Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Polityka bezpieczeństwa informacji w podmiocie leczniczym Polityka bezpieczeństwa informacji w podmiocie leczniczym Aspekty praktyczne Prowadzący Piotr.

Podobne prezentacje


Prezentacja na temat: "Polityka bezpieczeństwa informacji w podmiocie leczniczym Polityka bezpieczeństwa informacji w podmiocie leczniczym Aspekty praktyczne Prowadzący Piotr."— Zapis prezentacji:

1 Polityka bezpieczeństwa informacji w podmiocie leczniczym Polityka bezpieczeństwa informacji w podmiocie leczniczym Aspekty praktyczne Prowadzący Piotr Glen Specjalista ds. ochrony danych osobowych Administrator Bezpieczeństwa Informacji

2 Administrator danych - to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych Art. 7 ust. 4 Ustawy o ochronie danych osobowych

3 OBOWIĄZKI ADMINISTRATORA DANYCH zgodnie z Ustawą o ochronie danych osobowych (Art. 36, 37, 38, 39) oraz z Rozporządzeniem MSWiA w sprawie systemów informatycznych służących do przetwarzania danych osobowych 1. Zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Prowadzić dokumentację opisującą sposób przetwarzania i ochrony danych. 3. Wyznaczyć administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności. 4. Do przetwarzania danych dopuścić wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. 5. Zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. 6. Prowadzić ewidencję osób upoważnionych do ich przetwarzania 7. Zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO).

4 ŹRÓDŁA PRAWA BEZPOŚREDNIO ODNOSZĄCE SIĘ DO SŁUŻBY ZDROWIA Art. 51. KONSTYTUCJI RZECZYPOSPOLITEJ POLSKIEJ Art. 51. KONSTYTUCJI RZECZYPOSPOLITEJ POLSKIEJ 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Ustawa o ochronie danych osobowych, Ustawa o ochronie danych osobowych, Ustawa o działalności leczniczej, Ustawa o działalności ubezpieczeniowej, Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta, Rozporządzenie Ministra Zdrowia w sprawie szczegółowego zakresu i trybu udzielania zakładom ubezpieczeń informacji o stanie zdrowia ubezpieczonych lub osób, na rzecz których ma zostać zawarta umowa ubezpieczenia oraz sposobu ustalania wysokości opłat za udzielenie tych informacji. Rozporządzenie Ministra Zdrowia w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobów jej przetwarzania.

5 ROZPORZĄDZENIE MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Dziennik Ustaw nr 100 z 2004 poz zm § Na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej instrukcją. 2. Dokumentację prowadzi się w formie pisemnej. 3. Dokumentację wdraża administrator danych.

6 Pojęcie polityka bezpieczeństwa to zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej (danych osobowych, dokumentacji medycznej) wewnątrz organizacji. Polityka bezpieczeństwa powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie jak i danych przetwarzanych w systemach informatycznych. Celem polityki bezpieczeństwa, jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postepowania, które należy stosować, aby właściwie wykonać obowiązek odpowiedniej ochrony danych.

7 Dokument polityki bezpieczeństwa powinien deklarować zaangażowanie kierownictwa i wyznaczać podejście instytucji do zarządzania bezpieczeństwem informacji. Jako minimum wskazuje się, aby dokument określający politykę bezpieczeństwa zawierał: definicję bezpieczeństwa informacji, jego ogólne cele i zakres oraz znaczenie bezpieczeństwa jako mechanizmu umożliwiającego współużytkowanie informacji; definicję bezpieczeństwa informacji, jego ogólne cele i zakres oraz znaczenie bezpieczeństwa jako mechanizmu umożliwiającego współużytkowanie informacji; oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji; oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji;

8 Tzn.: Postanowienia ogólne Postanowienia ogólne...Administrator Danych ma świadomość znaczenia przetwarzanych informacji dla realizacji celów jednostki i potrzeby ochrony informacji, poprzez budowę systemu zarządzania bezpieczeństwem informacji… Definicje Definicje - Administrator Danych - Administrator Bezpieczeństwa Informacji - Administrator Systemu Informatycznego - Użytkownik - Pomieszczenia - Poufność danych - Integralność danych i systemu informatycznego - itp..

9 krótkie wyjaśnienie zasad, standardów i wymagań zgodności mających szczególne znaczenie np.: krótkie wyjaśnienie zasad, standardów i wymagań zgodności mających szczególne znaczenie np.: - zgodność z prawem (w oparciu o jakie przesłanki przetwarzamy dane osobowe); - wymagania dotyczące kształcenia w dziedzinie bezpieczeństwa (szkolenia dla użytkowników); - zapobieganie i wykrywanie wirusów oraz innego złośliwego oprogramowania (obowiązki ABI i ASI); - zarzadzanie ciągłością działania biznesowego (kopie bezpieczeństwa, aktualizacje, ochrona zasobów krytycznych); - konsekwencje naruszenia polityki bezpieczeństwa (odpowiedzialność dyscyplinarna, finansowa, karna).

10 definicje ogólnych i szczególnych obowiązków w odniesieniu do zarzadzania bezpieczeństwem informacji, w tym zgłaszania przypadków naruszenia bezpieczeństwa definicje ogólnych i szczególnych obowiązków w odniesieniu do zarzadzania bezpieczeństwem informacji, w tym zgłaszania przypadków naruszenia bezpieczeństwa - procedury i wzory zgłoszeń, opis postępowania użytkowników i ABI; odsyłacze do dokumentacji mogącej uzupełniać politykę, np. bardziej szczegółowych polityk bezpieczeństwa i procedur dla poszczególnych systemów informatycznych lub zasad bezpieczeństwa, których użytkownicy powinni przestrzegać, a także do Instrukcji zarządzania systemem informatycznym; odsyłacze do dokumentacji mogącej uzupełniać politykę, np. bardziej szczegółowych polityk bezpieczeństwa i procedur dla poszczególnych systemów informatycznych lub zasad bezpieczeństwa, których użytkownicy powinni przestrzegać, a także do Instrukcji zarządzania systemem informatycznym;

11 Polityka musi identyfikować zasoby jakie chronimy, w jaki sposób i gdzie. polityka bezpieczeństwa powinna zawierać w szczególności: - wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (obszar przetwarzania danych); - wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

12 NAZWA ZBIORU PODSTAWA PRAWNA CELKATEGORIA OSÓB NR KSIĘGI REJESTROWEJ DATA REJESTRACJI PROGRAM KOMPUTEROWY ZASTOSOWANY DO PRZETWARZANI A DANYCH W ZBIORZE PACJENCIUstawa o zakładach opieki zdrowotnej udzielanie świadczeń zdrowotnych PacjenciZwolniony wg Art. 43. ust.1 pkt 5 ustawy o ochronie danych osobowych PRACOWNICYUstawa o zakładach opieki zdrowotnej Dopełnienie obowiązków określonych w przepisach prawa pracownicy zakładu opieki zdrowotnej Zwolniony wg Art. 43. ust.1 pkt 4 ustawy o ochronie danych osobowych REJESTR KORESPONDEN CJI Kodeks postępowania administracyjneg o Rejestr korespondencji przychodzącej i wychodzącej Nadawcy i odbiorcy korespondencji ARCHIWUMUstawa o narodowym zasobie archiwalnym i archiwach Dopełnienie obowiązków określonych w przepisach prawa Osoby, których dotyczą materiały archiwalne OSOBY UPOWAŻNIONE DO ODBIORU WYNIKÓW BADAŃ Zgoda osoby, której dane dotyczą Wydanie wyniku badania osobie upoważnionej osoby upoważnione do odbioru wyników badań

13 określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych, a tj.: określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych, a tj.: - Gospodarka kluczami do pomieszczeń; - Systemy alarmowe, monitoringu, kontroli dostępu, ochrony zewnętrznej; - Sposób przechowywania dokumentów w formie papierowej; - Sposób przechowywania kopii zapasowych; - Sposób niszczenia danych po ustaniu ich przydatności - Zabezpieczenia ppoż. i przeciwwłamaniowe - Sposoby zabezpieczenia komputerów i innych urządzeń przenośnych;

14 - Zabezpieczenia przed skutkami awarii zasilania; - Proces uwierzytelnienia dostępu do systemu; - Konfiguracja i częstotliwość zmiany haseł dostępu; - Środki bezpieczeństwa przy korzystaniu z Internetu i poczty elektronicznej; - Środki ochrony przed złośliwym oprogramowaniem; - Sposoby ustawienia monitorów, wygaszacze ekranów - Szkolenia użytkowników; - Deklaracja zachowania tajemnicy; - Upoważnienia do przetwarzania danych i Ewidencja osób upoważnionych.

15 Odpady medyczne i dokumenty na śmietniku Odpady medyczne i dokumentację lekarską znaleziono w poniedziałkowy późny wieczór w kontenerach na śmieci na osiedlu Batorego. Sprawę bada policja, bo w grę wchodzi wyciek danych osobowych. Odpady medyczne i dokumenty znaleźli strażnicy miejscy w Poznaniu. - Przed godziną 21 strażnicy zostali poinformowani przez mieszkańców, że w pojemnikach na makulaturę znajdują się odpady medyczne, a także dokumenty zawierające dane osobowe – - Patrol pojechał na miejsce, żeby to sprawdzić. Strażnicy faktycznie znaleźli dokumentację medyczną z nazwiskami pacjentów, ich adresami i wynikami badań oraz zakrwawione waciki, rękawiczki lateksowe, strzykawki itp. O sprawie powiadomiono policję, bo złamanie ustawy o ochronie danych osobowych jest przestępstwem.

16 Wyłudzenia na podstawie danych osobowych skradzionych ze szpitala Wyniesione z jednej ze szczecińskich klinik dane osobowe 11 pacjentów stały się podstawą do wyłudzenia przez fikcyjną firmę 49 tys. zł kredytów. Wyłudzenie ponad 50 tys. zł na konto innych pacjentów uniemożliwiła interwencja policji. Akt oskarżenia w sprawie ośmiu osób, mieszkańców Szczecina, które zaangażowały się w fałszerstwa i wyłudzenia, skierowano do Sądu Rejonowego w Szczecinie. Wśród oskarżonych jest m.in. kobieta, która utworzyła fikcyjną firmę, były pracownik kliniki, który wyniósł z niej dane osobowe pacjentów zarejestrowane w szpitalnym komputerze, a także pośrednicy składający wnioski kredytowe i odbierający pieniądze. Posługując się danymi personalnymi pacjentów szczecińskiej kliniki oskarżeni w październiku i listopadzie ubiegłego roku składali w jednym z miejscowych banków wnioski kredytowe na kwoty od 2 do 5 tys. zł. Byli pacjenci nie wiedzieli, że zaciągnęli pożyczki. Dowiadywali się o tym, gdy przyszło im spłacać długi.

17 GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH DIS/DEC – 1207/44995/09 dot. DIS-K-421/130/09 D E C Y Z J A Na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks post ę powania administracyjnego w zwi ą zku z art. 36 ust. 1 i ust. 2, art. 37, art. 39 ust. 1 ustawy o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z pó ź n. zm.), § 4 i § 5 rozporz ą dzenia Ministra Spraw Wewn ę trznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiada ć urz ą dzenia i systemy informatyczne słu żą ce do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu post ę powania administracyjnego w sprawie przetwarzania danych osobowych przez Regionalny Szpital Specjalistyczny im. (…) w (…), z siedzib ą w (…), I. Nakazuj ę Regionalnemu Szpitalowi Specjalistycznemu (…), przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych, poprzez: 1. Zabezpieczenie dokumentacji zawieraj ą cej dane osobowe przechowywanej w pomieszczeniu nr 8, opisanym nazw ą Ksi ę gowo ść Zarz ą dzaj ą ca i pomieszczeniu opisanym nazw ą Druki, przed jej udost ę pnieniem osobom nieupowa ż nionym, zabraniem przez osob ę nieuprawnion ą, przetwarzaniem z naruszeniem ustawy oraz zmian ą, utrat ą, uszkodzeniem lub zniszczeniem - w terminie 14 dni od dnia, w którym niniejsza decyzja stanie si ę ostateczna, 2. Opracowanie procedury okre ś laj ą cej sposób zabezpieczenia pomieszcze ń i sposób post ę powania z kluczami do pomieszcze ń oraz prowadzenie ewidencji wydawanych i zdawanych kluczy do pomieszcze ń - w terminie 14 dni od dnia, w którym niniejsza decyzja stanie si ę ostateczna 3. Uzupełnienie polityki bezpiecze ń stwa, prowadzonej w formie dokumentu o nazwie Polityka bezpiecze ń stwa systemów informatycznych słu żą cych do przetwarzania danych osobowych w Regionalnym Szpitalu Specjalistycznym (…), o wykaz budynków, pomieszcze ń lub cz ęś ci pomieszcze ń, tworz ą cych obszar, w którym przetwarzane s ą dane osobowe - w terminie 14 dni od dnia, w którym niniejsza decyzja stanie si ę ostateczna; 4. Nadanie osobom zatrudnionym przy przetwarzaniu danych osobowych, upowa ż nie ń do przetwarzania danych osobowych – od dnia, w którym niniejsza decyzja stanie si ę ostateczna. 5. Prowadzenie w Regionalnym Szpitalu Specjalistycznym (…), ewidencji osób upowa ż nionych do przetwarzania danych osobowych - od dnia, w którym niniejsza decyzja stanie si ę ostateczna.

18 Rodzaje kontroli GIODO

19 Za nieprzestrzeganie przepisów ochrony danych osobowych grozi: ODPOWIEDZIALNOŚĆ ADMINISTRACYJNA ODPOWIEDZIALNOŚĆ ADMINISTRACYJNA ODPOWIEDZIALNOŚĆ DYSCYPLINARNA ODPOWIEDZIALNOŚĆ DYSCYPLINARNA ODPOWIEDZIALNOŚĆ ODSZKODOWAWCZA ODPOWIEDZIALNOŚĆ ODSZKODOWAWCZA ODPOWIEDZIALNOŚĆ KARNA ODPOWIEDZIALNOŚĆ KARNA ODPOWIEDZIALNOŚĆ FINANSOWA ODPOWIEDZIALNOŚĆ FINANSOWA

20 KTO POWINIEN PISAĆ POLITYKĘ I INSTRUKCJĘ ORAZ NADZOROWAĆ ICH PRZESTRZEGANIE ? - ABI i ASI (Informatyk) - ABI – osoba ciesząca się zaufaniem Dyrektora i jednocześnie autorytetem u pracowników (kadry, sekretariat, administracja, marketing itp.) - ASI – informatyk na etacie, kierownik IT, firma zewnętrzna; - Możliwość korzystania z usług firm zewnętrznych – odpowiednia umowa powierzenia, imienne wskazanie osób.

21

22 DZIĘKUJĘ ZA UWAGĘ Piotr Glen


Pobierz ppt "Polityka bezpieczeństwa informacji w podmiocie leczniczym Polityka bezpieczeństwa informacji w podmiocie leczniczym Aspekty praktyczne Prowadzący Piotr."

Podobne prezentacje


Reklamy Google