Bezpieczeństwo danych przetwarzanych w podmiotach leczniczych www.dreryk.pl
Bezpieczeństwo danych Akty prawne Konstytucja RP Dz.U. 2010 nr 252 poz. 1697 Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania Dz.U. 2011 nr 125 poz. 712 Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 18 maja 2011 r. w sprawie rodzaju i zakresu oraz sposobu przetwarzania dokumentacji medycznej w zakładach opieki zdrowotnej utworzonych przez ministra właściwego do spraw wewnętrznych Dz.U. 2011 nr 39 poz. 203 Rozporządzenie Ministra Sprawiedliwości z dnia 2 lutego 2011 r. w sprawie rodzajów i zakresu dokumentacji medycznej prowadzonej w zakładach opieki zdrowotnej dla osób pozbawionych wolności oraz sposobu jej przetwarzania Dz.U. 1997 Nr 133 poz. 883 Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych Dz.U. 2012 nr 0 poz. 260 Rozporządzenie Ministra Zdrowia z dnia 8 marca 2012 r. w sprawie recept lekarskich Dz.U. 2011 nr 113 poz. 657 Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia Dz.U. 2009 nr 52 poz. 417 Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta www.dreryk.pl
Bezpieczeństwo danych Konstytucja RP Rozdział II, Art. 51. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Władze publiczne nie mogą pozyskiwać, gromadzić i udostępniać innych informacji o obywatelach niż niezbędne w demokratycznym państwie prawnym. Każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych. Ograniczenie tego prawa może określić ustawa. Każdy ma prawo do żądania sprostowania oraz usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Zasady i tryb gromadzenia oraz udostępniania informacji określa ustawa. Aktualnie nie ma w projekcie ustawy o systemie informacji w ochronie zdrowia, nad którą pracują posłowie. Zgodnie z konstytucją, to ustawa a nie rozporządzenie wydawane przez MZ, powinna określać zakres danych, jakie mogą być gromadzone w systemie informatycznym. Powinniśmy też wiedzieć, kto i na jakich zasadach będzie miał dostęp do tych danych oraz jak będą one zabezpieczone a aktualna Ustawa z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia tych informacji nie zawiera. www.dreryk.pl
z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia Bezpieczeństwo danych ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania Rozdział 1 Przepisy ogólne § 1. Dokumentacja medyczna, zwana dalej „dokumentacją”, jest prowadzona w postaci elektronicznej lub w postaci papierowej. USTAWA z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia Rozdział 9 Przepisy przejściowe i końcowe Art. 58. ….Art. 50(*) pkt 1, które wchodzą w życie z dniem 1 sierpnia 2014 r. (*)Art. 50. 1) w art. 24 po ust. 1 dodaje się ust. 1a w brzmieniu: „1a. Dokumentację medyczną prowadzi się w postaci elektronicznej.”;… www.dreryk.pl
Bezpieczeństwo danych ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania Rozdział 8 Szczególne wymagania dotyczące dokumentacji prowadzonej w postaci elektronicznej § 80. Dokumentacja może być prowadzona w postaci elektronicznej, pod warunkiem prowadzenia jej w systemie teleinformatycznym zapewniającym: 1) zabezpieczenie dokumentacji przed uszkodzeniem lub utratą; www.dreryk.pl
Bezpieczeństwo danych ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania Rozdział 8 Szczególne wymagania dotyczące dokumentacji prowadzonej w postaci elektronicznej § 80. Dokumentacja może być prowadzona w postaci elektronicznej, pod warunkiem prowadzenia jej w systemie teleinformatycznym zapewniającym: 2) zachowanie integralności i wiarygodności dokumentacji; www.dreryk.pl
Bezpieczeństwo danych ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania Rozdział 8 Szczególne wymagania dotyczące dokumentacji prowadzonej w postaci elektronicznej § 80. Dokumentacja może być prowadzona w postaci elektronicznej, pod warunkiem prowadzenia jej w systemie teleinformatycznym zapewniającym: 3) stały dostęp do dokumentacji dla osób uprawnionych oraz zabezpieczenie przed dostępem osób nieuprawnionych; www.dreryk.pl
Bezpieczeństwo danych ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania Rozdział 8 Szczególne wymagania dotyczące dokumentacji prowadzonej w postaci elektronicznej § 80. Dokumentacja może być prowadzona w postaci elektronicznej, pod warunkiem prowadzenia jej w systemie teleinformatycznym zapewniającym: 4) identyfikację osoby udzielającej świadczeń zdrowotnych i rejestrowanych przez nią zmian, w szczególności dla odpowiednich rodzajów dokumentacji przyporządkowanie cech informacyjnych, zgodnie z § 10 ust. 1 pkt 3 lit. a-d; www.dreryk.pl
Bezpieczeństwo danych ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania Rozdział 8 Szczególne wymagania dotyczące dokumentacji prowadzonej w postaci elektronicznej § 80. Dokumentacja może być prowadzona w postaci elektronicznej, pod warunkiem prowadzenia jej w systemie teleinformatycznym zapewniającym: 5) udostępnienie, w tym przez eksport w postaci elektronicznej dokumentacji albo części dokumentacji będącej formą dokumentacji określonej w rozporządzeniu, w formacie XML i PDF; www.dreryk.pl
Bezpieczeństwo danych ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania Rozdział 8 Szczególne wymagania dotyczące dokumentacji prowadzonej w postaci elektronicznej § 80. Dokumentacja może być prowadzona w postaci elektronicznej, pod warunkiem prowadzenia jej w systemie teleinformatycznym zapewniającym: 6) eksport całości danych w formacie XML, w sposób zapewniający możliwość odtworzenia tej dokumentacji w innym systemie teleinformatycznym; Obecnie brak formatu XML – w trakcie opracowywania przez Ministerstwo Zdrowia www.dreryk.pl
Bezpieczeństwo danych ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania Rozdział 8 Szczególne wymagania dotyczące dokumentacji prowadzonej w postaci elektronicznej § 80. Dokumentacja może być prowadzona w postaci elektronicznej, pod warunkiem prowadzenia jej w systemie teleinformatycznym zapewniającym: 7) wydrukowanie dokumentacji w formach określonych w rozporządzeniu. www.dreryk.pl
Bezpieczeństwo danych ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania Rozdział 8 Szczególne wymagania dotyczące dokumentacji prowadzonej w postaci elektronicznej § 81. 1. W przypadku gdy do dokumentacji prowadzonej w postaci elektronicznej ma być dołączona dokumentacja utworzona w innej postaci, w tym zdjęcia radiologiczne lub dokumentacja utworzona w postaci papierowej, osoba upoważniona przez podmiot wykonuje odwzorowanie cyfrowe tej dokumentacji i umieszcza je w systemie informatycznym w sposób zapewniający czytelność, dostęp i spójność dokumentacji. www.dreryk.pl
Bezpieczeństwo danych ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania Rozdział 8 Szczególne wymagania dotyczące dokumentacji prowadzonej w postaci elektronicznej § 86. 1. Dokumentację prowadzoną w postaci elektronicznej uważa się za zabezpieczoną, jeżeli w sposób ciągły są spełnione łącznie następujące warunki: 1) jest zapewniona jej dostępność wyłącznie dla osób uprawnionych; www.dreryk.pl
Bezpieczeństwo danych ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania Rozdział 8 Szczególne wymagania dotyczące dokumentacji prowadzonej w postaci elektronicznej § 86. 1. Dokumentację prowadzoną w postaci elektronicznej uważa się za zabezpieczoną, jeżeli w sposób ciągły są spełnione łącznie następujące warunki: 2) jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem; www.dreryk.pl
Bezpieczeństwo danych ROZPORZĄDZENIE MINISTRA ZDROWIA z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania Rozdział 8 Szczególne wymagania dotyczące dokumentacji prowadzonej w postaci elektronicznej § 86. 1. Dokumentację prowadzoną w postaci elektronicznej uważa się za zabezpieczoną, jeżeli w sposób ciągły są spełnione łącznie następujące warunki: 3) są zastosowane metody i środki ochrony dokumentacji, których skuteczność w czasie ich zastosowania jest powszechnie uznawana. www.dreryk.pl
Bezpieczeństwo danych Dokumentacja Medyczna Pacjenta ustawa z 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta rozporządzenie Ministra Zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania. Udostępnienie dokumentacji medycznej pacjentowi: (pacjentowi lub jego przedstawicielowi ustawowemu bądź osobie upoważnionej przez pacjenta. Po śmierci pacjenta prawo wglądu w dokumentację medyczną ma osoba upoważniona przez pacjenta za życia) www.dreryk.pl
Bezpieczeństwo danych Dokumentacja Medyczna Pacjenta Udostępnienie dokumentacji medycznej pacjentowi: do wglądu w siedzibie podmiotu udzielającego świadczeń zdrowotnych; poprzez sporządzenie jej wyciągów, odpisów lub kopii; poprzez wydanie oryginału za pokwitowaniem odbioru i z zastrzeżeniem zwrotu po wykorzystaniu, jeżeli uprawniony organ lub podmiot żąda udostępnienia oryginałów tej dokumentacji. www.dreryk.pl
Bezpieczeństwo danych Dokumentacja Medyczna Pacjenta Udostępnienie dokumentacji medycznej pacjenta: inne ZOZ, jeżeli dokumentacja ta jest niezbędna do zapewnienia ciągłości świadczeń zdrowotnych; organy władzy publicznej, NFZ, organy samorządu zawodów medycznych oraz konsultanci krajowi i wojewódzcy, w zakresie niezbędnym do wykonywania przez nich zadań, przede wszystkim związanych z kontrolą i nadzorem; Minister Zdrowia, sądy, w tym dyscyplinarne, prokuratura, lekarze sądowi i rzecznicy odpowiedzialności zawodowej, w związku z prowadzonym postępowaniem; uprawnione na mocy odrębnych ustaw organy i instytucje, jeżeli badanie zostało przeprowadzone na ich wniosek; organy rentowe oraz zespoły do spraw orzekania o niepełnosprawności, w związku z prowadzonym przez nie postępowaniem; podmioty prowadzące rejestry usług medycznych, w zakresie niezbędnym do prowadzenia rejestrów; zakłady ubezpieczeń, za zgodą pacjenta; lekarz, pielęgniarka lub położna, w związku z prowadzeniem procedury oceniającej podmiot udzielający świadczeń zdrowotnych na podstawie przepisów o akredytacji w ochronie zdrowia, w zakresie niezbędnym do jej przeprowadzenia; szkoła wyższa lub jednostka badawczo- rozwojowa w celach naukowych, bez ujawniania nazwiska i innych danych umożliwiających identyfikację osoby, której dokumentacja dotyczy. www.dreryk.pl
Bezpieczeństwo danych Administrator Bezpieczeństwa Informacji (ABI) ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych Wymagania: Osoba fizyczna, niezależna i podlegająca wyłącznie kierownikowi zakładu opieki zdrowotnej. ABI zasadniczo powinien posiadać odpowiednią wiedzę w dziedzinie informatyki i bezpieczeństwa systemów informatycznych, która pozwoli mu na zaznajomienie się z funkcjonowaniem systemu informatycznego służącego do przetwarzania danych osobowych, choć nie musi mieć wykształcenia kierunkowego (np. informatycznego). W związku z tym, jako ABI należy dobrać osobę, która poza konieczną wiedzą, posiada następujące umiejętności: zdolność rozwiązywania problemów, zdolność myślenia analitycznego, umiejętność pracy w zespole, rozumienie działalności administratora danych, w tym przede wszystkim infrastruktury służącej do przetwarzania danych osobowych, zdolność kojarzenia faktów, zdolność szybkiego uczenia się. www.dreryk.pl
Bezpieczeństwo danych Administrator Bezpieczeństwa Informacji (ABI) Obowiązki ABI: przygotowywanie wniosków zgłoszeń rejestracyjnych i aktualizacja zbiorów danych aktualizacja oraz bieżący nadzór nad dokumentacją wymaganą przez ustawę oraz przepisy wykonawcze do niej, tj. między innymi nad: dokumentacją opisującą sposób przetwarzania danych osobowych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych; dokumentacją pracowniczą związaną z przetwarzaniem danych osobowych (upoważnienie do przetwarzania danych osobowych oraz ewidencja osób upoważnionych do przetwarzania danych osobowych), oświadczeniami pracowników o zapoznaniu się z obowiązującymi procedurami; nadzorowanie udostępniania danych osobowych odbiorcom danych i innym podmiotom; sprawowanie nadzoru nad funkcjonowaniem systemu zabezpieczeń wdrożonym w celu ochrony danych osobowych; kontrola dostępu osób niepowołanych do systemu, w którym przetwarzane są dane osobowe; monitorowanie dostępu użytkowników do systemów przetwarzających dane osobowe; prowadzenie szkoleń z zakresu ochrony danych osobowych; www.dreryk.pl
Bezpieczeństwo danych Polityka Bezpieczeństwa Informacji Art. 52 Ustawy o ochronie danych osobowych: Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Aby móc właściwie chronić informacje w organizacji trzeba stworzyć zbiór zasad (regulaminy, instrukcje i procedury itp.) obowiązujących przy przetwarzaniu i wykorzystaniu informacji w organizacji zwany Polityką Bezpieczeństwa Informacji. Polityka Bezpieczeństwa Informacji dotyczy całego procesu korzystania z informacji, niezależnie od sposobu jej przetwarzania (tj. zbierania, utrwalania, przechowywania, opracowywania, zmieniania, udostępniania i usuwania). Dotyczy wszystkich systemów przetwarzania informacji, zarówno systemów prowadzonych klasycznie (archiwa, kartoteki, dokumenty papierowe) jak i systemów komputerowych. Wprowadzenie Polityki Bezpieczeństwa Informacji w organizacji chroni zatem zarówno interesy przedsiębiorcy, jak również pomaga wypełnić obowiązki ochrony informacji wynikające z przepisów prawa. Zabezpiecza przed konsekwencjami prawnymi i pozwala w przypadku sytuacji naruszenia zasad ochrony przez osoby dopuszczone do informacji (pracownicy, współpracownicy, przedstawiciele firm zewnętrznych) podjąć odpowiednie działania dyscyplinarne. Podstawą do tego jest przyjęcie odpowiednich regulaminów zasad ochrony informacji i zebranie pisemnych zobowiązań ochrony informacji od osób do nich dopuszczonych. www.dreryk.pl
Bezpieczeństwo danych Instrukcja ochrony danych osobowych ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych ZOZ ma obowiązek opracować instrukcję określającą sposób zarządzania systemem informatycznym, służącym do przetwarzania danych osobowych www.dreryk.pl
Bezpieczeństwo danych Instrukcja ochrony danych osobowych Zawartość instrukcji: procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz wskazanie osoby odpowiedzialnej za te czynności, stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem, procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu, procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania, sposób, miejsce i okres przechowywania: a) elektronicznych nośników informacji zawierających dane osobowe, b) kopii zapasowych sposób zapewnienia odnotowania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie tego udostępnienia sposób zabezpieczenia systemu informatycznego procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych. www.dreryk.pl
Bezpieczeństwo danych Instrukcja ochrony danych osobowych Źródło: Serwis Kadry Zarządzającej numer specjalny SMZ02 www.dreryk.pl
Bezpieczeństwo danych Instrukcja ochrony danych osobowych Źródło: Serwis Kadry Zarządzającej numer specjalny SMZ02 www.dreryk.pl
Bezpieczeństwo danych Instrukcja ochrony danych osobowych Źródło: Serwis Kadry Zarządzającej numer specjalny SMZ02 www.dreryk.pl
Bezpieczeństwo danych Instrukcja ochrony danych osobowych Źródło: Serwis Kadry Zarządzającej numer specjalny SMZ02 www.dreryk.pl
Bezpieczeństwo danych Sankcje karne ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych ustawa z 6 czerwca 1997 r. Kodeks karny ustawa z 23 kwietnia 1964 r. Kodeks cywilny ustawa z 6 czerwca 1997 r. Kodeks postępowania karnego Jeśli zakład opieki zdrowotnej będzie niezgodnie z prawem przetwarzał dane osobowe, grozi mu za to odpowiedzialność administracyjna, karna oraz cywilna. Maksymalna grzywna w postępowaniu karnym może wynieść 1 mln zł. Za co może zostać ukarany ZOZ: Przetwarzane dane osobowe są w sposób niewłaściwy lub przez osobę nieuprawnioną Niewłaściwe wykorzystanie danych o stanie zdrowia Udostępnianie zbioru danych osobom nieupoważnionym Naruszenie obowiązku zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem Udaremnianie lub utrudnianie wykonywania czynności kontrolnych Ujawnienie lub wykorzystanie informacji uzyskanej w związku z pełnioną funkcją www.dreryk.pl
Bezpieczeństwo danych Kontakt: www.dreryk.pl