Polityka bezpieczeństwa informacji w podmiocie leczniczym Aspekty praktyczne Prowadzący Piotr Glen Specjalista ds. ochrony danych osobowych Administrator Bezpieczeństwa Informacji

Administrator danych - to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowych Art. 7 ust. 4 Ustawy o ochronie danych osobowych

OBOWIĄZKI ADMINISTRATORA DANYCH zgodnie z Ustawą o ochronie danych osobowych (Art. 36, 37, 38, 39) oraz z Rozporządzeniem MSWiA w sprawie systemów informatycznych służących do przetwarzania danych osobowych Zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Prowadzić dokumentację opisującą sposób przetwarzania i ochrony danych. 3. Wyznaczyć administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności. 4. Do przetwarzania danych dopuścić wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. 5. Zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. 6. Prowadzić ewidencję osób upoważnionych do ich przetwarzania 7. Zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO).

ŹRÓDŁA PRAWA BEZPOŚREDNIO ODNOSZĄCE SIĘ DO SŁUŻBY ZDROWIA Art. 51. KONSTYTUCJI RZECZYPOSPOLITEJ POLSKIEJ 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. Ustawa o ochronie danych osobowych, Ustawa o działalności leczniczej, Ustawa o działalności ubezpieczeniowej, Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta, Rozporządzenie Ministra Zdrowia w sprawie szczegółowego zakresu i trybu udzielania zakładom ubezpieczeń informacji o stanie zdrowia ubezpieczonych lub osób, na rzecz których ma zostać zawarta umowa ubezpieczenia oraz sposobu ustalania wysokości opłat za udzielenie tych informacji. Rozporządzenie Ministra Zdrowia w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobów jej przetwarzania.

2. Dokumentację prowadzi się w formie pisemnej. ROZPORZĄDZENIE MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych Dziennik Ustaw nr 100 z 2004 poz. 1024 zm § 3. 1. Na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją”. 2. Dokumentację prowadzi się w formie pisemnej. 3. Dokumentację wdraża administrator danych.

Pojęcie „polityka bezpieczeństwa” to zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej (danych osobowych, dokumentacji medycznej) wewnątrz organizacji. Polityka bezpieczeństwa powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie jak i danych przetwarzanych w systemach informatycznych. Celem polityki bezpieczeństwa, jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postepowania, które należy stosować, aby właściwie wykonać obowiązek odpowiedniej ochrony danych.

Dokument polityki bezpieczeństwa powinien deklarować zaangażowanie kierownictwa i wyznaczać podejście instytucji do zarządzania bezpieczeństwem informacji. Jako minimum wskazuje się, aby dokument określający politykę bezpieczeństwa zawierał: definicję bezpieczeństwa informacji, jego ogólne cele i zakres oraz znaczenie bezpieczeństwa jako mechanizmu umożliwiającego współużytkowanie informacji; oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji;

Tzn.: Postanowienia ogólne Definicje Administrator Danych „...Administrator Danych ma świadomość znaczenia przetwarzanych informacji dla realizacji celów jednostki i potrzeby ochrony informacji, poprzez budowę systemu zarządzania bezpieczeństwem informacji…” Definicje Administrator Danych Administrator Bezpieczeństwa Informacji Administrator Systemu Informatycznego Użytkownik Pomieszczenia Poufność danych Integralność danych i systemu informatycznego itp..

krótkie wyjaśnienie zasad, standardów i wymagań zgodności mających szczególne znaczenie np.: zgodność z prawem (w oparciu o jakie przesłanki przetwarzamy dane osobowe); wymagania dotyczące kształcenia w dziedzinie bezpieczeństwa (szkolenia dla użytkowników); zapobieganie i wykrywanie wirusów oraz innego złośliwego oprogramowania (obowiązki ABI i ASI); zarzadzanie ciągłością działania biznesowego (kopie bezpieczeństwa, aktualizacje, ochrona zasobów krytycznych); konsekwencje naruszenia polityki bezpieczeństwa (odpowiedzialność dyscyplinarna, finansowa, karna).

definicje ogólnych i szczególnych obowiązków w odniesieniu do zarzadzania bezpieczeństwem informacji, w tym zgłaszania przypadków naruszenia bezpieczeństwa - procedury i wzory zgłoszeń, opis postępowania użytkowników i ABI; odsyłacze do dokumentacji mogącej uzupełniać politykę, np. bardziej szczegółowych polityk bezpieczeństwa i procedur dla poszczególnych systemów informatycznych lub zasad bezpieczeństwa, których użytkownicy powinni przestrzegać, a także do Instrukcji zarządzania systemem informatycznym;

Polityka musi identyfikować zasoby jakie chronimy, w jaki sposób i gdzie. polityka bezpieczeństwa powinna zawierać w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (obszar przetwarzania danych); wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

NAZWA ZBIORU PODSTAWA PRAWNA CEL KATEGORIA OSÓB NR KSIĘGI REJESTROWEJ DATA REJESTRACJI PROGRAM KOMPUTEROWY ZASTOSOWANY DO PRZETWARZANIA DANYCH W ZBIORZE PACJENCI Ustawa o zakładach opieki zdrowotnej udzielanie świadczeń zdrowotnych Pacjenci Zwolniony wg Art. 43. ust.1 pkt 5 ustawy o ochronie danych osobowych PRACOWNICY Dopełnienie obowiązków określonych w przepisach prawa pracownicy zakładu opieki zdrowotnej Zwolniony wg Art. 43. ust.1 pkt 4 ustawy o ochronie danych osobowych REJESTR KORESPONDEN CJI Kodeks postępowania administracyjnego Rejestr korespondencji przychodzącej i wychodzącej Nadawcy i odbiorcy korespondencji ARCHIWUM Ustawa o narodowym zasobie archiwalnym i archiwach Osoby, których dotyczą materiały archiwalne OSOBY UPOWAŻNIONE DO ODBIORU WYNIKÓW BADAŃ Zgoda osoby, której dane dotyczą Wydanie wyniku badania osobie upoważnionej osoby upoważnione do odbioru wyników badań

określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych, a tj.: Gospodarka kluczami do pomieszczeń; Systemy alarmowe, monitoringu, kontroli dostępu, ochrony zewnętrznej; Sposób przechowywania dokumentów w formie papierowej; Sposób przechowywania kopii zapasowych; Sposób niszczenia danych po ustaniu ich przydatności Zabezpieczenia ppoż. i przeciwwłamaniowe Sposoby zabezpieczenia komputerów i innych urządzeń przenośnych;

Zabezpieczenia przed skutkami awarii zasilania; Proces uwierzytelnienia dostępu do systemu; Konfiguracja i częstotliwość zmiany haseł dostępu; Środki bezpieczeństwa przy korzystaniu z Internetu i poczty elektronicznej; Środki ochrony przed złośliwym oprogramowaniem; Sposoby ustawienia monitorów, wygaszacze ekranów Szkolenia użytkowników; Deklaracja zachowania tajemnicy; Upoważnienia do przetwarzania danych i Ewidencja osób upoważnionych.

Odpady medyczne i dokumenty na śmietniku 2011-03-16 Odpady medyczne i dokumentację lekarską znaleziono w poniedziałkowy późny wieczór w kontenerach na śmieci na osiedlu Batorego. Sprawę bada policja, bo w grę wchodzi wyciek danych osobowych. Odpady medyczne i dokumenty znaleźli strażnicy miejscy w Poznaniu. - Przed godziną 21 strażnicy zostali poinformowani przez mieszkańców, że w pojemnikach na makulaturę znajdują się odpady medyczne, a także dokumenty zawierające dane osobowe – - Patrol pojechał na miejsce, żeby to sprawdzić. Strażnicy faktycznie znaleźli dokumentację medyczną z nazwiskami pacjentów, ich adresami i wynikami badań oraz zakrwawione waciki, rękawiczki lateksowe, strzykawki itp. O sprawie powiadomiono policję, bo złamanie ustawy o ochronie danych osobowych jest przestępstwem.

Wyłudzenia na podstawie danych osobowych skradzionych ze szpitala Wyniesione z jednej ze szczecińskich klinik dane osobowe 11 pacjentów stały się podstawą do wyłudzenia przez fikcyjną firmę 49 tys. zł kredytów. Wyłudzenie ponad 50 tys. zł na konto innych pacjentów uniemożliwiła interwencja policji. Akt oskarżenia w sprawie ośmiu osób, mieszkańców Szczecina, które zaangażowały się w fałszerstwa i wyłudzenia, skierowano do Sądu Rejonowego w Szczecinie. Wśród oskarżonych jest m.in. kobieta, która utworzyła fikcyjną firmę, były pracownik kliniki, który wyniósł z niej dane osobowe pacjentów zarejestrowane w szpitalnym komputerze, a także pośrednicy składający wnioski kredytowe i odbierający pieniądze. Posługując się danymi personalnymi pacjentów szczecińskiej kliniki oskarżeni w październiku i listopadzie ubiegłego roku składali w jednym z miejscowych banków wnioski kredytowe na kwoty od 2 do 5 tys. zł. Byli pacjenci nie wiedzieli, że zaciągnęli pożyczki. Dowiadywali się o tym, gdy przyszło im spłacać długi.

GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH DIS/DEC – 1207/44995/09 dot. DIS-K-421/130/09 D E C Y Z J A Na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego w związku z art. 36 ust. 1 i ust. 2, art. 37, art. 39 ust. 1 ustawy o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), § 4 i § 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Regionalny Szpital Specjalistyczny im. (…) w (…), z siedzibą w (…), I. Nakazuję Regionalnemu Szpitalowi Specjalistycznemu (…), przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych, poprzez: 1. Zabezpieczenie dokumentacji zawierającej dane osobowe przechowywanej w pomieszczeniu nr 8, opisanym nazwą „Księgowość Zarządzająca” i pomieszczeniu opisanym nazwą „Druki”, przed jej udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem - w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna, 2. Opracowanie procedury określającej sposób zabezpieczenia pomieszczeń i sposób postępowania z kluczami do pomieszczeń oraz prowadzenie ewidencji wydawanych i zdawanych kluczy do pomieszczeń - w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna 3. Uzupełnienie polityki bezpieczeństwa, prowadzonej w formie dokumentu o nazwie „Polityka bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych w Regionalnym Szpitalu Specjalistycznym (…)”, o wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe - w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna; 4. Nadanie osobom zatrudnionym przy przetwarzaniu danych osobowych, upoważnień do przetwarzania danych osobowych – od dnia, w którym niniejsza decyzja stanie się ostateczna. 5. Prowadzenie w Regionalnym Szpitalu Specjalistycznym (…), ewidencji osób upoważnionych do przetwarzania danych osobowych - od dnia, w którym niniejsza decyzja stanie się ostateczna.

Rodzaje kontroli GIODO

Za nieprzestrzeganie przepisów ochrony danych osobowych grozi: ODPOWIEDZIALNOŚĆ ADMINISTRACYJNA ODPOWIEDZIALNOŚĆ DYSCYPLINARNA ODPOWIEDZIALNOŚĆ ODSZKODOWAWCZA ODPOWIEDZIALNOŚĆ KARNA ODPOWIEDZIALNOŚĆ FINANSOWA

ASI – informatyk na etacie, kierownik IT, firma zewnętrzna; KTO POWINIEN PISAĆ POLITYKĘ I INSTRUKCJĘ ORAZ NADZOROWAĆ ICH PRZESTRZEGANIE ? ABI i ASI (Informatyk) ABI – osoba ciesząca się zaufaniem Dyrektora i jednocześnie autorytetem u pracowników (kadry, sekretariat, administracja, marketing itp.) ASI – informatyk na etacie, kierownik IT, firma zewnętrzna; Możliwość korzystania z usług firm zewnętrznych – odpowiednia umowa powierzenia, imienne wskazanie osób.

DZIĘKUJĘ ZA UWAGĘ Piotr Glen www.wiknet.net.pl piotr.glen@wiknet.net.pl