Cyfroteka.pl

klikaj i czytaj online

Cyfro
Czytomierz
00728 010508 11034240 na godz. na dobę w sumie
Ochrona danych medycznych według najnowszych przepisów. 25 praktycznych porad  - ebook/pdf
Ochrona danych medycznych według najnowszych przepisów. 25 praktycznych porad - ebook/pdf
Autor: Liczba stron: 104
Wydawca: Wiedza i Praktyka Język publikacji: polski
ISBN: 978-83-269-2239-8 Data wydania:
Lektor:
Kategoria: ebooki >> prawo i podatki
Porównaj ceny (książka, ebook, audiobook).

Od sierpnia 2014 r. zacznie obowiązywać nowy system elektronicznej wymiany dokumentów medycznych, co niesie ze sobą wiele zagrożeń dla placówki, w tym to najgroźniejsze wyciek poufnych danych spowodowany działaniami hakerskimi. Porady zawarte w niniejszej publikacji podpowiedzą, m.in.:
Jaki jest zakres odpowiedzialności lekarza i kierownika podmiotu za dokumentację medyczną?
Jakie są konsekwencje nieprawidłowego przetworzenia danych osobowych?
Kiedy plik zawierający dane medyczne staje się dokumentem elektronicznym?
Jakie są sposoby na zapewnienie bezpieczeństwa danych medycznych?
Jakie są procedury chroniące przed wyciekiem danych?

Znajdź podobne książki Ostatnio czytane w tej kategorii

Darmowy fragment publikacji:

Technologie medyczne Prawo IT Strategie inwestycyjne w medycynie E-zdrowie w praktyce Trendy w branży Polityka bezpieczeństwa danych Praca zbiorowa pod redakcją Mariusza Jendry OCHRONA DANYCH MEDYCZNYCH WEDŁUG NAJNOWSZYCH PRZEPISÓW PRENUMERATA Z RABATEM Prenumerata roczna 196 zł netto 205,80 zł brutto W Ó S I P E Z R P H C Y Z S W O N A N G U Ł D E J W H C Y N Z C Y D E M H C Y N A D Na 100 stronach kwartalnika: • wywiady, komentarze i opinie fachowców z branży IT • • porady i wskazówki opracowane przez doświadczonych ekspertów praktyczne przykłady wdrożeń elektronicznej dokumentacji medycznej A N O R H C O 25 praktycznych porad Elektroniczna Dokumentacja Medyczna Zamówienia na prenumeratę Centrum Obsługi Klienta: tel.: 22 518 29 29, e-mail: cok@wip.pl, NoweTechnologie@wip.pl Prenumerata roczna (4 wydania): 205,80 zł brutto + 36,89 zł brutto kosztów pakowania i wysyłki. 4 0 V B 1 Praca zbiorowa pod redakcją Mariusza Jendry Ochrona danych medycznych według najnowszych przepisów 25 PRAKTYCZNYCH PORAD Publikacja „Ochrona danych medycznych według najnowszych przepisów. 25 praktycznych porad” to zbiór najbardziej aktualnych odpowiedzi na problemy pojawiające się przy przetwarzaniu danych osobo­ wych pacjentów w szpitalach i innych placówkach medycznych. W systemach ochrony danych w każdej jednostce, w związku z uruchomieniem od połowy przyszłego roku elektronicznej wymiany dokumentów medycznych, będą musiały zostać uwzględnione nowe, specjalne procedury. Muszą one zabezpieczać pla­ cówki przed masowym wyciekiem danych, przetwarzanych w ich wewnętrznych systemach informatycz­ nych. Sektor zdrowia będzie musiał przygotować się na nieznane dotychczas zagrożenia związane z ata­ kami hakerskimi. Przetwarzanie dokumentacji w formie papierowej do tej pory wykluczało powstanie tego zjawiska. Publikacja zawiera 23 praktyczne porady oraz 2 przydatne wzory dokumentów. Książka uwzględnia stan prawny na marzec 2013 roku. Wybór na podstawie tekstów: Piotra Glen, Doroty Kaczmarczyk, Anny Zubkowskiej, Łukasza Siudaka, Krzysztofa Nyczaja, Pawła Piecucha, Jolanty Ziętek­Vargi, Jakuba Jurasza, Elizy Gossy, Pauliny Wójcik­ ­Lulki, Agnieszki Sieńko, Tomasza Ozga, Mariusza Jendry. Konsultacja merytoryczna Piotr Glen Redaktor naczelna grupy wydawniczej Aldona Kapica Wydawca Alina Sulgostowska Redaktor prowadzący Mariusz Jendra Korekta Zespół Koordynator produkcji Katarzyna Kopeć Skład i łamanie Dariusz Ziach Druk Miller Źródła foto: okładka – www.fotolia.pl ISBN 978­83­269­2239­8 Copyright by Wydawnictwo Wiedza i Praktyka sp. z o.o. Warszawa 2013 Wydawnictwo Wiedza i Praktyka sp. z o.o. ul. Łotewska 9a, 03­918 Warszawa tel. 22 518 29 29, faks 22 617 60 10, e­mail: cok@wip.pl NIP: 526­19­92­256, KRS: 0000098264 – Sąd rejonowy dla m.st. Warszawy w Warszawie, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego, Wysokość kapitału zakładowego 200.000 zł  2 SPIS TREŚCI ROZDZIAŁ 1. PRZETWARZANIE DANYCH OSOBOWYCH I DANYCH MEDYCZNYCH ..............................................................................................................................5 I. Przeszkolenie, nadanie uprawnień i zobowiązanie do zachowania tajemnicy ........................5 II. Dostęp osób upoważnionych oraz innych podmiotów do dokumentacji medycznej .......9 III. Udostępnianie dokumentacji placówkom współpracującym ............................................10 IV. Po zmianie lekarza – przekazanie danych innemu podmiotowi ........................................12 V. Dostęp do dokumentacji przez prezesa placówki niebędącego lekarzem ..........................15 ROZDZIAŁ 2. ODPOWIEDZIALNOŚĆ PRAWNA ZA BEZPIECZEŃSTWO DANYCH ........................................................................................................................................18 I. Zakres odpowiedzialności lekarza i kierownika podmiotu za dokumentację medyczną .........................................................................................................................................18 II. Konsekwencje nieprawidłowego przetwarzania danych osobowych .................................20 III. Nowe przepisy o kontroli baz danych medycznych obowiązujące od stycznia 2013 roku .........................................................................................................................................21 IV. Narzędzia służące do unikania błędów przy przetwarzaniu informacji wrażliwych.......22 ROZDZIAŁ 3. BEZPIECZEŃSTWO INFORMACJI A ELEKTRONICZNA DOKUMENTACJA MEDYCZNA ..............................................................................................25 I. Kiedy plik zawierający dane medyczne staje się dokumentem elektronicznym .................25 II. Wymogi dla systemu teleinformatycznego służącego do zarządzania dokumentami medycznymi ....................................................................................................................................26 III. Anonimizacja, pseudonimizacja i separacja – sposoby na zapewnienie bezpieczeństwa danych medycznych ...........................................................................................28 IV. Przepisy ustawowe i polskie normy dotyczące bezpieczeństwa danych ...........................33 3 Ochrona danych medycznych według najnowszych przepisów V. Identyfikacja pacjentów, zabezpieczenie sieci i procedury chroniące przed wyciekiem danych ...............................................................................................................37 VI. Zastosowanie norm ISO, zabezpieczenie pomieszczeń oraz likwidacja nośników danych ............................................................................................................................40 VII. Szyfrowanie tożsamości i danych medycznych pacjentów na opaskach szpitalnych ....43 VIII. Standaryzacja sposobu identyfikacji lekarza, pacjenta i skierowania ............................46 IX. Procedury wewnętrzne chroniące placówkę przed utratą danych ....................................49 ROZDZIAŁ 4. OUTSOURCING PRZETWARZANIA DANYCH ORAZ CLOUD COMPUTING W OCHRONIE ZDROWIA ...............................................54 I. Modele Cloud Computing a bezpieczeństwo danych w placówce medycznej ...................54 II. Szyfrowanie zabezpieczy dane przy zleceniu ich przetwarzania firmie zewnętrznej .......57 III. Zlecenie przetwarzania danych nie zwalnia od odpowiedzialności ..................................59 ROZDZIAŁ 5. POLITYKA BEZPIECZEŃSTWA INFORMACJI I INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM .........................................................64 I. Polityka bezpieczeństwa informacji podstawowym dokumentem określającym sposoby zabezpieczania danych w placówce ..............................................................................64 II. Instrukcja zarządzania systemem informatycznym .............................................................67 PODSTAWA PRAWNA ...............................................................................................................79 Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych ....................................................79 4 ROZDZIAŁ 1. PRZETwARZAnIE DAnyCh OSObOwyCh I DAnyCh mEDyCZnyCh I. Przeszkolenie, nadanie uprawnień i zobowiązanie do zachowania tajemnicy Do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby przeszkolone, zobowiązane do zachowania tajemnicy. Przetwarzaniem nazywa­ my jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbie­ ranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostęp­ nianie i usuwanie. Oznacza to, że przetwarzaniem jest już samo przeglądanie danych. Takie rozumienie przetwarzania danych wynika z ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Za przetwarzanie danych bez upoważnienia grozi z reguły grzywna, a w przy­ padku notorycznego łamania przepisów – nawet do dwóch lat więzienia (art. 49 ustawy o ochronie danych osobowych). Administrator zbioru danych (właściciel placówki, prezes), który umożliwia dostęp do nich osobom nieupoważnionym albo nie zabezpiecza ich odpowiednio, również może być pociągnięty do odpo­ wiedzialności (szerzej o odpowiedzialności w rozdziale 2). Najlepszym sposobem na zabezpieczenie się przed nieprawidłowym przetwarza­ niem danych są szkolenia dla pracowników. Przepisy wspomnianej ustawy nie precyzują trybu i częstotliwości organizowania takich kursów. Jednak to w inte­ resie administratora danych (właściciela placówki) jest poinformowanie wszyst­ kich pracowników o obowiązujących przepisach. Administrator danych odpo­ wiedzialny jest też za późniejsze kontrolowanie sposobu przetwarzania danych i w razie potrzeby skorygowanie błędów. Warto więc żeby szkolenia takie odby­ wały się regularnie, w zależności od zauważonych potrzeb. Stałe edukowanie użytkowników jest podstawowym sposobem na zminimalizowanie ryzyka wy­ cieku informacji wrażliwych z systemów informatycznych. 5 Ochrona danych medycznych według najnowszych przepisów Jak rozróżnić administratorów w placówce? W podmiocie medycznym zazwyczaj występuje trzech różnych administrato­ rów odpowiedzialnych za przetwarzanie danych: ▶ Administrator danych – organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych, np. szpital lub przy­ chodnia reprezentowana przez właściciela (dyrektora, prezesa itd.). ▶ Administrator bezpieczeństwa informacji (ABI) – osoba wyznaczona przez administratora danych, nadzorująca przestrzeganie zasad ochrony prze­ twarzanych danych osobowych i informacji chronionych prawem. ▶ Administrator systemu informatycznego (ASI) – informatyk wyznaczony przez administratora danych, odpowiedzialny za poprawne funkcjonowanie sprzętu, oprogramowania i jego konserwację, za techniczno­organizacyjną obsługę systemu teleinformatycznego. Za organizację szkoleń powinien odpowiadać (wyznaczony przez administratora danych) administrator bezpieczeństwa informacji (ABI). Może je prowadzić samo­ dzielnie lub też korzystać z pomocy specjalistów – praktyków w konkretnych zagadnieniach. Dopuszczalne jest również wysyłanie kierowników działów na szkolenia i konferencje otwarte. Muszą oni jednak później samodzielnie prze­ szkolić z tego zakresu swoich pracowników. Nieodzowne są natomiast szkolenia stanowiskowe, czyli przy komputerze użyt­ kownika, przeprowadzane przez informatyka – administratora systemu infor­ matycznego (ASI). Informatyk, na komputerze obsługiwanym na co dzień przez pracownika, powinien pokazać, jak w praktyce chronić dane m.in. poprzez system logowania i cyklicznych zmian haseł. Każdy użytkownik systemu informatycz­ nego przetwarzającego dane osobowe powinien mieć umiejętność bezpiecznej obsługi komputera oraz posiadać dobrą znajomość oprogramowania systemo­ wego i operacyjnego, z którego będzie korzystał. Liczy się przede wszystkim praktyczna wiedza i umiejętność jej stosowania. Dowodem na przeszkolenie pracownika jest podpisana lista obecności ze szkolenia oraz pisemne oświadczenie pracownika o tym, że został zaznajomiony z zasadami ochrony danych osobowych. nadanie uprawnień do przetwarzania informacji Po odbyciu przeszkolenia pracownicy powinni otrzymać upoważnienia do prze­ twarzania danych. Muszą je dostać wszystkie osoby zatrudnione przy przetwa­ 6 Przetwarzanie danych osobowych i danych medycznych rzaniu informacji osobowych, ale również praktykanci i stażyści. Upoważnienie powinno zawierać informacje, jakie uprawnienia ma dana osoba i w jakim zakre­ sie uprawniona jest do przetwarzania danych. wzór upoważnienia do przetwarzania danych osobowych Data nadania upoważnienia: ..................................... Upoważnienie do przetwarzania danych osobowych 1. Upoważniam Panią/Pana ................................................................................... zatrudnioną/­ego na stanowisku ....................................................................... w ............................................................................................................................ (imię i nazwisko upoważnianego) (nazwa administratora – pracodawcy) do dostępu do następujących danych osobowych: – ............................................................................................................................ – ............................................................................................................................ – ............................................................................................................................ (zakres upoważnienia: wskazanie kategorii danych, które może przetwarzać określona w upoważnieniu osoba, lub rodzaj czynności lub operacji, jakich może dokonywać na danych osobowych) 2. Identyfikator: ....................................................................................................... (wypełnia się w przypadku, gdy dane przetwarzane są w systemie informatycznym) 3. Okres trwania upoważnienia: ............................................................................ (okres obowiązywania upoważnienia) Wystawił: .............................................................................................................. (podpis administratora lub osoby reprezentującej administratora) 4. Osoba upoważniona do przetwarzania danych, objętych zakresem, o którym mowa wyżej, jest zobowiązana do zachowania ich w tajemnicy, również po ustaniu zatrudnienia oraz zachowania w tajemnicy informacji o ich zabez­ pieczeniu. Data i podpis osoby upoważnionej: ....................................................................... 7 Ochrona danych medycznych według najnowszych przepisów W przepisach ustawy o ochronie danych osobowych ani w rozporządzeniach wykonawczych nie określono wzoru upoważnienia. Każdy administrator danych powinien wypracować odpowiedni dla siebie, jak również przystający do organi­ zacji jednostki, formularz nadawania uprawnień. Taka procedura powinna być opisana w polityce bezpieczeństwa informacji lub instrukcji zarządzania syste­ mem informatycznym. Do przetwarzania jakich danych upoważniona jest rejestratorka? W przypadku recepcjonistek i rejestratorek, jako pracowników wykonujących zawód niemedyczny, upoważnienie do przetwarzania danych może zawierać uprawnienia do wglądu, wprowadzania, nanoszenia zmian (modyfikowania), ewentualnie przekazywania danych osobowych, z ograniczonym dostępem do historii choroby. Upoważnienie powinno zobowiązywać pracownika do dołożenia szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Dlatego na stanowiskach, na których przetwarzane są dane osobowe, muszą je mieć wszyscy pracownicy. Dotyczy to nie tylko lekarzy, ale też osób niewykonujących zawo­ dów medycznych, np. recepcjonistek, sekretarek, informatyków. Kolejnym obowiązkiem pracodawcy jest prowadzenie ewidencji osób, które mają upoważnienia do przetwarzania danych. Wynika tak z art. 39 ustawy o ochronie danych osobowych. Ewidencja  musi zawierać imiona i  nazwiska wszystkich upoważnionych przez administratora do wykorzystywania danych osobowych, daty nadania i ustania upoważnienia oraz jego zakres. Jeżeli dane przetwarzane są w sieci komputerowej, ewidencja powinna również obejmować identyfikatory osób (np. pierwsza litera imienia i nazwisko) dopuszczonych do przetwarzania danych. Zobowiązanie do zachowania tajemnicy Bardzo ważne jest zobowiązanie do zachowania tajemnicy danych osobowych. Przy przetwarzaniu danych osobowych znaczenie ma nie tylko tajemnica lekarska. Tajemnica danych osobowych zobowiązuje (również lekarzy) do beztermino­ wego zachowania poufności przetwarzanych danych osobowych, a także spo­ sobów ich zabezpieczenia. Należy przy tym pamiętać, że dane osobowe należy rozumieć jako wszelkie informacje dotyczące możliwej do zidentyfikowania osoby 8 Przetwarzanie danych osobowych i danych medycznych fizycznej. Pojęcie to obejmuje więc również numery identyfikacyjne (np. NIP, RESEL) czy specyficzne czynniki określające cechy fizyczne, fizjologiczne, umy­ słowe, ekonomiczne, kulturowe lub społeczne (np. nietypowy wzrost, specyficzny kształt uszu, pochodzenie z innego kraju). Takich szeroko rozumianych danych osobowych nigdy nie wolno ujawniać publicznie. Dokumentacja medyczna chroniona jest szczególnym reżimem prawnym (wynikającym z art. 40 ustawy 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty), ale i dane osobowe nie mogą być udostępnione osobom nieupoważnionym, zabrane przez osobę nie­ uprawnioną, utracone, uszkodzone lub zniszczone. II. Dostęp osób upoważnionych oraz innych podmiotów do dokumentacji medycznej Osobami, którym podmiot udzielający świadczeń zdrowotnych udostępnia do­ kumentację medyczną, są przede wszystkim: przedstawiciel ustawowy pacjenta lub osoba przez niego upoważniona. Pacjent może wskazać dowolną liczbę osób, które upoważnia do wglądu do swojej dokumentacji medycznej. W przypadku śmierci pacjenta, w myśl przepisów ustawy z 6 listopada 2008 r. o prawach pa­ cjenta i Rzeczniku Praw Pacjenta, prawo wglądu do dokumentacji medycznej ma tylko osoba upoważniona przez niego w tym celu za życia. Zatem krąg osób upo­ ważnionych do wglądu do dokumentacji medycznej nie może zostać rozszerzony po śmierci pacjenta. Należy zatem pamiętać, że wbrew powszechnej opinii pokrewieństwo nie daje prawa do uzyskania dostępu do dokumentacji medycznej. Konieczne jest posiadanie upoważnienia, nawet jeśli o wgląd do dokumentacji ubiegają się bliscy zmarłego pacjenta. Kto z urzędu ma prawo wglądu do dokumentacji medycznej? Poza osobami upoważnionymi przez pacjenta wgląd do jego dokumentacji, na podstawie art. 26 ust. 3 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, przysługuje także: ▶ podmiotom udzielającym świadczeń zdrowotnych, jeżeli dokumentacja ta jest niezbędna do zapewnienia ciągłości tych świadczeń, ▶ organom władzy publicznej, Narodowemu Funduszowi Zdrowia, organom samorządów medycznych oraz konsultantom krajowym i wojewódzkim – 9
Pobierz darmowy fragment (pdf)

Gdzie kupić całą publikację:

Ochrona danych medycznych według najnowszych przepisów. 25 praktycznych porad
Autor:

Opinie na temat publikacji:


Inne popularne pozycje z tej kategorii:


Czytaj również:


Prowadzisz stronę lub blog? Wstaw link do fragmentu tej książki i współpracuj z Cyfroteką: