logowanie



Gościmy

Naszą witrynę przegląda teraz 94 gości 
Lekarz na swoim - Jak skutecznie chronić dane osobowe pacjenta? Drukuj
Ocena użytkowników: / 0
SłabyŚwietny 

Jak skutecznie chronić dane osobowe pacjenta?

Rozwój Internetu sprawił, że przestaliśmy być anonimowi, a informacje na nasz temat łatwo pozyskać za pośrednictwem przeglądarki lub serwisów społecznościowych. Uruchomienie większości internetowych aplikacji, z jakimi mamy do czynienia w praktyce zawodowej, obwarowane jest koniecznością wprowadzenia swoich danych. W zależności od rodzaju oprogramowania i zakresu usługi mogą one mieć różny stopień szczegółowości. Im mniej płacimy za funkcjonalność, tym więcej informacji o sobie zostawiamy firmom, które z tych danych robią konkretny użytek. Jeśli zawieramy umowę z dostawcą usług internetowych we własnym imieniu, to odpowiadamy jedynie za zakres swojej ujawnionej tożsamości. Sytuacja komplikuje się, gdy lekarze bądź lekarze dentyści decydują o bezpieczeństwie danych pacjentów. Pacjent powierzając medykowi swoje dane wrażliwe oczekuje, że zachowa on je dla siebie i przekaże innym tylko w uzasadnionych przypadkach, dozwolonych przez prawo. Ujawnienie informacji o stanie zdrowia pacjenta może zniszczyć jego karierę zawodową, spowodować utratę pracy, odmowę udzielenia kredytu i inne poważne konsekwencje. Coraz częściej zdarza się, że pacjenci odmawiają podania swoich danych osobowych w rejestracji. Obawiają się wykorzystania tych informacji w niewłaściwym celu. Z tego powodu lekarz-przedsiębiorca prowadzący podmiot leczniczy lub praktykę lekarską powinien:

  • uświadamiać pacjentów, że ich dane są należycie chronione;
  • dopełnić wszelkich obowiązków związanych z legislacją w zakresie ochrony danych osobowych;
  • zabezpieczyć od strony technicznej programy i aplikacje przetwarzające dane osobowe pacjentów;
  • przeprowadzać regularnie przeglądy zabezpieczeń i wdrażać procedury doskonalące system bezpieczeństwa;
  • okresowe szkolić personel.

Wojciech Krówczyński Administrator bezpieczeństwa informacji w podmiotach leczniczych. Audytor systemu zarządzania jakością, bezpieczeństwem i higieną pracy (Fot. z archiwum autora)Uświadomienie pacjenta, że jego dane są należycie chronione, to między innymi powiadomienie go o prawie wglądu w jego dane osobowe, możliwości ich aktualizacji oraz o ustawowym obowiązku podania przez niego niektórych danych w związku z leczeniem, któremu się poddaje.

Dopełnienie obowiązków legislacyjnych to sporządzenie i wdrożenie dokumentacji ochrony danych osobowych. Podstawowym, obowiązującym w tym zakresie dokumentem jest Polityka bezpieczeństwa. Zawiera ona między innymi: wykaz budynków, pomieszczeń lub części pomieszczeń tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych, wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami; określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. W uzupełnieniu Polityki bezpieczeństwa wymagane są takie procedury jak:

  • upoważnienie do przetwarzania danych osobowych;
  • ewidencja osób upoważnionych do przetwarzania danych osobowych;
  • deklaracja poufności;
  • umowy i rejestr powierzeń przetwarzania danych osobowych;
  • rejestr udostępnionych danych ze zbioru danych osobowych;
  • rejestr incydentów.

Zabezpieczenie techniczne systemów informatycznych funkcjonujących w podmiocie leczniczym bądź praktyce lekarskiej musi gwarantować:

  • poufność informacji – osoby trzecie nie mają prawa dostępu do informacji, w tym do danych osobowych;
  • integralność informacji – zmiany informacji, danych osobowych muszą być autoryzowane, a zarazem, w taki sam sposób odczytywane w różnych systemach, które je przetwarzają;
  • dostępność informacji – system musi zapewniać dostęp do danych, w każdym momencie żądanym przez użytkownika;
  • rozliczalność operacji wykonywanych na informacjac;
  • – system przechowuje pełną historię dostępu do danych, wraz z informacją, kto taki dostęp uzyskał.

Informacje poufne to oprócz danych osobowych również informacje o:

  • realizowanych kontraktach;
  • strukturze organizacyjnej, procesach i procedurach;
  • dostępach do systemów informatycznych;
  • kondycji finansowej;
  • działaniach marketingowych, działaniu konkurencji.

Integralność informacji to jej spójność i taki sam odczyt na różnych urządzeniach. Wymóg dostępności informacji to konieczność stosowania zabezpieczeń na wypadek braku napięcia w sieci lub dostępu do Internetu. Rozliczalność informacji wymaga, aby w ramach nadawania uprawnień do danych, przetwarzanych w systemach informatycznych, stosować zasadę „minimalnych uprawnień”. Każdy pracownik, który pracuje na komputerze, powinien posiadać tylko takie uprawnienia, jakie są wymagane do realizacji swoich obowiązków. Dostęp do baz przechowujących dane pacjentów jest zabroniony. Stosowny dostęp zostaje przyznany jedynie tej osobie, której zajmowane stanowisko wiąże się z koniecznością pracy w tego typu systemie.

Drugim wymaganym dokumentem w przypadku prowadzenia dokumentacji w wersji elektronicznej jest Instrukcja zarządzania systemem informatycznym. Zawiera ona między innymi: zabezpieczenia infrastruktury, baz danych i oprogramowania; procedury korzystania z Internetu i poczty; procedury nadawania uprawnień; politykę haseł; metody i środki uwierzytelnienia, procedury rozpoczęcia, zawieszenia i zakończenia pracy; procedury tworzenia kopii zapasowych; sposób, miejsce i okres przechowywania nośników informacji; procedury zabezpieczeń antywłamaniowych i antywirusowych; zasady i sposób odnotowywania udostępnień danych; procedury wykonywania przeglądów i konserwacji.

Stanowiska komputerowe funkcjonujące w praktyce lekarskiej powinny być zabezpieczone przed nieautoryzowanym dostępem osób trzecich. Wymagane, minimalne zasady ochrony to:

  • zainstalowane systemy typu: firewall oraz antywirus;
  • aktualizacja systemu operacyjnego oraz jego składników;
  • obowiązek podawania hasła przed uzyskaniem dostępu do komputera;
  • blokowanie dostępu do komputera w przypadku pozostawienia go bez nadzoru.

Regularne przeglądy zabezpieczeń całej infrastruktury teleinformatycznej są podstawą doskonalenia jakości systemu przetwarzania danych osobowych. Ciągłe szkolenia personelu podnoszą standard kompetencji związanych z bezpiecznym przetwarzaniem danych osobowych. Dzięki wdrożonym i doskonalonym systemom bezpieczeństwa przetwarzanych danych osobowych pacjent ma poczucie, że jego dane są należycie chronione. Buduje to korzystny wizerunek podmiotu leczniczego, praktyki lekarskiej i wzmacnia jej reputację. Profesjonalna ochrona danych osobowych staje się, oprócz wymogów formalnych, ważnym elementem doskonalenia jakości funkcjonowania i budowania przewagi konkurencyjnej na rynku świadczeń leczniczych.

Wojciech Krówczyński

 

Zaloguj się aby komentować.