Ochrona danych medycznych w 2015 r.
Prawo, praktyka, wzory dokumentów według najnowszych przepisów
Placówki medyczne intensywnie przygotowują się do wdrożenia nowych systemów umożliwiających
elektroniczną wymianę dokumentów medycznych, co niesie ze sobą wiele zagrożeń dla
placówki, w tym to najgroźniejsze – wyciek poufnych danych spowodowany działaniami
hakerskimi.
Porady zawarte w niniejszej publikacji podpowiedzą m.in.:
• Jak zabezpieczyć placówkę przed wyciekiem danych medycznych;
• Jak wygląda sprawa upoważnień do wglądu do danych pacjenta dla jego bliskich;
• Czy można gromadzić dane osobowe bez zgody pacjenta;
• Jak wygląda sprawa przenoszenia i udostępniania dokumentacji medycznej;
• Jakie są kary za zgubienie dokumentacji medycznej.
Poradnik omawia najczęściej pojawiające się problemy związane z
zarządzaniem systemem informacyjnym w placówce, począwszy od przetwarzania danych
osobowych i danych medycznych, odpowiedzialności prawnej za bezpieczeństwo danych po
bezpieczeństwo informacji w kontekście elektronicznej dokumentacji medycznej.
I. ZMIANY PRAWNE W OCHRONIE DANYCH OSOBOWYCH OBOWIĄZUJĄCE OD 1 STYCZNIA 2015
R
II. KONTROLA BEZPIECZEŃSTWA DANYCH MEDYCZNYCH
1. Jak wygląda kontrola Generalnego Inspektora Ochrony Danych Osobowych
2. 13 obszarów ochrony danych podlegających kontroli inspektorów GIODO
3. Jak przygotować się do kontroli inspektorów ochrony danych osobowych
4. Procedura na wypadek naruszenia bezpieczeństwa danych
III. PORADY PRAWNE ZWIĄZANE Z OCHRONĄ DANYCH OSOBOWYCH W PLACÓWCE MEDYCZNEJ
1. Jak zabezpieczyć placówkę przed wyciekiem danych medycznych
2. Ochrona serwerów placówki przed atakiem hakerów
3. Czy można gromadzić dane osobowe bez zgody pacjenta
4. Jak nie naruszać intymności pacjenta
5. Czy upoważniony może usunąć swoje dane z dokumentacji medycznej
6. Czy upoważnienie może dotyczyć tylko części dokumentacji medycznej
7. Czy placówki mogą zbierać dane "na zapas"
8. Jakość wpisów w dokumentacji medycznej - "niemy świadek" procesu leczenia
9. Kary za zgubienie dokumentacji medycznej
10. Ubezpieczyciel może żądać dokumentacji zmarłego pacjenta
11. Zawartość umowy o powierzenie danych podmiotowi trzeciemu (firmie przechowującej
dane)
IV. PRAKTYKA OCHRONY DANYCH - ODPOWIEDZI NA NAJCZĘŚCIEJ ZADAWANE PYTANIA
1. Upoważnienie do przetwarzania danych
Czy informatyk może mieć dostęp do dokumentacji medycznej
Jak się zabezpieczyć przed nieoczekiwaną nieobecnością głównego informatyka
Czy upoważnienie do przetwarzania danych osobowych może być wydane w formie
służbowego e-maila, który byłby następnie zachowany w celach dowodowych
Czy recepcjonistka lub asystentka wydająca lub wypisująca wyniki badań musi mieć
upoważnienie do przetwarzania danych osobowych
Czy serwisant z firmy zewnętrznej mający dostęp do sprzętu medycznego, np. tomografu
lub aparatów USG, ma mieć upoważnienie do przetwarzania danych
Czy wolontariusze to osoby upoważnione do przetwarzania danych, czy nadaje się im
upoważnienia do przetwarzania danych osobowych
Czy osoba, która zajmuje się przetargami i przygotowuje różne oferty, powinna mieć
nadane upoważnienie do przetwarzania danych
Czy szkolenia z zakresu ochrony danych dla personelu są obowiązkowe
Czy każdy pracownik placówki ochrony zdrowia musi posiadać upoważnienie do
przetwarzania danych osobowych i czy to musi
być osobny, szczegółowy dokument
2. Potwierdzenie tożsamości
Jak zidentyfikować i potwierdzić tożsamość osoby dzwoniącej do placówki ochrony
zdrowia, która pyta o wyniki swoich badań Pracuję w Zakładzie Lecznictwa
Odwykowego. Bardzo często dzwonią do nas kuratorzy sądowi, policja, sąd czy też
rodziny pacjentów z pytaniem, czy wymieniony z nazwiska Pan/Pani u nas przebywa.
Czy odpowiedź na zasadzie tak/nie bez podania jakichkolwiek innych danych o leczeniu jest
naruszeniem ustawy
3. Ochrona danych lekarzy
Czy na stronie internetowej przychodni można zamieścić zdjęcia zatrudnionych lekarzy
Czy miesięczne wynagrodzenie dyrektora szpitala to informacja publiczna
4. Przenoszenie i wydawanie dokumentacji
Czy zakład opieki zdrowotnej może odmówić mężowi wydania dokumentacji medycznej
dotyczącej żony
Pacjent, w związku ze zmianą miejsca zamieszkania, chce przenieść się do innej
przychodni. Zażądał, aby nasza placówka przekazała jego dotychczasową dokumentację
medyczną do nowej przychodni. Dodam, że nasz podmiot jeszcze nie wdrożył
elektronicznej dokumentacji medycznej, więc wszystkie dane przechowywane są w formie
papierowej. Czy jego roszczenie jest zasadne
5. Zgoda pacjenta
Czy pacjent może wyrazić zgodę na leczenie, jednocześnie nie wyrażając zgody na
przetwarzanie jego danych
Czv osoba rejestrująca się w przychodni może odmówić podania numeru PESEL
Czy na wysłanie maiła lub SMS-a z przypomnieniem o zaplanowanej wizycie u lekarza
potrzebna jest pisemna zgoda pacjenta
6. Prawo do informowania
Czy osoba żyjąca w konkubinacie lub związku nieformalnym np. homoseksualnym, może być
poinformowana o stanie zdrowia osoby jej bliskiej przebywającej w szpitalu
7. Rejestracja zbiorów danych osobowych
Czy podmioty udzielające świadczeń zdrowotnych mają obowiązek rejestracji zbiorów
danych osobowych swoich pacjentów u Generalnego Inspektora Ochrony Danych Osobowych
8. Powierzenie przetwarzania danych
Lekarz prowadzący własną praktykę na podstawie umowy zlecenia wykonuje badania
genetyczne pacjentom szpitala. Używa w tym celu własnego komputera i programu. Wyniki
badań są zapisywane na jego twardym dysku. Jak to uregulować formalnie i zgodnie z
przepisami związanymi z ochroną danych osobowych i prawami pacjenta
Czy dyrektor szpitala może przekazać dane osobowe pacjentów do przyszpitalnej szkoły
Czy z zewnętrznym laboratorium lub inną specjalistyczną placówką medyczną
wykonującą usługi dla administratora danych potrzebna jest umowa powierzenia
9. Polityka haseł
Czy dyrektor szpitala lub inny administrator danych może mieć u siebie zdeponowane
hasła użytkowników, na wypadek gdy pracownik zapomni swojego
Czy polityka haseł opisana w "Instrukcji zarządzania systemem informatycznym"
administratora danych może narzucać obowiązek zmiany hasła co 60 lub 90 dni
Czy w przypadku umowy o serwis oprogramowania lub urządzeń medycznych pracownicy
serwisujący mogą korzystać z haseł naszych pracowników w ich obecności
10. Naruszenie ochrony danych
Czy naruszenie ochrony danych w placówce leczniczej trzeba zgłaszać do Generalnego
Inspektora Ochrony Danych Osobowych lub innego organu
11. Udostępnienie informacji
Czy zakład pracy może zwrócić się do ZOZ-u z prośbą o udostępnienie informacji
dotyczącej stanu zdrowia pracownika na potrzeby prowadzonego postępowania powypadkowego
12. Rola ABI
Czy ABI to wyodrębniony etat i samodzielne stanowisko pracy
13. Ochrona wizerunku (monitoring)
Czy w przypadku stosowania monitoringu wizyjnego w sali dzieci młodszych oddziału
dziecięcego lub na oddziale porodowym należy uzyskać zgodę rodziców na przetwarzanie
wizerunku ich dzieci
14. Przechowywanie i zabezpieczenie dokumentacji
Z czego wynika i w jakim celu narzucony jest obowiązek inwentaryzacji sprzętu i
oprogramowania służącego do przetwarzania danych osobowych i medycznych
Czy papierową dokumentację medyczną należy przechowywać w metalowych szafach
Jakie przepisy prawa mówią o tym, że papierowa dokumentacja medyczna musi być
przechowywana w zamkniętych metalowych szafach
15. Przetwarzanie danych
Czy dopuszczalne jest umieszczanie przed gabinetami lekarskimi list z nazwiskami pacjentów
zapisanych na dany dzień na wizytę lekarską
Czy w dokumentacji medycznej można przechowywać ksero dowodu osobistego lub paszportu
pacjenta
V. WZORY FORMULARZY
Upoważnienie do przetwarzania danych osobowych
Ewidencja osób upoważnionych do przetwarzania danych
Oświadczenie o upoważnieniu osoby bliskiej do zasięgania informacji o stanie zdrowia
Oświadczenie o braku upoważnienia do zasięgania informacji o stanie zdrowia
Upoważnienie do dostępu do dokumentacji medycznej
Jawny wykaz zbiorów danych osobowych
Roczny program sprawdzenia zgodności przetwarzania danych osobowych z przepisami o
ochronie danych osobowych
VI. PODSTAWA PRAWNA
116 stron, Format: 16.5x23.5cm, oprawa miękka
