9 zasad RODO w placówkach ochrony zdrowia. Znasz je?

Nieprzestrzeganie RODO może dużo kosztować.
Nieprzestrzeganie RODO może dużo kosztować.

Sprawdź, czy chronisz dane pacjentów zgodnie z RODO. To może cię uchronić przed przykrymi konsekwencjami, w tym karami finansowymi, szantażem cyberprzestępców i kłopotami związanymi z usuwaniem skutków naruszenia prywatności danych.

Zaniedbania w ochronie danych. Rekordowe kary w 2022 roku

W maju br. minęła 5 rocznica obowiązywania RODO w Polsce. Do Rozporządzenia o Ochronie Danych Osobowych jedni zdążyli się już przyzwyczaić, u niektórych samo pojęcie nadal wzbudza strach.

Jednak z danych Urzędu Ochrony Danych Osobowych (UODO) wynika, że zaniedbania są nadal ogromne. W 2022 roku UODO nałożył rekordową karę administracyjną w kwocie 5 mln zł. 63% wszystkich kar nałożonych od 2018 roku przez europejskie urzędy ochrony danych (2,9 mld euro) przypada na 2022 rok (1,83 mld euro). W rankingu kar w Europie, Polska znalazła się na 15. miejscu z 13 karami w kwocie prawie 12 mln zł.

Na liście jest jedna placówka medyczna – Warszawski Uniwersytet Medyczny, który ukarano kwotą 10 000 zł za niezgłoszenie w wymaganym czasie 72 godzin naruszenia ochrony danych osobowych. Jeden z pacjentów otrzymał skierowanie zawierające dane innej osoby, a administrator nie zgłosił tego incydentu do UODO.

Z najnowszego planu kontroli UODO wynika, że urząd w tym roku pod lupę bierze szczególnie aplikacje webowe i mobilne.

Powtórka z RODO. Co trzeba wiedzieć?

Z zagwarantowaniem bezpieczeństwa informacji problem mają nawet doświadczeni administratorzy systemów IT podmiotów medycznych. A co dopiero lekarze prowadzący indywidualne praktyki lekarskie, którym brakuje czasu na zajmowanie się sprawami administracyjnymi. Efekt jest taki, że w wielu podmiotach wymagania RODO nie są spełniane. Do tego szybko rosnąca skala cyberataków na szpitale wymusza systematyczną aktualizację i wzmacnianie zabezpieczeń.

Najważniejsze informacje o RODO w ochronie zdrowia można znaleźć w trzech dokumentach, które uzyskały pozytywną opinię Prezesa Urzędu Ochrony Danych Osobowych:

Podsumujmy zasady, które stanowią absolutne minimum w każdym podmiocie przetwarzającym dane medyczne.

Podstawowe zasady ochrony danych osobowych w placówkach ochrony zdrowia
Podstawowe zasady ochrony danych osobowych w placówkach ochrony zdrowia (KLIKNIJ, ABY POBRAĆ INFOGRAFIKĘ)

1. Zapewnienie rozliczalności

Zapewnienie rozliczalności przestrzegania obowiązujących przepisów realizowane jest m.in. poprzez prowadzenie dokumentacji ochrony danych osobowych zawierającej procedury, instrukcje, wytyczne oraz inne uregulowania związane z bezpieczeństwem informacji.

Na dokumentację ochrony danych osobowych w placówce medycznej powinny się składać przynajmniej następujące elementy:

  • rejestr czynności przetwarzania;
  • ewidencja naruszeń ochrony danych osobowych;
  • sposób postępowania z naruszeniami ochrony danych osobowych;
  • procedura rozpatrywania wniosków osób, których dane dotyczą np. w sprawie dostępu do danych, żądania usunięcia danych, kopii danych;
  • procedura udostępniania dokumentacji lub informacji medycznych;
  • zasady pracy w systemach informatycznych.

2. Umowy powierzenia

Jednym z obowiązków nakładanych przez RODO jest zawieranie umów powierzenia przetwarzania danych w trybie udostępniania danych podmiotom zewnętrznym będących Podmiotami Przetwarzającymi.

W takich umowach mamy dwie strony: Administratora Danych Osobowych określającego cele i sposoby wykorzystania danych osobowych oraz Podmiot Przetwarzający realizujący zlecenie Administratora i przetwarzający dane wyłącznie w celach wskazanych przez Administratora.

3. Obowiązek informacyjny

Klauzule zawierające informacje o przetwarzaniu danych, które powinny być udostępnione w taki sposób, aby pacjenci mieli możliwość się z nimi zapoznać. W praktyce wystarczy wywiesić obowiązek informacyjny w widocznym miejscu placówki medycznej (np. na tablicy przy rejestracji) oraz na stronie www placówki.

4. Poszanowanie intymności i godności pacjentów

O poszanowaniu intymności i godności pacjentów należy pamiętać na każdym etapie wizyty. Najbardziej new­ralgicznym punktem jest rejestracja i wywoływanie do gabinetu pacjentów oczekujących w poczekalni. Musi się to odbywać się w sposób, który gwarantuje, że osoby postronne nie będą w stanie wejść w posiadanie informacji, które nie są dla nich przeznaczone. Przykładowo, inni pacjenci nie mogą dowiedzieć się, że pacjent A – wywołany z imienia i nazwiska – leczy się u lekarza danej specjalności.

Oto kilka prostych sposobów jak zadbać o poszanowanie intymności pacjentów:

  • umieszczenie przy rejestracji informacji „Przy stanowisku rejestracji może przebywać tylko jedna osoba”;
  • umieszczenie na podłodze przed rejestracją linii określającej strefę, poza którą czekają na swoją kolej inni pacjenci (strefa intymna);
  • stworzenie bezpiecznego systemu przywoławczego, np. poprzez system numerów, elektroniczne systemy kolejkowe;
  • rozdzielenie ściankami stanowisk rejestracji (jeśli jest kilka).

5. Zabezpieczenie danych przechowywanych w formie elektronicznej

Już prawie wszystkie dane gromadzone są w formie elektronicznej, a to oznacza, że system informatyczny musi zostać objęty szczególną ochroną. Tak, aby osoby nieupoważnione (to nie zawsze muszą być hakerzy żądający okup) nie zyskały do nich dostępu.

Oto najważniejsze ogólne zalecenia, które powinny być przestrzegane zawsze:

  • Przestrzeganie polityki mocnych haseł – skomplikowane, długie hasła dostępu składające się z małych i dużych liter, cyfr i znaków specjalnych;
  • Wprowadzenie polityki czystego pulpitu (żaden dokument z danymi pacjenta nie może być zapisany poza zabezpieczonym systemem IT) oraz blokowanie stacji po określonym czasie bezczynności,
  • Wykonywanie i zabezpieczanie kopii zapasowych zbiorów danych (zaleca się co najmniej dwie kopie w różnych lokalizacjach, w tym w chmurze danych);
  • Stosowanie kryptograficznych środków ochrony przetwarzanych danych osobowych przez osoby użytkujące komputer przenośny zawierający dane osobowe podczas transportu, przechowywania;
  • Zabezpieczenie kluczowej infrastruktury (np. zamki do serwerów);
  • Wykorzystanie agregatów prądotwórczych, urządzeń UPS;
  • Zabezpieczanie elektronicznych nośników informacji;
  • Stosowanie i aktualizacja systemów antywirusowych;
  • Używanie aktualnych wersji oprogramowania do tworzenia EDM i systemu operacyjnego;
  • Prowadzenie systematycznych szkoleń pracowników w zakresie zapobiegania atakom socjotechnicznym;
  • Przeprowadzanie testów bezpieczeństwa systemu w tym testów penetracyjnych.

Należy pamiętać, że zabezpieczenia powinny wynikać z przeprowadzonej oceny ryzyka.

6. Zabezpieczenie papierowej dokumentacji medycznej

Mimo postępującej digitalizacji, w wielu placówkach zalegają archiwa kartotek papierowych. Te również należy objąć odpowiednią ochroną przed:

  • kradzieżą. Można minimalizować jej ryzyko wprowadzając rolety, kraty, systemy antywłamaniowe i alarmowe;
  • nieuprawnionym dostępem z wewnątrz osób spoza personelu medycznego. Wśród najprostszych sposobów zabezpieczenia można wymienić przechowywanie kartotek w szafach zamykanych na klucz, a także zarządzanie kluczami do pomieszczeń;
  • brakiem dostępu do gromadzonej dokumentacji. Aby zapobiec zniszczeniu dokumentów, warto zapewnić odpowiednie warunki środowiskowe, takie jak odpowiednia temperatura, wilgotność, wentylacja, systemy alarmujące zagrożenia takie jak zalanie albo pożar.

7. Szkolenia osób zatrudnionych

Zastosowanie wyłącznie środków technicznych i organizacyjnych to dopiero pierwszy krok. Drugim jest dostarczenie personelowi wiedzy o tym, jak pracować z danymi osobowymi, z jakimi zagrożeniami mogą się spotkać, jak na nie reagować.

Personel musi być szkolony z obowiązujących w placówce zasad bezpieczeństwa i ochrony danych osobowych. Powinien wiedzieć, jakimi sztuczkami posługują się cyberprzestępcy próbujący wykraść dane lub zainfekować system IT. Generalna zasada brzmi: system zabezpieczeń danych osobowych w placówce medycznej jak tak mocny, jak jego najsłabsze ogniwo.

Szkolenia dotyczą zarówno nowych pracowników (boarding), jak i obecnych (systematyczne kursy aktualizujące wiedzę).

8. Upoważnienia osób zatrudnionych

Każda osoba zatrudniona w placówce medycznej powinna mieć ściśle określony dostęp do danych osobowych. Zakres upoważnień powinien uwzględniać obowiązki osoby zatrudnionej. Warto pamiętać, aby nie nadawać uprawnień personelowi „na zapas”, w sposób nadmiarowy. Istotne jest także prawidłowe ewidencjonowanie osób upoważnionych do przetwarzania danych osobowych.

9. Procedury na wypadek naruszenia danych

Mimo najlepszych zabezpieczeń, wyciek danych lub naruszenie przepisów RODO może się przytrafić. Każda placówka musi posiadać procedury postępowania w takich przypadkach. Wśród nich jest zgłoszenie przypadku do UODO w czasie 72 godzi od identyfikacji naruszenia, a w przypadku podmiotów medycznych – także do CSIRT NASK, który jest jednym z trzech zespołów reagowania na incydenty cyberbezpieczeństwa poziomu krajowego.

Nie tylko administratorzy, ale też pracownicy muszą wiedzieć, jak się zachować, bo to oni najczęściej są pierwszymi świadkami ataku cybernetycznego albo naruszenia danych. A szybka reakcja decyduje o wielkości szkód.

Czytaj także: Pobierz bezpłatny raport “Bezpieczeńśtwo danych w placówkach ochrony zdrowia”