W połowie przyszłego roku, w każdej placówce medycznej zostanie uruchomiony system elektronicznej wymiany dokumentów medycznych, a tym samym pojawi się nowe, realne źródło zagrożenia dla przetwarzanych w placówkach medycznych elektronicznych danych osobowych i medycznych. Menedżerowie, aby dobrze zabezpieczyć placówkę np. przed potencjalnymi atakami hakerów lub wyciekiem danych przetwarzanych w wykorzystaniem sieci wi-fi, muszą bezwzględnie w ciągu najbliższego roku, opracować i wdrożyć politykę bezpieczeństwa informacji w placówkach medycznych. W niniejszym poradniku zawarto 23 praktyczne porady i 2 wzory dokumentów, dzięki którym bez problemu zapewnisz wysoki poziom bezpieczeństwa danych osobowych i medycznych w placówce. Poradnik omawia najczęściej pojawiające się problemy związane z zarządzaniem systemem informacyjnym w placówce, począwszy od przetwarzania danych osobowych i danych medycznych, odpowiedzialności prawnej za bezpieczeństwo danych, po bezpieczeństwo informacji w kontekście elektronicznej dokumentacji medycznej. Publikacja udziela odpowiedzi na kluczowe pytania dotyczące bezpieczeństwa danych, m.in.:: • Jaki jest zakres odpowiedzialności lekarza i kierownika podmiotu za dokumentację medyczną? • Jakie są konsekwencje nieprawidłowego przetworzenia danych osobowych? • Kiedy plik zawierający dane medyczne staje się dokumentem elektronicznym? • Jakie są sposoby na zapewnienie bezpieczeństwa danych medycznych? • Jakie są procedury chroniące przed wyciekiem danych? Zawarte w publikacji wskazówki pozwolą uniknąć menedżerom i właścicielom placówek dotkliwych konsekwencji - karnej lub grzywny za nieprawidłowe przetwarzanie danych osobowych nałożonych przez GIODO. Publikacja została uzupełniona o kluczowe, przy opracowywaniu polityki bezpieczeństwa informacji w podmiocie leczniczym, wzory dokumentów oraz tekst Ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Stan prawny na dzień 1 kwietnia 2013 r.
ROZDZIAŁ 1. PRZETWARZANIE DANYCH OSOBOWYCH I DANYCH MEDYCZNYCH I. Przeszkolenie, nadanie uprawnień i zobowiązanie do zachowania tajemnicy II. Dostęp osób upoważnionych oraz innych podmiotów do dokumentacji medycznej III. Udostępnianie dokumentacji placówkom współpracującym IV. Po zmianie lekarza – przekazanie danych innemu podmiotowi V. Dostęp do dokumentacji przez prezesa placówki niebędącego lekarzem ROZDZIAŁ 2. ODPOWIEDZIALNOŚĆ PRAWNA ZA BEZPIECZEŃSTWO DANYCH I. Zakres odpowiedzialności lekarza i kierownika podmiotu za dokumentację medyczną II. Konsekwencje nieprawidłowego przetwarzania danych osobowych III. Nowe przepisy o kontroli baz danych medycznych obowiązujące od stycznia 2013 roku IV. Narzędzia służące do unikania błędów przy przetwarzaniu informacji wrażliwych ROZDZIAŁ 3. BEZPIECZEŃSTWO INFORMACJI A ELEKTRONICZNA DOKUMENTACJA MEDYCZNA I. Kiedy plik zawierający dane medyczne staje się dokumentem elektronicznym II. Wymogi dla systemu teleinformatycznego służącego do zarządzania dokumentami medycznymi III. Anonimizacja, pseudonimizacja i separacja – sposoby na zapewnienie bezpieczeństwa danych medycznych IV. Przepisy ustawowe i polskie normy dotyczące bezpieczeństwa danych V. Identyfikacja pacjentów, zabezpieczenie sieci i procedury chroniące przed wyciekiem danych VI. Zastosowanie norm ISO, zabezpieczenie pomieszczeń oraz likwidacja nośników danych VII. Szyfrowanie tożsamości i danych medycznych pacjentów na opaskach szpitalnych VIII. Standaryzacja sposobu identyfikacji lekarza, pacjenta i skierowania IX. Procedury wewnętrzne chroniące placówkę przed utratą danych ROZDZIAŁ 4. OUTSOURCING PRZETWARZANIA DANYCH ORAZ CLOUD COMPUTING W OCHRONIE ZDROWIA I. Modele Cloud Computing a bezpieczeństwo danych w placówce medycznej II. Szyfrowanie zabezpieczy dane przy zleceniu ich przetwarzania firmie zewnętrznej III. Zlecenie przetwarzania danych nie zwalnia od odpowiedzialności ROZDZIAŁ 5. POLITYKA BEZPIECZEŃSTWA INFORMACJI I INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM I. Polityka bezpieczeństwa informacji podstawowym dokumentem określającym sposoby zabezpieczania danych w placówce II. Instrukcja zarządzania systemem informatycznym PODSTAWA PRAWNA Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych