Polityka bezpieczeństwa informacji w podmiocie leczniczym

Slides:



Advertisements
Podobne prezentacje
SI CEPiK Przekazywanie danych o badaniach do
Advertisements

STRUKTURA PRAWNEJ REGULACJI DOKUMENTACJI ELEKTRONICZNEJ
1 Zatrudnianie personelu do projektu Reguła proporcjonalności Kwalifikowalność uczestników.
1. Podstawy prawne: - ustawa z dnia 7 kwietnia 1989 r.  Prawo o stowarzyszeniach, (Dz.U j. t. z późn. zm.) - ustawa z dnia 25 czerwca 2010 r.
Nowe uregulowania prawne dotyczące dokumentacji medycznej
Dział Zasobów Archiwalnych
Departament Ochrony Środowiska Urzędu Marszałkowskiego Województwa Mazowieckiego Dostęp do informacji o środowisku Płock, 8 lipca 2004 r.
Katowice, dnia 2 października 2012 roku
przeprowadzonych w przedszkolach województwa wielkopolskiego
Kompleksowe zarządzanie bezpieczeństwem informacji
Michał Sztąberek iSecure Sp. z o.o.
Polityka społeczna m.st. Warszawy Biuro Polityki Społecznej Urzędu m.st. Warszawy 2011r.
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych
Kontrole Konsultantów Wojewódzkich w różnych dziedzinach medycyny
Eksploatacja zasobów informatycznych przedsiębiorstwa
UBEZPIECZENIE W PRAKTYCE określając zakres odpowiedzialności
Aktualne zagadnienia prawne.
Niektóre procedury wynikające z przepisów prawa, przy bieżącej aktualizacji ewidencji gruntów i budynków, dokonywanej przez starostów. Zgłoszenia zmiany,
ROZPORZĄDZENIE RADY MINISTRÓW
„Ochrona osób, mienia, obiektów i obszarów”
Szkolenie w zakresie ochrony danych osobowych
Prawodawstwo w zakresie gospodarki odpadami
REJESTR DZIAŁAŃ RATOWNICZYCH
Środki bezpieczeństwa
Przetwarzanie danych w rejestrze wypadków BHP
Bezpieczeństwo danych przetwarzanych w podmiotach leczniczych
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Rejestracja Zbioru Danych w GIODO.
BEZPIECZEŃSTWO ELEKTRONICZNYCH DANYCH MEDYCZNYCH
Ochrona danych osobowych w ngo
BEZPIECZEŃSTWO I NIEZAWODNOŚĆ SIECI INFORMATYCZNYCH
Dyrektor Departamentu Orzecznictwa, Legislacji i Skarg
Ochrona danych osobowych: wybrane aspekty
Usługi BDO - odpowiedź na realne potrzeby rynku
VIII. POSTĘPOWANIE ADMINISTRACYJNE Zmierza do wymuszenia na administratorze realizacji obowiązków nałożonych prawem.
Aleph Raporty, raport danych osobowych, ubytki OPAC.
Ochrona danych osobowych i informacji niejawnych
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
OCHRONA DANYCH OSOBOWYCH Dr hab. Mariusz Jagielski
Ochrona danych osobowych w administracji publicznej
ETAPY WDROŻENIE SYSTEMU ELEKTRONICZNEGO ZARZĄDZANIA DOKUMENTACJĄ
Ocena jakości systemów informacyjnych (aspekt eksploatacyjny)
Eksploatacja zasobów informatycznych przedsiębiorstwa.
USTAWA z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych
Akty prawne Ustawa z dnia 26 stycznia 1982 r.
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
POLITYKA BEZPIECZEŃSTWA. Podstawa prawna: §3 i §4 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r., w sprawie dokumentacji.
OCHRONA DANYCH OSOBOWYCH NA UCZELNI
Ochrona danych osobowych i konsekwencje jej nieprzestrzegania
Monitoring efektów realizacji Projektu PL0100 „Wzrost efektywności działalności Inspekcji Ochrony Środowiska, na podstawie doświadczeń norweskich” Ołtarzew:
Kontrola zarządcza w jednostce budżetowej
DOKUMENTACJA OCHRONY DANYCH OSOBOWYCH dr hab. Mariusz Jagielski
Badania lekarskie pracowników
System ochrony danych osobowych a System zarządzania bezpieczeństwem informacji - w kontekście Rozporządzenia o Krajowych Ramach Interoperacyjności i normy.
ZAMYKANIE SKŁADOWISK ODPADÓW NIESPEŁNIAJĄCYCH WYMAGAŃ.
Rada szkoleniowa „Cyfrowe bezpieczeństwo danych osobowych w szkole”
Ochrona danych osobowych w placówce oświatowej Obowiązki, zadania i uprawnienia dyrektora placówki Warsztat specjalistyczny 2014.
NAJWAŻNIEJSZE AKTY PRAWNE WYKONAWCZE DO USTAWY Z 29 SIERPNIA 1997 ROKU O OCHRONIE DANYCH OSOBOWYCH.
Lekarska ambulatoryjna opieka rehabilitacyjna
DOKUMENTACJA PROCESU KSZTAŁCENIA
Rozporządzenie Ministra Edukacji Narodowej z dnia 27 października 2009 r. w sprawie wymagań, jakim powinna odpowiadać osoba zajmująca stanowisko dyrektora.
Problematykę ochrony osób, mienia i informacji niejawnych normują:
MINISTERSTWO OBRONY NARODOWEJ
Co się zmienia w systemie ochrony danych osobowych w świetle RODO
Warmińsko-Mazurski Urząd Wojewódzki w Olsztynie
Przetwarzanie danych osobowych - dokumentacja
Zmiany związane z wejściem w życie Rozporządzenia o Ochronie Danych Osobowych (RODO) stosowane od dnia r.
Ochrona danych osobowych w placówce oświatowej
ZEZWOLENIA NA PRACĘ ORAZ POBYT I PRACĘ W WOJEWÓDZTWIE LUBUSKIM
OCHRONA DANYCH OSOBOWYCH Andrzej Rybus-Tołłoczko
Zapis prezentacji:

Polityka bezpieczeństwa informacji w podmiocie leczniczym Aspekty praktyczne Prowadzący Piotr Glen Specjalista ds. ochrony danych osobowych Administrator Bezpieczeństwa Informacji

Administrator danych - to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych Art. 7 ust. 4 Ustawy o ochronie danych osobowych

OBOWIĄZKI ADMINISTRATORA DANYCH zgodnie z Ustawą o ochronie danych osobowych (Art. 36, 37, 38, 39) oraz z Rozporządzeniem MSWiA w sprawie systemów informatycznych służących do przetwarzania danych osobowych Zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Prowadzić dokumentację opisującą sposób przetwarzania i ochrony danych. 3. Wyznaczyć administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności. 4. Do przetwarzania danych dopuścić wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. 5. Zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. 6. Prowadzić ewidencję osób upoważnionych do ich przetwarzania 7. Zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO).

ŹRÓDŁA PRAWA BEZPOŚREDNIO ODNOSZĄCE SIĘ DO SŁUŻBY ZDROWIA Art. 51. KONSTYTUCJI RZECZYPOSPOLITEJ POLSKIEJ 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Ustawa o ochronie danych osobowych, Ustawa o działalności leczniczej, Ustawa o działalności ubezpieczeniowej, Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta, Rozporządzenie Ministra Zdrowia w sprawie szczegółowego zakresu i trybu udzielania zakładom ubezpieczeń informacji o stanie zdrowia ubezpieczonych lub osób, na rzecz których ma zostać zawarta umowa ubezpieczenia oraz sposobu ustalania wysokości opłat za udzielenie tych informacji. Rozporządzenie Ministra Zdrowia w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobów jej przetwarzania.

2. Dokumentację prowadzi się w formie pisemnej. ROZPORZĄDZENIE MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Dziennik Ustaw nr 100 z 2004 poz. 1024 zm § 3. 1. Na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją”. 2. Dokumentację prowadzi się w formie pisemnej. 3. Dokumentację wdraża administrator danych.

Pojęcie „polityka bezpieczeństwa” to zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej (danych osobowych, dokumentacji medycznej) wewnątrz organizacji. Polityka bezpieczeństwa powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie jak i danych przetwarzanych w systemach informatycznych. Celem polityki bezpieczeństwa, jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postepowania, które należy stosować, aby właściwie wykonać obowiązek odpowiedniej ochrony danych.

Dokument polityki bezpieczeństwa powinien deklarować zaangażowanie kierownictwa i wyznaczać podejście instytucji do zarządzania bezpieczeństwem informacji. Jako minimum wskazuje się, aby dokument określający politykę bezpieczeństwa zawierał: definicję bezpieczeństwa informacji, jego ogólne cele i zakres oraz znaczenie bezpieczeństwa jako mechanizmu umożliwiającego współużytkowanie informacji; oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji;

Tzn.: Postanowienia ogólne Definicje Administrator Danych „...Administrator Danych ma świadomość znaczenia przetwarzanych informacji dla realizacji celów jednostki i potrzeby ochrony informacji, poprzez budowę systemu zarządzania bezpieczeństwem informacji…” Definicje Administrator Danych Administrator Bezpieczeństwa Informacji Administrator Systemu Informatycznego Użytkownik Pomieszczenia Poufność danych Integralność danych i systemu informatycznego itp..

krótkie wyjaśnienie zasad, standardów i wymagań zgodności mających szczególne znaczenie np.: zgodność z prawem (w oparciu o jakie przesłanki przetwarzamy dane osobowe); wymagania dotyczące kształcenia w dziedzinie bezpieczeństwa (szkolenia dla użytkowników); zapobieganie i wykrywanie wirusów oraz innego złośliwego oprogramowania (obowiązki ABI i ASI); zarzadzanie ciągłością działania biznesowego (kopie bezpieczeństwa, aktualizacje, ochrona zasobów krytycznych); konsekwencje naruszenia polityki bezpieczeństwa (odpowiedzialność dyscyplinarna, finansowa, karna).

definicje ogólnych i szczególnych obowiązków w odniesieniu do zarzadzania bezpieczeństwem informacji, w tym zgłaszania przypadków naruszenia bezpieczeństwa - procedury i wzory zgłoszeń, opis postępowania użytkowników i ABI; odsyłacze do dokumentacji mogącej uzupełniać politykę, np. bardziej szczegółowych polityk bezpieczeństwa i procedur dla poszczególnych systemów informatycznych lub zasad bezpieczeństwa, których użytkownicy powinni przestrzegać, a także do Instrukcji zarządzania systemem informatycznym;

Polityka musi identyfikować zasoby jakie chronimy, w jaki sposób i gdzie. polityka bezpieczeństwa powinna zawierać w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (obszar przetwarzania danych); wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

NAZWA ZBIORU PODSTAWA PRAWNA CEL KATEGORIA OSÓB NR KSIĘGI REJESTROWEJ DATA REJESTRACJI PROGRAM KOMPUTEROWY ZASTOSOWANY DO PRZETWARZANIA DANYCH W ZBIORZE PACJENCI Ustawa o zakładach opieki zdrowotnej udzielanie świadczeń zdrowotnych Pacjenci Zwolniony wg Art. 43. ust.1 pkt 5 ustawy o ochronie danych osobowych PRACOWNICY Dopełnienie obowiązków określonych w przepisach prawa pracownicy zakładu opieki zdrowotnej Zwolniony wg Art. 43. ust.1 pkt 4 ustawy o ochronie danych osobowych REJESTR KORESPONDEN CJI Kodeks postępowania administracyjnego Rejestr korespondencji przychodzącej i wychodzącej Nadawcy i odbiorcy korespondencji ARCHIWUM Ustawa o narodowym zasobie archiwalnym i archiwach Osoby, których dotyczą materiały archiwalne OSOBY UPOWAŻNIONE DO ODBIORU WYNIKÓW BADAŃ Zgoda osoby, której dane dotyczą Wydanie wyniku badania osobie upoważnionej osoby upoważnione do odbioru wyników badań

określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych, a tj.: Gospodarka kluczami do pomieszczeń; Systemy alarmowe, monitoringu, kontroli dostępu, ochrony zewnętrznej; Sposób przechowywania dokumentów w formie papierowej; Sposób przechowywania kopii zapasowych; Sposób niszczenia danych po ustaniu ich przydatności Zabezpieczenia ppoż. i przeciwwłamaniowe Sposoby zabezpieczenia komputerów i innych urządzeń przenośnych;

Zabezpieczenia przed skutkami awarii zasilania; Proces uwierzytelnienia dostępu do systemu; Konfiguracja i częstotliwość zmiany haseł dostępu; Środki bezpieczeństwa przy korzystaniu z Internetu i poczty elektronicznej; Środki ochrony przed złośliwym oprogramowaniem; Sposoby ustawienia monitorów, wygaszacze ekranów Szkolenia użytkowników; Deklaracja zachowania tajemnicy; Upoważnienia do przetwarzania danych i Ewidencja osób upoważnionych.

Odpady medyczne i dokumenty na śmietniku 2011-03-16 Odpady medyczne i dokumentację lekarską znaleziono w poniedziałkowy późny wieczór w kontenerach na śmieci na osiedlu Batorego. Sprawę bada policja, bo w grę wchodzi wyciek danych osobowych. Odpady medyczne i dokumenty znaleźli strażnicy miejscy w Poznaniu. - Przed godziną 21 strażnicy zostali poinformowani przez mieszkańców, że w pojemnikach na makulaturę znajdują się odpady medyczne, a także dokumenty zawierające dane osobowe – - Patrol pojechał na miejsce, żeby to sprawdzić. Strażnicy faktycznie znaleźli dokumentację medyczną z nazwiskami pacjentów, ich adresami i wynikami badań oraz zakrwawione waciki, rękawiczki lateksowe, strzykawki itp. O sprawie powiadomiono policję, bo złamanie ustawy o ochronie danych osobowych jest przestępstwem.

Wyłudzenia na podstawie danych osobowych skradzionych ze szpitala Wyniesione z jednej ze szczecińskich klinik dane osobowe 11 pacjentów stały się podstawą do wyłudzenia przez fikcyjną firmę 49 tys. zł kredytów. Wyłudzenie ponad 50 tys. zł na konto innych pacjentów uniemożliwiła interwencja policji. Akt oskarżenia w sprawie ośmiu osób, mieszkańców Szczecina, które zaangażowały się w fałszerstwa i wyłudzenia, skierowano do Sądu Rejonowego w Szczecinie. Wśród oskarżonych jest m.in. kobieta, która utworzyła fikcyjną firmę, były pracownik kliniki, który wyniósł z niej dane osobowe pacjentów zarejestrowane w szpitalnym komputerze, a także pośrednicy składający wnioski kredytowe i odbierający pieniądze. Posługując się danymi personalnymi pacjentów szczecińskiej kliniki oskarżeni w październiku i listopadzie ubiegłego roku składali w jednym z miejscowych banków wnioski kredytowe na kwoty od 2 do 5 tys. zł. Byli pacjenci nie wiedzieli, że zaciągnęli pożyczki. Dowiadywali się o tym, gdy przyszło im spłacać długi.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH DIS/DEC – 1207/44995/09 dot. DIS-K-421/130/09 D E C Y Z J A Na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego w związku z art. 36 ust. 1 i ust. 2, art. 37, art. 39 ust. 1 ustawy o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), § 4 i § 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Regionalny Szpital Specjalistyczny im. (…) w (…), z siedzibą w (…), I. Nakazuję Regionalnemu Szpitalowi Specjalistycznemu (…), przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych, poprzez: 1. Zabezpieczenie dokumentacji zawierającej dane osobowe przechowywanej w pomieszczeniu nr 8, opisanym nazwą „Księgowość Zarządzająca” i pomieszczeniu opisanym nazwą „Druki”, przed jej udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem - w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna, 2. Opracowanie procedury określającej sposób zabezpieczenia pomieszczeń i sposób postępowania z kluczami do pomieszczeń oraz prowadzenie ewidencji wydawanych i zdawanych kluczy do pomieszczeń - w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna 3. Uzupełnienie polityki bezpieczeństwa, prowadzonej w formie dokumentu o nazwie „Polityka bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych w Regionalnym Szpitalu Specjalistycznym (…)”, o wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe - w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna; 4. Nadanie osobom zatrudnionym przy przetwarzaniu danych osobowych, upoważnień do przetwarzania danych osobowych – od dnia, w którym niniejsza decyzja stanie się ostateczna. 5. Prowadzenie w Regionalnym Szpitalu Specjalistycznym (…), ewidencji osób upoważnionych do przetwarzania danych osobowych - od dnia, w którym niniejsza decyzja stanie się ostateczna.

Rodzaje kontroli GIODO

Za nieprzestrzeganie przepisów ochrony danych osobowych grozi: ODPOWIEDZIALNOŚĆ ADMINISTRACYJNA ODPOWIEDZIALNOŚĆ DYSCYPLINARNA ODPOWIEDZIALNOŚĆ ODSZKODOWAWCZA ODPOWIEDZIALNOŚĆ KARNA ODPOWIEDZIALNOŚĆ FINANSOWA

ASI – informatyk na etacie, kierownik IT, firma zewnętrzna; KTO POWINIEN PISAĆ POLITYKĘ I INSTRUKCJĘ ORAZ NADZOROWAĆ ICH PRZESTRZEGANIE ? ABI i ASI (Informatyk) ABI – osoba ciesząca się zaufaniem Dyrektora i jednocześnie autorytetem u pracowników (kadry, sekretariat, administracja, marketing itp.) ASI – informatyk na etacie, kierownik IT, firma zewnętrzna; Możliwość korzystania z usług firm zewnętrznych – odpowiednia umowa powierzenia, imienne wskazanie osób.

DZIĘKUJĘ ZA UWAGĘ Piotr Glen www.wiknet.net.pl piotr.glen@wiknet.net.pl