Nieodłącznym elementem udzielania świadczeń zdrowotnych jest przetwarzanie danych osobowych. Dlatego określono wymagania dla systemów informatycznych, w których placówki medyczne przetwarzają dokumentację medyczną. Ma to służyć przede wszystkim zapewnieniu bezpieczeństwa danych wrażliwych. Sprawdź, jakie wymogi powinna spełnić placówka.
Podmioty lecznicze nie zapewniają odpowiedniego bezpieczeństwa danych, które przetwarzają w zakresie przechowywania kopii zapasowych. Nawet jeśli wykonują kopie zapasowe, to są one przechowywane w tych samych miejscach, co dane główne. Najwyższa Izba Kontroli podkreśla, że jest to niezgodne z przepisami RODO.
Organy nadzorcze przywiązują dużą wagę do właściwego zabezpieczania danych osobowych. Świadczą o tym sprawy rozpatrywane w ostatnim czasie przez polski, francuski i brytyjski organ nadzorczy. Dla przykładu we Francji nałożono na portal świadczący usługi ubezpieczeniowe karę w wysokości 180 000 euro za niewłaściwe zabezpieczenie danych osobowych (za słabe hasła, silniejszych haseł i przekazywanie ich przez spółkę niezabezpieczonym odpowiednio e-mailem). W Wielkiej Brytanii ukarano agencję nieruchomości w wysokości 80 000 GBP za błędną konfigurację systemu – nie wyłączono funkcji „uwierzytelniania anonimowego” – przy przekazywaniu danych klientów między agencją a innym podmiotem.
Przepisy RODO dość lakonicznie traktują kwestie związane z zabezpieczeniami danych i nie dają w tym temacie wielu wskazówek. Wiadomo, że administrator danych osobowych danej placówki powinien wdrożyć odpowiednie techniczne i organizacyjne środki, ale jak w praktyce je wybrać i stosować?
Bezpieczeństwo informatyczne to jedno z ważniejszych wyzwań, przed jakimi stoją podmioty publiczne, a tym samym administratorzy danych osobowych. Aby dobrze się do niego przygotować, trzeba posiadać aktualną wiedzę o zagrożeniach dla danych i kwestiach związanych z ich zabezpieczaniem. Sprawdź, czy Twoja placówka posiada poprawne instrukcje.
Prawie 2 mln zł kary dla szpitala Haga za brak odpowiedniego systemu zabezpieczenia dokumentacji pacjentów, niewdrożenie uwierzytelniania dwuskładnikowego oraz brak weryfikacji rejestru osób upoważnionych do przetwarzania danych osobowych w placówce.
Nowa dokumentacja, przygotowanie i przeszkolenie pracowników w zakresie nowych obowiązków, przeprowadzania audytów to tylko niektóre z wydatków, jakie czekają podmioty ochrony zdrowia zaliczane do operatorów usług kluczowych na podstawie ustawy o krajowym systemie bezpieczeństwa.
Zasady bezpiecznego przetwarzania danych osobowych, jakich musi przestrzegać ADO wiążą się często z kwestiami technicznymi oraz informatycznymi. Robienie kopii zapasowych, prowadzenie polityki haseł, aktualizacja oprogramowania np. antywirusowego, czy też monitoring sieci i poczty, to tylko niektóre z zadań, o jakie musi zadbać administrator placówki. Sprawdź, jak przygotować się na takie obowiązki, aby nie dać się zaskoczyć podczas kontroli UODO.
© Wiedza i Praktyka
/WiedzaiPraktyka
/wip
Chcesz otrzymywać powiadomienia o zmianach prawnych, webinariach i wydarzeniach branżowych?
Wyrażając zgodę na otrzymywanie powyższych powiadomień, oświadczam iż zapoznałem/am się z Regulaminem usługi i zgadzam się na stosowanie jego postanowień.