Informacje o stanie zdrowia pacjentów są wyjątkowo wrażliwe. Tego typu dane chroni od kilku już miesięcy unijne rozporządzenie RODO. O tym, w jaki sposób zmiany te wpłynęły na działalność placówek medycznych, a także o rozwiązaniach, które pozwolą szpitalom podnieść poziom bezpieczeństwa danych osobowych i umożliwią spełnienie obowiązków wynikających z RODO mówi Alina Staneczek, Analityk w Pionie Opieki Zdrowotnej, Asseco Poland.
Przepisy RODO obowiązują już od kilku miesięcy. Czy ich wprowadzenie okazało się tak dużą rewolucją, jak sądzono wcześniej?
RODO było i w dalszym ciągu jest wyzwaniem. Zapisy rozporządzenia są w dużym stopniu zgodne z ustawą o ochronie danych osobowych, która w Polsce obowiązywała od 29 sierpnia 1997 roku. Od tego czasu dane powinny być więc chronione. Ale czy zawsze tak było?
Nowe regulacje pojawiły się po to, aby zabezpieczyć dane osobowe, ale dla wielu jednostek ich wprowadzenie oznaczało konieczność wykonania sporej pracy, która jednak była uzasadniona. Choć są obszary, w których RODO może wydawać się nadmierne i czasem nie do końca przyjazne, to posiada wiele potrzebnych i pozytywnych aspektów, pozwalających na ochronę naszej tożsamości. Dzięki temu nikt z nas nie będzie już świadkiem sytuacji, gdzie pacjenci podczas wizyty w przychodni są narażeni na brak dyskrecji ze strony personelu. Dzisiaj powinien być on już przeszkolony i bardziej świadomy tego, że dane trzeba chronić.
W jakim zakresie RODO zmienia obowiązki Administratora Danych Osobowych w placówkach medycznych?
Do obowiązków Administratora Danych Osobowych należy przede wszystkim prawidłowe przetwarzanie danych osobowych. Powinien on sumiennie katalogować zbiory danych, odpowiednio je zabezpieczać i właściwe przetwarzać. Dotyczy to zarówno danych zapisanych w formie elektronicznej, jak i tych, które placówki medyczne zbierają i archiwizują w postaci papierowej.
Bardzo ważną kwestią jest również zapewnienie odpowiedniego bezpieczeństwa danych, które w zależności od ich rodzaju wymaga odpowiednio częstej zmiany haseł, czy szyfrowania. Istotne jest tu również kto, w jakim zakresie i na jaki okres czasu ma do nich dostęp. Administrator musi posiadać aktualny rejestr osób uprawnionych do konkretnych zbiorów danych osobowych. Kolejny ważny aspekt to weryfikacja celów przetwarzania. Polega ona na wykonaniu inwentaryzacji zbiorów danych pod kątem tego, czy dla danych, które są przetwarzane, istnieje jeszcze aktualna podstawa prawna. RODO daje określony czas na wykonanie niektórych zadań. Na przykład zgłoszenie naruszenia ochrony danych musi być wykonane do 72 godzin od momentu zauważenia incydentu. Natomiast na udzielenie odpowiedzi podmiotowi, który złożył wniosek do jednostki administrator ma 30 dni.
Nowe obowiązki, nowe terminy oraz duża ilość obszarów, do których przepisy się odnoszą. Jak zatem placówki medyczne mogą sobie z tym sprawnie poradzić?
Rzeczywiście wyzwań, jakie stoją przed Administratorem Danych Osobowych jest wiele. Dlatego, by ułatwić mu to zadanie stworzyliśmy Asseco PDP – czyli Asseco Personal Data Protection. Jest to rozwiązanie, które pozwala placówkom korzystającym z systemu Asseco Medical Management Solutions na sprawne wykonywanie czynności związanych z zapewnieniem bezpieczeństwa przetwarzanych danych osobowych.
Asseco PDP zapewnia obsługę wszystkich podstawowych rejestrów, o których jest mowa w rozporządzaniu. Zostały one częściowo wypełnione danymi, co znacznie skraca czas uzupełniania informacji. Natomiast w sytuacji, gdy np. dojdzie do naruszenia, administrator nie musi się zastanawiać nad sposobem rejestracji, ponieważ to zostaje mu podpowiedziane przez system. Rozwiązanie stanowi także wsparcie przy obsłudze żądań podmiotów w zakresie dostępu do danych. Umożliwia również sprawne przygotowanie wniosków oraz odpowiedzi. Mogą być one generowane przez system w różnej formie, w zależności od tego, jaki jest status wniosku.
Na rynku istnieją już tego typu rozwiązania. Czym w takim razie wyróżnia się Asseco PDP?
Przede wszystkim tym, że użytkownik ma komplet informacji z obszaru ochrony danych osobowych w jednym miejscu. System jest zintegrowany z AMMS w zakresie: zgód, sprzeciwów, udostępnień, opiekunów, a także rejestrów użytkowników, co pozwala na automatyczne prowadzenie rejestru osób upoważnionych. Co ważne, korzystając z Asseco PDP administrator może w każdej chwili przeprowadzić inwentaryzację danych i sprawdzić czy nie ustał wspomniany wcześniej cel, w którym były one zbierane. System jest także wsparciem w realizacji działań zmniejszających ryzyko wystąpienia naruszenia. Dzięki zawartemu w Asseco PDP katalogowi czynności zapobiegawczych administrator może zgodnie z polityką bezpieczeństwa na bieżąco weryfikować, które z nich zostały wykonane. Może też zaplanować te, które wymagają realizacji. Pozwala to na uniknięcie błędów wynikających z niedopatrzenia, zaniedbania lub niewiedzy.
Co stanie się jeżeli placówki medyczne nie spełnią obowiązku wynikającego z RODO?
Oczywiście regulator przewidział kary, ale nie są one celem samym w sobie, a pewnego rodzaju bodźcem służącym do przestrzegania przepisów i poprawy polityki przetwarzania danych. Dzisiaj Urząd Ochrony Danych Osobowych chroni, radzi, pomaga i szkoli. Chce uświadomić i pokazać zarówno metody, jak i powody, dla których trzeba zabezpieczać dane osobowe. Nie patrzmy więc na RODO przez pryzmat kar. To, na czym powinniśmy się skupić, to jego pozytywny aspekt.
Wypowiedź ukazała się na łamach portalu rynekzdrowia.pl w dniu 21.11.2018 r.