RODO

Audyt bezpieczeństwa informacji nie jest tym samym co audyt zgodności z RODO. Audyt zgodności z RODO porusza sporo kwestii formalnych (takich jak np. posiadanie podstaw prawnych przetwarzania danych osobowych), natomiast audyt bezpieczeństwa informacji koncentruje się na bezpieczeństwie przechowywanych i wykorzystywanych danych. Kto, kiedy i jak powinien go przeprowadzić? »

Niektóre zdarzenia są wywoływane przez pracowników celowo (np. kradzieże baz danych w celu ich komercyjnej odsprzedaży). Inne wynikają z błędów pracowników, spowodowanych niewiedzą lub nieuwagą. Zarówno celowe działania pracownika, jak i te spowodowane jego lekkomyślnością lub niedbalstwem powinny być kwalifikowane jako incydenty z zakresu bezpieczeństwa danych. »

Z analizy przepisów ustawy o systemie informacji w ochronie zdrowia wynika, iż ustawodawca pozostawił podmiotom leczniczym wybór, czy chcą skorzystać z możliwości digitalizacji dokumentacji medycznej, a jeżeli tak, to w jakim zakresie. Usługodawca może zdigitalizować całość uprawnionej dokumentacji medycznej lub jej część według własnych kryteriów. Podmiot leczniczy może również przeprowadzać digitalizację etapami, według ustalonego harmonogramu lub planu. »

Większość placówek medycznych ma sieć Wi-Fi. Oprócz jej zalet, takich jak mobilny dostęp do danych o pacjencie, np. historii choroby, zdjęć czy wyników badań, wiążą się z nią zagrożenia. Sprawdź, jak chronić sieć Wi-Fi placówki medycznej. »

Konieczne jest szczególne zadbanie o pomieszczenia, w których pracują serwery czy pomieszczenia, gdzie dokumentacja jest przechowywana w postaci papierowej. Właściciel gabinetu musi zabezpieczyć je w taki sposób, by ochronić dokumentację przed zniszczeniem, utratą, dostępem osób nieuprawnionych, w tym przed kradzieżą, i zapewniać ciągłość poufności przetwarzania danych. »

Telemedycyna to przede wszystkim połączenie fachowej wiedzy oraz urządzeń i oprogramowania służących do wykorzystania tej wiedzy. Przepisy prawa nie zawierają wprost zalecenia, jakiego oprogramowania i sprzętu może używać lekarz (lub inna osoba wykonująca zawód medyczny) podczas udzielania porady za pośrednictwem środków porozumiewania się na odległość (teleporady). »

Centrum e-Zdrowia opracowało i udostępnia na stronie internetowej Polską Implementację Krajową HL7 CDA. Sprawdź, jakie dokładnie są założenia i wytyczne tego standardu. Nie zapominaj również o innych formach zabezpieczeń, np. szyfrowaniu wiadomości. Czy faktycznie jest to niezbędne? »

Przepisy RODO pozostawiają pewną swobodę odnośnie do sposobów zabezpieczania danych osobowych, kładąc nacisk na efekty, a nie na procedury. W przypadku elektronicznej dokumentacji medycznej należy jednak uwzględniać regulacje szczególne. »

Niektóre zdarzenia są wywoływane przez pracowników celowo (np. kradzieże baz danych w celu ich komercyjnej odsprzedaży). Inne wynikają z błędów pracowników, spowodowanych niewiedzą lub nieuwagą. Zarówno celowe działania pracownika, jak i te spowodowane jego lekkomyślnością lub niedbalstwem powinny być kwalifikowane jako incydenty z zakresu bezpieczeństwa danych. Sprawdź, jak tego uniknąć. »

Lekarze dentyści w ramach prowadzonych praktyk często zawierają umowy z dostawcami oprogramowania gabinetowego. Zawarcie takiej umowy nie zwalnia jednak gabinetu z odpowiedzialności za wykonywanie, jako administrator danych osobowych, obowiązków, które wynikają z RODO. »