ad. 2 i ad. 3
Jeszcze biuro rachunkowe (księgowe), o ile zajmuje się także kadrami (czyli posiada w swoich zasobach umowy z pracownikami, zgłoszenia ZUS itp.)
Z podwykonawcami temat może być realizowany na dwa sposoby. Albo w ten sposób, że jest wypisywane skierowanie (zlecenie) pacjentowi, pacjent otrzymuje od Was to skierowanie i idzie z nim do podwykonawcy, czyli to pacjent przekazuje swoje dane osobowe (w postaci zlecenia/skierowania) dla podwykonawcy, i potem podwykonawca daje wynik pacjentowi i pacjent wraca do Waszego gabinetu z wynikami (czyli pacjent przekazuje Wam swoje dane osobowe a nie podwykonawca). Tutaj raczej umowa nie jest potrzebna, bo pacjent może wybrać dowolną przychodnię w kraju. Przykład: jesteście przychodnią POZ, dajecie pacjentowi skierowanie do poradni chirurgii ogólnej, pacjent niesie skierowanie do dowolnej poradni chirurgii ogólnej w mieście lub w kraju, pacjent na wizycie w poradni chirurgii otrzymuje "informacje dla lekarza kierującego / POZ" i przekazuje ją lekarzowi POZ w Waszej poradni. W każdej z sytuacji, dane pacjenta są przekazywane pacjentowi i to pacjent przekazuje swoje dane dla przychodni (Waszej lub innej).
Inaczej temat wygląda, gdy to Wy przekazujecie dane osobowe (w postaci np. zlecenia wyników badań w postaci elektronicznej lub papierowej) do podwykonawcy i podwykonawca przekazuje Wam wyniki pacjenta (w postaci np. elektronicznej). Tutaj raczej umowa jest potrzebna.
W przypadku wymiany danych osobowych w postaci elektronicznej warto zadbać o bezpieczny sposób transmisji danych. Jedna sprawa to używanie bezpiecznej metody komunikacji (np. e-mail, do którego dostęp odbywa się z użyciem połączenia szyfrowanego, np. webmail z HTTPS). Druga sprawa to zabezpieczenie danych znajdujących się w mejlu, na wypadek np. pomyłki adresata - czyli np. wysyłka pliku zabezpieczonego hasłem (np. archiwum 7zip na hasło, a hasło ustalone telefonicznie z odbiorcą wiadomości). I umowa powierzenia z hostingiem poczty (najlepiej polskim bo nie przekazujesz danych poza Polskę, np. home.pl chyba ma ISO 27001 i oferuje takie umowy).
Jeżeli chodzi o serwis IT, zwróć uwagę też na dostawcę oprogramowania do prowadzenia rozliczeń z NFZ lub EDM. Jeżeli dostawca łączy się przez np. TeamViewer i widzi na ekranie dane pacjenta albo jest wysyłany dla dostawcy oprogramowania e-mail zawierający obrazek z błędem działania programu i widać tam dane pacjenta - wg mnie również jest potrzebna umowa. Ostatnio była afera z tym związana: https://niebezpiecznik.pl/post/dane-pacjentow-i-szpitali-wyciekly-z-helpdesku-eskulapa-szpitale-powinny-zmienic-hasla/
Jeszcze umowa z osobą / firmą, której powierzasz zadanie rozliczeń z NFZ, robienie zmian do umowy z NFZ (grafiki pracy).
8. 1. W dokumentacji indywidualnej wewnętrznej zamieszcza się lub dołącza do niej:
1) oświadczenie pacjenta o upoważnieniu do uzyskiwania informacji o jego stanie zdrowia i udzielonych świadczeniach
zdrowotnych, ze wskazaniem imienia i nazwiska osoby upoważnionej oraz danych umożliwiających kontakt z tą osobą;
2) oświadczenie pacjenta o upoważnieniu do uzyskiwania dokumentacji, ze wskazaniem imienia i nazwiska osoby upoważnionej;
Ad. 1 ja mam dwie uwagi:
- w RODO jest wielokrotnie mowa o tym, że tekst (w ramach obowiązku informacyjnego) ma być zrozumiały dla normalnego człowieka
- pod kątem spełnienia wymagań rozporządzenia, upewnij się, że na oświadczeniach które teraz zbierasz są wszystkie wymagane dane
http://prawo.sejm.gov.pl/isap.nsf/download.xsp/WDU20150002069/O/D20152069.pdfCytuj8. 1. W dokumentacji indywidualnej wewnętrznej zamieszcza się lub dołącza do niej:
1) oświadczenie pacjenta o upoważnieniu do uzyskiwania informacji o jego stanie zdrowia i udzielonych świadczeniach
zdrowotnych, ze wskazaniem imienia i nazwiska osoby upoważnionej oraz danych umożliwiających kontakt z tą osobą;
2) oświadczenie pacjenta o upoważnieniu do uzyskiwania dokumentacji, ze wskazaniem imienia i nazwiska osoby upoważnionej;
Ja, w miarę możliwości, brałbym mejle od pacjentów, aby w razie potrzeby móc ich prosto - jednym mejlem - poinformować o wycieku danych. Albo chociaż telefon komórkowy, aby móc wysłać do wszystkich SMSy. Podobnie z pracownikami, których dane posiadasz.
1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
https://gdpr.pl/artykul-24-obowiazki-administratora
RODO definiuje bezpieczeństwo jako również jako dostępność. W związku z powyższym - kiedy ostatnio sprawdzałeś czy da się skorzystać z kopii, które masz i ile czasu zajmuje przywrócenie danych z kopii?
Kiedy ostatnio aktualizowałeś software w Drayteku?
Czy jakby ktoś teraz kliknął w wirusa szyfrującego dane (również na dyskach sieciowych) to czy kopie są bezpieczne?
Czy klucz do szafy przypadkiem nie znajduje się w szafie? Czy określone jest kto ma do niego dostęp?
A czy mamy powiadomienia o przekroczeniu wartości granicznych temperatury/wilgotności i zalaniu wodą.
A czy mamy powiadomienia z systemu antywirusowego/firewall o zdarzeniach.
to są już szczegóły techniczne oczywiście również istotne
A czy baza Oracla na domyślnym haśle z instalacji systemu czy zmienionym? ;-)
Które komputery mają dostęp do bazy danych?
Pozdrawiam
A czy mamy powiadomienia o przekroczeniu wartości granicznych temperatury/wilgotności i zalaniu wodą.
A czy mamy powiadomienia z systemu antywirusowego/firewall o zdarzeniach.
to są już szczegóły techniczne oczywiście również istotne
A czy mamy powiadomienia o przekroczeniu wartości granicznych temperatury/wilgotności i zalaniu wodą.
A czy mamy powiadomienia z systemu antywirusowego/firewall o zdarzeniach.
to są już szczegóły techniczne oczywiście również istotne
Widać że to jeszcze długa droga przed nami.
A czy mamy powiadomienia o przekroczeniu wartości granicznych temperatury/wilgotności i zalaniu wodą.
A czy mamy powiadomienia z systemu antywirusowego/firewall o zdarzeniach.
to są już szczegóły techniczne oczywiście również istotne
Widać że to jeszcze długa droga przed nami.
Ktoś już może podchodził do tych tematów i podzieli się doświadczeniami jak to sprawnie, praktycznie zrobić? Kilka razy myślałem o tym i w pierwszej kolejności trafiałem na mierniki temperatury robione "garażowo" przez pasjonatów na raspberry pi itp.
ja audyty przeprowadzam w takich obszarach. Może się przyda:
- obszar zarządzania danymi i procesami:
- inwentaryzacja danych osobowych i ich jakości w zakresie całego środowiska informatycznego
- identyfikacja narzędzi i przeprowadzenie działań inwentaryzacyjnych w procesach użytkowników końcowych
- obszar architektury systemów:
- analiza funkcjonalności systemów informatycznych z uwzględnieniem wymogu anonimizacji i pseudonimizacji danych
-?privacy by design?
- analiza realizacji praw podmiotów danych ? m.in. do usunięcia, przeniesienia, ograniczenia przetwarzania oraz aktualizacji w systemach informatycznych
- obszar bezpieczeństwa systemów:
- środki zabezpieczające dane osobowe a istniejące standardy bezpieczeństwa
- przeprowadzenie oceny wpływu planowanych operacji przetwarzania na prywatność
- przygotowanie do zgłaszania naruszeń danych osobowych i przygotowanie rejestru czynności przetwarzania
Nie musi a nawet nie powinien.
- Czy pacjent musi podpisać nam upoważnienie do przetwarzania jego danych osobowych w przychodni ?
- Czy umowę powierzenia danych podpisujemy także z Sanepidem - zgłoszenia gryp itp ? Cz tu też działa jakaś ustawa, która nie wymaga byśmy tego robili ?
to będzie wiadomo jak będzie ostateczna wersja ustawy o ochronie danych osobowych a nie projekt
- Gdzie zgłasza się IOD ? Do GIODO ? W jaki sposób
A czy mamy powiadomienia o przekroczeniu wartości granicznych temperatury/wilgotności i zalaniu wodą.
A czy mamy powiadomienia z systemu antywirusowego/firewall o zdarzeniach.
to są już szczegóły techniczne oczywiście również istotne
Widać że to jeszcze długa droga przed nami.
Ktoś już może podchodził do tych tematów i podzieli się doświadczeniami jak to sprawnie, praktycznie zrobić? Kilka razy myślałem o tym i w pierwszej kolejności trafiałem na mierniki temperatury robione "garażowo" przez pasjonatów na raspberry pi itp.
System do lodówki : https://efento.pl/product/zestaw-do-monitorowania-temperatury-efento/ ma niby zielone światło sanepidu.
Do pomiarów serwerowni, archiwum : http://monitoringserwerowni.pl/
Nie musi a nawet nie powinien.
- Czy pacjent musi podpisać nam upoważnienie do przetwarzania jego danych osobowych w przychodni ?
- Czy umowę powierzenia danych podpisujemy także z Sanepidem - zgłoszenia gryp itp ? Cz tu też działa jakaś ustawa, która nie wymaga byśmy tego robili ?
Nie trzeba bo to urząd.to będzie wiadomo jak będzie ostateczna wersja ustawy o ochronie danych osobowych a nie projekt
- Gdzie zgłasza się IOD ? Do GIODO ? W jaki sposób
Nie musi a nawet nie powinien.
- Czy pacjent musi podpisać nam upoważnienie do przetwarzania jego danych osobowych w przychodni ?
Nie zbieramy oświadczeń od pacjentów chyba że zamierzamy wykorzystać dane do akcji np marketingowych nie związanych do końca z leczeniem/profilaktyką. Czy zgadza się?Zgody nie musisz brać jeśli spełniasz inny warunek uzasadniający przetwarzanie danych. Np. w przypadku dokumentacji medycznej masz przepisy np. rozporządzenia ministra zdrowia w sprawie dokumentacji, które nakazują prowadzenie dokumentacji medycznej.
W podmiotach leczniczych pracuje personel nie tylko na podstawie umowy o pracę ale również na kontraktach czyli mają swoją działalność. I tutaj pytanie stanowią oni osobny podmiot i z nimi robimy umowę powierzenia danych między podmiotami.Jeżeli chodzi tylko o sposób rozliczania się to nie jest potrzebna umowa powierzenia, wystarczy upoważnienie tak jak dla pracownika.
Patrząc ze strony takiej pielęgniarki/lekarza jako indywidualna praktyka ale pracująca w przychodni to powinni mieć swoją dokumentację? No raczej.
Umowa powierzenia danych a Ty musisz mieć inspektora, chyba że faktycznie obsługujesz jednego małego doktora.
Jaki może być koszt napisania rodo w uzdrowisku?Mniej więcej tyle samo co w normalnej poradni. Ale uważaj na zakres prac, żebyś przypadkiem nie dostała szablonu i sama uzupełniała wszystkie załączniki.
O ile nie zachodzi konflikt interesów to tak.
Hm, jeśli jestem IOD jako firma to nie mogę przetwarzać danych osobowych, bo to byłby konflikt - sam sobie narzucałbym, jak podchodzić do kwestii przetwarzania danych.
Hm, jeśli jestem IOD jako firma to nie mogę przetwarzać danych osobowych, bo to byłby konflikt - sam sobie narzucałbym, jak podchodzić do kwestii przetwarzania danych.Jak monter napisał - IOD też czasem może przetwarzać dane osobowe klienta - np. w czasie audytu, ale wtedy wystarczy mu np. upoważnienie czasowe. Ale poza tym uważam, że IOD musi być tylko IODem dla danej firmy i niczym więcej. Ciężko obowiązki IODa połączyć z innymi funkcjami, np. pielęgniarka jak jest pielęgniarką, to nie może być IODem. ITP.
Do przetwarzania danych pacjenta w celach medycznych zgody nie trzeba, obowiązek informacyjny - tablica, strona internetowa, itd. Walczę jeszcze teraz i szukam czy telefon/mail pacjenta musi być na zgodę czy podlega pod przetwarzanie w celach medycznych.
Walczę jeszcze teraz i szukam czy telefon/mail pacjenta musi być na zgodę czy podlega pod przetwarzanie w celach medycznych.http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20042102135
Do przetwarzania danych pacjenta w celach medycznych zgody nie trzeba, obowiązek informacyjny - tablica, strona internetowa, itd. Walczę jeszcze teraz i szukam czy telefon/mail pacjenta musi być na zgodę czy podlega pod przetwarzanie w celach medycznych.
wg mnie nie musi być zgody, To są dane kontaktowe niezbędne do korzystania z usług medycznych, programów profilaktycznych itp. Wg mnie póki nie wykorzystujesz tych danych do celów marketingowych a np. do przypomnienia smsem/ mailem o wizycie albo informujesz o programie profilaktycznym to zgody nie potrzebujesz.
Wyrażam zgodę na przetwarzanie mojego numeru telefonicznego oraz adresu e-mail, otrzymywanie za pośrednictwem telefonii komórkowej oraz poczty elektronicznej informacji medycznych oraz gromadzenie i przetwarzanie przez Narodowy Fundusz Zdrowia z siedzibą w Warszawie przekazanych przeze mnie danych dla potrzeb realizacji świadczeń profilaktyki chorób układu krążenia.?
Izba Lekarska w Olsztynie zorganizowała szkolenie w związku z RODO, co niektórzy lekarze byli i mają teraz nadrukowane zgody na przetwarzanie danych od pacjentów i je zbierają przy wizytach. Mówią, że w Izbie Lekarskiej powiedzieli, że trzeba. RODO jest ponad wszystkimi rozporządzeniami naszego Ministerstwa Zdrowia. Ciekawe będzie, jak pacjent napiszę wniosek o wykasowanie jego danych. Normalnie kosmos.Idąc tym tropem, musisz upoważnić NFZ, ZUS, ewentualnie prokuraturę i inne tego typu twory.
Izba Lekarska w Olsztynie zorganizowała szkolenie w związku z RODO, co niektórzy lekarze byli i mają teraz nadrukowane zgody na przetwarzanie danych od pacjentów i je zbierają przy wizytach. Mówią, że w Izbie Lekarskiej powiedzieli, że trzeba. RODO jest ponad wszystkimi rozporządzeniami naszego Ministerstwa Zdrowia. Ciekawe będzie, jak pacjent napiszę wniosek o wykasowanie jego danych. Normalnie kosmos.Idąc tym tropem, musisz upoważnić NFZ, ZUS, ewentualnie prokuraturę i inne tego typu twory.
Czyli w małych praktykach lekarskich np. stomatologicznych działających na nfz nie trzeba masowo drukować tych papierów na zgodę udostępniania danych etc.?Izba Lekarska w Olsztynie zorganizowała szkolenie w związku z RODO, co niektórzy lekarze byli i mają teraz nadrukowane zgody na przetwarzanie danych od pacjentów i je zbierają przy wizytach. Mówią, że w Izbie Lekarskiej powiedzieli, że trzeba. RODO jest ponad wszystkimi rozporządzeniami naszego Ministerstwa Zdrowia. Ciekawe będzie, jak pacjent napiszę wniosek o wykasowanie jego danych. Normalnie kosmos.Idąc tym tropem, musisz upoważnić NFZ, ZUS, ewentualnie prokuraturę i inne tego typu twory.
Przetwarzanie danych pacjentów (zgoda niepotrzebna) - RODO art. 9 ust. 2 lit h -
h) przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem warunków i zabezpieczeń, o których mowa w ust. 3;
..
3. Dane osobowe, o których mowa w ust. 1, mogą być przetwarzane do celów, o których mowa w ust. 2 lit. h), jeżeli są przetwarzane przez ? lub na odpowiedzialność ? pracownika podlegającego obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe lub przez inną osobę również podlegającą obowiązkowi zachowania tajemnicy zawodowej na mocy prawa Unii lub prawa państwa członkowskiego, lub przepisów ustanowionych przez właściwe organy krajowe.
mamy ustawę, która nam to nakazuje.Masz odpowiedź ;)