fbpx

Obejrzyj nagranie wideo lub przeczytaj tekst, w którym tłumaczę w jaki sposób bezpiecznie przetwarzać dane związane ze stanem zdrowia Twoich pacjentów. Poznasz podstawowe zabezpieczenia, które można wprowadzić bez względu na budżet i wielkość organizacji. Włącz dźwięk lub przeczytaj transkrypcję nagrania poniżej. Czas trwania nagrania: 8 minut

Na co zwrócić uwagę, jeśli  przetwarzasz dane osobowe wrażliwe? Szczególne kategorie danych wymagają szczególnej ochrony. Poniżej znajdziesz kilka sugestii, które nawet przy niskim lub zerowym budżecie, pozwolą na zapewnienie podstawowych zasad bezpieczeństwa danych.

1. Upoważnienia do danych.

Zasada podstawowa, która powinna Ci towarzyszyć, to to, że dostęp do danych osobowych mogą mieć wyłącznie osoby upoważnione. Jeżeli pracują z Tobą inne osoby przy wykonywaniu usług związanych z danymi wrażliwymi – koniecznie nadaj im upoważnienia do przetwarzania danych.  Zwróć także uwagę, czy rzeczywiście są tą tylko i wyłącznie osoby, które powinny mieć do tego dostęp. Aby upoważnienie było zasadne dane osobowe wrażliwe muszą być tym osobom niezbędne do wykonywania swoich obowiązków. Sprawdź, czy nadałeś upoważnienia wszystkim osobom, które tego rzeczywiście wymagają. 

2. Zachowanie danych w tajemnicy. 

Zachowanie danych osobowych w tajemnicy zobowiązuje pracownika także po ukończeniu pracy. Zbieramy oświadczenia o zachowaniu danych w poufności i przechowujemy, na przykład w teczce osobowej pracownika. 

3. Uprawnienia do systemu i właściwe zabezpieczenie.

Jeżeli dane wrażliwe przetwarzasz w systemie informatycznym, w jakiejkolwiek formie, nawet jeżeli jest to tylko tabelka w Excelu, to również zastanów się czy dostęp do tego systemu mają właściwe osoby. Dostęp do systemu mogą mieć tylko osoby upoważnione, którym wcześniej nadałeś takie upoważnienie. 

Ważne jest zabezpieczenie systemu informatycznego. Trzeba zwrócić baczną uwagę na ten aspekt, ponieważ wyciek danych osobowych wrażliwych może skutkować wysokim ryzykiem naruszenia praw i wolności.  Osoba może ponieść szkodę niematerialną, na przykład związaną z ujawnieniem danych osobowych na jej temat.A to będzie skutkowało dla przykładu depresją, czy też pogorszeniem jej stanu zdrowia. W takiej sytuacji mamy już do czynienia z bardzo dużym ryzykiem naruszenia praw i wolności.  Tym bardziej więc trzeba zwrócić uwagę, na to, kto z personelu do czego w systemie informatycznym ma dostęp. 

Niezbędne jest hasło na system operacyjny. To tzw. hasło na komputer, które trzeba wprowadzić po uruchomieniu urządzenia, zanim jeszcze przejdziemy do właściwego systemu informatycznego, w którym są przetwarzane dane osobowe. 

Jeżeli dane są przetwarzane na urządzeniu mobilnym (laptop, tablet, telefon) i to urządzenie jest wynoszone poza obszar przetwarzania (poza teren podmiotu) to również trzeba zwrócić uwagę na właściwe zabezpieczenie, np. szyfrowanie dysku, aby w razie dostania się tego urządzenia w niepowołane ręce, nie był możliwy dostęp do danych, które się na tym urządzeniu znajdowały. 

Najlepszym rozwiązaniem jest korzystanie z systemów, które zapewniają nam dostęp w takiej formie, w której nie trzeba przechowywać danych bezpośrednio na dyskach komputera, czy na pulpicie. Bezpieczniej jest przechowywać dane w dedykowanych systemach informatycznych, do których dostęp chroniony jest loginem i hasłem. Zwracamy uwagę na to, aby bez potrzeby nie pobierać danych osobowych z tych systemów na urządzenia.

4. Zasada polityki czystego biurka. 

Czyste biurko to jest jedna z podstawowych zasad bezpieczeństwa informacji. 

Należy zwrócić uwagę czy nie dochodzi do sytuacji, w której np. pacjent podczas przebywania w okolicy rejestracji czy gabinetu może zobaczyć dane osobowe innego pacjenta. Zgodnie z tą zasadą wszelkie informacje i dokumenty należy zabezpieczyć przed dostępem osób niepowołanych. I w tym, także przed kolejnym pacjentem. Niemożliwe jest więc przechowywanie teczek kolejnych pacjentów na biurku. Po zakończeniu pracy, jeżeli dane osobowe nie są nam już dalej potrzebne, należy je zabezpieczyć w odpowiedniej formie. Powinno się zastosować co najmniej szafy lub szuflady, zamykane na klucz. 

Musimy też ocenić jakie jest ryzyko utraty danych i dostępu osób niepowołanych. Jeśli będzie to konieczne, zastanów się też nad wykorzystaniem szafy metalowej, która zapewni mniejsze ryzyko dostępu osób niepowołanych, np. w sytuacji włamania do Twojego gabinetu.

5. Zasada czystego ekranu. 

Czysty ekran mówi nam o tym, żeby uniemożliwić osobom trzecim dostęp do informacji wyświetlanych na ekranie. Podczas obsługi swojego pacjenta, zwróć uwagę, czy przypadkiem nie ma on dostępu do danych wyświetlanych na monitorze, które mogą dotyczyć poprzedniej osoby.  Czysty ekran to również wylogowywanie się, kiedy odchodzimy od swojego stanowiska pracy. Jeśli odwracamy swoją uwagę lub odchodzimy od swojego komputera, nawet tylko na chwilę, a w gabinecie lub przy biurku pozostaje pacjent lub inna osoba nieupoważniona, to należy się wylogować z systemu informatycznego.  To  uniemożliwi skutecznie tej osobie podgląd danych. W praktyce różne mogą być sytuacje i czasami ktoś przez przypadek lub celowo będzie chciał dostać się do naszego systemu informatycznego i do danych, które przetwarzamy na temat naszych pacjentów. 

Zgodnie z tą zasadą nie zostawiamy również klienta ani pacjenta samego w pomieszczeniu tak, aby uniemożliwić mu dostęp do informacji, które możemy mieć w tym pomieszczeniu zgromadzone (nie tylko w systemie, ale np. w teczkach pacjentów).

6. Zapewnienie komfortu przy obsłudze pacjenta. 

Jeżeli przetwarzasz dane wrażliwe i potrzebujesz informacji dotyczących przebytych chorób, dolegliwości, stanu zdrowia osoby do świadczenia usługi, to zwróć uwagę na to, czy w pobliżu nie znajdują się inne osoby, które nie powinny mieć dostępu do tych informacji.  Jak to osiągnąć? Przy rejestracji lub zamawianiu usługi czy wywoływaniu osoby do gabinetu, zwróć uwagę na to, by nie ujawniać danych osobowych i nie ujawniać chorób, na które może ta osoba potencjalnie cierpieć. Jeśli w poczekalni przed gabinetem jest kilka osób, zastanów się nad bezosobowym wywoływaniem, np. na zasadzie osoby na kolejną godzinę, na zasadzie „następny, proszę” lub też ewentualnie, po imieniu. Na pewno nie wywołuj po nazwisku, ani po innych zabiegach, na które osoba została zapisana, ponieważ pacjent może sobie tego nie życzyć. A w obecności innych osób będzie to prowadziło do ujawnienia  jego danych osobowych. Należy tutaj zachować szczególną ostrożność i zapewnić komfort przy przetwarzaniu danych wrażliwych, by całkowicie uniemożliwić dostęp do nich innym osobom.

7. Zasady udostępniania danych.

Jeżeli prowadzisz podmiot leczniczy, to muszą u Ciebie istnieć dokumenty, które dotyczą zasad udostępniania danych. Posiadanie takich procedur to Twój obowiązek. Określają to przepisy prawa. Natomiast, jeżeli świadczysz inne usługi zdrowotne, np. gabinet kosmetyczny, to również warto, nawet jeżeli przepisy prawa tego nie określają i od Ciebie nie wymagają, opracować sobie zasady ewentualnego udostępnienia danych. Jeżeli osoba, której dane dotyczą zwraca się o informacje na swój temat, to zanim je udzielisz upewnij się, że to jest ta właściwa osoba, której te dane dotyczą. I jeżeli udostępniasz informacje o stanie zdrowia, to udostępniaj tylko i wyłącznie właściwym osobom. Więcej informacji o zasadach udostępniania danych niebawem w kolejnych artykułach strefy wiedzy.

Sprawdź także informacje o tym, kiedy można przetwarzać dane wrażliwe, np. o stanie zdrowia. Artykuł i wideo na ten temat znajdziesz w strefie wiedzy tutaj.

RODO w gabinecie
error: Nie kopiujemy!