collapse

Reklama


Autor Wątek: KS-SOMED a RODO cz. 2  (Przeczytany 5528 razy)

0 użytkowników i 1 Gość przegląda ten wątek.

Offline Artem

  • Początkujący
  • *
  • Wiadomości: 66
  • Pomógł? 1
KS-SOMED a RODO cz. 2
« dnia: Czerwca 05, 2020, 14:19:03 pm »
Witam
Od kilku dni miga na czerwono jakaś kontrolka na planszy głównej informująca, że system nie spełnia wymogów RODO.
Czy to możliwe, że system którego podstawą działania jest przetwarzanie danych osobowych był niezgodny z wytycznymi RODO ?
Czytałem KS-SOMED a RODO cz. 1 https://forumpps.pl/index.php?topic=11037.msg78286#msg78286 i rozummiem, że system powinien archiwizować informację o tym kto i kiedy czyje dane przetwarzał ale tego nie robi.
Czy w razie jakiejś kontroli jesteśmy narażeni na ukaranie ?

Offline MK

  • Kamsoft
  • Ekspert
  • *****
  • Wiadomości: 555
  • Pomógł? 49
Odp: KS-SOMED a RODO cz. 2
« Odpowiedź #1 dnia: Czerwca 05, 2020, 17:11:37 pm »
A proszę wejść w tę kontrolkę. CO tam przeczytamy? Ja na mojej bazie testowej mam:
Poziom bezpieczeństwa 30%
+co najmniej jeden operator z pustym hasłem (tak to prawa, każdy z ans programistów takiego ma)
+baza firebird (od razu punkty ujemne :-) od razu  odpowiadam, sekcja SOMD nie ustala tych zasad, więc nie podejmuję się dyskusji, dlaczego oracle jest lepszy niż firebird, pomimo tego, ze go zachwalałem.
+brak wygenerowania kompletu dokumentów .... - no to oczywiste, że się tym nie bawiłem.
Szczególnie ostatni punkt jest ciekawy, ponieważ to jest, że tak nazwę, biurokracja (ale pewnie potrzebna) a nie stan systemu.
Podsumowując - ostrzeżenie to nie mówi, że SOMED nie spełnia wymogów RODO, ale bardziej, że organizacja (czyli przychodnia) może mieć tu pewne niedociągnięcia. Proszę pamiętać, RODO to nie tylko system informatyczny.

Offline 09061303

  • Global Moderator
  • Ekspert
  • *****
  • Wiadomości: 3027
  • Pomógł? 321
  • Podkarpacki OW
Odp: KS-SOMED a RODO cz. 2
« Odpowiedź #2 dnia: Czerwca 06, 2020, 22:40:12 pm »
Panie @MK ostatni punkt jest zupełnie nieprofesjonalny - mogę mieć super dokumentację wygenerowaną ręcznie wraz z ogarnięciem oczywiście programów medycznych, ale nie zrobiłem tego przez BDO, które nie jest już takie super i jestem wg Somedu w grupie zagrożenia, a oczywiście nie jest to prawda. Można by powiedzieć, że program kłamie lub nie działa poprawnie.
Kliknij pomógł, jeślim pomógł :-)

Offline Artem

  • Początkujący
  • *
  • Wiadomości: 66
  • Pomógł? 1
Odp: KS-SOMED a RODO cz. 2
« Odpowiedź #3 dnia: Czerwca 08, 2020, 10:02:36 am »
@MK
Mam 35%, informacja o braku dokumentacji BDO i puste hasło operatora
Z modułu BDO nie korzystamy a puste hasło to pewnie jakieś pozostałości po wdrożeniu, poza tym SOMED nie pozwala na logowanie bez hasła.
Wychodzi na to, że kontrolka straszy i podpowiada że potrzebne jest nam BDO.

A co z archiwizowaniem informacji o tym kto i kiedy czyje dane przetwarzał ? czy system przetwarzający dane powinien to robić ?

Offline MK

  • Kamsoft
  • Ekspert
  • *****
  • Wiadomości: 555
  • Pomógł? 49
Odp: KS-SOMED a RODO cz. 2
« Odpowiedź #4 dnia: Czerwca 08, 2020, 10:12:29 am »
Straszy, czy nie straszy.... informuje, że no brak jest dokumentacji w tym systemie wytworzonej. Co nie znaczy, ze nie ma jej gdzieś indziej. Somed pozwala na logowanie z pustym hasłem, jeśli takie w bazie jest. Oczywiści  po zalogowaniu się poprosi i zmianę, ale zalogować się da. o ile wiem. Więc teoretycznie można, znając loginy, testować, kto ma puste hasło i się wbić. Stąd ta weryfikacja. Nie mnie oceniać to rozwiązanie, nie jest to SOMEDowe, a ogólne i nie znam szczegółów ustaleń, dlaczego tak a nie inaczej. Maczał w tym palce nasz dział bezpieczeństwa, więc uznaję, że ma tak być. A że nie blokuje normalnej pracy, specjalnie się nad tym nie roztrząsamy.
Co do pamiętania kto co robił, to SOMED, po włączeniu RODO to robi i zapisuje wszelkie przetwarzanie danych osobowych.

Offline Artem

  • Początkujący
  • *
  • Wiadomości: 66
  • Pomógł? 1
Odp: KS-SOMED a RODO cz. 2
« Odpowiedź #5 dnia: Czerwca 08, 2020, 11:53:00 am »
Nie mogę znaleźć opcji "włącz RODO", na zakładce "RODO" jest:
 "widoczność danych osobowych"  =  zawsze
"kontrola wejścia do funkcji przetwarzających dane" = pokaż komunikat standardowy
"zawsze eksportuj pełne dane osobowe" = nie zaznaczone
"jak długo pamiętać dane wybranych pacjentów ..." = zapomnij od razu

Uprzedzam od razu, że maskowanie danych nie wchodzi w grę bo SOMED już ma uciążliwy interfejs użytkownika i dodatkowe utrudnienia w pracy nie są nam potrzebne.

Offline MK

  • Kamsoft
  • Ekspert
  • *****
  • Wiadomości: 555
  • Pomógł? 49
Odp: KS-SOMED a RODO cz. 2
« Odpowiedź #6 dnia: Czerwca 08, 2020, 12:47:44 pm »
Właśnie maskowanie danych to jest to. W innym przypadku, zresztą pisałem o tym przy okazji włączania RODO, nie jesteśmy w stanie zapisać wszelkich informacji o przetwarzaniu.  Zgodnie z duchem RODO przetwarzanie danych to również ich wyświetlenie. De facto można zrobić zdjęcie komórką na liście pacjentów gdzie widać dane osobowe, za adresami PESELami i tak dalej. Z tego powodu wszystkie dane, które mogą być wyświetlone w ten sposób muszą być oznaczone jako przetworzone przez taką a taka osobę.  Proszę sobie teraz wyobrazić normalną pracę i za każdym razem oznaczanie wszystkich tych pacjentów jako przetworzonych. Po roku, rejestr przetworzeń będzie największą częścią bazy SOMED. Dlatego pokazujemy tylko te dane, które są potrzebne w danej chwili. I to oczywiści rejestrujemy.  Nie bez przyczyny dokładnie tak samo działają systemy bankowe. Tam nie ma dostępnej ogólnie listy klientów. Jeśli chcę coś w banku zrobić to osoba obsługująca system najpierw wprowadza mój PESEL albo inny identyfikator i dopiero ma dostęp do danych kontrahenta. I to tylko moich. Zdarza mi się trzy razy podawać PESEL, jeśli realizuję kilka różnych transakcji np wypłata franków (jedna transakcji - wpisują PESEL), wpłata tych samych franków na konto kredytowe (druga transakcja ,i znów odszukanie po PESELU) zamówienie franków na kolejną wpłatę za miesiąc (trzecia transakcja, trzeci raz PESEL). Rozwiązanie z listą pacjentów widoczną od tak, może i jest "fajne" ale nie spełnia wymogów bezpieczeństwa. Siedzę sobie i mi się nudzi to sprawdzam jakich my to mamy tu pacjentów? Może jacyś znani? Czasem nawet nie potrzeba historii choroby oglądać, aby pewne rzeczy wywnioskować. Dlatego my stawiamy na wyszukiwanie pacjenta po kluczu kiedy wiem, kogo i dlaczego chcę znaleźć. I taki fakt wyszukania oczywiście wpisujemy. Klient nie chce z tego skorzystać, jego prawo, ale wówczas SOEMD nie wspiera go w realizowaniu zadań typu rejestracja faktu przetwarzania danych.

Offline Artem

  • Początkujący
  • *
  • Wiadomości: 66
  • Pomógł? 1
Odp: KS-SOMED a RODO cz. 2
« Odpowiedź #7 dnia: Czerwca 08, 2020, 13:24:31 pm »
Po roku, rejestr przetworzeń będzie największą częścią bazy SOMED.
Jak Pan to obliczył? bo mi wychodzi kilka MB miesięcznie. Poza tym te raporty nie muszą być przechowywane w plikach bazy.

Klient nie chce z tego skorzystać, jego prawo, ale wówczas SOEMD nie wspiera go w realizowaniu zadań typu rejestracja faktu przetwarzania danych.
Klient nie chce mieć problemów z zakupionym za duże pieniądze programem.

Czy system przetwarzający dane osobowe powinien archiwizować informację o tym kto i kiedy czyje dane przetwarzał ?
Jeżeli system tego nie robi to czy w razie jakiejś kontroli jesteśmy narażeni na ukaranie ?

Offline MK

  • Kamsoft
  • Ekspert
  • *****
  • Wiadomości: 555
  • Pomógł? 49
Odp: KS-SOMED a RODO cz. 2
« Odpowiedź #8 dnia: Czerwca 08, 2020, 13:57:46 pm »
System robi to, jeśli używany jest zgodnie z dokumentacją.
Pomny wcześniejszych doświadczeń tym zdaniem kończę moją obecność w tym wątku.

Offline Artem

  • Początkujący
  • *
  • Wiadomości: 66
  • Pomógł? 1
Odp: KS-SOMED a RODO cz. 2
« Odpowiedź #9 dnia: Czerwca 08, 2020, 15:04:15 pm »
System robi to, jeśli używany jest zgodnie z dokumentacją.
System jest używany zgodnie z dokumentacją, mamy wybór maskować dane lub nie. RODO nie wymaga maskowania danych.

Pomny wcześniejszych doświadczeń tym zdaniem kończę moją obecność w tym wątku.
Ucieka Pan bo nie da się tego obronić. Argumenty typu "puchnięcie bazy" czy "szukanie przez personel znajomych w bazie" to oznaka ignorancji i bezczelności.

Proszę obiektywnych użytkowników o odpowiedź
Czy system przetwarzający dane osobowe powinien archiwizować informację o tym kto i kiedy czyje dane przetwarzał ?
Jeżeli system tego nie robi to czy w razie jakiejś kontroli jesteśmy narażeni na ukaranie ?

Offline MK

  • Kamsoft
  • Ekspert
  • *****
  • Wiadomości: 555
  • Pomógł? 49
Odp: KS-SOMED a RODO cz. 2
« Odpowiedź #10 dnia: Czerwca 08, 2020, 15:32:14 pm »
Panie @MK ostatni punkt jest zupełnie nieprofesjonalny - mogę mieć super dokumentację wygenerowaną ręcznie wraz z ogarnięciem oczywiście programów medycznych, ale nie zrobiłem tego przez BDO, które nie jest już takie super i jestem wg Somedu w grupie zagrożenia, a oczywiście nie jest to prawda. Można by powiedzieć, że program kłamie lub nie działa poprawnie.
Naprawdę, chciałbym móc odpowiedzieć na wszystkie pytanie, ale, co wielokrotnie już tu powtarzałem, jestem zwykłym, pospolitym programistą. I naprawdę mój wpływ na system jest mocno ograniczony. I nie chciałbym, co przyznaję szczerze parę razy mi się już zdarzyło, wciągać się w dyskusję, co do której, jakby to powiedzieć, nie powinienem brać udziału. Mam nadzieję, że rozumie Pan co mam na myśli. Tak, napisałem, że kończę dyskusję, ale nie chciałem Pan zdanie tak zostawić bez odpowiedzi. I nie jest to, jak napisano wyżej, ucieczka, bo mi brak argumentów, nie po prostu mogę dyskutować do pewnego momentu, ale później należy powiedzieć stop.

Offline 09061303

  • Global Moderator
  • Ekspert
  • *****
  • Wiadomości: 3027
  • Pomógł? 321
  • Podkarpacki OW
Odp: KS-SOMED a RODO cz. 2
« Odpowiedź #11 dnia: Czerwca 08, 2020, 22:34:01 pm »
Może trochę zbyt dosadnie w Pana kierunku to napisałem, bo jestem świadomy, że o wyglądzie/działaniu decyduje ktoś inny i nie oczekuję, że będzie Pan biegał po Kamsofcie i próbował funkcję zmienić. Może ktoś jeszcze czyta to forum i da mu to coś do myślenia. Co nie zmienia faktu, że raczej nie liczę, że to myślenie coś zmieni, bo przez to mruganie jakiś procent użytkowników pójdzie w kierunku modułu BDO. Marketing ma różne oblicza, szkoda, że pewnie parę procent to mruganie zrazi.
Kliknij pomógł, jeślim pomógł :-)

Offline Michał

  • ForumPPS.pl
  • Administrator
  • Ekspert
  • *****
  • Wiadomości: 3173
  • Pomógł? 101
  • Kujawsko-Pomorski OW
    • NZOZ "ARS MEDICA" Przychodnia Lekarska
Odp: KS-SOMED a RODO cz. 2
« Odpowiedź #12 dnia: Czerwca 09, 2020, 10:06:46 am »
Panie MK na wstępie zaznaczam żeby nie odbierał Pan personalnie tego co napiszę :)

09061303 mam dokładnie takie same przemyślenia. Nie ma obowiązku korzystania z KS-BDO i część podmiotów ma ogarniętą "papierologię RODO" (bo chyba do tego służy KS-BDO - jeżeli się mylę to proszę mnie poprawić) poza systemem Kamsoftu. W takim przypadku powinna być przynajmniej możliwość zaznaczenia jakiegoś checkboxa "ogarniam rodo gdzie indziej" tak aby można było sobie dodać te dodatkowe punkty w klasyfikacji Kamsoftu.
Najlepiej jakby była opcja umożliwiająca wyłączenie pokazywania tej punktacji bo jest to mechanizm bardzo ułomny i większość użytkowników denerwuje. Zamiast niepotrzebnie ich straszyć, Kamsoft powinien wziąć się do roboty (tak to pisze miłośnik Kamsoftu jak niektórzy mnie nazywają ;)) i popracować nad innymi funkcjami.

Na stronie Kamsoft jest napisane min.:

Cytuj
KS-BDO RODO to kompleksowe rozwiązanie, które wspomaga realizowanie procesów obejmujących ochronę danych osobowych w placówkach opieki zdrowotnej. Rozwiązanie ma na celu ułatwienie osiągnięcie zgodności z wymogami prawa i zostało przygotowane oraz będzie rozwijane w kontekście wymagań rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. dotyczącego ochrony danych osobowych (RODO)

Cytuj
Dzięki temu możliwe jest między innymi kontekstowe/dziedzinowe wsparcie w procesie analizy ryzyk, związanych z przetwarzaniem danych osobowych, automatyczne generowanie niezbędnych dokumentów (upoważnień) oraz ciągłe monitorowanie aktualnego poziomu bezpieczeństwa.


Nie miałem nigdy styczności z KS-BDO, więc mam pytanie:
Czy KS-SOMED + KS-BDO umożliwia przynajmniej półautomatyczne prowadzenie rejestru udostępnionej dokumentacji medycznej? Jeżeli nie to nie ma mowy o żadnym kompleksowym rozwiązaniu.
Zresztą uważam, że w kwestii udostępniania dokumentacji medycznej i wynikających z tego obowiązków (a to jest sprawa bardzo istotna w kwestii RODO) KS-SOMED (tak jak i rozwiązania konkurencji) ma jeszcze wiele do zrobienia.

Wg mnie brakuje mechanizmu, który mógłby wyglądać np. tak
Po tym jak operator "wejdzie w tryb udostępniania dokumentacji medycznej" wybiera pacjenta, zakres dat (ewentualnie inne filtry) następnie wybiera sposób udostępnienia (wydruk, zgranie na nośnik - czy odbiór osobisty czy wysyłka pocztą a jeżeli tak to na jaki adres, mail) w zależności od wybranego sposobu udostępnienia pojawiają się kolejne dane do uzupełnienia, np. adres mailowy, nr telefonu do przesłania hasła do archiwum (możliwość ich skopiowania z kartoteki pacjenta), Imię i Nazwisko osoby (lub nazwa organu/instytucji), której udostępniamy (jeżeli inna niż pacjent). Wysyła się mail z zaszyfrowanym archiwum i sms z hasłem, dodaje się wpis do rejestru udostępnionej dokumentacji z uzupełnionymi w kolejnych krokach elementami. Wpis o udostępnieniu jest podpisany wewnętrznym mechanizmem podpisów (przypominam, że nie ma przepisu, który wymagałby podpis kogokolwiek innego prócz osoby udostępniającej! wbrew praktykom stosowanym w większości podmiotów).
Do tego możliwość ręcznego wprowadzenia wpisu (np. gdy udostępniamy ksero dokumentacji papierowej, która jest w naszym posiadaniu).
Dzięki temu mamy super mechanizm, który jest naprawdę przydatny i wg mnie bardzo przyczyni się do ochrony danych osobowych.

Panie MK, wiem że decyzja o wprowadzeniu takiej funkcjonalności do Pana nie należy, ale czy technicznie (pytam programistę :)) jest to możliwe?

Czy komuś jeszcze brakuje takie rozwiązania?
Pozdrawiam
Michał (michalszy)

Offline MK

  • Kamsoft
  • Ekspert
  • *****
  • Wiadomości: 555
  • Pomógł? 49
Odp: KS-SOMED a RODO cz. 2
« Odpowiedź #13 dnia: Czerwca 09, 2020, 11:03:25 am »
Proszę mi wierzyć, ale naprawdę nie powinienem brać już udziału w dalszej dyskusji.  Umówmy się tak, jeśli gdziekolwiek i kiedykolwiek będę mógł coś naprostować, wyjaśnić lub wskazać rozwiązanie - zrobię to. Jeśli jednak rozmowa zaczyna schodzić na tematy "polityczne": "dlaczego tak a nie inaczej", czy "Kamsoft mógłby" itp. itd.,  zamilknę. Alternatywą  jest zlikwidowanie konta. I nie, nikt na mnie nie wpływa, to moje własne przemyślenia, tak po prostu jest lepiej. 

Offline Michał

  • ForumPPS.pl
  • Administrator
  • Ekspert
  • *****
  • Wiadomości: 3173
  • Pomógł? 101
  • Kujawsko-Pomorski OW
    • NZOZ "ARS MEDICA" Przychodnia Lekarska
Odp: KS-SOMED a RODO cz. 2
« Odpowiedź #14 dnia: Czerwca 09, 2020, 11:12:58 am »
ok. rozumiem. Ja swoje przemyślenia pozostawiam powyżej. :)
Pozdrawiam
Michał (michalszy)

 

* Szukaj


* Kto jest on-line

  • Kropka Gości: 106
  • Kropka Ukrytych: 0
  • Kropka Użytkowników: 0

Nie ma żadnego użytkownika on-line.

Reklama

* Aktywni

Paweł Paweł
9290 Wiadomości
mpi
3356 Wiadomości
PiotrSz
3279 Wiadomości
Michał Michał
3173 Wiadomości
karolweksler
3071 Wiadomości
09061303
3027 Wiadomości
Edward_B Edward_B
2935 Wiadomości
Bartosz Bartosz
2375 Wiadomości
maciek777 maciek777
2200 Wiadomości
cilazapril cilazapril
1619 Wiadomości

Reklama

Postaw mi kawę na buycoffee.to/forumpps

Reklama

Style:3: index (domyslny), Portal (default), Display (default).
Pod-szablony:8: init, html_above, body_above, portal_above, main, portal_below, body_below, html_below.
Pliki językowe:8: SPortal.english (domyslny), SPortal.polish-utf8 (domyslny), SPortal.english (domyslny), index+Modifications.english (domyslny), index+Modifications.polish-utf8 (domyslny), SPortal.polish-utf8 (domyslny), index.english (domyslny), index.polish-utf8 (domyslny).
Arkusze stylów:1: portal (default).
Uwzględnione pliki:15 - 738KB. (pokaż)
Użytych zapytań: 28.

[Pokaż zapytania]