logowanie



Gościmy

Naszą witrynę przegląda teraz 30 gości 
Warto wiedzieć -RODO po roku Drukuj
Ocena użytkowników: / 0
SłabyŚwietny 

RODO po roku

Minął ponad rok, odkąd obowiązują przepisy RODO. Rozporządzenie w tej sprawie weszło w życie w maju 2018 roku i miało wywrócić „do góry nogami” temat ochrony danych. O tym, czy wywróciło, będzie mowa dalej.

Wejście w życie RODO wywołało w środowisku lekarskim wiele zamieszania, kontrowersji i sprzecznych opinii. Temat ten zawładną całą sferą publiczną. Wszyscy mamy wrażenie, że przez ostatnie kilkanaście miesięcy nie było dnia, w którym w mediach czy prasie branżowej nie pojawiłyby się informacje o RODO. Na każdym kroku bombardowano nas kolejną dawką nowości, mniej lub bardziej trafionych pomysłów z zakresu ochrony danych osobowych, nierzadko bliskich absurdu, mających czysto reklamowo-propagandowy charakter, bez uzasadnionych podstaw prawnych i merytorycznych. Prywatnie mam wrażenie, że największym zyskiem z RODO jest zysk finansowy pseudoprawników i innej maści RODOwitych dziwaków.

A po roku nadszedł spokój?

Niestety nie nadszedł. Rok obowiązywania rozporządzenia RODO dość wyraźnie pokazał, że ochrona danych to proces ciągły. Ktoś, kto wstawił dane adresowe swojego podmiotu leczniczego do gotowego wzoru Polityki Bezpieczeństwa Informacji i uważa temat za zamknięty, mocno się myli. Przez ten rok dużo się działo w przepisach RODO i aktach pochodnych. Pojawiły się nowe wytyczne. Pierwsze kontrole pokazały na przykład, że trochę po macoszemu traktowany obowiązek informacyjny może być ważnym elementem kontroli. Ochroną danych trzeba zajmować się na bieżąco. Wnikliwa analiza dokumentacji sporządzonej przed wejściem w życie RODO to po upływie roku absolutna konieczność. »

Wszyscy podsumowują

I ja postaram się podsumować najważniejsze wnioski płynące z RODO – w kilku punktach i w kontekście lekarzy zrzeszonych w DIL. Poniższa lista to przede wszystkim suma moich zawodowych doświadczeń i obserwacji poczynionych podczas dyżurów w Izbie w charakterze inspektora ochrony danych oraz podczas szkoleń. Oczywiście przedstawiony katalog nie wyczerpuje tematu, ale zwraca uwagę na konkretne problemy:

  • dość nieprawdopodobne, ale z mojej praktyki wynika, że nadal są podmioty, które nie posiadają ŻADNEJ dokumentacji ochrony danych osobowych (sic!);
  • bardzo często popełniany jest ten błąd: „Ja jestem małym podmiotem, co ja tam mam w tej dokumentacji, kilka kartotek i tyle – mnie to nie dotyczy.” Nieprawda. Dotyczy. Wszystkich;
  • wiele podmiotów sporządziło dokumentację „na kolanie”, wstawiło dane adresowe w szablony, które nie odpowiadają rzeczywistości;
  • w niektórych sektorach pojawiły się pierwsze konkretne wytyczne, np. dotyczące monitoringu wizyjnego. Wiem z doświadczenia, że takowy w wielu przychodniach i podmiotach leczniczych występuje. Warto zajrzeć do przepisów szczegółowych, zaktualizować dokumentację i to nie tyko pod kątem monitoringu – przepisy po prostu się zmieniają, pojawiają się nowe interpretacje, uszczegółowienia;
  • upoważnienia nadane pracownikom w zeszłym roku nie zostały zweryfikowane, wiele firm posiada stan upoważnień na dzień 25.05.2018 r. (dzień wejścia w życie RODO), a przecież migracja pracowników istnieje, jedni odeszli, inni się pojawili. Nowo zatrudnionym pracownikom należy nadać upoważnienia, a byłym je odebrać;
  • większość podmiotów nie stworzyło rejestru umów podmiotu. Choć dokument taki nie jest nigdzie wymagany, znakomicie pomaga zorganizować dokumentację. Firmy czasami nie do końca wiedzą, z kim mają podpisane umowy i do kiedy, lub też współpracują od lat z podmiotami, a umowy na piśmie brakuje. Doskonałym przykładem jest wieloletnia dobra współpraca z biurami rachunkowymi – tam też powinniśmy mieć umowę powierzenia przetwarzania, a często nie mamy nawet umowy o współpracy. Pamiętajmy, że oprócz klasycznych umów (o pracę, z biurem rachunkowym, z laboratorium czy z informatykiem) mamy też umowy licencyjne na oprogramowanie, czy umowy elektroniczne na usługi IT (np. backup w chmurze, hosting). Takie umowy powinny mieć również odzwierciedlenie w dokumentacji ochrony danych;
  • sporym błędem jest ignorowanie szeroko pojętej sfery informatycznej PWDZ (podmioty wykonujące działalność leczniczą). Nagminne są sytuacje, że informatyką w takim podmiocie, szczególnie małym, zajmuje się syn sąsiada („bo mi kiedyś Internet ustawił”), kuzyn („bo niby umie”), szwagier („bo pracuje przy komputerach”). I często jakość pracy takich osób jest zupełnie nieweryfikowana. O dramatycznie błędnych decyzjach dowiadujemy się już po awarii, wycieku danych itp. Niestety, takie czasy odeszły już do lamusa. Warto zwrócić się do konkretnego informatyka, prosty audyt naprawdę nie kosztuje fortuny, a będą Państwo mieli uczciwy i, co ważne, zewnętrzny pogląd na sytuację. Na stronie internetowej UODO (uodo.gov.pl) znajdziemy informację „10 wskazówek dla administratorów – jak stosować RODO – doświadczenia z pierwszego półrocza”, a tam w jednym z podpunktów: „Zainwestuj w fachowego IOD”. Taki fachowy IOD na pewno zaleci zewnętrzny audyt informatyczny;
  • traktowanie informatyki (a co za tym idzie – ochrony danych) jako zbędny koszt. Informatyka to nie koszt, ale inwestycja, inwestycja w nasz spokój.

Nie jest tak źle!

W wielu placówkach bywam również jako pacjent, i oczywiście z racji wykonywanego zawodu, przyglądam się dyskretnie realizacji ochrony danych: widzę skuteczne rozwiązania, wywieszone obowiązki informacyjne i inne tabliczki. Wiem, że wiele podmiotów ma całkiem dobrze przygotowaną dokumentację, większość PWDZ wyznaczyło IOD lub osoby odpowiedzialne za RODO.

Zwróćcie Państwo szczególną uwagę na obowiązek informacyjny, jaki jesteście zobligowani wypełnić względem pacjentów. Wystarczy prosty tekst, którego wzór znajdziecie Państwo na stronie: www.dilnet.wroc.pl (RODO – wzory dokumentów). Jest to informacja między innymi o tym, kto jest administratorem danych, jak przetwarzamy dane i dlaczego, i jakie prawa ma pacjent w związku z tymi danymi. Prosta karta formatu A4 wywieszona w poczekalni załatwia sprawę. Dlaczego to takie ważne? Zapewne słyszeliście Państwo o pierwszej karze nałożonej przez UODO – 1 mln zł. Za co ta kara? Właśnie za niewypełnienie takiego obowiązku informacyjnego. Co prawda chodziło tam o 6 mln rekordów danych pozyskanych z Internetu w celach komercyjnych i nie stanowi to doskonałej analogii do podmiotów leczniczych, jednak ta kara wyraźnie pokazuje kierunek działań UODO.

Czy RODO wywróciło świat do góry nogami? Jeszcze rok temu RODO przedstawiano nam jako rewolucję, która wszystko zmieni. Ale tak nie jest. RODO okazało się łagodniejsze niż myśleliśmy. Niczego nie zabrania, wytycza tylko kierunki i nakreśla ogólne zagadnienia. Sposób realizacji obowiązków wynikających z RODO leży po naszej stronie. Mamy zastosować „środki odpowiednie do zagrożeń”. To bardzo ogólne, lecz ważne stwierdzenie w terminologii RODO.

Podczas dyżurów jako IOD często słyszę pytanie dotyczące udostępniania dokumentacji medycznej. Z ust lekarzy pada przeważnie stwierdzenie: „Nie mogę tego zrobić, bo RODO”. Otóż w sposobie udostępnienia dokumentacji RODO nie bierze wielkiego udziału, wszystko odbywa się zgodnie z innymi niż przepisami ogólnymi. Tak było też przed RODO. Nic się nie zmieniło. Udostępniamy dane na takich samych zasadach, jak do tej pory.

Podobnie rzecz się ma ze zbieraniem danych osobowych. Pamiętajmy o jednej kluczowej zasadzie RODO – jeśli inne przepisy nakazują nam przetwarzanie danych w taki, a nie inny sposób, to RODO się w to nie miesza. To nie RODO ustala sposób prowadzenia dokumentacji medycznej, tylko inne ustawy, które obowiązywały już wcześniej. Dlatego nie musimy mieć na przykład zgody pacjenta na przetwarzanie jego danych, bo robimy to na podstawie ustawy (np. o prawach pacjenta i Rzeczniku Praw Pacjenta).

Usuwaniem danych rządzi ta sama zasada. Wyobrażacie sobie Państwo sytuację, w której pacjent żąda od lekarza usunięcia jego kartoteki? Żądać zawsze może, ale ustawy branżowe nakazują wyraźnie, by przechowywać dokumentację przez określony czas. Nic nie usuwamy. RODO nic nie zmieniło – również w tym zakresie.

Praktyczny punkt widzenia

A co, jeśli ktoś zechciałby poprawić skuteczność ochrony danych, zrobić to efektywniej, sprawniej? Jako inspektor ochrony danych i informatyk rozwiązanie docelowe widzę w dobrym oprogramowaniu dedykowanym praktyce, przychodni czy innemu podmiotowi leczniczemu, a co za tym idzie, zarządzaniu dokumentacją medyczną. Do tematu podszedłbym szeroko, uwzględniając też obok ochrony danych zagadnienie elektronicznej dokumentacji medycznej i nadchodzącej między innymi e-recepty, zgodność z przyszłościowym systemem wymiany danych HL7, itp.

Dobre oprogramowanie pozwoli jednocześnie co najmniej na:

  • zgodne z przepisami prowadzenie elektronicznej dokumentacji medycznej, spełniające wszystkie wymagania oraz zagadnienia planowane w przyszłości (e-recepta, e-skierowanie itp.);
  • zarządzanie upoważnieniami do tej dokumentacji i prowadzenie rejestru udostępnień;
  • bardzo zręczne zarządzanie uprawnieniami personelu w zakresie danych, zależne od stanowiska i kompetencji danej osoby;
  • rejestrację i kontrolę umowy podmiotu oraz upoważnienia dla personelu.

Proces rozpocząłbym od:

  • wyznaczenia osoby odpowiedzialnej (lub zatrudnienie fachowca);
  • wykonania audytu RODO, a przy okazji audytu IT, ponieważ są to tematy zazębiające się;
  • uzupełnienia brakującej dokumentacji ochrony danych lub jej aktualizacji; dostosowania organizacji pracy podmiotu do RODO (zachowanie personelu i czynnik ludzki);
  • dostosowania systemów IT po audycie (w tym dobór oprogramowania i sprzętu);
  • szkolenia!

Zastosowanie kompleksowych rozwiązań softwarowych spowoduje, że łatwiej będzie wdrożyć pewne rozwiązania. Na przykład udostępnić dokumentację osobom innym niż upoważnione, ponieważ zadba o to program, a udostępnienie takie automatycznie znajdzie się w rejestrze udostępnień. Całość dokumentacji będzie spójna i kompletna. Jeśli chcielibyśmy zrobić to „na piechotę” w wersji papierowej, narażeni jesteśmy na błędy i pomyłki – wszak czynnik ludzki jest zawsze najsłabszym ogniwem takiej infrastruktury. Czasochłonność pracy z dokumentacją papierową też jest argumentem przemawiającym na korzyść informatyzacji.

Producenci programów do elektronicznej dokumentacji medycznej doskonale zdają sobie sprawę, że jeśli ich program nie spełnia kryteriów poprawności i zgodności z EDM i RODO, to szybko zniknie z rynku. Moja znajomość tych programów, a także praktyka zawodowa pozwalają wyciągnąć wniosek, że kilku wiodących producentów takiego oprogramowania produkuje naprawdę dobre rozwiązania. Decydując się na nie mamy wręcz gwarancję zgodności z EDM i z RODO. Duże firmy informatyczne zatrudniają całe działy prawne dbające o taką zgodność.

Dolnośląska Izba Lekarska jest instytucją, która zapewnia wsparcie w tym zakresie. W „Medium” i na stronie internetowej DIL znajdziecie Państwo informację o terminach moich telefonicznych dyżurów. Obejmują one również EDM i nadchodzące e-recepty. Możecie Państwo skorzystać z takich porad bezpłatnie. Żadne zapytanie nie pozostanie bez odpowiedzi.

Znam wiele przykładów podmiotów, w których kompleksowe wdrożenie EDM i RODO nie tylko nie spowodowało, ale wręcz rozwiązało wiele problemów, a przede wszystkim największy z nich, czyli spokój właściciela. Życzę tego również Państwu! Nie takie RODO straszne, jak je malują!

Maciej Koziejko

RODO – NAJCZĘŚCIEJ ZADAWANE PYTANIA

Jakie są największe błędy w stosowaniu RODO?

  • zupełny brak dokumentacji,
  • dokumentacja oparta na szablonach i niedostosowana do specyfiki podmiotu,
  • brak stałej pieczy nad dokumentacją i nieaktualne dane,
  • brak lub nieważne upoważnienia i umowy powierzenia przetwarzania,
  • niepotrzebne zbieranie zgód pacjentów na przetwarzanie danych.
  • brak obowiązku informacyjnego.

Niezbędnik RODO to?

  • dokument – Polityka Bezpieczeństwa Informacji,
  • upoważnienia dla pracowników,
  • umowy powierzenia przetwarzania dla firm, z którymi współpracujemy,
  • spełnienie obowiązku informacyjnego (wywieszka),
  • zabezpieczenie danych osobowych (organizacja stanowiska w rejestracji, wywoływanie pacjentów, polityka czystego biurka).

Co zrobić, by wdrożyć RODO?

  • wyznacz osoby odpowiedzialne za RODO lub zatrudnij specjalistę,
  • wykonaj audyt RODO + IT,
  • uzupełnij/aktualizuj dokumentację,
  • dostosuj organizację pracy podmiotu do RODO,
  • wykonaj weryfikację/upgrade systemów IT.

Jakie są minimalne wymagania IT w zakresie RODO?

  • aktualne oprogramowanie systemowe (np. Windows 10),
  • aktualne oprogramowanie antywirusowe,
  • firewall (zapora ogniowa),
  • logowanie do komputera za pomocą hasła,
  • codzienna (a nawet częściej)
  • kopia zapasowa danych,
  • szyfrowane e-maile,
  • złożoność haseł i regularna ich zmiana.