Praktyka organów publicznych w zakresie cyberbezpieczeństwa i ochrony danych medycznych, kodeks branżowy, szanse i wyzwania związane z bezpieczeństwem danych medycznych w środowisku cyfrowym – to były główne tematy kolejnej – IV edycji konferencji RODO i cyberbezpieczeństwo w zdrowiu, która odbyła się 24 maja 2022, w przeddzień czwartej rocznicy wejścia w życie polskiej ustawy o ochronie danych.

Kluczowym zagadnieniem konferencji była dyskusja na temat obowiązków i wyzwań związanych z cyberzagrożeniami w prowadzeniu działalności leczniczej w środowisku cyfrowym. Eksperci sporo uwagi poświęcili potrzebie zwiększenia świadomości pacjentów w zakresie przysługujących im praw dotyczących ich danych osobowych.

Konferencja miała na celu również podnoszenie kompetencji cyfrowych pracowników ochrony zdrowia. Istotne okazuje się również prawidłowe zabezpieczenie stron internetowych przed atakami hakerów. Tematyka cyberbezpieczeństwa jest szczególnie ważna, zważywszy, że liczba cyberataków na podmioty medyczne stale rośnie, przyczyniając się do zwiększonego zagrożenia w zakresie wycieku danych medycznych pacjentów.

Kto i dlaczego stworzył kodeks branżowy „RODO w ochronie zdrowia”

Jednym z zagadnień IV edycji konferencji był „Kodeks Branżowy RODO w sektorze ochrony zdrowia”, który powstał w ramach prac szerokiej koalicji, składającej się między innymi z Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji oraz Porozumienia Zielonogórskiego, przy wsparciu prawnym Kancelarii DZP.

Prace nad kodeksem w „RODO w ochronie zdrowia” rozpoczęły się w lipcu 2017 roku Kodeks powstawał przy aktywnym udziale strony publicznej, w szczególności Ministerstwa Zdrowa, Centrum e-Zdrowia oraz Centrum Monitorowania Jakości w Ochronie Zdrowia.

Celem kodeksu „RODO w ochronie zdrowia” jest „zapewnienie adekwatnego poziomu ochrony pacjentów, w związku z przetwarzaniem ich danych osobowych, ze szczególnym uwzględnieniem ochrony zdrowia i życia, jako dóbr o nadrzędnym znaczeniu – czytamy we wstępie do projektu tego dokumentu.

– Inicjatywa opracowania projektu kodeksu narodziła się jako odpowiedź na liczne wątpliwości i problemy interpretacyjne związane ze stosowaniem RODO, które na początku obowiązywania nowych regulacji miały podmioty lecznicze – wyjaśnia Ligia Kornowska, dyrektor zarządzająca Polskiej Federacji Szpitali, a zarazem jedna z inicjatorów Kodeksu i samej konferencji. – Potrzeba przyjęcia i stosowania kodeksu jest aktualna. Wyznacza on bowiem pożądany standard ochrony danych osobowych, który ma zapewnić pacjentom lepszą gwarancję poszanowania ich prywatności, a placówkom medycznym pewność w zakresie wymogów i zasad prawidłowego postępowania – dodaje.

Kodeks branżowy zyskał pozytywną opinię Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Dzięki temu podmioty wykonujące działalność leczniczą, które chcą zapewnić pacjentom wysoki poziom ochrony ich danych osiągnięty w projekcie kodeksu, mogą rozpocząć dostosowywanie swojej aktywności do jego postanowień.

Prawdopodobnie już jesienią 2022 roku pierwsze placówki medyczne będą mogły ubiegać się o wydanie im certyfikat na podstawie kodeksu. Dokument ten w sierpniu ma być ostatecznie zatwierdzony przez Urząd Ochrony Danych Osobowych.

UODO ma też w najbliższym czasie rozpatrzyć wniosek o akredytację podmiotu monitorującego placówki medyczne pod kątem przestrzegania przez nie zapisów kodeksu. Wniosek taki złożyła firma KPMG Advisory Sp. z o.o. Jeśli uzyska on akceptację, spółka ta będzie przeprowadzać audyty w placówkach ochrony zdrowia i na tej podstawie podmioty lecznicze będą mogły uzyskiwać zaświadczenie (certyfikat) o przyznaniu im statusu Członka Kodeksu.

Aktualny projekt kodeksu można pobrać tutaj

Konferencję zorganizowali: Polska Federacja Szpitali, zespół ekspertów wZdrowiu i kancelaria DZP.

Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem.

Zapis konferencji „RODO i cyberbezpieczństwo w zdrowiu” z 24 maja 2022 roku dostępny jest na YouTube.com

24 maja 2022 roku odbędzie się konferencja RODO i cyberbezpieczeństwo w zdrowiu – IV edycja wydarzenia znanego dotąd pod nazwą RODO w zdrowiu. To największa konferencja dotycząca ochrony danych medycznych w Polsce, skupiająca najbardziej znaczące organizacje branżowe, a także przedstawicieli strony publicznej. Co roku gromadzi nawet do tysiąca uczestników.

Konferencja ma charakter międzynarodowy. Cieszy się ogromnym zainteresowaniem – każdego roku gromadzi 600-900 osób, a prezentowane podczas niej wystąpienia odbijają się szerokim echem nie tylko w sektorze ochrony zdrowia, ale również w mediach. To wszystko sprawia, że konferencja RODO i cyberbezpieczeństwo w zdrowiu jest centralnym forum rozmów o ochronie zdrowia. Co ważne, tematyka wydarzenia obejmuje zagadnienia związane z bezpieczeństwem danych medycznych w środowisku cyfrowym.

Kodeks branżowy, prawa pacjenta i bezpieczeństwo

Kluczowym zagadnieniem IV edycji konferencji będzie promowanie kodeksu postępowania w zakresie przetwarzania i ochrony danych osobowych w sektorze ochrony zdrowia tzw.  „Kodeksu Branżowego RODO w ochronie zdrowia”. Aby Kodeks w pełni wszedł w życie, kluczowe jest powołanie podmiotu monitorującego. Ma on prawo oceniać zdolność podmiotów do stosowania Kodeksu, monitorować przestrzeganie przepisów Kodeksu, przeprowadzać okresowy przegląd funkcjonowania Kodeksu czy wreszcie rozpatrywać wnioski i skargi na naruszenie Kodeksu.

Pierwsze miejsce w konkursie Emerging Europe dla Kodeksu Branżowego RODO w ochronie zdrowia

Ważną częścią wydarzenia będzie również budowanie świadomości w zakresie obowiązków w obszarze cyberzagrożeń związanych z prowadzeniem działalności w środowisku cyfrowym.

Konferencja RODO i cyberbezpieczeństwo w zdrowiu przyczyni się również w znaczący sposób do zwiększenia świadomości pacjentów w zakresie przysługujących im praw dotyczących ich danych osobowych. Konferencja będzie poruszała tematykę metod zabezpieczania danych pacjentów, sposobów ochrony przed cyberatakami oraz praktycznych wskazówek dotyczących podnoszenia kompetencji cyfrowych pracowników sektora ochrony zdrowia.

Jest to szczególnie istotne ze względu na fakt, że tylko w 2020 roku ofiarami ataków hakerów padło około 18 milionów kartotek pacjentów, a sam sektor ochrony zdrowia jest uznawany za jeden z najbardziej narażonych na przestępstwa internetowe. Digitalizacja ochrony zdrowia oferuje znaczące korzyści dla sektora ochrony zdrowia, dlatego tegoroczna konferencja będzie poruszała zagadnienia likwidowania luk w systemach bezpieczeństwa i ochrony danych pacjentów, aby zmniejszać zagrożenie wycieku danych.

Kodeks RODO dla ochrony zdrowia – jaki jest stan obecny?

– Wszyscy obywatele już doświadczają niezbędnych, ale i śmiałych decyzji, między innymi przy otrzymywaniu recept elektronicznych, korzystaniu ze zdalnych porad lekarskich lub odbiorze dokumentów elektronicznych przy kontaktach z urzędami. Masowe zainteresowanie Polaków usługami publicznymi online skłania do dalszego dynamizowania cyfryzacji państwa. Kolejnym argumentem jest bezpieczeństwo i budowanie odporności. Zapowiadana przez Microsoft inwestycja w budowę polskiego regionu przetwarzania danych i infrastrukturę Data Center stanowi jeden z fundamentów zapewnienia bezpieczeństwa cyfrowego naszego kraju – zauważa Bartosz Stebnicki, członek zarządu w polskim oddziale Microsoft.

– Jako największa na świecie firma sieciowa przykładamy ogromną wagę do tego, by wykluczać cyberzagrożenia i możliwość przetwarzania danych osobowych, a w tym przypadku danych wrażliwych, przez osoby do tego nieuprawnione¬ – mówi Przemysław Kania, general manager Cisco w Polsce.

W gronie ekspertów i decydentów

W debatach i panelach udział wezmą między innymi przedstawiciele największych podmiotów i instytucji sektora ochrony zdrowia w Polsce, świata nauki i środowiska akademickiego oraz administracji publicznej. Konferencja jest wydarzeniem międzynarodowym i będzie się odbywać z symultanicznym tłumaczeniem z języka polskiego na angielski.

Partnerami głównymi konferencji są: Microsoft oraz Cisco, a partnerem wspierającym: KPMG. Organizatorami wydarzenia są: Polska Federacja Szpitali, zespół ekspertów wZdrowiu i kancelaria DZP.

Adresaci wydarzenia

Odbiorcami konferencji są w szczególności: przedstawiciele placówek medycznych, odpowiedzialni za przetwarzanie danych i cyberbezpieczeństwo, polscy przedsiębiorcy i dyrektorzy szpitali, działający w branży ochrony zdrowia, przedstawiciele administracji publicznej, ośrodków naukowych i badawczo-rozwojowych, przedstawiciele instytucji wspierających biznes oraz pacjenci i ich organizacje.

Konferencja RODO i cyberbezpieczństwo w zdrowiu odbędzie się w formule online. Udział w wydarzeniu jest całkowicie bezpłatny. Więcej informacji – na stronie www.rodowzdrowiu.pl.

Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem.

Zarejestruj się już teraz – https://rodowzdrowiulive.pl

Pierwszy w Polsce i jeden z pierwszych w Europie Kodeks Branżowy RODO w ochronie zdrowia (Polish Code of Conduct in Healthcare) otrzymał pierwszą nagrodę w międzynarodowym konkursie Emerging Europe Awards w kategorii „Modern and Future-proof Policymaking”. Kodeks opracowany był między innymi przy udziale Pracodawców Medycyny Prywatnej.

Prawie 50 organizacji i osób z całej Europy Środkowej, Wschodniej, Południowo-Wschodniej i Kaukazu było nominowanych do czwartej edycji Emerging Europe Awards Programme.

Wśród nich znalazł się Kodeks Branżowy RODO w ochronie zdrowia jako jedna z polskich inicjatyw. Został nominowany za „torowanie drogi do standaryzacji ochrony danych osobowych, dającej pacjentom prywatność, a instytucjom medycznym możliwości oferowania wysokiej jakości usług”.

– Dziękujemy za to wspaniale wyróżnienie. To nagroda dla dziesiątek ludzi, reprezentujących wiele organizacji zarówno z sektora prywatnego jak i publicznego, którzy pracowali nad Kodeksem. Jesteśmy zaszczyceni, że nasz Kodeks stanowi dla Europy przykład tworzenia regulacji. Gratulacje dla wszystkich zaangażowanych! – powiedziała Ligia Kornowska, dyrektor zarządzająca Polskiej Federacji Szpitali podczas odbierania nagrody.

– Kodeks Branżowy RODO w ochronie zdrowia jest wizytówką Polski i może posłużyć jako przykład dla pozostałych Państw Europejskich w zakresie wyznaczania standardu ochrony danych osobowych i współpracy publiczno-prywatnej w celu wypracowania wspólnego stanowiska regulacyjnego. Stosowanie go przez podmioty wykonujące działalność leczniczą zapewnia prawidłowe dostosowywanie się do wymogów przewidzianych w RODO i ochronę prywatności oraz praw pacjentów – wskazuje Jarosław J. Fedorowski, prezes Polskiej Federacji Szpitali.

– Nieustannie pracujemy nad zapewnieniem bezpieczeństwa pacjentom i pomocy placówkom medycznym, które przetwarzają na co dzień miliony danych osobowych. Wprowadzone regulacje w sektorze medycznym mają na celu zmniejszenie przypadków naruszeń danych, w tym danych wrażliwych. Jednym z projektów służących doprecyzowaniu wymogów RODO i przynoszących wartość praktyczną jest Kodeks Branżowy, wypracowany w porozumieniu sektora publicznego i prywatnego. Ogromnym sukcesem zarówno Polski, jak i twórców Kodeksu, jest nagrodzenie go w międzynarodowym konkursie Emerging Europe Awards – wskazuje Anna Goławska, podsekretarz stanu w Ministerstwie Zdrowia.

Czytaj także: Powinniśmy płacić za zdrowie, a nie za chorobę>>>

– W dobie cyfryzacji i postępu technologicznego coraz częściej zdarzają się przypadki naruszeń w sektorze ochrony zdrowia. Projekt kodeksu postępowania ma na celu w sposób jasny i klarowny dla podmiotów go stosujących zapobiegać naruszeniom, a tym samym zapewniać wysoki poziom ochrony danych osobowych. Do tego przyczyniają się postanowienia kodeksów branżowych, które pomogą nie tylko podmiotom medycznym wypełniać wymogi RODO, ale też upowszechnią wiedzę o ochronie danych wśród pacjentów. Odebranie nagrody w międzynarodowym konkursie niewątpliwie stanowi przykład, jak polskie ustawodawstwo wyznacza standardy w tej dziedzinie –zauważa Monika Krasińska, dyrektor Departamentu Orzecznictwa i Legislacji UODO.

Była to czwarta edycja Emerging Europe Awards Programme. Nominowanych zostało w niej prawie 50 organizacji i osób z Europy Środkowej, Wschodniej, Południowo-Wschodniej i Kaukazu.

Zwycięzcy konkursu zostali wybrani przez głosowanie na stronie internetowej. Wręczenie nagród miało miejsce 15 września 2021 w Brukseli.

W kategorii “Nowoczesne i przyszłościowe tworzenie polityki” („Modern and Future-proof Policymaking”) nominowane były także dwa inne projekty – z Litwy i Rumunii.

Kodeks RODO dla ochrony zdrowia to dokument stanowiący formę samoregulacji branżowej. Zaproponowane w nim rozwiązania dotyczą doprecyzowania zasad ochrony danych osobowych (zgodnie z unijnym rozporządzeniem RODO) w placówkach ochrony zdrowia.

Kodeks RODO dla branży medycznej powstał w wyniku prac szerokiej koalicji, składającej się między innymi z przedstawicieli Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji, Porozumienia Zielonogórskiego. Prace merytoryczne były koordynowane przez mec. Piotra Najbuka i mec. Pawła Kaźmierczyka. z Kancelarii Domański Zakrzewski Palinka (DZP). Kodeks uwzględnia postulaty i uwagi licznych podmiotów zainteresowanych, z którymi był konsultowany.

Czytaj na ten temat: Kodeks RODO dla ochrony zdrowia – jaki jest stan obecny? >>>

23 lutego 2021 roku Prezes Urzędu Ochrony Danych Osobowych (PUODO) pozytywnie zaopiniował projekt Kodeksu postępowania dla sektora ochrony zdrowia. Oznaczało to, że podmioty wykonujące działalność leczniczą, chcące zapewnić pacjentom wysoki poziom ochrony ich danych osiągnięty w projekcie kodeksu, mogły od tego dnia rozpocząć dostosowywanie się do jego postanowień.

– Ta nagroda to potwierdzenie tego, jak ważne są inicjatywy samo regulacyjne w sektorze ochrony zdrowia. Dzięki współpracy przedstawicieli szpitali, środowiska medycznego i organizacji pacjentów udało się wypracować rozwiązania, które mogą przyczynić się do zwiększenia ochrony prywatności pacjentów, a nawet szerzej – polepszenia jakości opieki zdrowotnej – komentuje mec. Paweł Kaźmierczyk.

Kodeks RODO dla branży medycznej, opracowany między innymi przy udziale Pracodawców Medycyny Prywatnej, został zakwalifikowany do międzynarodowego konkursu Emerging Europe Awards 2021.

Jest to czwarta edycja Emerging Europe Awards Programme. Nominowanych zostało w niej prawie 50 organizacji i osób z Europy Środkowej, Wschodniej, Południowo-Wschodniej i Kaukazu.

Zwycięzcy konkursu zostaną wybrani przez głosowanie na stronie www.surveymonkey.com/r/EEAwards2021

Polski kodeks dla branży medycznej zakwalifikowany został w kategorii “Nowoczesne i przyszłościowe tworzenie polityki” („Modern and Future-proof Policymaking”), razem z dwoma innymi projektami – z Litwy i Rumunii.

Pozostałe kategorie konkursu Emerging Europe to “Artystyczne osiągnięcie roku” (“Artistic Achievement of the Year”), “Demokracja, prawa człowieka i praworządność” (“Democracy, Human Rights and the Rule of Law”), “Zagraniczny inwestor” (“Foreign Investor”), “Edukacja przyszłościowa” (“Future-proof Education”), “Mistrz świata” (“Global Champion”), “Zielona energia” (“Green Energy”), “Zdrowie i opieka społeczna” (“Health and Social Care”), “Przedsiębiorczość sprzyjająca włączeniu społecznemu” (“Inclusive Entrepreneurship”), “Kobieta lider biznesu” (“Female Business Leader”), “Wolność mediów i odpowiedzialne raportowanie” (“Media Freedom and Responsible Reporting”), “Ekonomia zorientowana na ludzi” (“People-first Economy”), “Współpraca regionalna” (“Regional Collaboration”), “Zrównoważony styl życia” (“Sustainable Lifestyles”), “Młoda inicjatywa” (“Young Empowerment”) oraz “Młody influencer” (“Young Influencer”).

Głosy można oddawać tutaj do 31 sierpnia 2021 roku.

The Future of Emerging Europe Summit and Awards, którego tematem przewodnim 2021 jest “W kierunku odpornej i zrównoważonej wschodzącej Europy”, odbędzie się 15 września w Brukseli i online.

Kodeks RODO dla ochrony zdrowia to dokument stanowiący formę samoregulacji branżowej. Zaproponowane w nim rozwiązania dotyczą doprecyzowania zasad ochrony danych osobowych (zgodnie z unijnym rozporządzeniem RODO) w placówkach ochrony zdrowia.

Kodeks RODO dla branży medycznej powstał w wyniku prac szerokiej koalicji, składającej się między innymi z przedstawicieli Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji, Porozumienia Zielonogórskiego. Uwzględnia postulaty i uwagi licznych podmiotów zainteresowanych, z którymi był konsultowany.

Czytaj na ten temat: Kodeks RODO dla ochrony zdrowia – jaki jest stan obecny? >>>

Rozwój cyfryzacji i telemedycyny, który przyspieszył znacznie w okresie epidemii, spowodował także konieczność stosowania w szerszym zakresie zasad cyberbezpieczeństwa w ochronie zdrowia. Podczas konferencji “RODO w sektorze medycznym” mówiła na ten temat Katarzyna Pisarzewska, kierownik Działu Prawa Ochrony Danych Osobowych w Lux Med.

Prelegentka przypomniała, że epidemia wpłynęła w znacznym stopniu na rozwój cyfryzacji i telemedycyny, wymuszając konieczność sprawnego i skutecznego przejścia na model obsługi pacjentów w formie zdalnej, jednocześnie zwiększając zapotrzebowanie na rozwiązania chmurowe oraz zasoby sieciowe i dostosowanie aplikacji elektronicznej dokumentacji medycznej, aplikacji klinicznych oraz używanych w ramach obsługi pacjenta do aktualnego środowiska sieciowego. 

W związku z tym pojawiły się nowe wyzwania dotyczące ochrony danych w sektorze zdrowia. Wynika to z faktu, że sektor medyczny jest najbardziej atrakcyjnym sektorem dla cyberprzestępców. Informacje zawarte w bazach danych medycznych mogą być warte nawet 10 razy więcej niż informacje z kart kredytowych. 

Czytaj także: Jak zarządzać ryzykiem zgodnie z RODO w laboratorium medycznym?>>>

Szacuje się, że aż 23 procent podmiotów z branży opieki zdrowotnej dokonało jakiejś formy płatności na rzecz okupu z powodu ataku typu ransomware. Chodzi o złośliwe oprogramowanie, powodujące utratę danych osobowych, które jest instalowane zdalnie na komputerze, a którego odblokowanie jest dokonywane po opłaceniu określonej sumy pieniędzy. 

Niebezpieczeństwo utraty takich danych w podmiotach medycznych może być także wynikiem stosowania przestarzałego oprogramowania oraz błędu ludzkiego, czyli nieprawidłowego przesyłania i udostępniania danych dokonywanego przez personel podmiotu medycznego. 

Dyrektywa NIS, czyli pierwsze europejskie prawo w zakresie cyberbezpieczeństwa, przyjęta w 2018 roku (w Polsce implementuje ją Ustawa o krajowym systemie cyberbezpieczeństwa z 28 sierpnia 2018 roku) zakłada poszerzenie współpracy państw członkowskich w tym zakresie. Jednym z sektorów objętych dyrektywą jest sektor e-zdrowia, obejmujący zagadnienia przetwarzania elektronicznej dokumentacji medycznej. 

Główne wyzwania dotyczące cyberbezpieczeństwa w ochronie zdrowia dotyczą analizy ryzyka i zapewnienia odpowiedniego sprzętu oraz zasad poufności, przy użyciu dowolnego kanału komunikacji, zarówno w przypadku rozmowy prowadzonej za pośrednictwem call center czy też zdalnego dostępu do aplikacji, na przykład do portalu pacjenta, czy podczas udzielania świadczeń na odległość.  

Czytaj także: Pracodawcy Medycyny Prywatnej partnerem Kongresu Wyzwań Zdrowotnych>>>

Ważna jest prawidłowa weryfikacja danych osobowych pacjenta lub osoby uprawnionej (na przykład osoby bliskiej, wskazanej przez pacjenta), podwójne uwierzytelnienie podczas nadawaniu pacjentowi dostępu do aplikacji mobilnych oraz zapewnienie obsługi cyfrowej dla osób starszych i nieporadnych.  

W celu odpowiedniego zabezpieczenia danych osobowych w cyfrowym świecie potrzebna jest jako punkt wyjścia – analiza ryzyka oraz identyfikacja zagrożeń oraz adekwatnych środków technicznych, fizycznych i organizacyjnych. Ważne jest regularne podnoszenie świadomości pracowników w zakresie cyberbezpieczeństwa.  

Zalecane jest dokonywanie regularnych pen-testów oraz ciągle doskonalenie stosowanych zabezpieczeń dotyczących zagrożeń związanych z cyberprzestępczością. Pomaga w tym weryfikacja i stosowanie podwójnego uwierzytelnienia przy udzielaniu zdalnego dostępu do danych osobowych oraz wykonywanie regularnych kopii danych i szyfrowanie baz danych. 

Konferencja pt. “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?” odbyła się 25 maja 2021 roku.  

Organizatorem Konferencji byli: Medexpert Ligia Kornowska oraz Polska Federacja Szpitali. Partnerem prawnym była Kancelaria DZP sp. k. Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem.  

Więcej informacji na temat kodeksu RODO w ochronie zdrowia znajduje się na stronie www.rodowzdrowiu.pl. 

Na czym polega ocena ryzyka w laboratorium medycznym, jaki jest cel tych działań i jakie korzyści zyskują podmioty wdrażające taką ocenę – o tym mówił podczas konferencji “RODO w sektorze medycznym” – Dawid Bochenek, inspektor ochrony danych w spółce Diagnostyka. 

Szacowanie ryzyka to działanie wynikające z ogólnego rozporządzenia o ochronie danych osobowych RODO, które mówi o tym, że administrator danych osobowych wdraża odpowiednie środki techniczne i organizacyjne w celu przetwarzania tych danych, uwzględniając ich charakter i zakres oraz ryzyko naruszenia praw lub wolności osób, których te dane dotyczą. 

Działanie zgodne z RODO wymaga podejścia opartego na ryzyku – bez właściwej oceny ryzyka podejmowane decyzje w zakresie zabezpieczeń czy skutków naruszeń mogą być niewłaściwe. 

Ocena ryzyka w laboratorium medycznym uwzględnia wszelkie zarejestrowane czynności przetwarzania danych niezależnie od tego, czy czynności te związane są z udzielaniem świadczeń o charakterze zdrowotnym czy administracyjnym i technicznym. 

Przy doborze metody dla szacowania ryzyka można wykorzystać sprawdzone wzorce, które są powszechnie dostępne i uznane. Przepisy RODO nie wskazują wprawdzie wprost na wybór określonej metodologii dla oceny ryzyka, jednak wskazówki dotyczące właściwego podejścia opartego na ryzyku zostały udostępnione między innymi przez Grupę Roboczą art. 29, UODO oraz Kodeks postępowania dla sektora ochrony zdrowia wydany na podstawie art. 40 RODO. 

Czytaj także: Kodeks RODO dla ochrony zdrowia – jaki jest stan obecny?>>>

Jedną z proponowanych metod podejścia do szacowania ryzyka określa załącznik nr 4 do projektu Kodeksu postepowania dla sektora ochrony zdrowia, którego projekt został zatwierdzony przez UODO. Mówi on o identyfikacji czynności i podstaw przetwarzania danych osobowych, katalogu zagrożeń i skutków naruszenia praw i wolności osób, a także o wykorzystaniu normy ISO/IEC 29151:2017 i ISO/IEC 27001:2013 do wprowadzenia zabezpieczeń. 

Kolejną metodą, którą można zastosować w celu oceny skutków naruszenia ochrony danych osobowych i jego wpływu na prawa i wolności osób, jest na przykład metodologia opracowana przez Agencję UE ds. Bezpieczeństwa Sieci i Informacji (ENISA) we współpracy z europejskimi organami ochrony danych osobowych w Niemczech i Grecji. 

Do szacowania ryzyka można wykorzystać metodę ilościowo-jakościową, w której dla poszczególnych czynności wykorzystanych do przetwarzania danych osobowych określane są zagrożenia, skutki oraz prawdopodobieństwo materializacji zagrożenia. Na tej podstawie ustalany jest poziom ryzyka i podejmowane są decyzje o dalszym postępowaniu. 

W zależności od wyników analizy ryzyka, zwłaszcza kiedy pozostaje ono na poziomie nieakceptowanym, podejmowane są działania w celu jego ograniczenia. Przeprowadza się ocenę skutków dla ochronnych danych osobowych w przypadku, kiedy analiza wykazuje na wysokie ryzyko materializacji zagrożenia. 

Czytaj także: Diagnostyka wprowadziła dodatkowe zabezpieczenia wyników badań>>>

Działanie na rzecz minimalizacji ryzyka polegają na zastosowaniu dodatkowych środków technicznych i organizacyjnych, a unikanie ryzyka – na całkowitej rezygnacji z danej czynności. 

Można także zdecydować o przeniesieniu ryzyka poprzez jego dzielenie lub przeniesienie na inny wyspecjalizowany podmiot albo o ubezpieczeniu od ryzyka, na przykład na wypadek roszczeń. 

Gdy trudno o minimalizację ryzyka z wykorzystaniem zabezpieczeń technicznych i organizacyjnych, stosowane są sprawdzone metody jego ograniczenia poprzez poszukiwanie sposobów na dalszą minimalizację danych. Trzeba przy tym pamiętać, że zgodnie z zasadą dotycząca domyślnej ochrony danych osobowych (art. 25 ust. 2 RODO) dane powinny być zbierane w zakresie niezbędnym do realizacji celu przetwarzania oraz przez stosowanie technik szyfrowania i pseudonimizacji danych. 

Po wprowadzeniu dodatkowych zabezpieczeń lub wykorzystaniu metod mających ograniczyć ryzyko, przeprowadza się ponowne szacowanie ryzyka i ponownie ocenia się skutki lub prawdopodobieństwo zmaterializowania zagrożenia. 

Dla oceny skutków naruszenia przyjęto zestaw kryteriów, które pozwalają ustalić zagrożenia a także podjąć decyzję o powiadomieniu organu nadzorczego ochrony danych (UODO). Należą do nich: ocena charakteru naruszenia, możliwe negatywne skutki naruszenia oraz ocena czynników minimalizujących naruszenie. 

Przy pierwszym kryterium sprawdzamy, czy naruszenie dotyczy danych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, czy dotyczy przynależności do związków zawodowych lub danych biometrycznych, danych genetycznych, dotyczących zdrowia lub życia seksualnego, albo czy dotyczy danych z wykorzystaniem których oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych, albo danych o wyrokach skazujących i naruszeń prawa czy danych osób wymagających szczególnej ochrony, w tym dzieci. 

Sprawdzane jest także, czy naruszenie dotyczy dużej ilości danych osobowych, danych osobowych prawnie chronionych, na przykład tajemnicą ustawową lub zawodową, a także danych, które ulegały nieuprawionemu odwróceniu pseudonimizacji lub zostały odszyfrowane. 

Możliwe negatywne skutki naruszenia danych osobowych to naruszenie dobrego imienia, dyskryminacja, utrata kontroli nad danymi, kradzież tożsamości i możliwe wynikające z tego oszustwa, straty finansowe, ograniczenie praw i wolności. 

Czytaj także: Pracodawcy Medycyny Prywatnej partnerem Kongresu Wyzwań Zdrowotnych>>>

Czynniki minimalizujące ryzyko to zobowiązanie do zachowania poufności lub tajemnicy, szyfrowanie danych, a także minimalizacja lub pseudonimizacja danych. 

W przypadku chociażby jednej twierdzącej odpowiedzi przy ocenie charakteru naruszenia, ryzyko uznaje się za wysokie, na przykład jeśli dotyczy szczególnych kategorii danych osobowych o stanie zdrowia. 

Na podstawie oceny możliwych negatywnych skutków naruszenia dokonywana jest analiza oraz ocena prawdopodobieństwa wystąpienia negatywnego zdarzenia.  Iloczyn wartości zdarzenia i prawdopodobieństwa wskazuje na poziom ryzyka. 

Jeśli przeprowadzona ocena wskazuje na wysokie ryzyko niezależnie czy wynika to z oceny charakteru naruszenia czy oceny możliwych negatywnych skutków naruszenia dokonywane jest zawiadomienie organu nadzorczego ochrony danych osobowych (UODO) i podmiotów danych. 

W przypadku wskazania średniego ryzyka zawiadamiany jest organ nadzorczy ochrony danych osobowych (UODO) – nie wymagane jest powiadomienie podmiotów danych, jednak nie jest to zabronione i może być traktowane jako dobra praktyka.  

W przypadku naruszenia ochrony danych osobowych należy dokonać przeglądu analizy ryzyka, która pozwoli ponownie ocenić, czy zastosowane środki techniczne i organizacyjne są adekwatne do zagrożenia. 

W przypadku kolejnego szacowania po naruszeniu ochrony danych osobowych należy zwracać szczególną uwagę nie tylko na zastosowane zabezpieczenia ale również na to, czy wartość prawdopodobieństwa jest na właściwym poziomie i nie wymaga zwiększenia w związku ze zdarzeniem. 

Konferencja pt. “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?” odbyła się 25 maja 2021 roku. 

Organizatorem Konferencji byli: Medexpert Ligia Kornowska oraz Polska Federacja Szpitali. Partnerem prawnym była Kancelaria DZP sp. k. Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem. 

Więcej informacji na temat kodeksu RODO w ochronie zdrowia znajduje się na stronie www.rodowzdrowiu.pl. 

Kodeks RODO dla ochrony zdrowia uzyskał na początku roku 2021 pozytywną opinię Prezesa Urzędu Ochrony Danych Osobowych. Kolejnym krokiem będzie zatwierdzenie podmiotu monitorującego kodeksy postępowania. Wówczas dopiero będziemy mieć do czynienia z pełnym modelem, w jakim może funkcjonować kodeks postępowania dla danej branży.

Kodeks RODO dla ochrony zdrowia to dokument stanowiący formę samoregulacji branżowej, który po zatwierdzeniu będzie rodził określone skutki prawne. Nie odnosi się do danych pracowników ani kontrahentów, czyli do danych, które nie są danymi medycznymi. Nie dotyczy także przetwarzania danych w obrocie transgranicznym.

Wniosek dotyczący kodeksu dla branży medycznej został złożony w Urzędzie Ochrony Danych Osobowych w listopadzie 2018 roku.

Kodeks powstał w wyniku prac szerokiej koalicji, składającej się między innymi z przedstawicieli Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji, Porozumienia Zielonogórskiego. Uwzględnia postulaty i uwagi licznych podmiotów zainteresowanych, z którymi był konsultowany.

Czytaj także: Prywatna opieka zdrowotna odrobi straty już w 2021 roku>>>

Uzyskanie pozytywnej opinii Prezesa UDODO jest elementem procesu postępowania, zgodnego z KPA. Do zatwierdzenia kodeksu potrzebny jest jeszcze akredytowany zatwierdzony podmiot monitorujący, który będzie mógł przyjmować wnioski poszczególnych podmiotów dotyczących stosowania kodeksu. Podmiot monitorujący w pewnym zakresie zastępuje Urząd Ochrony Danych Osobowych, nadzoruje i wspiera placówki medyczne w zakresie stosowania kodeksu.

Gdy zostanie zatwierdzony podmiot monitorujący, kodeks zostanie zatwierdzony i wpisany do rejestru publicznego. Zostanie wówczas także przesłany do Europejskiej Rady Ochrony Danych Osobowych.

Informacje o zatwierdzonych kodeksach będą się pojawiały w rejestrze na stronie internetowej UODO w zakładce Kodeksy i certyfikacja, dostępnej pod linkiem: https://uodo.gov.pl/pl/426/1110.

Z kolei lista wszystkich organizacji, które zgłosiły swoje kodeksy do zatwierdzenia przez Prezesa UODO dostępna jest na stronie internetowej Urzędu pod linkiem: https://uodo.gov.pl/pl/426/1109.

Przystąpienie do stosowania kodeksu daje gwarancję prawidłowości stosowania określonych rozwiązań dotyczących ochrony danych osobowych, zatwierdzonych przez organ nadzoru. Podmioty stosujące kodeks mogą też liczyć na nadzór nad procesami przetwarzania danych osobowych przez niezależny podmiot monitorujący kodeks. Korzyścią ze stosowania kodeksu jest także to, że zgodnie z RODO organ nadzorczy w razie nakładania na dany podmiot kary w każdym przypadku bierze pod uwagę to, czy podmiot ten prawidłowo stosował kodeks postępowania, który został zatwierdzony przez organ nadzorczy.

Już obecnie można się przygotowywać do stosowania zasad zawartych w kodeksie i zmieniać procedury w placówkach medycznych.

Zagadnienia dotyczące kodeksu RODO dla branży medycznej były tematem konferencji, która odbyła się 25 maja 2021 roku pt. “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?”.

Organizatorem Konferencji byli: Medexpert Ligia Kornowska oraz Polska Federacja Szpitali. Partnerem prawnym była Kancelaria DZP sp. k. Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem.

Więcej informacji na temat kodeksu RODO w ochronie zdrowia znajduje się na stronie www.rodowzdrowiu.pl.

25 maja 2021 roku odbędzie się III edycja konferencji organizowanej w ramach cyklu „RODO w zdrowiu” pt. “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?”. Konferencja jest największym wydarzeniem dotyczącym ochrony danych medycznych w Polsce, biorą w niej udział liczące się organizacje branżowe, a także przedstawicieli strony publicznej.  

Pracodawcy Medycyny Prywatnej, którzy od początku prac nad kodeksem RODO dla branży medycznej aktywnie włączyli się w te działania, objęli konferencję swoim patronatem.  

– Zapraszamy wszystkich zainteresowanych ochroną danych osobowych w podmiotach leczniczych do udziału w tym wydarzeniu. Od samego początku aktywnie wspieramy inicjatywę tworzenia kodeksu RODO dla podmiotów działających w sektorze ochrony zdrowia i chcemy dzielić się swoimi doświadczeniami, do czego najlepszą okazją są spotkania organizowane przez Polską Federację Szpitali oraz kancelarię DZP. Jako krajowy lider usług diagnostyki laboratoryjnej wyrażamy nadzieję, że nasze uczestnictwo w przygotowaniu kodeksu branżowego i uczestnictwo w konferencji przyniesie wymierne korzyści dla branży medycznej w Polsce – mówi Marta Rogalska-Kupiec, wiceprezes zarządu spółki Diagnostyka. 

Czytaj także: Konferencja „RODO w sektorze medycznym”>>>

Celem Konferencji jest stworzenie platformy wymiany wiedzy i doświadczeń związanych ze stosowaniem RODO w sektorze medycznym oraz dobrymi praktykami w zakresie bezpieczeństwa danych, skoordynowanie działań i inicjatyw dotyczących ochrony ̨ danych osobowych oraz standardów cyberbezpieczeństwa w sektorze medycznym. Jednym z celów jest także zwiększanie świadomości pacjentów i personelu ochrony zdrowia w zakresie ochrony danych osobowych.  

– Zaakceptowanie Kodeksu Branżowego RODO w ochronie zdrowia może znacząco pomóc placówkom medycznym przy dostosowywaniu się do wymogów RODO, wpłynie na minimalizację ryzyk prawnych oraz maksymalizację bezpieczeństwa danych pacjentów. Cieszę się, że jako Polska Federacja Szpitali jesteśmy jednym z inicjatorów Kodeksu. Konferencja „RODO w zdrowiu” co roku wspiera edukację w zakresie RODO w ochronie zdrowia, a w tym roku będzie między innymi prezentować ostateczne zapisy Kodeksu. Jako współorganizator serdecznie zapraszam do uczestnictwa – mówi prof. Jarosław J. Fedorowski, prezes Polskiej Federacji Szpitali. 

W trakcie Konferencji zostanie szczegółowo przedstawiony „Kodeks postępowania dla sektora ochrony zdrowia”, który 23 lutego 2021 roku został pozytywnie zaopiniowany przez Prezesa Urzędu Ochrony Danych Osobowych. Stosowanie przez podmioty wykonujące działalność leczniczą zatwierdzonego kodeksu postępowania będzie mogło służyć do wykazania części obowiązków wynikających z RODO. Poza tym w trakcie Konferencji zostaną przedstawione zagadnienia związane z bezpieczeństwem danych medycznych w środowisku cyfrowym. Konferencja skierowana jest do przedstawicieli placówek medycznych odpowiedzialnych za przetwarzanie danych i cyberbezpieczeństwo.  

Czytaj także: Pracodawcy RP: rekomendacje w sprawie szczepień pracowniczych>>>

 – Zapewnienie najwyższego poziomu bezpieczeństwa danych medycznych w środowisku cyfrowym to podstawa zaufania do technologii informatycznych. Już dzisiaj w sytuacji zagrożenia pandemicznego dają one niezaprzeczalne korzyści pacjentom, lekarzom i placówkom opieki zdrowotnej. Pozytywna opinia Prezesa Urzędu Ochrony Danych Osobowych dotycząca „Kodeksu postępowania dla sektora ochrony zdrowia” to kolejny krok w kierunku realizacji idei Next Health. Zapewnia ona możliwości teleopieki i zdalnych konsultacji w bezpiecznym środowisku technicznym, organizacyjnym i prawnym. Umożliwia też korzystanie ze sztucznej inteligencji, uczenia maszynowego, analizy wielkich zbiorów danych i Internetu Rzeczy. Wszystko to z myślą o zdrowiu pacjentów i komforcie lekarzy – wskazuje Michał Jaworski, członek zarządu w polskim oddziale Microsoft. 

 – „Kodeks postępowania dla sektora ochrony zdrowia” to bardzo cenna i ważna inicjatywa, służąca zwiększeniu poziomu ochrony pacjentów, w związku z przetwarzaniem ich danych osobowych. Zasługuje ona na tym większe docenienie, ponieważ dotyczy szczególnego sektora, w którym zagadnienie bezpieczeństwa danych musi uwzględniać ochronę nadrzędnych dóbr, jakimi są zdrowie i życie pacjentów. Branża ochrony zdrowia jest szczególna również dlatego, że obejmuje podmioty bardzo zróżnicowane co do formy, skali i zakresu działalności. Dla Podmiotu Monitorującego stosowanie Kodeksu ta różnorodność jest wyjątkowym wyzwaniem – dodaje Piotr Burzyk, menedżer w dziale doradztwa biznesowego, zespół zarządzania ryzykiem audytu wewnętrznego i compliance, KPMG w Polsce 

Organizatorem Konferencji jest Polska Federacja Szpitali, natomiast partnerem prawnym jest Kancelaria DZP. Partnerami Głównymi tegorocznej edycji są: Microsoft, KPMG i Diagnostyka. Partnerami Wspierającymi są Prometriq, Wolters Kluwer i Targi Salmed.  

Konferencja została również objęta patronatem honorowym między innymi Ministerstwa Zdrowia, Urzędu Ochrony Danych Osobowych, Agencji Badań Medycznych, Narodowego Funduszu Zdrowia i Rzecznika Praw Pacjenta.   

Konferencja jest nieodpłatna i odbędzie się w formie online 25 maja 2021 roku. W Konferencji swój udział potwierdzili: Podsekretarz Stanu w Ministerstwie Zdrowia Anna Goławska, Zastępca Rzecznika Praw Pacjenta Grzegorz Błażewicz oraz Naczelnik Urzędu Ochrony Danych Osobowych Krzysztof Król. 

Osoby i organizacje zainteresowane udziałem w konferencji zapraszamy do zapisów na stronie www.rodowzdrowiu.pl oraz do kontaktu z Ligią Kornowską, dyrektor zarządzającą Polskiej Federacji Szpitali (tel. 690 875 075, e-mail: ligia.kornowska@pfsz.org).

Pracodawcy Medycyny Prywatnej objęli patronatem III edycję konferencji w ramach cyklu „RODO w zdrowiu”. Konferencja pt. “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?” odbędzie się 25 maja 2021 roku, w formule online.

Cykl „RODO w zdrowiu” to największe wydarzenie dotyczące ochrony danych medycznych w Polsce, skupiające największe, liczące się organizacje branżowe, a także przedstawicieli strony publicznej.

I edycja „konferencji “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy? odbyła się w marcu 2018 roku, II edycja – w lutym 2019, wówczas także zapoczątkowana została kampania „RODO dla pacjenta”. Wydarzenia te Pracodawcy Medycyny Prywatnej również objęli patronatem.

W obu tych edycjach konferencji wzięło udział ponad 1000 uczestników, w tym ponad 100 przedstawicieli placówek medycznych, oraz ponad 40 panelistów (ekspertów).

Podczas tegorocznej konferencji zostanie między innymi zaprezentowany „Kodeks postępowania dla sektora ochrony zdrowia”, który w lutym 2021 roku został pozytywnie zaopiniowany przez prezesa Urzędu Ochrony Danych Osobowych. Oznacza to, że podmioty wykonujące działalność leczniczą mogą rozpocząć dostosowywanie się do jego postanowień.

Czytaj także: Kodeks dla branży medycznej zaakceptowany przez PUODO>>>

Projekt kodeksu został stworzony w ramach prac szerokiej koalicji, składającej się między innymi z Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji, Porozumienia Zielonogórskiego. Dokument uwzględnia również postulaty i uwagi licznych podmiotów zainteresowanych, z którymi był konsultowany.

Stworzenie kodeksu branżowego dla sektora ochrony zdrowia to giresun escort bezprecedensowy sukces twórców tego dokumentu, którzy doprowadzili do wypracowania wspólnego stanowiska przez branżę reprezentującą różne placówki, niezależnie od ich struktury właścicielskiej czy rodzaju udzielanych świadczeń medycznych.

Kodeks ten jest tym samym jednym z najważniejszych osiągnięć polskiego sektora ochrony zdrowia w zakresie ochrony danych osobowych, stanowiąc swoistą wizytówkę Polski.

Podczas konferencji przedstawiona zostanie systematyka kodeksu i jego założenia, omówione zostaną zagadnienia dotyczące trabzon escort RODO w codziennej praktyce, zarówno w przypadku mniejszych jak i większych placówek medycznych.

Czytaj także: Prezes Pracodawców Medycyny Prywatnej spotkała się z ministrem zdrowia>>>

Poza tym podczas konferencji zostaną przedstawione zagadnienia związane z zasadami przetwarzania danych medycznych oraz z bezpieczeństwem tych danych w środowisku cyfrowym. Tematy paneli będą dotyczyły między innymi nowych zasad prowadzenia dokumentacji medycznej w postaci cyfrowej, zagadnień związanych z RODO i danymi osobowymi pacjenta w aptekach oraz w badaniach klinicznych.

Konferencja skierowana jest do przedstawicieli placówek medycznych odpowiedzialnych za rize escort przetwarzanie danych i cyberbezpieczeństwo w tych placówkach. Udział w konferencji jest bezpłatny.

Organizatorem Konferencji jest: Medexpert Ligia Kornowska oraz Polska Federacja Szpitali
Partnerem prawnym jest Kancelaria DZP sp. k.

Więcej informacji o konferencji znajduje się na stronie www.rodowzdrowiu.pl.

Pracodawcy RP zapraszają na bezpłatne, otwarte webinarium „Bezpieczeństwo sieci tele-informatycznych i danych osobowych w placówkach służby zdrowia”, które odbędzie się 13 stycznia 2021 roku o godzinie 13.

Wśród poruszanych tematów znajdą się zagadnienia dotyczące audytu bezpieczeństwa – czym jest, na czym polega, jak wygląda w praktyce, ile czasu trwa i kto go przeprowadza, zagrożeń wynikających z jego niestosowania, Polityki Bezpieczeństwa Informacji oraz ISO.

Ekspertami podczas spotkania będą: Adam Dębski – właściciel firmy Aegis Security oraz Arkadiusz Piotrowski – główny informatyk Aegis Security. Moderatorem będzie Jarosław Jasiński – business development manager z Aegis Security.

Webinarium odbędzie się na platformie ClickMeeting, udział w nim wymaga rejestracji.

Formularz rejestracyjny jest dostępny tutaj>>>

Zapis webinarium będzie dostępny na kanale Pracodawców RP w serwisie YouTube>>>

Czytaj także: Prywatne placówki dołączyły do Narodowego Programu Szczepień>>>

Z kontroli NIK wynika, że szpitale nie przestrzegają zasad ochrony danych osobowych. Izba wystąpiła do prezesa Urzędu Ochrony Danych Osobowych o przeprowadzanie systemowych kontroli w tym zakresie oraz niezwłoczne zakończenie działań związanych z przyjęciem kodeksu postępowania dla sektora ochrony zdrowia i wprowadzenie regulacji dotyczących certyfikacji, o której mowa w art. 42 RODO.

Z analizy przeprowadzonej przez Najwyższą Izbę Kontroli wynika, że w ponad połowie skontrolowanych szpitali doszło do naruszeń ochrony danych osobowych, z czego w sześciu sytuacja była na tyle poważna, że konieczne było powiadomienie Prezesa Urzędu Ochrony Danych Osobowych.

Na przykład w Szpitalu Specjalistycznym im. Ludwika Rydygiera w Krakowie Sp. z o.o. jeden z pacjentów niechcący zabrał dokumentację medyczną innego pacjenta jednej z poradni, a w Wojewódzkim Specjalistycznym Szpitalu Dziecięcym im. Św. Ludwika w Krakowie mężczyzna z zaburzeniami psychicznymi ukradł z pomieszczenia rejestracji trzy kartoteki pacjentów – dwóch z nich nie odnaleziono. W 9 z 24 skontrolowanych szpitali papierowa dokumentacja pacjentów na oddziałach szpitalnych przechowywana była w niezamykanych szafkach lub na półkach. W ocenie NIK niewłaściwe zabezpieczenie i przechowywanie dokumentacji medycznej przez personel medyczny wynika z rutyny.

Z dokumentacją medyczną pacjentów związane jest również zagadnienie udostępniania jej innym osobom niż pacjent, na przykład członkom rodziny. W dwóch skontrolowanych szpitalach kopie dokumentacji zostały udostępnione osobom, których pacjent nie upoważnił, a w  siedmiu do przetwarzania danych osobowych, w tym medycznych, upoważnieni byli pracownicy obsługi, na przykład salowe i sanitariusze. W ocenie NIK osoby te nie udzielają pacjentom świadczeń medycznych i nie powinny mieć dostępu do danych dotyczących  historii choroby czy przebiegu leczenia pacjenta.

W 9 z 24 skontrolowanych szpitali pacjentom nie zagwarantowano prawa do prywatności w trakcie rejestracji. Odległość pomiędzy okienkami rejestracji była zbyt mała lub nie wyznaczono strefy oddzielającej pacjentów obsługiwanych od oczekujących w kolejce.

Czytaj także: Pracodawcy Medycyny Prywatnej wspierają kampanię RODO dla pacjenta>>>

We wszystkich objętych kontrolą szpitalach pacjentom umieszczano na nadgarstkach opaski ze znakami identyfikacyjnymi. Zgodnie z obowiązującymi przepisami, umieszczane na opaskach informacje muszą być zapisane w sposób uniemożliwiający identyfikację pacjenta przez osoby postronne. Nie powinny zatem zawierać nr PESEL, imienia, ani nazwiska. Jednak – jak wykazali kontrolerzy NIK – prawie połowa skontrolowanych szpitali (11 z 24) nie stosowała się do tych zasad.

W trzech skontrolowanych szpitalach dane osobowe pacjentów umieszczone były na szpitalnych łóżkach, w sposób widoczny dla osób postronnych, na przykład odwiedzających innego chorego. Jednocześnie jednak, w tych samych szpitalach, na innych oddziałach, funkcjonowały rozwiązania chroniące dane osobowe pacjentów. Stosowano tam karty przyłóżkowe z ramkami zasłaniającymi personalia.

Niepokojącym zjawiskiem, według NIK, jest przekazywanie danych osobowych pacjentów firmom informatycznym serwisującym szpitalne systemy podczas zgłaszania usterek oprogramowania. Taka sytuacja miała miejsce aż w 11 skontrolowanych szpitalach w odniesieniu do danych osobowych 41 pacjentów, w tym danych medycznych 31 z nich.

W ¾ szpitali nie wdrożono odpowiednich środków zabezpieczających dane osobowe i medyczne pacjentów przechowywane w postaci elektronicznej.

Zgodnie z przepisami RODO, pracownicy szpitala powinni otrzymać stosowne upoważnienia do przetwarzania danych. Tymczasem kontrolerzy NIK stwierdzili błędy w tym zakresie w 5 szpitalach.  W 15 skontrolowanych szpitalach osobom odchodzącym z pracy nie odbierano uprawnień do systemów informatycznych, a w 10 – część pracowników posiadała uprawnienia administratora systemów operacyjnych wykorzystywanych komputerów, pomimo że osoby te nie były informatykami i nie zajmowały się administrowaniem systemami informatycznymi.

W połowie skontrolowanych szpitali kontrolerzy NIK stwierdzili zaniechania, które w sposób szczególny wpływały na obniżenie bezpieczeństwa danych przechowywanych w formie elektronicznej.

Zgodnie z przepisami RODO, punktem wyjścia do właściwej ochrony danych osobowych powinna być analiza ryzyka procesów przetwarzania danych. Jednak szpitale nie przygotowały się na wejście w życie nowych przepisów

Z pomocą podmiotom leczniczym przyszło Ministerstwo Cyfryzacji, które we współpracy z Ministerstwem Zdrowia przygotowało Przewodnik po RODO dla służby zdrowia. Publikacja ta zawiera przykłady praktycznych rozwiązań, które ułatwiają ochronę danych medycznych pacjentów. Jednak mimo przekazania Przewodnika szpitalom, zagadnienia związane z ochroną danych osobowych pacjentów były w tych jednostkach marginalizowane i jako dodatkowy obowiązek nie znalazły się wśród priorytetów służb medycznych i pracowników administracyjnych. Zawiódł też system szkoleń. Tylko w 9 szpitalach szkoleniami z zakresu ochrony danych osobowych objęto prawie cały personel. Były jednak także takie podmioty lecznicze, w których przeszkolony był niespełna co dziesiąty pracownik.

Cały raport NIK dostępny jest na stronie: www.nik.gov.pl

Kodeks dla branży medycznej, która ma ułatwiać stosowanie przepisów unijnego rozporządzenia RODO, powstaje od początku 2018 roku. Pod koniec roku 2018 został złożony do Urzędu Ochrony Danych Osobowych.

W pracach nad kodeksem aktywnie uczestniczyli między innymi przedstawiciele Pracodawców Medycyny Prywatnej.

Czytaj na ten temat: Projekt Kodeksu Branżowego dla podmiotów medycznych złożony do Urzędu Ochrony Danych Osobowych>>>

Powszechną praktyką jest, że umowy powierzenia są w dalszym ciągu powszechnie zawierane, w zasadzie zawiera je „każdy z każdym”. Jednak te umowy mają swoje mankamenty – mówił Piotr Najbuk, senior assiociate z kancelarii DZP podczas II Konferencji RODO w Zdrowiu, które odbyła się 27 lutego 2019 roku na warszawskiej Uczelni Łazarskiego.

Jednym z takich mankamentów jest wyrażenie zgody na dalsze przetwarzanie danych osobowych. Jeśli mamy do czynienia z kontynuacją terapii pacjenta, trzeba ostrożnie podchodzić do takich umów i sprawdzać ich aktualizacje.

– Umowa powierzenia powinna odpowiadać potrzebie przetwarzania danych. RODO odchodzi od formalizmu. Nie zawsze konieczna jest umowa powierzenia z pracownikiem – mówił Piotr Najbuk, który omówił także wątpliwości, jakie pojawiają się w związku ze stosowaniem RODO.

Dotyczą one między innymi tego, czy jeśli placówki są tzw. organizatorami świadczeń, ale ich nie udzielają, mogą być także administratorem danych.

Pojawiły się także problemy związane z przetwarzaniem danych osobowych pacjentów przez samorządy, które realizują programy profilaktyki zdrowotnej. Zdarza się, że samorząd lub marszałek jest administratorem takich danych, do czego formalnie nie powinien mieć prawa.

Podsumowując to, co działo się w zakresie stosowana RODO przez ostatni rok Piotr Najbuk zauważył, że wiele placówek ograniczyło się do informowania o przetwarzaniu danych osobowych za pomocą formularza. Jednocześnie jednak można było obserwować pewne nadinterpretowanie wskazówek rozporządzenia i stosowanie praktyk wypaczających jego sens. Takie praktyki mogą wpłynąć negatywnie na bezpieczeństwo pacjentów.

Problemy z ochroną danych  mogą także pojawić się, gdy konta firmowe byłych pracowników w dalszym ciągu są aktywne, albo gdy pracownicy mają bardzo szeroki dostęp do danych osobowych, w zakresie, który nie jest im potrzebny. Zdarza się, że studenci-stażyści mają dostęp do kont lekarzy – świadczy to o nieodpowiedzialności zarówno placówki jak i lekarza, który udostępnia takie konto.

W wielu placówkach pojawiły się wątpliwości, czy lekarze muszą się zgodzić na umieszczanie swoich danych na drzwiach gabinetów czy na stronie internetowej placówki. Według Piotra Najbuka lekarze wykonują zawód zaufania publicznego i dlatego powinni być identyfikowani.

Czytaj: Medicover i Diagnostyka: RODO w praktyce>>>

Anna Kruczyk z kancelarii DZP dokonała przeglądu krajowych aktów prawnych zapewniających stosowanie RODO. Związane z RODO przepisy zawiera ustawa o działalności leczniczej, ustawa o ochronie zdrowia psychicznego, ustawa o systemie informacji w ochronie zdrowia, ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta (jedna ze zmian dotyczy uzyskiwania przez pacjenta pierwszej bezpłatnej kopii dokumentacji medycznej w myśl art. 15 RODO).

Natomiast ustawa o ochronie danych osobowych przewiduje możliwość zatrudnienia zastępcy inspektora ochrony danych osobowych.

Aktywność w zakresie ochrony danych osobowych wykazywały w ostatnich miesiącach różne resorty, zarówno krajowe jak i unijne.

Ministerstwo Cyfryzacji wydało podręcznik – RODO w służbie zdrowia. Rzecznik Praw Pacjenta zajmował się sprawą dostępu do danych osobowych w zakresie dokumentacji medycznej (pod wypadku na tzw. zakopiance).

W ramach UE powstała Europejska Rada Ochrony Danych (EROD), która składa się z przedstawicieli krajowych organów ochrony danych i zajmuje się opiniowaniem kodeksów na poziomie europejskim (takie kodeksy też mogą powstawać).

Urząd Ochrony Danych Osobowych wydał standardowe klauzule dotyczące umów powierzenia i złożył je do zaopiniowania. Konsultacje się zakończyły, jednak procedury związane z wprowadzeniem tych dokumentów jeszcze trwają.

Podczas konferencji zostały poruszone tematy dotyczące zapisów kodeksu dla branży medycznej, praktyk organów administracji w sprawie RODO czy przepisów sektorowych zapewniających stosowanie rozporządzenia.

Czytaj także: Kodeks dla branży medycznej – trwają konsultacje>>>

Jednym z tematów było także cyberbezpieczeństwo, w tym w powiązaniu z ustawą o Krajowym Systemie Cyberbezpieczeństwa i wtórnym wykorzystaniu danych medycznych.

Została także oficjalnie zainaugurowana ogólnopolska kampania edukacyjna rododlapacjenta.pl. Celem tej akcji jest wypracowanie materiałów edukacyjnych, które w jasny i prosty sposób przedstawią prawa i obowiązki pacjenta wynikające z RODO i przepisów prawa medycznego.

Pracodawcy Medycyny Prywatnej byli partnerem konferencji.

Podczas II konferencji RODO w Zdrowiu, która odbyła się 27 lutego 2019 na warszawskiej Uczelni Łazarskiego, dobre praktyki w zakresie bezpieczeństwa danych osobowych omówili przedstawiciele Medicovera oraz spółki Diagnostyka.

Patryk Kuchta, reprezentujący Medicover, omówił proces wdrażania RODO, który składał się z kilku etapów, pierwszym z nich była inwentaryzacja wszystkich danych osobowych, którymi dysponuje firma, następnym – audyt zgodności tzw. „zerowy”.

– W kolejnym etapie zdefiniowaliśmy obszary kluczowe, powołaliśmy zespół projektowy oraz przygotowaliśmy zakres i plan działania – mówił Patryk Kuchta.

Konieczne było także opracowanie dokumentacji, a następnie – wdrażanie koniecznych zmian i monitorowanie statusu prowadzonych prac.

– Trwa to do chwili obecnej, ciągle prowadzimy weryfikację naszych prac – przez pryzmat obowiązującego prawa, a także naruszeń, które zgłaszamy, i uwag pacjentów – dodał.

Według Patryka Kuchty główne wyzwania RODO wynikają z dużej liczby firm i podmiotów leczniczych, pojawiają się one na styku danych medycznych oraz innych danych, a także w zakresie udzielania dostępów do systemów informatycznych, w tym medycznych, zapewnienia dostępu do dokumentacji medycznej i innych niezbędnych danych na przykład w związku z procesem kontynuacji leczenia, wymiany dokumentacji między podmiotami i pracownikami medycznymi.

Główne problemy, jakie się pojawiły podczas wdrażania przepisów RODO, dotyczyły zdefiniowania treści  nowej klauzuli informacyjnej oraz jej dopasowania do różnych procesów.

W ramach spełniania obowiązku informacyjnego trzeba było dokonać inwentaryzacji wszelkich formularzy zgody, umieścić klauzule informacyjne w widocznym miejscu w każdym centrum medycznym, umieścić klauzulę informacyjną na stronie internetowej, w każdej recepcji oraz w formularzach kontaktowych zarówno papierowych jak i elektronicznych. Wyzwaniem było też opracowanie odpowiedniej metodologii zbierania danych.

Diagnostyka wykonuje badania dla milionów pacjentów i współpracuje z tysiącami placówek medycznych. W rezultacie w bazie spółki znajdują się dane zawierające około 20 milionów numerów PESEL.

– Z tego powodu kwestia ochrony danych osobowych jest dla nas bardzo ważna – mówił Jakub Kowalski, radca prawny Diagnostyki, który przedstawił praktyczne rozwiązania stosowane w spółce, ułatwiające zarządzaniem taką ilością danych.

Czytaj także: RODO w Zdrowiu: Trzeba uważać na umowy powierzenia>>>

– Kluczowe zagadnienia w świetle RODO to minimalizacja przetwarzania danych – czyli – Nie przetwarzaj więcej niż potrzebujesz. Dotyczy to także poszczególnych grup pracowników, z których każdy powinien posiadać taki dostęp do danych, jaki jest mu potrzebny, nie większy – mówił.

Zwrócił też uwagę na kilka ważnych elementów, takich jak obowiązek ochrony danych przed zniekształceniem. Aby wyeliminować błąd przy przepisywaniu stosowany przez Diagnostykę system informatyczny posiada wbudowane słowniki badań. System może też wychwytywać niespójność danych w zleceniu (literówka, pomylenie na krzyż itd.).

Dane należy też chronić przez zniszczeniem, w tym przypadku system w razie awarii (pożar, zalanie) stwarza możliwość odtworzenia danych.

Cechuje się także zasadą rozliczalności, która polega na tym, że odnotuje każdą operację dokonaną przez każdego użytkownika kont, dzięki temu można wyśledzić kto kiedy i jakie informacji wprowadził czy pobrał z systemu.

– Przekazywanie zlecenia między laboratorium a podmiotem leczniczym drogą elektroniczną to sposób na to, aby wynik dotarł do odpowiedniego podmiotu. Jest to możliwe nawet wtedy, gdy podmiot nie posiada swojego systemu, wówczas bowiem Diagnostyka oferuje tzw. końcówkę systemu informatycznego laboratorium, która jest stosowana w placówce medycznej – wyjaśniał Jakub Kowalski.

System Diagnostyki posiada integrację z ponad 100 systemami informatycznymi. Obsługuje 10 różnych form komunikacji, a „końcówki” obsługują 47 aktywnych połączeń i co roku przekazują 540 tysięcy zleceń.

Dzięki takim rozwiązaniom dane przekazywane pomiędzy podmiotami i laboratoriami Diagnostyki są bezpieczne.

Podczas konferencji RODO w Zdrowiu zostały poruszone tematy dotyczące zapisów kodeksu dla branży medycznej, praktyk organów administracji w sprawie RODO czy przepisów sektorowych zapewniających stosowanie rozporządzenia.

Jednym z tematów było także cyberbezpieczeństwo, w tym w powiązaniu z ustawą o Krajowym Systemie Cyberbezpieczeństwa i wtórnym wykorzystaniu danych medycznych.

Została także oficjalnie zainaugurowana ogólnopolska kampania edukacyjna rododlapacjenta.pl. Celem tej akcji jest wypracowanie materiałów edukacyjnych, które w jasny i prosty sposób przedstawią prawa i obowiązki pacjenta wynikające z RODO i przepisów prawa medycznego.

Pracodawcy Medycyny Prywatnej byli partnerem konferencji.

20 września 2018 w Warszawie odbędzie się konferencja – Med & Pharma Data Security Summit 2018, którą Pracodawcy Medycyny Prywatnej objęli patronatem. Wydarzenie jest odpowiedzią na wejście w życie zmian przepisów związanych z RODO.

Przepisy rozporządzenia unijnego o ochronie danych osobowych już obowiązują, ale wciąż pojawia się wiele pytań i wątpliwości. Konferencja będzie okazją do omówienia, na podstawie pierwszych doświadczeń, wpływu tych zmian na sektor służby zdrowia oraz farmację.

Konferencja będzie podzielona na sesję wspólną oraz sesje roundtables, podczas których uczestnicy pod okiem moderatorów – ekspertów w swoich dziedzinach, będą mogli przedyskutować  najważniejsze dla siebie zagadnienia.

W programie zaplanowano wykłady ekspertów,  między innymi  Piotra Stecza, kierownika Działu Bezpieczeństwa Informacji z Grupy Adamed, Patryka Kuchty, starszego specjalisty ds. bezpieczeństwa informacji z Medicovera, Pawła Markiewicza, właściciela M3Mcom, Michała Nieżurawskiego, IT Security Managera EMEA z Baxter Healthcare oraz Kajetana Wojsyka, pełnomocnika ministra zdrowia ds. otwartości danych publicznych z Centrum Systemów Informacyjnych Ochrony Zdrowia.

W dyskusjach panelowych wezmą udział między innymi: Piotr Najbuk, Senior Associate, Domański Zakrzewski Palinka, Katarzyna Korulczyk, Inspektor Ochrony Danych, Grupa Lux Med, Monika Sobczyk, Kierownik ds. bezpieczeństwa informacji, Medicover, Michał Chodorek, Adwokat, KRK Kieszkowska Rutkowska Kolasiński, Adam Danieluk, Dyrektor ds. Cyberbezpieczeństwa, Grupa Lux Med oraz Wojciech Zawalski, Właściciel, Wojciech Zawalski Medicine

Więcej informacji o programie>>>

Konferencja jest przeznaczona dla specjalistów odpowiedzialnych za obszar bezpieczeństwa informacji, kwestie prawne oraz compliance.

Więcej informacji oraz zgłoszenie udziału na stronie www>>>

Dla członków Związku Pracodawców Medycyny Prywatnej organizatorzy przygotowali 10% rabatu przy zgłoszeniu do 31 sierpnia 2018 roku.

Podczas rejestracji prosimy o wpisanie kodu promocyjnego „ZPMP”.

Nowa ustawa o ochronie danych osobowych, której projekt przyjęła Rada Ministrów, ma na celu lepszą ochronę tych danych. Zawarte w niej przepisy wynikają z konieczności zapewnienia skutecznego stosowania unijnego rozporządzenia w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych oraz w sprawie ich swobodnego przepływu (RODO).

Do nowych przepisów będą musiały dostosować się wszystkie podmioty, które zbierają i przetwarzają dane osobowe, a proponowane w ustawie rozwiązania mają przyspieszyć postępowania w sprawach ochrony danych osobowych.

Zniesiona zostanie dotychczasowa dwuinstancyjność postępowania w sprawach naruszenia przepisów o ochronie danych osobowych, a podejmowana kontrola nie będzie mogła trwać dłużej niż miesiąc od dnia podjęcia czynności kontrolnych.

Projekt przewiduje ustanowienie nowego, niezależnego organu zajmującego się sprawami ochrony danych osobowych – Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Zastąpi on Generalnego Inspektora Ochrony Danych Osobowych. Przewidziano również ustanowienie mechanizmu certyfikacji w obszarze ochrony danych osobowych.

Prezes Urzędu będzie powoływany przez Sejm za zgodą Senatu. Będzie go można odwołać tylko w wyjątkowych przypadkach (umyślne przestępstwo lub umyślne przestępstwo skarbowe stwierdzone prawomocnym wyrokiem sądu). Wzmocnieniu pozycji Prezesa służyć ma również prawo do samodzielnego nadawania sobie statutu czy możliwość korzystania z pomocy funkcjonariuszy innych organów kontroli państwowej lub policji w przeprowadzanej kontroli.

PUODO będzie mógł kierować do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów – wystąpienia zmierzające do zapewnienia skutecznej ochrony danych osobowych. Będzie mógł również występować do organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie bądź zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych.

Prezes Urzędu Ochrony Danych Osobowych będzie wydawał rekomendacje dotyczące odpowiedniego zabezpieczenia danych osobowych.

Każdy podmiot będzie musiał jednak sam ocenić ryzyko związane z wyciekiem danych osobowych i zastosować odpowiednie środki zabezpieczające.

Założenia kodeksu dla branży medycznej, ułatwiającego stosowanie zasad rozporządzenia unijnego RODO, zostały zaprezentowane podczas konferencji „RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?, która odbyła się 14 marca na warszawskiej Uczelni Łazarskiego. Kodeks powstał dzięki pracy prywatnych podmiotów, ale zachęcane do jego stosowania są wszystkie placówki, także publiczne.

Gotowe są podstawy prawne kodeksu, jego zakres przedmiotowy, w tym zasady przetwarzania danych osobowych. Twórcy kodeksu odnieśli się do praw zawartych w rozporządzeniu i określili, jak mogą się one odnieść do danych przetwarzanych w placówkach medycznych. W trakcie opracowania są jeszcze kwestie dotyczące bezpieczeństwa przetwarzania danych i monitoringu bezpieczeństwa.

Kodeks dotyczy typowych usług medycznych, są bowiem takie obszary, które uregulowane są odrębnymi przepisami, na przykład ustawą o leczeniu niepłodności czy ustawą o ochronie zdrowia psychicznego.

Jednym z twórców kodeksu jest Telemedyczna Grupa Robocza, dlatego zagadnienia związane z telemedycyną również zawarto w tym dokumencie.

Administratorem danych każdy podmiot leczniczy

Katarzyna Korulczyk z Lux Medu podczas swojego wystąpienia w trakcie konferencji podkreśliła konieczność zachowania zdrowego rozsądku podczas wprowadzania zasad rozporządzenia RODO.

– Ważne są nowe przepisy i związane z tym nowe dokumenty, ale nie można jednocześnie zapomnieć o pacjencie – zauważyła. Podkreśliła także, że kodeks, mimo że powstał dzięki pracy i zaangażowaniu wielu prywatnych podmiotów, przeznaczony  jest dla wszystkich podmiotów medycznych.

– Bez względu na to, jakiego rodzaju jest to organizacja, zarządzający mają podobne wątpliwości i problemy, więc kodeks będzie uniwersalny i będzie dla wszystkich podmiotów pomocą w stosowaniu zasad rozporządzenia – dodała Katarzyna Korulczyk.

Wyjaśniła też, że administratorem danych osobowych jest każdy podmiot, który prowadzi dokumentację medyczną. Także w sytuacji, gdy podmiot leczniczy świadczy usługi w zakresie medycyny pracy dla pracodawcy, to jest on samodzielnym administratorem danych osobowych, pracodawca nie musi z nim zawierać umowy powierzenia.

Jednoosobowe praktyki jak personel

W sprawie jednoosobowych praktyk lekarskich stanowisko twórców kodeksu jest takie, że powinni oni być traktowani nie jak podmioty przetwarzające dane osobowe, ale jak personel, a podmiot, w obrębie którego działają, nadaje im upoważnienie do przetwarzania danych osobowych.

Kodeks zawiera także projekt umowy powierzenia, którą administrator danych osobowych może zawierać z firmami zewnętrznymi. W umowie takiej powinny być zawarte zasady dotyczące kontroli, audytu i inspekcji podmiotu przetwarzającego dane. Warto to prawo do kontroli doprecyzować i skonkretyzować oraz określić, jak kontrola będzie przeprowadzana.

RODO wprowadza rozszerzony obowiązek informacyjny wobec pacjentów.

– Reprezentujemy podejście, że wystarczy samo zamieszczenie obowiązku informacyjnego w takiej formie, aby pacjent mógł się z nim zapoznać, na przykład w formie plakatu przy rejestracji w placówce – wyjaśniła Katarzyna Korulczyk. – W przypadku usług rejestracyjnych świadczonych przez call center rozwiązaniem może być konieczność wysłuchania przez pacjenta nagranego komunikatu. Wyszliśmy też z założenia, że nowy obowiązek informacyjny dotyczy danych, które obecnie zbieramy, a nie tych, które już posiadamy.

Ustawodawstwo krajowe a ochrona danych

W ramach ustawodawstwa krajowego dotyczącego ochrony danych osobowych powstają projekty ustaw – ustawy o ochronie danych osobowych oraz ustawy wprowadzającej związane z tym zmiany w 37 ustawach sektorowych. Projekt ustawy o ochronie danych osobowych został opublikowany we wrześniu 2017 na stronie Rządowego Centrum Legislacji. Obecnie zajmuje się nią sejmowa komisja prawnicza. Ustawa będzie zawierała obszerne przepisy dotyczące obszaru ochrony danych osobowych, między innymi powoływania podmiotów akredytujących czy powoływania inspektora ochrony danych osobowych.

Zmiany będą dotyczyły między innymi ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, w której zapisane zostanie prawo do przetwarzania danych osobowych w podmiocie leczniczym, a także ustawy o systemie informacji w ochronie zdrowia.

Pracodawcy Medycyny Prywatnej byli współorganizatorem konferencji, a także są współautorami kodeksu.

Poza tym członkami zespołu tworzącego kodeks są przedstawiciele Polskiej Federacji Szpitali, Fundacji Telemedyczna Grupa Robocza,  Konfederacji Lewiatan Technologiczny, Polskiej Izby Informatyki i Telekomunikacji oraz Federacji Związków Pracodawców Ochrony Zdrowia Porozumienie Zielonogórskie.

Inicjatywa ta uzyskała także poparcie Ministerstwa Zdrowia, Centrum Systemów Informatycznych Ochrony Zdrowia, Centrum Monitorowania Jakości w Ochronie Zdrowia, Naczelnej Izby Lekarskiej, Krajowej Izby Diagnostów Laboratoryjnych, Naczelnej  Izby Pielęgniarek i Położnych, Krajowej Rady Fizjoterapeutów, Samorządu Województwa Wielkopolskiego oraz fundacji My Pacjenci.

RODO od 25 maja 2018

Od 25 maja 2018 roku obowiązywać zacznie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, czyli RODO). Będzie ono miało bezpośredni i znaczący wpływ na przetwarzanie danych przez podmioty wykonujące działalność leczniczą. RODO wprowadza nowe obowiązki dla administratorów danych/podmiotów przetwarzających i nowe uprawnienia dla osób, których dane dotyczą.

Prawidłowe realizowanie zobowiązań wynikających z RODO jest niezwykle istotne, w szczególności w związku z tym, iż zabezpieczone będzie dotkliwymi sankcjami: cywilnymi administracyjnymi (do 20 mln euro lub 4 procent obrotu rocznego), karnymi i zawodowymi.

Podmioty z branży medycznej będą zobowiązane do przestrzegania zapisów RODO w pełnym zakresie począwszy od pierwszego dnia obowiązywania tego rozporządzenia. Przepisy zasadniczo nie przewidują żadnej taryfy ulgowej.

Kodeks dla branży medycznej dostępny jest na stronie www.rodowzdrowiu.pl

Branża medyczne opracowuje kodeks postępowania, który ułatwi podmiotom leczniczym stosowanie regulacji zawartych w unijnym rozporządzeniu dotyczącym ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnego przepływu takich danych (RODO). Pracodawcy Medycyny Prywatnej biorą aktywny udział w jego tworzeniu.

Placówki medyczne na terenie całej Unii Europejskiej od 25 maja 2018 roku będą zobowiązane do stosowania rozporządzenia  RODO. Wiele z zawartych w nim regulacji to tylko wskazówki, które wymagają skonkretyzowania, stąd inicjatywa stworzenia kodeksu.

– Jako Pracodawcy Medycyny Prywatnej byliśmy jednym z inicjatorów tego przedsięwzięcia w roku 2017. Uczestniczyli w tym członkowie działających w ramach organizacji forów – Forum IT oraz Forum Telemedycyny, – mówi Andrzej Osuch z Lux Med, przewodniczący obu forów. – Wspólnie z fundacją TGR (Telemedyczna Grupa Robocza) i kancelarią DZP opiniowaliśmy wówczas wytyczne CSIOZ (Centrum Systemów Informacyjnych w Ochronie Zdrowia) dotyczące bezpieczeństwa przetwarzania danych medycznych. Zaproponowaliśmy, aby część z tych zapisów wydzielić i umieścić właśnie w Kodeksie, celem doprecyzowania i zintegrowania tak kluczowych dla branży regulacji.

Sygnatariuszami podpisanego wówczas listu intencyjnego, poza DZP, TGR i Medycyną Prywatną, byli także przedstawiciele CSIOZ, Ministerstwa Zdrowia, związków pracodawców, izb gospodarczych, samorządów zawodowych z branży medycznej oraz innych organizacji. Prawnicy z kancelarii DZP zajęli się stroną organizacyjną i formalną przedsięwzięcia.

– Prace nad Kodeksem prowadzone są w czterech głównych strumieniach: prawnym, bezpieczeństwa informacji, praw pacjenta oraz wtórnego wykorzystania danych – mówi Andrzej Osuch.

Kodeks będzie mógł być stosowany przez wszystkie podmioty przetwarzające dane osobowe, czyli zarówno szpitale, przychodnie, jak i praktyki lekarskie, czy pielęgniarskie. Choć w założeniu samego rozporządzenia RODO kodeks branżowy nie jest obowiązkowy, to jednak jego stosowanie podnosi wiarygodność administratora danych jako podmiotu przetwarzającego dane zgodnie z RODO oraz może przyczyniać się do ograniczenia ryzyk prawnych dla administratorów danych z jednoczesną ochroną interesów pacjentów.

Kodeks wskazuje sposób stosowania przepisów RODO, które mogą budzić wątpliwości interpretacyjne. Doprecyzowania wymaga wiele zagadnień, od obowiązków administracyjnych podmiotów leczniczych, poprzez korzystanie z prawa do bycia zapomnianym, po szczegóły obowiązku informacyjnego wobec pacjentów.

Opracowaniem Kodeksu zajmują się aktualnie interdyscyplinarne grupy robocze, w marcu 2018 jego główne założenia zostaną zaprezentowane na konferencji, która odbędzie się w Warszawie.

Kodeks będzie musiał być zatwierdzony przez Prezesa Urzędu Ochrony Danych Osobowych bądź jego następcę prawnego.

Z rozporządzenia wynika, że kontrolowanie przestrzegania kodeksu postępowania może być prowadzone przez wyznaczoną instytucję. Rozważane jest powołanie niezależnego podmiotu wykonującego funkcje monitorowania.