Data dodania: 1-08-2018


Ochrona danych osobowych w gabinecie lekarskim według RODO (cz. I)

Bartłomiej Nowak

Rozporządzeniu Parlamentu Europejskiego i Rady UE nr 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (w skrócie RODO) - budzi ostatnio wiele emocji. 25 maja 2018 r. zakończył się bowiem okres, jaki Polska miała na dostosowanie prawa krajowego do regulacji wspomnianego rozporządzenia, które weszło w życie już dwa lata temu - 17 maja 2016 r. Co więcej, nadal nie ma ani ustawy, ani rozporządzeń do niej, dostosowujących polskie prawo do unijnych przepisów RODO, co nie znaczy, że możemy je ignorować. Rozporządzenie jest bowiem aktem prawa UE, które jest stosowane w krajach unijnych, w tym w Polsce, bezpośrednio - nawet bez przepisów polskich i pomimo, iż przepisy polskiego prawa będą z nim sprzeczne.

Przed RODO nie ma ucieczki, przepisy te muszą bowiem stosować w praktyce wszystkie firmy, które w jakikolwiek sposób przetwarzają dane osobowe. Zatem także podmioty świadczące usługi medycznych, w tym również praktyki lekarskie. Jak więc przygotować się na te nowe przepisy, za niedopełnienie których grożą gigantyczne kary? Poniżej pisze o tym Bartłomiej Nowak, izbowy informatyk i Administrator  Bezpieczeństwa Informacji OIL w Łodzi. Jest to konspektowy zapis jego wykładu, prezentowanego na spotkaniach organizowanych w ramach szkoleń Ośrodka Kształcenia Medycznego łódzkiej Izby.

Tytułem wstępu

To czy dane osobowe trzeba chronić, nie powinno być już tematem żadnych dyskusji. Dzisiaj nikt nie ma wątpliwości, że należy je zabezpieczać, gdyż są bardzo, bardzo  cenne. Statystyki pokazują, że co piąty Polak doświadczył negatywnych konsekwencji braku należytej ochrony swoich danych osobowych, w tym od 7 do 17% wręcz padło ofiarą kradzieży tożsamości.

Z mojej praktyki zawodowej wynika, że najbardziej bagatelizowanym aspektem ochrony danych jest właściwe zabezpieczenie komputerów, serwerów i reszty infrastruktury teleinformatycznej. Co tu dużo kryć - cyfryzacja ochrony zdrowia ma pewne korzyści, również systemowe, ale też rodzi nowe zagrożenia. W przypadku włamania do systemów informatycznych, kradzieży danych można dokonać zdalnie, na odległość i na masową skal. Oczywiście, ataki hackerskie są najczęściej przytaczanym zagrożeniem, ale jest ich dużo więcej. Fakt, że wiele elementów tych systemów z założenia ma pracować przez 24h na dobę, może np. powodować przepięcia, a te skutkować pożarami. Przykłady można mnożyć.

Należy również zdać sobie sprawę z następstw, jakie płyną z niewłaściwego zabezpieczenia danych, których kradzież może powodować utratę reputacji, nagonkę medialną, zmarnowanie czasu, czy straty finansowe, wynikające z kosztów naprawienia powstałych szkód oraz kar, jakie mogą zostać na nas nałożone (a w przypadku RODO, są one gigantyczne). Jest też druga strona medalu, czyli konsekwencje, jakie poniesie osoba, której dane zostały zniszczone lub wykradzione... W oczywisty sposób liczba możliwych zagrożeń rośnie w przypadku przetwarzania danych szczególnie wrażliwych, do których zaliczają się informacje o zdrowiu pacjenta, co w przypadku ich ujawnienia niesie za sobą ryzyko niedotrzymania tajemnicy zawodowej, nie mówiąc o innych konsekwencjach.

To tyle tytułem wstępu, przejdźmy  teraz  do zasadniczego tematu.

Zabezpieczenie danych według RODO

Na początek należy zadać sobie pytanie, po co w zasadzie wprowadzono RODO, skoro mieliśmy już przepisy unijne, które normowały ochronę danych osobowych? W 1997 r., a więc dwadzieścia jeden lat temu, na podstawie unijnych przepisów, uchwalono w Polsce ustawę o ODO., która właśnie przestała obowiązywać. Ustawa ta to idealny przykład, kiedy prawo nie nadążyło za zmieniającym się światem. Przez dwadzieścia jeden lat nastąpił bowiem szalony rozwój technologii cyfrowej., mamy nowoczesne telefony, komputery, Internet, pocztę e-mail itp.

Jedna z podstawowych różnic pomiędzy starą ustawą a RODO jest taka, że ta wcześniejsza w wielu aspektach prowadziła nas za rękę. Mieliśmy dokładnie rozpisane, jakie dokumenty musimy posiadać i jaka ma być ich struktura, czy nawet jak ma być zbudowane hasło do naszego komputera. Ta nowa natomiast pozostawia w tej kwestii dużą swobodę administratorowi danych; uznaje bowiem, że on sam najlepiej wie, jakie dane przetwarza, jaki jest kontekst tego przetwarzania i jakie to za sobą niesie ryzyko, więc powinien również wiedzieć jak te dane skutecznie chronić.

To co dostajemy na gruncie RODO, to zbiór zasad, które muszą być spełnione aby można było mówić, że dane osobowe są przez nas właściwie przetwarzane. Do ich katalogu należą: zasada legalności, zasada celowości, zasada merytorycznej poprawności, zasada adekwatności, zasada ograniczenia czasowego, zasada przejrzystości, zasada integralności i poufność, zasada rozliczalności. Wszystkie te zasady omawiamy na marginesie tej strony,  tu zastanówmy się natomiast, jak je należy wypełnić? Zacznijmy odchyla  najłatwiejszej  do realizacji:

Zasada przejrzystości

RODO nakłada na nas obowiązek informacyjny. Polega on na tym, że przed rozpoczęciem zbierania danych, musimy poinformować osobę, która nam je ma przekazać, m.in.:

·        o tożsamości i danych kontaktowych Administratora;

·        o celu przetwarzania danych osobowych;

·        o podstawie prawnej przetwarzania;

·        o odbiorcach danych osobowych lub o kategoriach tych odbiorców;

·        o okresie, przez który dane osobowe będą przechowywane;

·        o prawach osób, których dane dotyczą, a także

·        czy podanie danych osobowych jest wymogiem ustawowym albo warunkiem zawarcia umowy.

Taka informacja nie musi mieć charakteru indywidualnego, więc wystarczy, że ją umieścimy na swojej stronie internetowej, czy umieścimy w ramce przy rejestracji, a jeżeli chcemy mieć to udokumentowane w celach dowodowych - możemy ją umieścić w nagłówku formularza rejestracyjnego lub formularza upoważnień.

 

Zasada integralności i poufność

RODO nakłada na nas obowiązek  zapewnienia  odpowiedniego poziomu bezpieczeństwa danych osobowych za pomocą odpowiednich środków technicznych lub organizacyjnych. Jak to zrobić? RODO nie dostarcza nam gotowych rozwiązań. Sami musimy o nie zadbać. Prawda jest taka, że niezależnie od tego, jakie zabezpieczenia zastosujemy, nigdy nie wykluczymy możliwości wystąpienia incydentu. Jeden z moich wykładowców, specjalista od zabezpieczeń zwykł mówić, że bezpieczny komputer, to wyłączony komputer, ale i to nie jest prawdą. To co możemy zrobić, to dążyć do takiego poziomu bezpieczeństwa, abyśmy mogli powiedzieć, że dane zostały zabezpieczone adekwatnie do poziomu ryzyka.

A skoro mówimy o ryzyku, to musimy wiedzieć, gdzie go szukać. W tym celu najlogiczniej jest wykonać audyt wewnętrzny, czyli - inaczej mówiąc - zinwentaryzować przetwarzane dane osobowe, posiadane aktywa, które biorą udział w tym przetwarzaniu oraz stosowane zabezpieczenia. Do nich należą nie tylko zabezpieczenia fizyczne czy informatyczne, ale również wszelkiego rodzaju procedury i regulaminy, czyli zabezpieczenia kadrowo-organizacyjne. Mając taką listę (zbiorów danych, aktywów i zabezpieczeń) - należy wyobrazić sobie, jakie zagrożenia mogą oddziaływać na poszczególne elementy i również je wypisać. Taka inwentaryzacja powinna być punktem wyjścia do projektowania systemu ochrony danych osobowych.

Wspomniałem wcześniej, że zabezpieczenia mają być adekwatne do poziomu ryzyka. Tutaj rodzi się pytanie, jak oszacować, czy nasze zabezpieczenia spełniają ten warunek?  Z pomocą przychodzi nam narzędzie znane z encyklopedii zarządzania, a mianowicie analiza ryzyka.

Nie jest to nic nowego, duże firmy od lat z powodzeniem wykorzystują tę metodę w procesach zarządczych, nie tylko w odniesieniu do danych osobowych. W uproszczeniu metoda ta polega na wyznaczeniu poziomu ryzyka a następnie, w przypadku ustalenia ryzyka na wysokim poziomie, podjęcie odpowiednich działań korygujących, mających na celu jego obniżenie. Krótko mówiąc, szukamy słabych punktów i staramy się je wyeliminować.

To co jest w tym miejscu istotne to fakt, że ryzyko jest kwantyfikowalne, mierzalne. Można je wyliczyć ze wzoru, dzięki czemu ryzyko przestaje być pojęciem abstrakcyjnym. Analiza ryzyka daje nam pełny obraz poziomu ochrony danych osobowych we wszystkich jej aspektach. Dzięki temu będziemy mogli określić co dalej robimy z danym ryzykiem. A możemy:

1. zaakceptować ryzyko (jeżeli poziom jest niski, a co za tym idzie zabezpieczenia są właściwe) lub

2. podjąć działania obniżające ryzyko, polegających na jego:

·        przeniesieniu – przerzuceniu ryzyka (outsourcing, ubezpieczenie);

·        unikaniu – eliminacji działań powodujących ryzyko (np. zakaz wynoszenia komputerów przenośnych poza obszar organizacji);

·        redukcja – zastosowaniu zabezpieczeń w celu obniżenia ryzyka.

Decydując, jakie środki bezpieczeństwa chcemy wdrożyć, powinniśmy wziąć pod uwagę kilka rzeczy:  aktualny stan wiedzy technicznej, koszt wdrożenia oraz charakter, zakres i cel przetwarzania danych.

Cztery zasady w jednym:

legalności, celowości, adekwatności, ograniczenia czasowego

Te cztery zasady RODO omówimy jednocześnie, gdyż w przypadku podstawowego zakresu wykonywania działalności leczniczej wykazanie stosowania tych zasad jest stosunkowo proste, bo wynika z przepisów prawa. Potrafimy wskazać dokładną podstawę prawną przetwarzania, wiemy jaki jest cel przetwarzania danych, przepisy mówią nam jakie dane możemy pozyskać od pacjenta i jak długo mamy obowiązek je przechowywać. Aby móc to udokumentować tworzymy dokument nazwany rejestrem czynności przetwarzania.

 

Zasada rozliczalności

Jest to zasada RODO, która zobowiązuje nas do wykazania przestrzegania wszystkich omawianych wcześniej zasad. Tak naprawdę już ją w większości wypełniliśmy. Dzięki obowiązkowi informacyjnemu spełniliśmy zasadę przejrzystości. Przed chwilą mówiłem o rejestrze czynności przetwarzania, którym to rejestrem udokumentowaliśmy jednocześnie cztery zasady. Zasadę integralności i poufności częściowo wypełniliśmy dzięki analizie ryzyka, a dopełnić ją powinniśmy tworząc różnego rodzaju procedury nazwane w RODO politykami. Przykładem takiej polityki może być procedura utylizacji nośników danych, procedura obsługi pacjenta przez pracownika rejestracji lub zasady współpracy z firmami zewnętrznymi.

Chciałbym w tym miejscu odnotować fakt istnienia jeszcze dwóch obowiązków narzuconych przez RODO. Nie są one do końca związane z omawianymi zasadami, ale są obowiązkiem każdego Administratora Danych. Pierwszym jest obowiązek dodatkowego udokumentowania współpracy w zakresie przetwarzania danych ze swoimi pracownikami  oraz współpracy z firmami zewnętrznymi; jej celu, zakresu, zasad i warunków. Dla pracowników będzie to pisemne upoważnienie do przetwarzania danych, a dla firm zewnętrznych - stosowna umowa powierzenia. Drugim obowiązkiem  jest wyznaczenie Inspektora Ochrony Danych w firmach, które przetwarzają dane osobowe na dużą skalę, zwłaszcza danych wrażliwych.

Do tego tematu jeszcze powrócę na łamach „Panaceum”.

 

Bartłomiej Nowak,

informatyk i Administrator Bezpieczeństwa Informacji OIL w Łodzi,

organizator ochrony danych osobowych w podmiotach leczniczych i indywidualnych praktykach lekarskich

 

(opr. NS)