Temat: Służba zdrowia - kontakt z ABI
Część odpowiedzi wynika wprost z rozporządzenia MAiC.
Nie ma wymogów formalnych co do tego kiedy i jak często trzeba opracowywać plany sprawdzeń.
Jest jednak napisane, że "Zbiory danych oraz systemy informatyczne służące do przetwarzania lub zabezpieczania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na pięć lat.".
Plan sprawdzeń opracowuje się na okres od 3 do 12 miesięcy i w takim planie musi być przynajmniej jedno sprawdzenia, ale nie ma obowiązku objęcia nim wszystkich zbiorów i systemów informatycznych (ważne jednak, żeby uwzględnić je wszystkie w planach które łącznie obejmują 5 kolejnych lat).
Czyli opracowując plan nie musisz od razu planować wszystkich zbiorów i systemów. Może to być nawet tylko jeden zbiór lub system. W dodatku w jednym sprawdzeniu nie masz obowiązku sprawdzania wszystkich wymogów i w odniesieniu do całej organizacji.
Możesz np. opracować plan, w którym będą następujące pozycje:
Sprawdzenie nr 1
Przedmiot: Zbiór danych osobowych Pacjenci
Zakres: Przychodnie - sprawdzenie zgodności przetwarzania d.o. z zasadami dotyczącymi zabezpieczenia danych osobowych, o których mowa w art. 36, art. 37–39 ustawy oraz przepisach wydanych na podstawie art. 39a ustawy
Termin:...
Sposób dokumentowania: ..
Sprawdzenie nr 2
Przedmiot: Zbiór danych osobowych Pacjenci
Zakres: Oddział Chorób Wewnętrznych - sprawdzenie zgodności przetwarzania d.o. z zasadami dotyczącymi zabezpieczenia danych osobowych, o których mowa w art. 36, art. 37–39 ustawy oraz przepisach wydanych na podstawie art. 39a ustawy
Termin:...
Sposób dokumentowania: ..
Sprawdzenie nr 3
Przedmiot: Zbiór danych osobowych Pacjenci
Zakres: Oddział Chirurgii Ogólnej - sprawdzenie zgodności przetwarzania d.o. z zasadami dotyczącymi zabezpieczenia danych osobowych, o których mowa w art. 36, art. 37–39 ustawy oraz przepisach wydanych na podstawie art. 39a ustawy
Termin:...
Sposób dokumentowania: ..
itd.
Czyli możesz sobie podzielić sprawdzenia na mniejsze, łatwiejsze do realizacji kawałki.
Musisz tylko przemyśleć jak bardzo chcesz dzielić temat na części, tak żeby miało to sens praktyczny, tzn. żeby z jednej strony pojedyncze sprawdzania nie były dla Ciebie zbyt dużym wyzwaniem, ale z drugiej żeby w wyniku tego dzielenia nie okazało się, że ciągu tych 5 lat będziesz musiała zrobić tych sprawdzeń bardzo dużo (pamiętaj, że przy każdym sprawdzeniu trzeba dopilnować pewnych procedur - zaplanować, powiadomić kierownictwo, udokumentować sprawdzenie, opracować raport ze sprawdzenia i przedstawić go administratorowi danych).