Programu Zdrowia na lata 2021-2025, finansowanego przez Ministra Zdrowia, Zadanie 10: pn.: „Edukacja w zakresie zarządzania zdrowiem starzejących się pracowników oraz opracowanie i upowszechnienie instrumentów promujących zdrowie i zachowania prozdrowotne w środowisku pracy”.

Przeczytaj teraz

Gyncentrum dołącza do Pracodawców Medycyny Prywatnej – Paweł Czerwiński w roli Członka Zarządu PMP

Autor: Medycyna Prywatna
Dodano: 19.12.2024

Miło nam poinformować, że Gyncentrum Sp. z. o.o. dołączyło do Pracodawców Medycyny Prywatnej. Jednocześnie Paweł Czerwiński – Prezes Zarządu Gyncentrum – będzie pełnił funkcję Członka Zarządu PMP.

Klinika Gyncentrum jest jednym z wiodących ośrodków leczenia niepłodności i diagnostyki prenatalnej w Polsce. Od ponad 20 lat pomaga niepłodnym parom spełnić marzenie o potomstwie, zachowując przy tym najwyższą jakość usług. W ramach jednego ośrodka pacjenci mogą skorzystać z pełnej diagnostyki przyczyn niepłodności oraz poddać się leczeniu zaawansowanymi metodami. Zespół kliniki tworzą wybitni specjaliści z wielu dziedzin medycyny: ginekologii i położnictwa, endokrynologii, perinatologii, genetyki, urologii, andrologii, immunologii czy embriologii. Gyncentrum jest także cenionym ośrodkiem diagnostyki prenatalnej, wykonującym badania prywatne oraz na NFZ.


Grupę Gyncentrum tworzą nowoczesne centra i laboratoria medyczne, w tym Laboratorium Genetyczne Gyncentrum, będące jest jednym z najnowocześniej wyposażonych laboratoriów w Europie. To również wiodący ośrodek w zakresie diagnostyki genetycznych przyczyn niepłodności i poronień oraz preimplantacyjnej diagnostyki PGT w Polsce. Laboratorium wykonuje szeroki zakres badań genetycznych dla pacjentów zmagających się z niepłodnością i nawykowymi poronieniami, pacjentów będących nosicielami chorób genetycznych lub mających genetyczne predyspozycje do nowotworów oraz zmagających się z częstymi infekcjami intymnymi.


Klinika Leczenia Niepłodności Gyncentrum ma swoje oddziały w 8 miastach w Polsce: w Katowicach, Krakowie, Bielsku-Białej, Częstochowie, Lublinie, Warszawie, Poznaniu oraz we Wrocławiu.

Witamy na pokładzie i mamy nadzieję na owocną współpracę!

Przeczytaj teraz

„Kwestionariusz do oceny jakości programu promocji zdrowia”

Autor: Medycyna Prywatna
Dodano: 19.12.2024

w imieniu Instytutu Medycyny Pracy im. prof. J. Nofera w Łodzi (organizacji partnerskiej Pracodawców RP) przekazujemy najnowsze narzędzie przydatne w zakładach pracy osobom lub zespołom zarządzającym strategią/programem/projektem promocji zdrowia personelu.

„Kwestionariusz do oceny jakości programu promocji zdrowia”, opracowany przez dr. Krzysztofa Puchalskiego oraz dr Elizę Goszczyńską z Krajowego Centrum Promocji Zdrowia w Miejscu Pracy Instytutu Medycyny Pracy im. prof. J. Nofera, ma wspomóc menadżerów promocji zdrowia w samorefleksji dotyczącej jakości takich przedsięwzięć. Doświadczenia praktyków i analizy naukowe wskazują, że wysoka jak ość wdrożenia prozdrowotnego sprzyja osiąganiu oczekiwanych efektów. Zapraszamy do pobierania i bezpłatnego korzystania z „Kwestionariusza do ewaluacji jakości wdrożenia programu promocji zdrowia”.

Jakie korzyści może czerpać firma z przeprowadzenia analizy w oparciu o to narzędzie?

  • Kwestionariusz daje możliwość prześledzenia najważniejszych czynników istotnych z punktu widzenia wysokiej jakości programu promocji zdrowia.
  • Samorefleksja osób zarządzających wdrożeniem, podjęta w oparciu o narzędzie, pozwala im uświadomić sobie, w którym miejscu dbałości o wysoką jakość programu promocji zdrowia jest aktualnie firma oraz wskazuje obszary, które są jeszcze do zaopiekowania.
  • Prowadzenie cyklicznie takich analiz daje możliwość prześledzenia postępów w procesie budowy wysokiej jakości wdrożenia wellbeingowego.
  • Konstrukcja narzędzia jest bardzo prosta, co znacząco ułatwia i skraca proces analizy.

Narzędzie pomaga w ocenie jakości działań prozdrowotnych realizowanych w sześciu obszarach:

1. miejsce promocji zdrowia personelu w polityce firmy,
2. struktury organizacyjne dla promocji zdrowia,
3. planowanie procesu promocji zdrowia,
4. ustanawianie celów promocji zdrowia,
5. implementacja promocji zdrowia,
6. ewaluacja promocji zdrowia.

W kwestionariuszu przy każdym z tych obszarów zdefiniowano trzy kryteria, uznane za szczególnie istotne dla dobrej jakości działań promocyjnych. Z kolei każdemu kryterium przypisano trzy możliwe poziomy realizacji:

  • kryterium zostało już osiągnięte,
  • trwają dopiero prace w tym kierunku,
  • w ogóle nie rozpoczęto działań w tym zakresie.

Aby ułatwić korzystanie z kwestionariusza, dołączono do niego rekomendacje dotyczące sposobu opracowania, interpretacji i wykorzystania zgromadzonych danych, a także metodykę jego stosowania w zakładzie pracy. Proces ten może także zostać wsparty przez ekspertów Instytutu Medycyny Pracy w Łodzi podczas bezpłatnych konsultacji udzielanych w ramach działalności Centrum Konsultacyjnego. Przeczytaj o zasadach udzielania naszych konsultacji oraz wypełnij formularz zgłoszenia do Centrum Konsultacyjnego klikając w przycisk poniżej:

„Kwestionariusz do oceny jakości programu promocji zdrowia” oraz inne wypracowane przez Instytut Medycyny Pracy narzędzia znajdują się w otwartym dostępie, tj. są przeznaczone do nieodpłatnego użytku niekomercyjnego.

Projekt jest realizowany w ramach Celu Operacyjnego 5: Wyzwania Demograficzne, Narodowego Programu Zdrowia na lata 2021-2025, finansowanego przez Ministra Zdrowia, Zadanie 10: pn.: „Edukacja w zakresie zarządzania zdrowiem starzejących się pracowników oraz opracowanie i upowszechnienie instrumentów promujących zdrowie i zachowania prozdrowotne w środowisku pracy”.

Przeczytaj teraz

Pierwsze w Polsce wszczepienie zastawki Avalus Ultra™ odbyło się w Szpitalu Medicover

Autor: Medycyna Prywatna
Dodano: 17.12.2024

W Szpitalu na warszawskim Wilanowie po raz pierwszy w Polsce wszczepiono pacjentowi zastawkę biologiczną o znacznie przedłużonej trwałości – Avalus Ultra

5 grudnia 2024 r., podczas zabiegu wymiany zastawki aortalnej w Klinice Kardiochirurgii Szpitala Medicover w Warszawie, zespół pod kierownictwem dra hab. n. med. Krzysztofa Wróbla, profesora Uczelni Łazarskiego, w składzie: dr n. med. Paweł Czub, lek. Beata Błaszczyk, Milena Wysocka, Agnieszka Piekarska, Agata Jagiełło-Mika, Renata Muszyńska, po raz pierwszy w Polsce, wszczepił 69-letniemu pacjentowi zastawkę wołową Avalus Ultra™.  

Operowany mężczyzna cierpiał z powodu niewydolności zastawki aortalnej. Innowacją w podjętym leczeniu było wszczepienie metodą małoinwazyjną zastawki biologicznej o znacznie przedłużonej trwałości.

– Jestem człowiekiem aktywnym. Mam więc nadzieję, że teraz będę mógł pokonywać większe dystanse podczas pieszych wędrówek. Liczę na to, że będzie dużo lepiej. Oczywiście czas pokaże – mówi pacjent – pan Wiesław pięć dni po operacji. – Jak wytłumaczył mi profesor Wróbel, jest to pierwsza tego typu zastawka wszczepiona w tej części Europy – dodaje.

– To był pacjent z wadą zastawki aortalnej w postaci ciężkiego zwężenia zastawki, dodatkowo z nadciśnieniem tętniczym, cukrzycą oraz pogorszeniem tolerancji wysiłku. Wszczepiliśmy mu biologiczną zastawkę wołową. Zastosowanie odpowiedniego zabezpieczenia tkanki przed zwapnieniem wspiera jej trwałość, a brak elementów metalowych zmniejsza ryzyko wystąpienia reakcji uczuleniowych, co przyczynia się do zwiększenia bezpieczeństwa pacjentów – mówi dr hab. n. med. Krzysztof Wróbel, Kierownik Kliniki Kardiochirurgii Szpitala Medicover w Warszawie, profesor Uczelni Łazarskiego. – Operację wykonaliśmy techniką endoskopową z kamerą 3D z bocznego dostępu międzyżebrowego – kontynuuje.

dr hab. n. med. Krzysztof Wróbel, Kierownik Kliniki Kardiochirurgii Szpitala Medicover w Warszawie, profesor Uczelni Łazarskiego

Rocznie w Polsce wykonuje się ok. 2000 zabiegów chirurgicznych wszczepienia zastawki aortalnej z wykorzystaniem minimalnie inwazyjnej chirurgii. Wykonanie tej procedury metodą zastosowaną przez zespół dr hab. n. med. Krzysztofa Wróbla, prof. UŁa, pozwala na uniknięcie kolejnego zabiegu w krótkim czasie, co jest standardem przy zastosowaniu klasycznych metod operacyjnych.  

Przeczytaj teraz