Kluczowym zagadnieniem konferencji była dyskusja na temat obowiązków i wyzwań związanych z cyberzagrożeniami w prowadzeniu działalności leczniczej w środowisku cyfrowym. Eksperci sporo uwagi poświęcili potrzebie zwiększenia świadomości pacjentów w zakresie przysługujących im praw dotyczących ich danych osobowych.

Konferencja miała na celu również podnoszenie kompetencji cyfrowych pracowników ochrony zdrowia. Istotne okazuje się również prawidłowe zabezpieczenie stron internetowych przed atakami hakerów. Tematyka cyberbezpieczeństwa jest szczególnie ważna, zważywszy, że liczba cyberataków na podmioty medyczne stale rośnie, przyczyniając się do zwiększonego zagrożenia w zakresie wycieku danych medycznych pacjentów.

Kto i dlaczego stworzył kodeks branżowy „RODO w ochronie zdrowia”

Jednym z zagadnień IV edycji konferencji był „Kodeks Branżowy RODO w sektorze ochrony zdrowia”, który powstał w ramach prac szerokiej koalicji, składającej się między innymi z Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji oraz Porozumienia Zielonogórskiego, przy wsparciu prawnym Kancelarii DZP.

Prace nad kodeksem w „RODO w ochronie zdrowia” rozpoczęły się w lipcu 2017 roku Kodeks powstawał przy aktywnym udziale strony publicznej, w szczególności Ministerstwa Zdrowa, Centrum e-Zdrowia oraz Centrum Monitorowania Jakości w Ochronie Zdrowia.

Celem kodeksu „RODO w ochronie zdrowia” jest „zapewnienie adekwatnego poziomu ochrony pacjentów, w związku z przetwarzaniem ich danych osobowych, ze szczególnym uwzględnieniem ochrony zdrowia i życia, jako dóbr o nadrzędnym znaczeniu – czytamy we wstępie do projektu tego dokumentu.

– Inicjatywa opracowania projektu kodeksu narodziła się jako odpowiedź na liczne wątpliwości i problemy interpretacyjne związane ze stosowaniem RODO, które na początku obowiązywania nowych regulacji miały podmioty lecznicze – wyjaśnia Ligia Kornowska, dyrektor zarządzająca Polskiej Federacji Szpitali, a zarazem jedna z inicjatorów Kodeksu i samej konferencji. – Potrzeba przyjęcia i stosowania kodeksu jest aktualna. Wyznacza on bowiem pożądany standard ochrony danych osobowych, który ma zapewnić pacjentom lepszą gwarancję poszanowania ich prywatności, a placówkom medycznym pewność w zakresie wymogów i zasad prawidłowego postępowania – dodaje.

Kodeks branżowy zyskał pozytywną opinię Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Dzięki temu podmioty wykonujące działalność leczniczą, które chcą zapewnić pacjentom wysoki poziom ochrony ich danych osiągnięty w projekcie kodeksu, mogą rozpocząć dostosowywanie swojej aktywności do jego postanowień.

Prawdopodobnie już jesienią 2022 roku pierwsze placówki medyczne będą mogły ubiegać się o wydanie im certyfikat na podstawie kodeksu. Dokument ten w sierpniu ma być ostatecznie zatwierdzony przez Urząd Ochrony Danych Osobowych.

UODO ma też w najbliższym czasie rozpatrzyć wniosek o akredytację podmiotu monitorującego placówki medyczne pod kątem przestrzegania przez nie zapisów kodeksu. Wniosek taki złożyła firma KPMG Advisory Sp. z o.o. Jeśli uzyska on akceptację, spółka ta będzie przeprowadzać audyty w placówkach ochrony zdrowia i na tej podstawie podmioty lecznicze będą mogły uzyskiwać zaświadczenie (certyfikat) o przyznaniu im statusu Członka Kodeksu.

Aktualny projekt kodeksu można pobrać tutaj

Konferencję zorganizowali: Polska Federacja Szpitali, zespół ekspertów wZdrowiu i kancelaria DZP.

Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem.

Zapis konferencji „RODO i cyberbezpieczństwo w zdrowiu” z 24 maja 2022 roku dostępny jest na YouTube.com

Konferencja ma charakter międzynarodowy. Cieszy się ogromnym zainteresowaniem – każdego roku gromadzi 600-900 osób, a prezentowane podczas niej wystąpienia odbijają się szerokim echem nie tylko w sektorze ochrony zdrowia, ale również w mediach. To wszystko sprawia, że konferencja RODO i cyberbezpieczeństwo w zdrowiu jest centralnym forum rozmów o ochronie zdrowia. Co ważne, tematyka wydarzenia obejmuje zagadnienia związane z bezpieczeństwem danych medycznych w środowisku cyfrowym.

Kodeks branżowy, prawa pacjenta i bezpieczeństwo

Kluczowym zagadnieniem IV edycji konferencji będzie promowanie kodeksu postępowania w zakresie przetwarzania i ochrony danych osobowych w sektorze ochrony zdrowia tzw.  „Kodeksu Branżowego RODO w ochronie zdrowia”. Aby Kodeks w pełni wszedł w życie, kluczowe jest powołanie podmiotu monitorującego. Ma on prawo oceniać zdolność podmiotów do stosowania Kodeksu, monitorować przestrzeganie przepisów Kodeksu, przeprowadzać okresowy przegląd funkcjonowania Kodeksu czy wreszcie rozpatrywać wnioski i skargi na naruszenie Kodeksu.

Pierwsze miejsce w konkursie Emerging Europe dla Kodeksu Branżowego RODO w ochronie zdrowia

Ważną częścią wydarzenia będzie również budowanie świadomości w zakresie obowiązków w obszarze cyberzagrożeń związanych z prowadzeniem działalności w środowisku cyfrowym.

Konferencja RODO i cyberbezpieczeństwo w zdrowiu przyczyni się również w znaczący sposób do zwiększenia świadomości pacjentów w zakresie przysługujących im praw dotyczących ich danych osobowych. Konferencja będzie poruszała tematykę metod zabezpieczania danych pacjentów, sposobów ochrony przed cyberatakami oraz praktycznych wskazówek dotyczących podnoszenia kompetencji cyfrowych pracowników sektora ochrony zdrowia.

Jest to szczególnie istotne ze względu na fakt, że tylko w 2020 roku ofiarami ataków hakerów padło około 18 milionów kartotek pacjentów, a sam sektor ochrony zdrowia jest uznawany za jeden z najbardziej narażonych na przestępstwa internetowe. Digitalizacja ochrony zdrowia oferuje znaczące korzyści dla sektora ochrony zdrowia, dlatego tegoroczna konferencja będzie poruszała zagadnienia likwidowania luk w systemach bezpieczeństwa i ochrony danych pacjentów, aby zmniejszać zagrożenie wycieku danych.

Kodeks RODO dla ochrony zdrowia – jaki jest stan obecny?

– Wszyscy obywatele już doświadczają niezbędnych, ale i śmiałych decyzji, między innymi przy otrzymywaniu recept elektronicznych, korzystaniu ze zdalnych porad lekarskich lub odbiorze dokumentów elektronicznych przy kontaktach z urzędami. Masowe zainteresowanie Polaków usługami publicznymi online skłania do dalszego dynamizowania cyfryzacji państwa. Kolejnym argumentem jest bezpieczeństwo i budowanie odporności. Zapowiadana przez Microsoft inwestycja w budowę polskiego regionu przetwarzania danych i infrastrukturę Data Center stanowi jeden z fundamentów zapewnienia bezpieczeństwa cyfrowego naszego kraju – zauważa Bartosz Stebnicki, członek zarządu w polskim oddziale Microsoft.

– Jako największa na świecie firma sieciowa przykładamy ogromną wagę do tego, by wykluczać cyberzagrożenia i możliwość przetwarzania danych osobowych, a w tym przypadku danych wrażliwych, przez osoby do tego nieuprawnione¬ – mówi Przemysław Kania, general manager Cisco w Polsce.

W gronie ekspertów i decydentów

W debatach i panelach udział wezmą między innymi przedstawiciele największych podmiotów i instytucji sektora ochrony zdrowia w Polsce, świata nauki i środowiska akademickiego oraz administracji publicznej. Konferencja jest wydarzeniem międzynarodowym i będzie się odbywać z symultanicznym tłumaczeniem z języka polskiego na angielski.

Partnerami głównymi konferencji są: Microsoft oraz Cisco, a partnerem wspierającym: KPMG. Organizatorami wydarzenia są: Polska Federacja Szpitali, zespół ekspertów wZdrowiu i kancelaria DZP.

Adresaci wydarzenia

Odbiorcami konferencji są w szczególności: przedstawiciele placówek medycznych, odpowiedzialni za przetwarzanie danych i cyberbezpieczeństwo, polscy przedsiębiorcy i dyrektorzy szpitali, działający w branży ochrony zdrowia, przedstawiciele administracji publicznej, ośrodków naukowych i badawczo-rozwojowych, przedstawiciele instytucji wspierających biznes oraz pacjenci i ich organizacje.

Konferencja RODO i cyberbezpieczństwo w zdrowiu odbędzie się w formule online. Udział w wydarzeniu jest całkowicie bezpłatny. Więcej informacji – na stronie www.rodowzdrowiu.pl.

Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem.

Zarejestruj się już teraz – https://rodowzdrowiulive.pl

Prawie 50 organizacji i osób z całej Europy Środkowej, Wschodniej, Południowo-Wschodniej i Kaukazu było nominowanych do czwartej edycji Emerging Europe Awards Programme.

Wśród nich znalazł się Kodeks Branżowy RODO w ochronie zdrowia jako jedna z polskich inicjatyw. Został nominowany za „torowanie drogi do standaryzacji ochrony danych osobowych, dającej pacjentom prywatność, a instytucjom medycznym możliwości oferowania wysokiej jakości usług”.

– Dziękujemy za to wspaniale wyróżnienie. To nagroda dla dziesiątek ludzi, reprezentujących wiele organizacji zarówno z sektora prywatnego jak i publicznego, którzy pracowali nad Kodeksem. Jesteśmy zaszczyceni, że nasz Kodeks stanowi dla Europy przykład tworzenia regulacji. Gratulacje dla wszystkich zaangażowanych! – powiedziała Ligia Kornowska, dyrektor zarządzająca Polskiej Federacji Szpitali podczas odbierania nagrody.

– Kodeks Branżowy RODO w ochronie zdrowia jest wizytówką Polski i może posłużyć jako przykład dla pozostałych Państw Europejskich w zakresie wyznaczania standardu ochrony danych osobowych i współpracy publiczno-prywatnej w celu wypracowania wspólnego stanowiska regulacyjnego. Stosowanie go przez podmioty wykonujące działalność leczniczą zapewnia prawidłowe dostosowywanie się do wymogów przewidzianych w RODO i ochronę prywatności oraz praw pacjentów – wskazuje Jarosław J. Fedorowski, prezes Polskiej Federacji Szpitali.

– Nieustannie pracujemy nad zapewnieniem bezpieczeństwa pacjentom i pomocy placówkom medycznym, które przetwarzają na co dzień miliony danych osobowych. Wprowadzone regulacje w sektorze medycznym mają na celu zmniejszenie przypadków naruszeń danych, w tym danych wrażliwych. Jednym z projektów służących doprecyzowaniu wymogów RODO i przynoszących wartość praktyczną jest Kodeks Branżowy, wypracowany w porozumieniu sektora publicznego i prywatnego. Ogromnym sukcesem zarówno Polski, jak i twórców Kodeksu, jest nagrodzenie go w międzynarodowym konkursie Emerging Europe Awards – wskazuje Anna Goławska, podsekretarz stanu w Ministerstwie Zdrowia.

Czytaj także: Powinniśmy płacić za zdrowie, a nie za chorobę>>>

– W dobie cyfryzacji i postępu technologicznego coraz częściej zdarzają się przypadki naruszeń w sektorze ochrony zdrowia. Projekt kodeksu postępowania ma na celu w sposób jasny i klarowny dla podmiotów go stosujących zapobiegać naruszeniom, a tym samym zapewniać wysoki poziom ochrony danych osobowych. Do tego przyczyniają się postanowienia kodeksów branżowych, które pomogą nie tylko podmiotom medycznym wypełniać wymogi RODO, ale też upowszechnią wiedzę o ochronie danych wśród pacjentów. Odebranie nagrody w międzynarodowym konkursie niewątpliwie stanowi przykład, jak polskie ustawodawstwo wyznacza standardy w tej dziedzinie –zauważa Monika Krasińska, dyrektor Departamentu Orzecznictwa i Legislacji UODO.

Była to czwarta edycja Emerging Europe Awards Programme. Nominowanych zostało w niej prawie 50 organizacji i osób z Europy Środkowej, Wschodniej, Południowo-Wschodniej i Kaukazu.

Zwycięzcy konkursu zostali wybrani przez głosowanie na stronie internetowej. Wręczenie nagród miało miejsce 15 września 2021 w Brukseli.

W kategorii “Nowoczesne i przyszłościowe tworzenie polityki” („Modern and Future-proof Policymaking”) nominowane były także dwa inne projekty – z Litwy i Rumunii.

Kodeks RODO dla ochrony zdrowia to dokument stanowiący formę samoregulacji branżowej. Zaproponowane w nim rozwiązania dotyczą doprecyzowania zasad ochrony danych osobowych (zgodnie z unijnym rozporządzeniem RODO) w placówkach ochrony zdrowia.

Kodeks RODO dla branży medycznej powstał w wyniku prac szerokiej koalicji, składającej się między innymi z przedstawicieli Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji, Porozumienia Zielonogórskiego. Prace merytoryczne były koordynowane przez mec. Piotra Najbuka i mec. Pawła Kaźmierczyka. z Kancelarii Domański Zakrzewski Palinka (DZP). Kodeks uwzględnia postulaty i uwagi licznych podmiotów zainteresowanych, z którymi był konsultowany.

Czytaj na ten temat: Kodeks RODO dla ochrony zdrowia – jaki jest stan obecny? >>>

23 lutego 2021 roku Prezes Urzędu Ochrony Danych Osobowych (PUODO) pozytywnie zaopiniował projekt Kodeksu postępowania dla sektora ochrony zdrowia. Oznaczało to, że podmioty wykonujące działalność leczniczą, chcące zapewnić pacjentom wysoki poziom ochrony ich danych osiągnięty w projekcie kodeksu, mogły od tego dnia rozpocząć dostosowywanie się do jego postanowień.

– Ta nagroda to potwierdzenie tego, jak ważne są inicjatywy samo regulacyjne w sektorze ochrony zdrowia. Dzięki współpracy przedstawicieli szpitali, środowiska medycznego i organizacji pacjentów udało się wypracować rozwiązania, które mogą przyczynić się do zwiększenia ochrony prywatności pacjentów, a nawet szerzej – polepszenia jakości opieki zdrowotnej – komentuje mec. Paweł Kaźmierczyk.

Jest to czwarta edycja Emerging Europe Awards Programme. Nominowanych zostało w niej prawie 50 organizacji i osób z Europy Środkowej, Wschodniej, Południowo-Wschodniej i Kaukazu.

Zwycięzcy konkursu zostaną wybrani przez głosowanie na stronie www.surveymonkey.com/r/EEAwards2021

Polski kodeks dla branży medycznej zakwalifikowany został w kategorii “Nowoczesne i przyszłościowe tworzenie polityki” („Modern and Future-proof Policymaking”), razem z dwoma innymi projektami – z Litwy i Rumunii.

Pozostałe kategorie konkursu Emerging Europe to “Artystyczne osiągnięcie roku” (“Artistic Achievement of the Year”), “Demokracja, prawa człowieka i praworządność” (“Democracy, Human Rights and the Rule of Law”), “Zagraniczny inwestor” (“Foreign Investor”), “Edukacja przyszłościowa” (“Future-proof Education”), “Mistrz świata” (“Global Champion”), “Zielona energia” (“Green Energy”), “Zdrowie i opieka społeczna” (“Health and Social Care”), “Przedsiębiorczość sprzyjająca włączeniu społecznemu” (“Inclusive Entrepreneurship”), “Kobieta lider biznesu” (“Female Business Leader”), “Wolność mediów i odpowiedzialne raportowanie” (“Media Freedom and Responsible Reporting”), “Ekonomia zorientowana na ludzi” (“People-first Economy”), “Współpraca regionalna” (“Regional Collaboration”), “Zrównoważony styl życia” (“Sustainable Lifestyles”), “Młoda inicjatywa” (“Young Empowerment”) oraz “Młody influencer” (“Young Influencer”).

Głosy można oddawać tutaj do 31 sierpnia 2021 roku.

The Future of Emerging Europe Summit and Awards, którego tematem przewodnim 2021 jest “W kierunku odpornej i zrównoważonej wschodzącej Europy”, odbędzie się 15 września w Brukseli i online.

Kodeks RODO dla ochrony zdrowia to dokument stanowiący formę samoregulacji branżowej. Zaproponowane w nim rozwiązania dotyczą doprecyzowania zasad ochrony danych osobowych (zgodnie z unijnym rozporządzeniem RODO) w placówkach ochrony zdrowia.

Kodeks RODO dla branży medycznej powstał w wyniku prac szerokiej koalicji, składającej się między innymi z przedstawicieli Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji, Porozumienia Zielonogórskiego. Uwzględnia postulaty i uwagi licznych podmiotów zainteresowanych, z którymi był konsultowany.

Czytaj na ten temat: Kodeks RODO dla ochrony zdrowia – jaki jest stan obecny? >>>

Prelegentka przypomniała, że epidemia wpłynęła w znacznym stopniu na rozwój cyfryzacji i telemedycyny, wymuszając konieczność sprawnego i skutecznego przejścia na model obsługi pacjentów w formie zdalnej, jednocześnie zwiększając zapotrzebowanie na rozwiązania chmurowe oraz zasoby sieciowe i dostosowanie aplikacji elektronicznej dokumentacji medycznej, aplikacji klinicznych oraz używanych w ramach obsługi pacjenta do aktualnego środowiska sieciowego. 

W związku z tym pojawiły się nowe wyzwania dotyczące ochrony danych w sektorze zdrowia. Wynika to z faktu, że sektor medyczny jest najbardziej atrakcyjnym sektorem dla cyberprzestępców. Informacje zawarte w bazach danych medycznych mogą być warte nawet 10 razy więcej niż informacje z kart kredytowych. 

Czytaj także: Jak zarządzać ryzykiem zgodnie z RODO w laboratorium medycznym?>>>

Szacuje się, że aż 23 procent podmiotów z branży opieki zdrowotnej dokonało jakiejś formy płatności na rzecz okupu z powodu ataku typu ransomware. Chodzi o złośliwe oprogramowanie, powodujące utratę danych osobowych, które jest instalowane zdalnie na komputerze, a którego odblokowanie jest dokonywane po opłaceniu określonej sumy pieniędzy. 

Niebezpieczeństwo utraty takich danych w podmiotach medycznych może być także wynikiem stosowania przestarzałego oprogramowania oraz błędu ludzkiego, czyli nieprawidłowego przesyłania i udostępniania danych dokonywanego przez personel podmiotu medycznego. 

Dyrektywa NIS, czyli pierwsze europejskie prawo w zakresie cyberbezpieczeństwa, przyjęta w 2018 roku (w Polsce implementuje ją Ustawa o krajowym systemie cyberbezpieczeństwa z 28 sierpnia 2018 roku) zakłada poszerzenie współpracy państw członkowskich w tym zakresie. Jednym z sektorów objętych dyrektywą jest sektor e-zdrowia, obejmujący zagadnienia przetwarzania elektronicznej dokumentacji medycznej. 

Główne wyzwania dotyczące cyberbezpieczeństwa w ochronie zdrowia dotyczą analizy ryzyka i zapewnienia odpowiedniego sprzętu oraz zasad poufności, przy użyciu dowolnego kanału komunikacji, zarówno w przypadku rozmowy prowadzonej za pośrednictwem call center czy też zdalnego dostępu do aplikacji, na przykład do portalu pacjenta, czy podczas udzielania świadczeń na odległość.  

Czytaj także: Pracodawcy Medycyny Prywatnej partnerem Kongresu Wyzwań Zdrowotnych>>>

Ważna jest prawidłowa weryfikacja danych osobowych pacjenta lub osoby uprawnionej (na przykład osoby bliskiej, wskazanej przez pacjenta), podwójne uwierzytelnienie podczas nadawaniu pacjentowi dostępu do aplikacji mobilnych oraz zapewnienie obsługi cyfrowej dla osób starszych i nieporadnych.  

W celu odpowiedniego zabezpieczenia danych osobowych w cyfrowym świecie potrzebna jest jako punkt wyjścia – analiza ryzyka oraz identyfikacja zagrożeń oraz adekwatnych środków technicznych, fizycznych i organizacyjnych. Ważne jest regularne podnoszenie świadomości pracowników w zakresie cyberbezpieczeństwa.  

Zalecane jest dokonywanie regularnych pen-testów oraz ciągle doskonalenie stosowanych zabezpieczeń dotyczących zagrożeń związanych z cyberprzestępczością. Pomaga w tym weryfikacja i stosowanie podwójnego uwierzytelnienia przy udzielaniu zdalnego dostępu do danych osobowych oraz wykonywanie regularnych kopii danych i szyfrowanie baz danych. 

Konferencja pt. “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?” odbyła się 25 maja 2021 roku.  

Organizatorem Konferencji byli: Medexpert Ligia Kornowska oraz Polska Federacja Szpitali. Partnerem prawnym była Kancelaria DZP sp. k. Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem.  

Więcej informacji na temat kodeksu RODO w ochronie zdrowia znajduje się na stronie www.rodowzdrowiu.pl. 

Szacowanie ryzyka to działanie wynikające z ogólnego rozporządzenia o ochronie danych osobowych RODO, które mówi o tym, że administrator danych osobowych wdraża odpowiednie środki techniczne i organizacyjne w celu przetwarzania tych danych, uwzględniając ich charakter i zakres oraz ryzyko naruszenia praw lub wolności osób, których te dane dotyczą. 

Działanie zgodne z RODO wymaga podejścia opartego na ryzyku – bez właściwej oceny ryzyka podejmowane decyzje w zakresie zabezpieczeń czy skutków naruszeń mogą być niewłaściwe. 

Ocena ryzyka w laboratorium medycznym uwzględnia wszelkie zarejestrowane czynności przetwarzania danych niezależnie od tego, czy czynności te związane są z udzielaniem świadczeń o charakterze zdrowotnym czy administracyjnym i technicznym. 

Przy doborze metody dla szacowania ryzyka można wykorzystać sprawdzone wzorce, które są powszechnie dostępne i uznane. Przepisy RODO nie wskazują wprawdzie wprost na wybór określonej metodologii dla oceny ryzyka, jednak wskazówki dotyczące właściwego podejścia opartego na ryzyku zostały udostępnione między innymi przez Grupę Roboczą art. 29, UODO oraz Kodeks postępowania dla sektora ochrony zdrowia wydany na podstawie art. 40 RODO. 

Czytaj także: Kodeks RODO dla ochrony zdrowia – jaki jest stan obecny?>>>

Jedną z proponowanych metod podejścia do szacowania ryzyka określa załącznik nr 4 do projektu Kodeksu postepowania dla sektora ochrony zdrowia, którego projekt został zatwierdzony przez UODO. Mówi on o identyfikacji czynności i podstaw przetwarzania danych osobowych, katalogu zagrożeń i skutków naruszenia praw i wolności osób, a także o wykorzystaniu normy ISO/IEC 29151:2017 i ISO/IEC 27001:2013 do wprowadzenia zabezpieczeń. 

Kolejną metodą, którą można zastosować w celu oceny skutków naruszenia ochrony danych osobowych i jego wpływu na prawa i wolności osób, jest na przykład metodologia opracowana przez Agencję UE ds. Bezpieczeństwa Sieci i Informacji (ENISA) we współpracy z europejskimi organami ochrony danych osobowych w Niemczech i Grecji. 

Do szacowania ryzyka można wykorzystać metodę ilościowo-jakościową, w której dla poszczególnych czynności wykorzystanych do przetwarzania danych osobowych określane są zagrożenia, skutki oraz prawdopodobieństwo materializacji zagrożenia. Na tej podstawie ustalany jest poziom ryzyka i podejmowane są decyzje o dalszym postępowaniu. 

W zależności od wyników analizy ryzyka, zwłaszcza kiedy pozostaje ono na poziomie nieakceptowanym, podejmowane są działania w celu jego ograniczenia. Przeprowadza się ocenę skutków dla ochronnych danych osobowych w przypadku, kiedy analiza wykazuje na wysokie ryzyko materializacji zagrożenia. 

Czytaj także: Diagnostyka wprowadziła dodatkowe zabezpieczenia wyników badań>>>

Działanie na rzecz minimalizacji ryzyka polegają na zastosowaniu dodatkowych środków technicznych i organizacyjnych, a unikanie ryzyka – na całkowitej rezygnacji z danej czynności. 

Można także zdecydować o przeniesieniu ryzyka poprzez jego dzielenie lub przeniesienie na inny wyspecjalizowany podmiot albo o ubezpieczeniu od ryzyka, na przykład na wypadek roszczeń. 

Gdy trudno o minimalizację ryzyka z wykorzystaniem zabezpieczeń technicznych i organizacyjnych, stosowane są sprawdzone metody jego ograniczenia poprzez poszukiwanie sposobów na dalszą minimalizację danych. Trzeba przy tym pamiętać, że zgodnie z zasadą dotycząca domyślnej ochrony danych osobowych (art. 25 ust. 2 RODO) dane powinny być zbierane w zakresie niezbędnym do realizacji celu przetwarzania oraz przez stosowanie technik szyfrowania i pseudonimizacji danych. 

Po wprowadzeniu dodatkowych zabezpieczeń lub wykorzystaniu metod mających ograniczyć ryzyko, przeprowadza się ponowne szacowanie ryzyka i ponownie ocenia się skutki lub prawdopodobieństwo zmaterializowania zagrożenia. 

Dla oceny skutków naruszenia przyjęto zestaw kryteriów, które pozwalają ustalić zagrożenia a także podjąć decyzję o powiadomieniu organu nadzorczego ochrony danych (UODO). Należą do nich: ocena charakteru naruszenia, możliwe negatywne skutki naruszenia oraz ocena czynników minimalizujących naruszenie. 

Przy pierwszym kryterium sprawdzamy, czy naruszenie dotyczy danych ujawniających pochodzenie etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, czy dotyczy przynależności do związków zawodowych lub danych biometrycznych, danych genetycznych, dotyczących zdrowia lub życia seksualnego, albo czy dotyczy danych z wykorzystaniem których oceniane są czynniki osobowe, w szczególności analizowane lub prognozowane aspekty dotyczące efektów pracy, sytuacji ekonomicznej, zdrowia, osobistych preferencji lub zainteresowań, wiarygodności lub zachowania, lokalizacji lub przemieszczania się – w celu tworzenia lub wykorzystywania profili osobistych, albo danych o wyrokach skazujących i naruszeń prawa czy danych osób wymagających szczególnej ochrony, w tym dzieci. 

Sprawdzane jest także, czy naruszenie dotyczy dużej ilości danych osobowych, danych osobowych prawnie chronionych, na przykład tajemnicą ustawową lub zawodową, a także danych, które ulegały nieuprawionemu odwróceniu pseudonimizacji lub zostały odszyfrowane. 

Możliwe negatywne skutki naruszenia danych osobowych to naruszenie dobrego imienia, dyskryminacja, utrata kontroli nad danymi, kradzież tożsamości i możliwe wynikające z tego oszustwa, straty finansowe, ograniczenie praw i wolności. 

Czytaj także: Pracodawcy Medycyny Prywatnej partnerem Kongresu Wyzwań Zdrowotnych>>>

Czynniki minimalizujące ryzyko to zobowiązanie do zachowania poufności lub tajemnicy, szyfrowanie danych, a także minimalizacja lub pseudonimizacja danych. 

W przypadku chociażby jednej twierdzącej odpowiedzi przy ocenie charakteru naruszenia, ryzyko uznaje się za wysokie, na przykład jeśli dotyczy szczególnych kategorii danych osobowych o stanie zdrowia. 

Na podstawie oceny możliwych negatywnych skutków naruszenia dokonywana jest analiza oraz ocena prawdopodobieństwa wystąpienia negatywnego zdarzenia.  Iloczyn wartości zdarzenia i prawdopodobieństwa wskazuje na poziom ryzyka. 

Jeśli przeprowadzona ocena wskazuje na wysokie ryzyko niezależnie czy wynika to z oceny charakteru naruszenia czy oceny możliwych negatywnych skutków naruszenia dokonywane jest zawiadomienie organu nadzorczego ochrony danych osobowych (UODO) i podmiotów danych. 

W przypadku wskazania średniego ryzyka zawiadamiany jest organ nadzorczy ochrony danych osobowych (UODO) – nie wymagane jest powiadomienie podmiotów danych, jednak nie jest to zabronione i może być traktowane jako dobra praktyka.  

W przypadku naruszenia ochrony danych osobowych należy dokonać przeglądu analizy ryzyka, która pozwoli ponownie ocenić, czy zastosowane środki techniczne i organizacyjne są adekwatne do zagrożenia. 

W przypadku kolejnego szacowania po naruszeniu ochrony danych osobowych należy zwracać szczególną uwagę nie tylko na zastosowane zabezpieczenia ale również na to, czy wartość prawdopodobieństwa jest na właściwym poziomie i nie wymaga zwiększenia w związku ze zdarzeniem. 

Konferencja pt. “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?” odbyła się 25 maja 2021 roku. 

Organizatorem Konferencji byli: Medexpert Ligia Kornowska oraz Polska Federacja Szpitali. Partnerem prawnym była Kancelaria DZP sp. k. Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem. 

Więcej informacji na temat kodeksu RODO w ochronie zdrowia znajduje się na stronie www.rodowzdrowiu.pl. 

Kodeks RODO dla ochrony zdrowia to dokument stanowiący formę samoregulacji branżowej, który po zatwierdzeniu będzie rodził określone skutki prawne. Nie odnosi się do danych pracowników ani kontrahentów, czyli do danych, które nie są danymi medycznymi. Nie dotyczy także przetwarzania danych w obrocie transgranicznym.

Wniosek dotyczący kodeksu dla branży medycznej został złożony w Urzędzie Ochrony Danych Osobowych w listopadzie 2018 roku.

Kodeks powstał w wyniku prac szerokiej koalicji, składającej się między innymi z przedstawicieli Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji, Porozumienia Zielonogórskiego. Uwzględnia postulaty i uwagi licznych podmiotów zainteresowanych, z którymi był konsultowany.

Czytaj także: Prywatna opieka zdrowotna odrobi straty już w 2021 roku>>>

Uzyskanie pozytywnej opinii Prezesa UDODO jest elementem procesu postępowania, zgodnego z KPA. Do zatwierdzenia kodeksu potrzebny jest jeszcze akredytowany zatwierdzony podmiot monitorujący, który będzie mógł przyjmować wnioski poszczególnych podmiotów dotyczących stosowania kodeksu. Podmiot monitorujący w pewnym zakresie zastępuje Urząd Ochrony Danych Osobowych, nadzoruje i wspiera placówki medyczne w zakresie stosowania kodeksu.

Gdy zostanie zatwierdzony podmiot monitorujący, kodeks zostanie zatwierdzony i wpisany do rejestru publicznego. Zostanie wówczas także przesłany do Europejskiej Rady Ochrony Danych Osobowych.

Informacje o zatwierdzonych kodeksach będą się pojawiały w rejestrze na stronie internetowej UODO w zakładce Kodeksy i certyfikacja, dostępnej pod linkiem: https://uodo.gov.pl/pl/426/1110.

Z kolei lista wszystkich organizacji, które zgłosiły swoje kodeksy do zatwierdzenia przez Prezesa UODO dostępna jest na stronie internetowej Urzędu pod linkiem: https://uodo.gov.pl/pl/426/1109.

Przystąpienie do stosowania kodeksu daje gwarancję prawidłowości stosowania określonych rozwiązań dotyczących ochrony danych osobowych, zatwierdzonych przez organ nadzoru. Podmioty stosujące kodeks mogą też liczyć na nadzór nad procesami przetwarzania danych osobowych przez niezależny podmiot monitorujący kodeks. Korzyścią ze stosowania kodeksu jest także to, że zgodnie z RODO organ nadzorczy w razie nakładania na dany podmiot kary w każdym przypadku bierze pod uwagę to, czy podmiot ten prawidłowo stosował kodeks postępowania, który został zatwierdzony przez organ nadzorczy.

Już obecnie można się przygotowywać do stosowania zasad zawartych w kodeksie i zmieniać procedury w placówkach medycznych.

Zagadnienia dotyczące kodeksu RODO dla branży medycznej były tematem konferencji, która odbyła się 25 maja 2021 roku pt. “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?”.

Organizatorem Konferencji byli: Medexpert Ligia Kornowska oraz Polska Federacja Szpitali. Partnerem prawnym była Kancelaria DZP sp. k. Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem.

Więcej informacji na temat kodeksu RODO w ochronie zdrowia znajduje się na stronie www.rodowzdrowiu.pl.

Pracodawcy Medycyny Prywatnej, którzy od początku prac nad kodeksem RODO dla branży medycznej aktywnie włączyli się w te działania, objęli konferencję swoim patronatem.  

– Zapraszamy wszystkich zainteresowanych ochroną danych osobowych w podmiotach leczniczych do udziału w tym wydarzeniu. Od samego początku aktywnie wspieramy inicjatywę tworzenia kodeksu RODO dla podmiotów działających w sektorze ochrony zdrowia i chcemy dzielić się swoimi doświadczeniami, do czego najlepszą okazją są spotkania organizowane przez Polską Federację Szpitali oraz kancelarię DZP. Jako krajowy lider usług diagnostyki laboratoryjnej wyrażamy nadzieję, że nasze uczestnictwo w przygotowaniu kodeksu branżowego i uczestnictwo w konferencji przyniesie wymierne korzyści dla branży medycznej w Polsce – mówi Marta Rogalska-Kupiec, wiceprezes zarządu spółki Diagnostyka. 

Czytaj także: Konferencja „RODO w sektorze medycznym”>>>

Celem Konferencji jest stworzenie platformy wymiany wiedzy i doświadczeń związanych ze stosowaniem RODO w sektorze medycznym oraz dobrymi praktykami w zakresie bezpieczeństwa danych, skoordynowanie działań i inicjatyw dotyczących ochrony ̨ danych osobowych oraz standardów cyberbezpieczeństwa w sektorze medycznym. Jednym z celów jest także zwiększanie świadomości pacjentów i personelu ochrony zdrowia w zakresie ochrony danych osobowych.  

– Zaakceptowanie Kodeksu Branżowego RODO w ochronie zdrowia może znacząco pomóc placówkom medycznym przy dostosowywaniu się do wymogów RODO, wpłynie na minimalizację ryzyk prawnych oraz maksymalizację bezpieczeństwa danych pacjentów. Cieszę się, że jako Polska Federacja Szpitali jesteśmy jednym z inicjatorów Kodeksu. Konferencja „RODO w zdrowiu” co roku wspiera edukację w zakresie RODO w ochronie zdrowia, a w tym roku będzie między innymi prezentować ostateczne zapisy Kodeksu. Jako współorganizator serdecznie zapraszam do uczestnictwa – mówi prof. Jarosław J. Fedorowski, prezes Polskiej Federacji Szpitali. 

W trakcie Konferencji zostanie szczegółowo przedstawiony „Kodeks postępowania dla sektora ochrony zdrowia”, który 23 lutego 2021 roku został pozytywnie zaopiniowany przez Prezesa Urzędu Ochrony Danych Osobowych. Stosowanie przez podmioty wykonujące działalność leczniczą zatwierdzonego kodeksu postępowania będzie mogło służyć do wykazania części obowiązków wynikających z RODO. Poza tym w trakcie Konferencji zostaną przedstawione zagadnienia związane z bezpieczeństwem danych medycznych w środowisku cyfrowym. Konferencja skierowana jest do przedstawicieli placówek medycznych odpowiedzialnych za przetwarzanie danych i cyberbezpieczeństwo.  

Czytaj także: Pracodawcy RP: rekomendacje w sprawie szczepień pracowniczych>>>

 – Zapewnienie najwyższego poziomu bezpieczeństwa danych medycznych w środowisku cyfrowym to podstawa zaufania do technologii informatycznych. Już dzisiaj w sytuacji zagrożenia pandemicznego dają one niezaprzeczalne korzyści pacjentom, lekarzom i placówkom opieki zdrowotnej. Pozytywna opinia Prezesa Urzędu Ochrony Danych Osobowych dotycząca „Kodeksu postępowania dla sektora ochrony zdrowia” to kolejny krok w kierunku realizacji idei Next Health. Zapewnia ona możliwości teleopieki i zdalnych konsultacji w bezpiecznym środowisku technicznym, organizacyjnym i prawnym. Umożliwia też korzystanie ze sztucznej inteligencji, uczenia maszynowego, analizy wielkich zbiorów danych i Internetu Rzeczy. Wszystko to z myślą o zdrowiu pacjentów i komforcie lekarzy – wskazuje Michał Jaworski, członek zarządu w polskim oddziale Microsoft. 

 – „Kodeks postępowania dla sektora ochrony zdrowia” to bardzo cenna i ważna inicjatywa, służąca zwiększeniu poziomu ochrony pacjentów, w związku z przetwarzaniem ich danych osobowych. Zasługuje ona na tym większe docenienie, ponieważ dotyczy szczególnego sektora, w którym zagadnienie bezpieczeństwa danych musi uwzględniać ochronę nadrzędnych dóbr, jakimi są zdrowie i życie pacjentów. Branża ochrony zdrowia jest szczególna również dlatego, że obejmuje podmioty bardzo zróżnicowane co do formy, skali i zakresu działalności. Dla Podmiotu Monitorującego stosowanie Kodeksu ta różnorodność jest wyjątkowym wyzwaniem – dodaje Piotr Burzyk, menedżer w dziale doradztwa biznesowego, zespół zarządzania ryzykiem audytu wewnętrznego i compliance, KPMG w Polsce 

Organizatorem Konferencji jest Polska Federacja Szpitali, natomiast partnerem prawnym jest Kancelaria DZP. Partnerami Głównymi tegorocznej edycji są: Microsoft, KPMG i Diagnostyka. Partnerami Wspierającymi są Prometriq, Wolters Kluwer i Targi Salmed.  

Konferencja została również objęta patronatem honorowym między innymi Ministerstwa Zdrowia, Urzędu Ochrony Danych Osobowych, Agencji Badań Medycznych, Narodowego Funduszu Zdrowia i Rzecznika Praw Pacjenta.   

Konferencja jest nieodpłatna i odbędzie się w formie online 25 maja 2021 roku. W Konferencji swój udział potwierdzili: Podsekretarz Stanu w Ministerstwie Zdrowia Anna Goławska, Zastępca Rzecznika Praw Pacjenta Grzegorz Błażewicz oraz Naczelnik Urzędu Ochrony Danych Osobowych Krzysztof Król. 

Osoby i organizacje zainteresowane udziałem w konferencji zapraszamy do zapisów na stronie www.rodowzdrowiu.pl oraz do kontaktu z Ligią Kornowską, dyrektor zarządzającą Polskiej Federacji Szpitali (tel. 690 875 075, e-mail: ligia.kornowska@pfsz.org).

Cykl „RODO w zdrowiu” to największe wydarzenie dotyczące ochrony danych medycznych w Polsce, skupiające największe, liczące się organizacje branżowe, a także przedstawicieli strony publicznej.

I edycja „konferencji “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy? odbyła się w marcu 2018 roku, II edycja – w lutym 2019, wówczas także zapoczątkowana została kampania „RODO dla pacjenta”. Wydarzenia te Pracodawcy Medycyny Prywatnej również objęli patronatem.

W obu tych edycjach konferencji wzięło udział ponad 1000 uczestników, w tym ponad 100 przedstawicieli placówek medycznych, oraz ponad 40 panelistów (ekspertów).

Podczas tegorocznej konferencji zostanie między innymi zaprezentowany „Kodeks postępowania dla sektora ochrony zdrowia”, który w lutym 2021 roku został pozytywnie zaopiniowany przez prezesa Urzędu Ochrony Danych Osobowych. Oznacza to, że podmioty wykonujące działalność leczniczą mogą rozpocząć dostosowywanie się do jego postanowień.

Czytaj także: Kodeks dla branży medycznej zaakceptowany przez PUODO>>>

Projekt kodeksu został stworzony w ramach prac szerokiej koalicji, składającej się między innymi z Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji, Porozumienia Zielonogórskiego. Dokument uwzględnia również postulaty i uwagi licznych podmiotów zainteresowanych, z którymi był konsultowany.

Stworzenie kodeksu branżowego dla sektora ochrony zdrowia to bezprecedensowy sukces twórców tego dokumentu, którzy doprowadzili do wypracowania wspólnego stanowiska przez branżę reprezentującą różne placówki, niezależnie od ich struktury właścicielskiej czy rodzaju udzielanych świadczeń medycznych.

Kodeks ten jest tym samym jednym z najważniejszych osiągnięć polskiego sektora ochrony zdrowia w zakresie ochrony danych osobowych, stanowiąc swoistą wizytówkę Polski.

Podczas konferencji przedstawiona zostanie systematyka kodeksu i jego założenia, omówione zostaną zagadnienia dotycząc RODO w codziennej praktyce, zarówno w przypadku mniejszych jak i większych placówek medycznych.

Czytaj także: Prezes Pracodawców Medycyny Prywatnej spotkała się z ministrem zdrowia>>>

Poza tym podczas konferencji zostaną przedstawione zagadnienia związane z zasadami przetwarzania danych medycznych oraz z bezpieczeństwem tych danych w środowisku cyfrowym. Tematy paneli będą dotyczyły między innymi nowych zasad prowadzenia dokumentacji medycznej w postaci cyfrowej, zagadnień związanych z RODO i danymi osobowymi pacjenta w aptekach oraz w badaniach klinicznych.

Konferencja skierowana jest do przedstawicieli placówek medycznych odpowiedzialnych za przetwarzanie danych i cyberbezpieczeństwo w tych placówkach. Udział w konferencji jest bezpłatny.

Organizatorem Konferencji jest: Medexpert Ligia Kornowska oraz Polska Federacja Szpitali
Partnerem prawnym jest Kancelaria DZP sp. k.

Więcej informacji o konferencji znajduje się na stronie www.rodowzdrowiu.pl.

Wśród poruszanych tematów znajdą się zagadnienia dotyczące audytu bezpieczeństwa – czym jest, na czym polega, jak wygląda w praktyce, ile czasu trwa i kto go przeprowadza, zagrożeń wynikających z jego niestosowania, Polityki Bezpieczeństwa Informacji oraz ISO.

Ekspertami podczas spotkania będą: Adam Dębski – właściciel firmy Aegis Security oraz Arkadiusz Piotrowski – główny informatyk Aegis Security. Moderatorem będzie Jarosław Jasiński – business development manager z Aegis Security.

Webinarium odbędzie się na platformie ClickMeeting, udział w nim wymaga rejestracji.

Formularz rejestracyjny jest dostępny tutaj>>>

Zapis webinarium będzie dostępny na kanale Pracodawców RP w serwisie YouTube>>>

Czytaj także: Prywatne placówki dołączyły do Narodowego Programu Szczepień>>>