GoldenLine
Zaloguj się
Monika F

Monika F (ABI), Placówka
ochrony zdrowia

Temat: Służba zdrowia - kontakt z ABI

Witam,
nawiąże kontakt z ABI w podmiocie leczniczym, w celu wymiany doświadczeń,
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Służba zdrowia - kontakt z ABI

Zapraszam :-)
Link do wypowiedziLink
Monika F

Monika F (ABI), Placówka
ochrony zdrowia

Temat: Służba zdrowia - kontakt z ABI

Przygotowuje się do sprawdzenia planowego,
1. Jak wyodrębnić zbiory danych ? Co sprawdzać? pracuje w dużej placówce w której się mieści szpital, przychodnia, i dwa zakłady. sprawdzenie np zbioru pacjent byłoby dla mnie sporym utrudnieniem ponieważ musiałabym sprawdzić wszystko naraz, Nie wiem jak się za to zabrać o co pytać. co wchodzi w taki zbiór( tych ksiąg , ewidencji, skierowań jest naprawdę wiele i w każdej lokalizacji inne... każdy oddział, gabinet, rejestracja posiadają różne ewidencje. kartoteki). Do tego dochodzi forma papierowa i elektroniczna.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Służba zdrowia - kontakt z ABI

Temat jest szeroki, zacznijmy od kilku pytań uzupełniających.

1) Skoro chodzi o sprawdzenia planowe, to rozumiem, że macie opracowany wcześniej i przedstawiony administratorowi danych (w Twoim przypadku prawdopodobnie dyrektorowi lub prezesowi) plan sprawdzeń?
Jeżeli tak to co tam jest wpisane?
Pytam o to dlatego, że w planie powinny być wpisane przedmiot i zakres sprawdzenia i to od nich będzie zależało jakimi zbiorami danych i w jakim zakresie musisz się zająć.

2) Co masz na myśli pytając "Jak wyodrębnić zbiory danych ?" ?
Zakładam, że macie opracowaną Politykę Bezpieczeństwa Informacji i tam wymienione są zbiory danych, którymi administrujecie.
Jeżeli chodzi Ci o to jak podzielić zbiory w celu przeprowadzenia osobnych sprawdzeń - to tutaj odpowiedź zależy od Twojej odpowiedzi na pytanie nr 1.

3) Przepraszam, ale dla pewności muszę o to spytać:
Czy znasz rozporządzenie MAiC z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji?
Link do wypowiedziLink
Monika F

Monika F (ABI), Placówka
ochrony zdrowia

Temat: Służba zdrowia - kontakt z ABI

1Chciałabym stworzyć taki plan sprawdzeń (nie jest on jeszcze zatwierdzony) przymierzam się do jego stworzenia, rozumiem że takie plany mogę sporządzać co jakiś czas ( z uwzględnieniem ustawowego okresu jego trwania)

2Jeśli chodzi o rozporządzenie również się zapoznałam ( zwłaszcza co do struktury takiego planu)
chodzi mi głównie o przedmiot sprawdzenia jeśli wpisze zbiór pacjent automatycznie musze sprawdzić wszystkie lokalizacje,? (jest ich sporo) Co w takim zbiorze mogło się znaleść?

3 Czy taki plan musi objąć wszystkie rejestry zbiorów, czy mogę np. w następnym roku zaplanować inne zbiory? Co roku planowałabym różne zbiory aby zmieścić się w ciągu 5 lat
Link do wypowiedziLink
Monika F

Monika F (ABI), Placówka
ochrony zdrowia

Temat: Służba zdrowia - kontakt z ABI

Jeśli chodzi o politykę -zakres przetwarzania danych osobowych przez pracowników :
- w zbiorze danych osobowych pracowników ( i tutaj podzbiory np. akta osobowe )
- w zbiorze danych osobowych pacjentów ( i tutaj te wszystkie księgi ewidencje itp)
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Służba zdrowia - kontakt z ABI

Część odpowiedzi wynika wprost z rozporządzenia MAiC.

Nie ma wymogów formalnych co do tego kiedy i jak często trzeba opracowywać plany sprawdzeń.
Jest jednak napisane, że "Zbiory danych oraz systemy informatyczne służące do przetwarzania lub zabezpieczania danych osobowych powinny być objęte sprawdzeniem co najmniej raz na pięć lat.".

Plan sprawdzeń opracowuje się na okres od 3 do 12 miesięcy i w takim planie musi być przynajmniej jedno sprawdzenia, ale nie ma obowiązku objęcia nim wszystkich zbiorów i systemów informatycznych (ważne jednak, żeby uwzględnić je wszystkie w planach które łącznie obejmują 5 kolejnych lat).

Czyli opracowując plan nie musisz od razu planować wszystkich zbiorów i systemów. Może to być nawet tylko jeden zbiór lub system. W dodatku w jednym sprawdzeniu nie masz obowiązku sprawdzania wszystkich wymogów i w odniesieniu do całej organizacji.

Możesz np. opracować plan, w którym będą następujące pozycje:
Sprawdzenie nr 1
Przedmiot: Zbiór danych osobowych Pacjenci
Zakres: Przychodnie - sprawdzenie zgodności przetwarzania d.o. z zasadami dotyczącymi zabezpieczenia danych osobowych, o których mowa w art. 36, art. 37–39 ustawy oraz przepisach wydanych na podstawie art. 39a ustawy
Termin:...
Sposób dokumentowania: ..

Sprawdzenie nr 2
Przedmiot: Zbiór danych osobowych Pacjenci
Zakres: Oddział Chorób Wewnętrznych - sprawdzenie zgodności przetwarzania d.o. z zasadami dotyczącymi zabezpieczenia danych osobowych, o których mowa w art. 36, art. 37–39 ustawy oraz przepisach wydanych na podstawie art. 39a ustawy
Termin:...
Sposób dokumentowania: ..

Sprawdzenie nr 3
Przedmiot: Zbiór danych osobowych Pacjenci
Zakres: Oddział Chirurgii Ogólnej - sprawdzenie zgodności przetwarzania d.o. z zasadami dotyczącymi zabezpieczenia danych osobowych, o których mowa w art. 36, art. 37–39 ustawy oraz przepisach wydanych na podstawie art. 39a ustawy
Termin:...
Sposób dokumentowania: ..

itd.

Czyli możesz sobie podzielić sprawdzenia na mniejsze, łatwiejsze do realizacji kawałki.
Musisz tylko przemyśleć jak bardzo chcesz dzielić temat na części, tak żeby miało to sens praktyczny, tzn. żeby z jednej strony pojedyncze sprawdzania nie były dla Ciebie zbyt dużym wyzwaniem, ale z drugiej żeby w wyniku tego dzielenia nie okazało się, że ciągu tych 5 lat będziesz musiała zrobić tych sprawdzeń bardzo dużo (pamiętaj, że przy każdym sprawdzeniu trzeba dopilnować pewnych procedur - zaplanować, powiadomić kierownictwo, udokumentować sprawdzenie, opracować raport ze sprawdzenia i przedstawić go administratorowi danych).
Link do wypowiedziLink
Monika F

Monika F (ABI), Placówka
ochrony zdrowia

Temat: Służba zdrowia - kontakt z ABI

Bardzo dziękuje za rozjaśnienie sprawy ;) teraz będzie mi się łatwiej pracować.

Zmieniając temat

1. jeśli chodzi o obowiązek informacyjny
"pacjent / pracownik/ kontrahent/ ma prawo dostępu do treści swych danych i prawie do ich poprawiania"
mówi o tym artykuł nr24 UODO jednak przepis 24. 2 mówi że " przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania" 2) osoba której dane dotyczą posiada informacje o którym mowa (powyżej)

wydaje mi się ze w celu prowadzenia świadczeń medycznych w tym obowiązek prowadzenia dokumentacji medycznej nie trzeba informować pacjenta.

Placówki medyczne starają się ten obowiązek spełnić.

Kontrole GIODO wykazują jednak : Niedopełnienie obowiązku informacyjnego wobec usługobiorców (pacjentów) i pracowników (brak informacji kto jest administratorem danych, np. na drukach wypełnianych przed pacjentów czy pracowników na etapie zatrudniania w placówce).
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Służba zdrowia - kontakt z ABI

Tu problem polega na interpretacji co to znaczy że "osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1.". Nie znam wyników kontroli, o których piszesz, ale ogólnie wygląda na to, że w większości przypadków GIODO uważa, że należy tego obowiązku dopełnić, ponieważ nie ma wystarczających przesłanek zwalniających z tego obowiązku.

Na eduGIODO można znaleźć taki fragment:
"W tym drugim przypadku (art. 24 ust. 2) wyłączenia obowiązku informacyjnego nie można oprzeć na subiektywnym odczuciu administratora, że osoba zainteresowana jest świadoma wszystkich okoliczności związanych ze zbieraniem jej danych osobowych. Musi być to okoliczność stwierdzona w sposób obiektywny i sprawdzona, czy rzeczywiście podmiotowi danych wszystkie informacje wymienione w art. 24 ust. 1 są znane. "
https://edugiodo.giodo.gov.pl/file.php/1/UST/UST_04.htm

To, że szpitale powinny spełniać obowiązek informacyjny wobec pacjentów i w jaki sposób powinno to być realizowane napisano między innymi w tym artykule:
https://serwiszoz.pl/piotr-janiszewski/pozyskiwanie-dan...
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Służba zdrowia - kontakt z ABI

Tutaj:
http://www.prawomedyczne-szczecin.pl/2015/02/obowiazek...
- kolejny artykuł informujący o konieczności spełniania obowiązku informacyjnego, z powołaniem się na konkretną sprawę, którą zajmował się GIODO
Link do wypowiedziLink
Mateusz Rolka

Mateusz Rolka www.kryptos.co

Temat: Służba zdrowia - kontakt z ABI

Wynika to z tego, że szpitale/kliniki/laboratoria przetwarzają dane w większym zakresie niż wynika to bezpośrednio z innych przepisów czy wyłączeniu w przetwarzaniu danych chwilowo lub w celu ochrony życia lub zdrowia. Obowiązkiem informacyjnym/wyrażeniem zgody łatamy dziurę, na wyjątek przetwarzania w niesklasyfikowanym przez odrębne akty prawne zakresie.

Znam przypadki, gdzie szpital uniwersytecki zbierał pewne dane o pacjentach na etapie rejestracji, by potem je udostępniać firmom zainteresowanym realizacją badań klinicznych. Zgoda była już wyrażana na etapie przyjęcia. Oczywiście, że można w tym momencie zarzucić zasadę np adekwatności/celowości, ale wśród miliona zasad jest jeszcze codzienne życie i funkcjonowanie szpitala jako "firmy".
Monika F.:
Bardzo dziękuje za rozjaśnienie sprawy ;) teraz będzie mi się łatwiej pracować.

Zmieniając temat

1. jeśli chodzi o obowiązek informacyjny
"pacjent / pracownik/ kontrahent/ ma prawo dostępu do treści swych danych i prawie do ich poprawiania"
mówi o tym artykuł nr24 UODO jednak przepis 24. 2 mówi że " przepis innej ustawy zezwala na przetwarzanie danych bez ujawniania faktycznego celu ich zbierania" 2) osoba której dane dotyczą posiada informacje o którym mowa (powyżej)

wydaje mi się ze w celu prowadzenia świadczeń medycznych w tym obowiązek prowadzenia dokumentacji medycznej nie trzeba informować pacjenta.

Placówki medyczne starają się ten obowiązek spełnić.

Kontrole GIODO wykazują jednak : Niedopełnienie obowiązku informacyjnego wobec usługobiorców (pacjentów) i pracowników (brak informacji kto jest administratorem danych, np. na drukach wypełnianych przed pacjentów czy pracowników na etapie zatrudniania w placówce).
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Służba zdrowia - kontakt z ABI

Mateusz R.:
Wynika to z tego, że szpitale/kliniki/laboratoria przetwarzają dane w większym zakresie niż wynika to bezpośrednio z innych przepisów czy wyłączeniu w przetwarzaniu danych chwilowo lub w celu ochrony życia lub zdrowia. Obowiązkiem informacyjnym/wyrażeniem zgody łatamy dziurę, na wyjątek przetwarzania w niesklasyfikowanym przez odrębne akty prawne zakresie.

Znam przypadki, gdzie szpital uniwersytecki zbierał pewne dane o pacjentach na etapie rejestracji, by potem je udostępniać firmom zainteresowanym realizacją badań klinicznych.
Czy badania kliniczne (np. firm farmaceutycznych) mieszczą się w pojęciu: świadczenie usług medycznych lub leczenie pacjentów? - wątpliwe.
Zgoda była już wyrażana na etapie przyjęcia.
Zgoda z dopiskiem - wyrażenie zgody jest dobrowolne, jednak jej brak skutkuje odmową świadczenia usług medycznych?
ale wśród miliona zasad jest jeszcze codzienne życie i funkcjonowanie szpitala jako "firmy".
Czyżby to była sugestia, że prawo, prawem ale firma musi zarabiać? Dość osobliwe podejście do ochrony danych osobowych.
Link do wypowiedziLink
Mateusz Rolka

Mateusz Rolka www.kryptos.co

Temat: Służba zdrowia - kontakt z ABI

1. Naturalnie zgody na badania kliniczne nie zbiera się przy rejestracji tylko :) :) :) Jest cala procedura, wynikająca z przepisów międzynarodowych.

2. Nie potrzeba zgody do realizacji usług ratowania życia

3. "Czyżby to była sugestia, że prawo, prawem ale firma musi zarabiać? Dość osobliwe podejście do ochrony danych osobowych. " - Chodzi o bezsilność organizacyjną szpitali w zakresie wdrażania procedur. Przecież oddziałowe to więcej aktualnie piszą raportów (nie tylko ODO), niż zajmują się pacjentami.
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Służba zdrowia - kontakt z ABI

Z szacunkiem, lecz odpowiedzi w pierwszych dwóch pkt. są spoza tematów, który sam zakreśliłeś. Potocznie nazywają to "odwracanie kota ogonem". Trzecia odpowiedź ładnie wpisuje się w mowę obrońcy na procesie karnym. Jak tłumaczenie w tym punkcie ma się do art. 36a.2.1. uodo?

Bezsilność organizacyjna szpitali - zwrot-wytrych, który ma usprawiedliwiać łamanie prawa? Dzisiaj uodo, jutro jakie inne prawo?
Link do wypowiedziLink
Mateusz Rolka

Mateusz Rolka www.kryptos.co

Temat: Służba zdrowia - kontakt z ABI

To nie jest moje subiektywne odczucie, ale wniosek. Wiesz dobrze, że problem ODO dotyczy nie tylko sektora zdrowia. Jeszcze gorzej jest np w firmach handlowych, które uważają, że danych osobowych nie mają wcale. Po prostu to co spotykam w szpitalach/klinikach przy okazji audytów, to są tak duże naruszenia, że nieprawidłowości np w opisie zbiorów są przy tym epizodyczną niezgodnością. Jednak to nie tłumaczy nikogo - Dura lex sed lex. To efekt wieloletnich zaniedbań, argumentowany brakiem świadomości. Jak dziecku wypadnie ząb, to też tłumaczy się, że nie wiedziało by nie jeść cukru :)
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Służba zdrowia - kontakt z ABI

Mateusz R.:
To nie jest moje subiektywne odczucie, ale wniosek. Wiesz dobrze, że problem ODO dotyczy nie tylko sektora zdrowia.
....To efekt wieloletnich zaniedbań, argumentowany brakiem świadomości.

Zastanawiające jest jak owi będą się tłumaczyć po zderzeniu z pędzącą lokomotywą (art.33 i 34 RODO)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj