RODO oświadczenia pacjentów, umowy powierzenia danych

[Robinson]

Witam,
jak wszyscy wiemy temat RODO jest bardzo szeroki i nadaje się na to osobny dział ale jak wielu z Was drążymy temat i pojawia się kilka pytań a odpowiedzi zapewne przydadzą się innym.

1. Jako podmiot leczniczy na chwilę obecną zbieramy oświadczenia od pacjenta kto ma mieć/nie mieć dostęp do dokumentacji. Czy Waszym zdaniem coś należałoby dopisać do takich oświadczeń związanego z RODO? To, że przetwarzamy dane pacjentów wynika mocy prawnej o ochronie zdrowia ale czy coś jeszcze pacjenci powinni dostać do podpisania? Oczywiście pomijam spełnienie obowiązku informacyjnego w widocznym miejscu przychodni.

2. Umowy powierzenia danych jako podmiot leczniczy podpisujemy z serwisem IT, podwykonawcami (laboratorium, RTG,USG itd), firmą hosting www i właśnie kto jeszcze?

3. Umowa o zachowaniu tajemnicy dla sprzątaczki, inspektor BHP, kto jeszcze ?

Z góry dziękuję za konkretne informacje pod kątem podmiotu leczniczego. 

[karolweksler]

ad. 2 i ad. 3
Jeszcze biuro rachunkowe (księgowe), o ile zajmuje się także kadrami (czyli posiada w swoich zasobach umowy z pracownikami, zgłoszenia ZUS itp.)

Z podwykonawcami temat może być realizowany na dwa sposoby. Albo w ten sposób, że jest wypisywane skierowanie (zlecenie) pacjentowi, pacjent otrzymuje od Was to skierowanie i idzie z nim do podwykonawcy, czyli to pacjent przekazuje swoje dane osobowe (w postaci zlecenia/skierowania) dla podwykonawcy, i potem podwykonawca daje wynik pacjentowi i pacjent wraca do Waszego gabinetu z wynikami (czyli pacjent przekazuje Wam swoje dane osobowe a nie podwykonawca). Tutaj raczej umowa nie jest potrzebna, bo pacjent może wybrać dowolną przychodnię w kraju.  Przykład: jesteście przychodnią POZ, dajecie pacjentowi skierowanie do poradni chirurgii ogólnej, pacjent niesie skierowanie do dowolnej poradni chirurgii ogólnej w mieście lub w kraju, pacjent na wizycie w poradni chirurgii otrzymuje "informacje dla lekarza kierującego / POZ" i przekazuje ją lekarzowi POZ w Waszej poradni. W każdej z sytuacji, dane pacjenta są przekazywane pacjentowi i to pacjent przekazuje swoje dane dla przychodni (Waszej lub innej).
Inaczej temat wygląda, gdy to Wy przekazujecie dane osobowe (w postaci np. zlecenia wyników badań w postaci elektronicznej lub papierowej) do podwykonawcy i podwykonawca przekazuje Wam wyniki pacjenta (w postaci np. elektronicznej). Tutaj raczej umowa jest potrzebna.

W przypadku wymiany danych osobowych w postaci elektronicznej warto zadbać o bezpieczny sposób transmisji danych. Jedna sprawa to używanie bezpiecznej metody komunikacji (np. e-mail, do którego dostęp odbywa się z użyciem połączenia szyfrowanego, np. webmail z HTTPS). Druga sprawa to zabezpieczenie danych znajdujących się w mejlu, na wypadek np. pomyłki adresata - czyli np. wysyłka pliku zabezpieczonego hasłem (np. archiwum 7zip na hasło, a hasło ustalone telefonicznie z odbiorcą wiadomości).  I umowa powierzenia z hostingiem poczty (najlepiej polskim bo nie przekazujesz danych poza Polskę, np. home.pl chyba ma ISO 27001 i oferuje takie umowy). 

Jeżeli chodzi o serwis IT, zwróć uwagę też na dostawcę oprogramowania do prowadzenia rozliczeń z NFZ lub EDM. Jeżeli dostawca łączy się przez np. TeamViewer i widzi na ekranie dane pacjenta albo jest wysyłany dla dostawcy oprogramowania e-mail zawierający obrazek z błędem działania programu i widać tam dane pacjenta - wg mnie również jest potrzebna umowa. Ostatnio była afera z tym związana: https://niebezpiecznik.pl/post/dane-pacjentow-i-szpitali-wyciekly-z-helpdesku-eskulapa-szpitale-powinny-zmienic-hasla/

Jeszcze umowa z osobą / firmą, której powierzasz zadanie rozliczeń z NFZ, robienie zmian do umowy z NFZ (grafiki pracy).

[Robinson]

ad. 2 i ad. 3
Jeszcze biuro rachunkowe (księgowe), o ile zajmuje się także kadrami (czyli posiada w swoich zasobach umowy z pracownikami, zgłoszenia ZUS itp.)

Z podwykonawcami temat może być realizowany na dwa sposoby. Albo w ten sposób, że jest wypisywane skierowanie (zlecenie) pacjentowi, pacjent otrzymuje od Was to skierowanie i idzie z nim do podwykonawcy, czyli to pacjent przekazuje swoje dane osobowe (w postaci zlecenia/skierowania) dla podwykonawcy, i potem podwykonawca daje wynik pacjentowi i pacjent wraca do Waszego gabinetu z wynikami (czyli pacjent przekazuje Wam swoje dane osobowe a nie podwykonawca). Tutaj raczej umowa nie jest potrzebna, bo pacjent może wybrać dowolną przychodnię w kraju.  Przykład: jesteście przychodnią POZ, dajecie pacjentowi skierowanie do poradni chirurgii ogólnej, pacjent niesie skierowanie do dowolnej poradni chirurgii ogólnej w mieście lub w kraju, pacjent na wizycie w poradni chirurgii otrzymuje "informacje dla lekarza kierującego / POZ" i przekazuje ją lekarzowi POZ w Waszej poradni. W każdej z sytuacji, dane pacjenta są przekazywane pacjentowi i to pacjent przekazuje swoje dane dla przychodni (Waszej lub innej).
Inaczej temat wygląda, gdy to Wy przekazujecie dane osobowe (w postaci np. zlecenia wyników badań w postaci elektronicznej lub papierowej) do podwykonawcy i podwykonawca przekazuje Wam wyniki pacjenta (w postaci np. elektronicznej). Tutaj raczej umowa jest potrzebna.

W przypadku wymiany danych osobowych w postaci elektronicznej warto zadbać o bezpieczny sposób transmisji danych. Jedna sprawa to używanie bezpiecznej metody komunikacji (np. e-mail, do którego dostęp odbywa się z użyciem połączenia szyfrowanego, np. webmail z HTTPS). Druga sprawa to zabezpieczenie danych znajdujących się w mejlu, na wypadek np. pomyłki adresata - czyli np. wysyłka pliku zabezpieczonego hasłem (np. archiwum 7zip na hasło, a hasło ustalone telefonicznie z odbiorcą wiadomości).  I umowa powierzenia z hostingiem poczty (najlepiej polskim bo nie przekazujesz danych poza Polskę, np. home.pl chyba ma ISO 27001 i oferuje takie umowy). 

Jeżeli chodzi o serwis IT, zwróć uwagę też na dostawcę oprogramowania do prowadzenia rozliczeń z NFZ lub EDM. Jeżeli dostawca łączy się przez np. TeamViewer i widzi na ekranie dane pacjenta albo jest wysyłany dla dostawcy oprogramowania e-mail zawierający obrazek z błędem działania programu i widać tam dane pacjenta - wg mnie również jest potrzebna umowa. Ostatnio była afera z tym związana: https://niebezpiecznik.pl/post/dane-pacjentow-i-szpitali-wyciekly-z-helpdesku-eskulapa-szpitale-powinny-zmienic-hasla/

Jeszcze umowa z osobą / firmą, której powierzasz zadanie rozliczeń z NFZ, robienie zmian do umowy z NFZ (grafiki pracy).

Cenne uwagi, dziękuję. Czy odnośnie punktu 1 ktoś z Was ma jakiś pomysł?

[karolweksler]

Ad. 1 ja mam dwie uwagi:
- w RODO jest wielokrotnie mowa o tym, że tekst (w ramach obowiązku informacyjnego) ma być zrozumiały dla normalnego człowieka
- pod kątem spełnienia wymagań rozporządzenia, upewnij się, że na oświadczeniach które teraz zbierasz są wszystkie wymagane dane
http://prawo.sejm.gov.pl/isap.nsf/download.xsp/WDU20150002069/O/D20152069.pdf

8. 1. W dokumentacji indywidualnej wewnętrznej zamieszcza się lub dołącza do niej:
1) oświadczenie pacjenta o upoważnieniu do uzyskiwania informacji o jego stanie zdrowia i udzielonych świadczeniach
zdrowotnych, ze wskazaniem imienia i nazwiska osoby upoważnionej oraz danych umożliwiających kontakt z tą osobą;
2) oświadczenie pacjenta o upoważnieniu do uzyskiwania dokumentacji, ze wskazaniem imienia i nazwiska osoby upoważnionej;

Ja, w miarę możliwości, brałbym mejle od pacjentów, aby w razie potrzeby móc ich prosto - jednym mejlem - poinformować o wycieku danych. Albo chociaż telefon komórkowy, aby móc wysłać do wszystkich SMSy.  Podobnie z pracownikami, których dane posiadasz.

[Robinson]

Ad. 1 ja mam dwie uwagi:
- w RODO jest wielokrotnie mowa o tym, że tekst (w ramach obowiązku informacyjnego) ma być zrozumiały dla normalnego człowieka
- pod kątem spełnienia wymagań rozporządzenia, upewnij się, że na oświadczeniach które teraz zbierasz są wszystkie wymagane dane
http://prawo.sejm.gov.pl/isap.nsf/download.xsp/WDU20150002069/O/D20152069.pdf

8. 1. W dokumentacji indywidualnej wewnętrznej zamieszcza się lub dołącza do niej:
1) oświadczenie pacjenta o upoważnieniu do uzyskiwania informacji o jego stanie zdrowia i udzielonych świadczeniach
zdrowotnych, ze wskazaniem imienia i nazwiska osoby upoważnionej oraz danych umożliwiających kontakt z tą osobą;
2) oświadczenie pacjenta o upoważnieniu do uzyskiwania dokumentacji, ze wskazaniem imienia i nazwiska osoby upoważnionej;

Ja, w miarę możliwości, brałbym mejle od pacjentów, aby w razie potrzeby móc ich prosto - jednym mejlem - poinformować o wycieku danych. Albo chociaż telefon komórkowy, aby móc wysłać do wszystkich SMSy.  Podobnie z pracownikami, których dane posiadasz.

Zatem zbierane oświadczenia mam zgodne z Twoją informacją. Zbieram również nr telefonu chociaż część z nich to numery telefonów stacjonarnych zatem SMS odpadnie ale to już coś.Dziękuję.

[MichalP]

To kolejne pytanie.

Jak sytuacja się ma do obecnych przepisów i jak do przyszłych RODO.


Komputery w przychodni mają jedno konto użytkownika "PrzychodniaUser" z hasłem znanym tylko pracownikom.
Z tego konta jest dostęp do katalogu KSPPS, ale już nie ma do pliku bazy danych.
System KSPPS zabezpieczony indywidualnymi hasłami użytkowników.

Czy taka sytuacja jest dopuszczalna wedle  obecnych i przyszłych przepisów ? By było jedno konto dla wszystkich ?
Czy jednak uruchomić domenę ?

[karolweksler]

@Robinson

W ostateczności na stacjonarny nr też da się wysłać SMS.

@MichalP

Przepisy są dosyć ogólne i mówią - w wolnym tłumaczeniu - żeby robić tak, żeby bylo dobrze uwzględniając zagrożenia i sprawdzać co jakiś czas czy stosujesz właściwe zabezpieczenia wobec aktualnych zagrożeń.

1. Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
https://gdpr.pl/artykul-24-obowiazki-administratora

Ja na pewno umieściłbym plik bazy PPSa na zaszyfrowanym dysku (BitLocker w przypadku Windows Profesional lub Enterprise albo bezpłatny VeraCrypt). Plus próba zabezpieczenia, żeby ktoś kto np. korzysta z końcówki nie mógł wykonać kopii bazy PPSa i zgrać sobie na pendrive bądź przesłać mailem. To najprostszy możliwy scenariusz jaki przychodzi mi do głowy. Do tego oczywiście kopie w miejscu niedostępnym dla wirusów, dla zwykłych użytkowników oraz w miejscu bezpiecznym na wypadek pożaru. Kolejny temat - jak jest zabezpieczony dostęp do serwera z zewnątrz (przez internet) oraz jak jest zabezpieczony fizycznie serwer (może powinien być w szafce na kluczyk, czy można podłączyć pendrive?).

Hasła do PPSa powinny być naprawdę indywidualne i trudne do odgadnięcia, a nie imię, inicjały, data urodzenia itp.

edit:
Pisząc o kopiach mam na myśli:
1. opcję 'serwis' - 'kopia bezpieczeństwa' w menu PPS
2. gbak z katalogu BIN Firebirda
3. dostęp do pliku bazy z poziomu eksploratora windows

[MichalP]

Baza Oracla - niezaszyfrowany dysk
Do wykonania kopii potrzebny użytkownik system, wiec kopii nie zrobią.
Kopie w zabezpieczonych katalogach
Kopie spakowane i zabezpieczone hasłem wysyłane na inny komp i dodatkowo na IBARD Comarchu - tu chyba do sprawdzenia umowa z Comarch
Szafa z serwerem na klucz,
Dostęp do sieci po VPN Drayteka.

No właśnie też dotarłem do zapisu "administrator wdraża odpowiednie środki techniczne i organizacyjne" czyli muszę dobrać zabezpieczenie do zagrożenia. Czyli uważam że wspólne konto może być i stosując inne odpowiednie zabezpieczenia biorę to na swoją odpowiedzialność. Co innego jak wytypowany/zatrudniony IOD stwierdzi inaczej.

[karolweksler]

Ja rozumiem RODO podobnie jak Ty.
Możemy spróbować pociągnąć dalej temat.
RODO definiuje bezpieczeństwo jako również jako dostępność. W związku z powyższym - kiedy ostatnio sprawdzałeś czy da się skorzystać z kopii, które masz i ile czasu zajmuje przywrócenie danych z kopii?
Kiedy ostatnio aktualizowałeś software w Drayteku?
Czy jakby ktoś teraz kliknął w wirusa szyfrującego dane (również na dyskach sieciowych) to czy kopie są bezpieczne?
Czy klucz do szafy przypadkiem nie znajduje się w szafie? Czy określone jest kto ma do niego dostęp?

edit:
wg mnie baza powinna być na zaszyfrowanym dysku. Czasami serwery bazodanowe oferują wewnętrzne mechanizmy szyfrowania, np. w SQL Server jest TDE. Może w Oracle'u też coś jest.

[MichalP]

Chyba dobrzr by było to zebrać i zrobić  tego check liste

RODO definiuje bezpieczeństwo jako również jako dostępność. W związku z powyższym - kiedy ostatnio sprawdzałeś czy da się skorzystać z kopii, które masz i ile czasu zajmuje przywrócenie danych z kopii?

Z tydzień temu. Przymiarki do softu robiącego w nocy kopie całego serwera.

Kiedy ostatnio aktualizowałeś software w Drayteku?

Soft najnowszy choć główny Draytek dość leciwy więc i może nie być nowego niedziuroawego softu.

Czy jakby ktoś teraz kliknął w wirusa szyfrującego dane (również na dyskach sieciowych) to czy kopie są bezpieczne?

IBARD dość wyczerpuje temat bo na niego nie działają wirusy szyfrujące. Bo to aplikacja przesyła pliki.
Z wirusami szyfrującymi z jakimi się zetknąłem zazwyczaj działały tak że szyfrowały dane do których miały dostęp, czyli dysk plus ewentualne udostępnione sieciowe. Od jakiegoś czasu zakładam usera "kopia". Do katalogu z kopiami ma tylko on dostęp. Wykorzystuje Cobiana ,który podczas kopiowania danych z serwera na drugi komp używa wewnątrz zapisanych poświadczeń użytkownika "kopia". Czyli pomimo że system nie ma uprawnień do katalogu to Cobian podczas kopiowania ma. Więc nawet wirus odpalony na Adminie nie powinien zaszyfrować kopii. Albo tak mi się wydaje.

Czy klucz do szafy przypadkiem nie znajduje się w szafie? Czy określone jest kto ma do niego dostęp?

Jest zamknięty w szafce do której klucze ma kierownik placówki.

Do jutra

[PiotrSz]

A czy baza Oracla na domyślnym haśle z instalacji systemu czy zmienionym? ;-)
Które komputery mają dostęp do bazy danych?

Pozdrawiam

[Robinson]

A czy mamy powiadomienia o przekroczeniu wartości granicznych temperatury/wilgotności i zalaniu wodą.
A czy mamy powiadomienia z systemu antywirusowego/firewall o zdarzeniach.

to są już szczegóły techniczne oczywiście również istotne

[PiotrSz]

A czy mamy powiadomienia o przekroczeniu wartości granicznych temperatury/wilgotności i zalaniu wodą.
A czy mamy powiadomienia z systemu antywirusowego/firewall o zdarzeniach.

to są już szczegóły techniczne oczywiście również istotne

Tego jest tyle, że idzie się załamać..

[Robinson]

Tak jest tego sporo i na 100% wszyscy wszystko nie będą mieli na dzień 25 maja. Mi bardziej chodzi aby spełnić obowiązek informacyjny, zbierać od pacjentów Oświadczenia (poprawne i zgodne z RODO, zbieramy cały czas oświadczenia ale właśnie czy są na 100% poprawne), poprawne umowy powierzenia danych, wprowadzać zmiany minimalizujące ryzyka, dokumentacja, 25 maj, i dalsze zmiany, to musi (powinno) żyć.

Założyłem ten temat wychodząc z powyższego założenia i dziękuję za konkrety a nie "wypociny teoretyków robiących tylko szkolenia a nie mających doświadczenia" - nie chcę absolutnie nikogo obrazić ale ilość propozycji szkoleń i na tym koniec jest powalająca. Tutaj zakończę i dzięki.

[MichalP]

A czy baza Oracla na domyślnym haśle z instalacji systemu czy zmienionym? ;-)
Które komputery mają dostęp do bazy danych?

Pozdrawiam

Hasła zmienione

A czy mamy powiadomienia o przekroczeniu wartości granicznych temperatury/wilgotności i zalaniu wodą.
A czy mamy powiadomienia z systemu antywirusowego/firewall o zdarzeniach.

to są już szczegóły techniczne oczywiście również istotne

Widać że to jeszcze długa droga przed nami.