GoldenLine
Zaloguj się
Sławek Wójcik

Sławek Wójcik Jeśli masz temat do
omówienia,
zapraszam. 10 lat
zajmuję ...

Temat: PYTANIE: baza danych wrażliwych

Hej

mam pytanie do osób zorientowanych w temacie odnośnie gromadzenia danych na temat pacjentów.

Załóżmy, że jest sobie dentysta, który potrzebuje prostego CMSa do zarządzania pacjentami,w którym mógłby dodawać pacjenta, termin wizyt, zbierać dane na temat ostatnich wizyt, historii świadczonych usług etc.

Generalnie takie możliwości daje wiele programów instalowanych na kompie do zarządzania gabinetem. Klient jednak chciałby mieć to na serwerze w formie CMS.

Oczywiście, link do oprogramowania nie byłby nigdzie publikowany, byłby tylko dostępny dla właściciela za pośrednictwem panelu logowania.

Pytanie brzmi, czy w trakcie tworzenia takiego niepublicznego systemu trzeba spełnić jakieś dodatkowe normy w kwestii gromadzenia danych pacjentów - GIODO etc, jakieś specjalne zabezpieczenia?

Ewentualnie prosiłbym o skierowanie mnie na właściwe tory (linki), które traktują w tym zakresieSławek W. edytował(a) ten post dnia 08.02.10 o godzinie 14:03
Link do wypowiedziLink
Andrzej Hamankiewicz

Andrzej Hamankiewicz Internet &
E-commerce Expert

Temat: PYTANIE: baza danych wrażliwych

Najlepiej i najbezpieczniej niech klient zgłosi bazę danych do GIODO. Można również skorzystać z usługi firmy hostingowej, która oferuje hosting GIODO i spełnia ich warunki. Ja polecam Hostersów (http://hostersi.pl).
Link do wypowiedziLink
Wojciech Małota

Wojciech Małota Programista

Temat: PYTANIE: baza danych wrażliwych

Sławek W.:
Pytanie brzmi, czy w trakcie tworzenia takiego niepublicznego systemu trzeba spełnić jakieś dodatkowe normy w kwestii gromadzenia danych pacjentów - GIODO etc, jakieś specjalne zabezpieczenia?

Twoja baza podpada pod ustawę o ochronie danych osobowych z uwzględnieniem przepisów o przechowywaniu danych wrażliwych (dane o stanie zdrowia). Dodatkowo w Twoim przypadku przetwarzanie danych osobowych będzie miało miejsce na serwerze podłączonym do sieci publicznej (Internet) w związku z tym podpadasz pod najostrzejsze wymogi bezpieczeństwa dotyczące zabezpieczenia serwerów.
Ewentualnie prosiłbym o skierowanie mnie na właściwe tory (linki), które traktują w tym zakresie

Lektury obowiązkowe:
1. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych z późniejszymi zmianami,

2. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,

3. https://edugiodo.giodo.gov.pl/

Gdybyś potrzebował komercyjnej pomocy związanej z zagadnieniami ochrony danych osobowych to zapraszam na priv. Moja firma świadczy usługi prawne związane z ochroną danych osobowych (rejestracja, dokumentacja etc.) oraz odpowiedni hosting spełniający ustawowe wymagania.
Link do wypowiedziLink
Paweł Smoliński

Paweł Smoliński IT Handyman

Temat: PYTANIE: baza danych wrażliwych

Andrzej Hamankiewicz:
Najlepiej i najbezpieczniej niech klient zgłosi bazę danych do GIODO. Można również skorzystać z usługi firmy hostingowej, która oferuje hosting GIODO i spełnia ich warunki. Ja polecam Hostersów (http://hostersi.pl).
Odnośnie obowiązujących tutaj przepisów prawa nie jestem biegły, ale czy:
a) umieszczenie na serwerze firmy hostingowej spełniającej wszystkie warunki GIODO itp. bazy danych wrażliwych i wypuszczenie tych danych na zewnątrz poprzez webservice (z autoryzacją przez login/hasło + filtracja po IPku dla bezpieczeństwa)
b) postawienie CMSa, który kontaktowałby się z ów bazą poprzez taki webservice
byłoby rozwiązaniem problemu?
Link do wypowiedziLink
Grzegorz K.

Grzegorz K. Angular, JavaScript,
Frontend, UI

Temat: PYTANIE: baza danych wrażliwych

Sławek W.:
...

Hej

Przede wszystkim ustawa o ochronie danych osobowych prezycuje kto, po co i w jakim zakresie jest uprawniony do przetwarzania danych osobowych. W Twoim przypadku takim podmiotem będzie ów stomatolog, który musi rejestrować i przetwarzać dane w celu realizacji umowy (wykonania usługi) - art 23 punkt 3.

Należy pamiętać, że nie każdy Administrator Danych Osobowych musi składać wnioski do GIODO - mówi o tym dokładnie art.43 punkt 5, co ma zastosowanie w tym konkretnym przypadku.

Jeśli chodzi o sam soft to bardzo wskazane jest, żebyś zadbał o odpowiedni poziom bezpieczeństwa (mówi o tym rozporządzenie), bo tak jak napisał Wojtek - obowiązuje cię najwyższy stopień zabezpieczeń.

Jeszcze jedna uwaga: warto zwrócić uwagę na formalny aspekt odpowiedzialności stron w kontekście przepływu informacji. Ty, jako dostawca odpowiadasz za zabezpieczenia od strony systemu (https, sesja, wymuszanie haseł, md5 etc). Twój klient odpowiada za dane, ale hosting zleca na zewnątrz (hostingodawcy). Ponieważ dane osobowe fizycznie będą na serwerach dostawcy (więc jest on stroną przetwarzającą te dane) warto wybrać taką firmę, która spełnia odpowiednie wymogi techniczne (certyfikaty, niezależne zasilanie, wdrożona polityka bezpieczeństwa, może certyfikaty MSWiA etc.).

Mam dobry kontakt do człowieka, który może ci pomóc na rozsądnych zasadach. Jeśli chesz - pisz, jeśli nie - mam nadzieję, że się przydałem.

Pozdr
GKGrzegorz Koronowski edytował(a) ten post dnia 08.02.10 o godzinie 20:21
Link do wypowiedziLink
Andrzej Hamankiewicz

Andrzej Hamankiewicz Internet &
E-commerce Expert

Temat: PYTANIE: baza danych wrażliwych

Paweł Smoliński:
Andrzej Hamankiewicz:
Najlepiej i najbezpieczniej niech klient zgłosi bazę danych do GIODO. Można również skorzystać z usługi firmy hostingowej, która oferuje hosting GIODO i spełnia ich warunki. Ja polecam Hostersów (http://hostersi.pl).
Odnośnie obowiązujących tutaj przepisów prawa nie jestem biegły, ale czy:
a) umieszczenie na serwerze firmy hostingowej spełniającej wszystkie warunki GIODO itp. bazy danych wrażliwych i wypuszczenie tych danych na zewnątrz poprzez webservice (z autoryzacją przez login/hasło + filtracja po IPku dla bezpieczeństwa)
b) postawienie CMSa, który kontaktowałby się z ów bazą poprzez taki webservice
byłoby rozwiązaniem problemu?
A po co tak kombinować? Nie prościej utrzymywać aplikację (serwis) oraz bazę danych w obrębie jednej usługi (serwera)?
Link do wypowiedziLink
Paweł Smoliński

Paweł Smoliński IT Handyman

Temat: PYTANIE: baza danych wrażliwych

Andrzej Hamankiewicz:
A po co tak kombinować? Nie prościej utrzymywać aplikację (serwis) oraz bazę danych w obrębie jednej usługi (serwera)?
Zwróć proszę uwagę na to, iż pracujesz tutaj z danymi o szczególnej wrażliwości i cecha "bezpieczniej" ma o wiele większy priorytet aniżeli "prościej" (w końcu nie chodzi tutaj o to, aby na szybko postawić jakiegoś WordPressa/Drupala/Joomla i skasować parę złociszy). Lepiej wydelegować ochronę i obsługę danych wrażliwych komuś, kto się lepiej na tym zna.
Poza tym, czym różni się dostęp do danych dostępnych przez odpowiednie metody webservice'u od danych dostępnych poprzez wykonanie odpowiednich zapytań SQL? Moim zdaniem niczym (a i integralność danych z lokalnej bazy *SQL z danymi dostępnymi z zewnątrz da się bardzo łatwo zaimplementować - wystarczy tylko chcieć).
Link do wypowiedziLink
Andrzej Hamankiewicz

Andrzej Hamankiewicz Internet &
E-commerce Expert

Temat: PYTANIE: baza danych wrażliwych

Paweł Smoliński:

Zwróć proszę uwagę na to, iż pracujesz tutaj z danymi o szczególnej wrażliwości i cecha "bezpieczniej" ma o wiele większy priorytet aniżeli "prościej"
Właśnie dlatego, że pracujesz na wrażliwych danych sugerowałem utrzymywanie całej aplikacji (nie tylko bazy danych) na hostingu, który spełnia wymagania GIODO i świadczy takie usługi.
(w końcu nie chodzi tutaj o to, aby na szybko postawić jakiegoś WordPressa/Drupala/Joomla i skasować parę złociszy).
Udam, że tego nie przeczytałem. ;-)
Lepiej wydelegować ochronę i obsługę danych wrażliwych komuś, kto się lepiej na tym zna.
No właśnie o tym pisałem.
Poza tym, czym różni się dostęp do danych dostępnych przez odpowiednie metody webservice'u od danych dostępnych poprzez wykonanie odpowiednich zapytań SQL? Moim zdaniem niczym (a i integralność danych z lokalnej bazy *SQL z danymi dostępnymi z zewnątrz da się bardzo łatwo zaimplementować - wystarczy tylko chcieć).
To polecam odpytywać zdalną bazę danych przez webservice przy większej hurtowni danych. Wtedy zauważysz różnicę. ;-)
A poza tym dyskusja rozpoczęła się od kwestii bezpieczeństwa, więc bardziej bezpiecznym rozwiązaniem jest chyba odpytywanie lokalnej bazy danych niż zdalnej przez webservice? Oczywiście może to się odbywać w połączeniu szyfrowanym, etc., ale tak czysto hipotetycznie, który sposób zapewnia większy poziom bezpieczeństwa?Andrzej Hamankiewicz edytował(a) ten post dnia 08.02.10 o godzinie 22:03
Link do wypowiedziLink
Sławek Wójcik

Sławek Wójcik Jeśli masz temat do
omówienia,
zapraszam. 10 lat
zajmuję ...

Temat: PYTANIE: baza danych wrażliwych

[EDIT]

Dzięki za info. Problem rozwiązany, ustawy przestudiowane :-)Sławek W. edytował(a) ten post dnia 21.02.10 o godzinie 23:12
Link do wypowiedziLink

konto usunięte

Temat: PYTANIE: baza danych wrażliwych

napisz sobie skrypt z otwartą szczęką pacjenta i który ząb go boli.

tu masz wzór:

http://www.ladent.com.pl/ladent_3.htmlMichał Pietrzak edytował(a) ten post dnia 04.12.11 o godzinie 19:05
Link do wypowiedziLink

konto usunięte

Temat: PYTANIE: baza danych wrażliwych

Michał Pietrzak:
napisz sobie skrypt z otwartą szczęką pacjenta i który ząb go boli.

tu masz wzór:

http://www.ladent.com.pl/ladent_3.html

Mamusia przed dobranocką komputer włączyła ? Ponadto: odkopałeś temat sprzed PRAWIE dwóch lat...
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj