iStock
Ochrona danych osobowych – wymiana EDM
Redaktor: Krystian Lurka
Data: 11.10.2021
Źródło: Biuletyn Wielkopolskiej Izby Lekarskiej/Marek Saj
| Tagi: | Marek Saj |
1 lipca rozpoczęła się wymiana Elektronicznej Dokumentacji Medycznej. – Od tego dnia znaczenie i rola systemów informatycznych, za pomocą których gromadzone i przetwarzane są dane osobowe, w tym dane medyczne, nabrały nowego wymiaru – podkreśla Marek Saj, specjalista z zakresu ochrony danych osobowych.
Tekst Marka Saja, dyrektora biura Wielkopolskiej Izby Lekarskiej, specjalisty z zakresu ochrony danych osobowych:
– To moment, od kiedy droga na skróty i „po kosztach” może mieć nieodwracalne konsekwencje dla administratorów danych osobowych – właścicieli gabinetów i poradni. Organizacja sieci komputerowej, systemów zabezpieczeń i dobór adekwatnych narzędzi to podstawa. Często pokusa oszczędności i pozorowanej optymalizacji prowadzi do korzystania z rozwiązań ogólnodostępnych na rynku, których zaletą jest bezpłatność i łatwość w dostępie, ale najczęściej takie rozwiązania bazują na podstawowych narzędziach w zakresie programistycznym i otwartych kodach źródłowych, co powoduje zwiększoną podatność na zagrożenia sieciowe. Nie powinno się również do celów działalności zawodowej używać oprogramowania przeznaczonego do użytku domowego. Takie oprogramowanie najczęściej nie pozwala stosować dodatkowych mechanizmów zabezpieczeń. Na administratorach danych spoczywa obowiązek doboru takich narzędzi, które w sposób obiektywny zapewnią bezpieczeństwo i integralność przetwarzanych danych osobowych. Zarządzający danymi osobowymi często skupiają się na zabezpieczeniu danych przed ich niepożądanym pozyskaniem, a czasem zapominają, że niezwykle istotne jest zapewnienie ich trwałości i kompletności, stąd tak ważne jest opracowanie systemów sporządzania kopii zapasowych.
Dzisiejsze programy do prowadzenia dokumentacji medycznej bardzo często są narzędziami online i za bezpieczeństwo oraz kompletność danych odpowiadają ich producenci, ale pamiętajmy, że wybierając konkretny program, powinniśmy zwrócić uwagę i na ten wątek. Praca na danych osobowych jest ściśle związana z operacjami przetwarzania, takimi jak wprowadzanie danych, ich modyfikowanie, archiwizowanie i porządkowanie. Niezwykle ważnym zadaniem dla administratorów danych jest zatem prawidłowe nadanie uprawnień personelowi medycznemu, który przetwarza te dane w gabinecie czy poradni. Jest to tzw. polityka uprawnień, w której każdy pracownik wykonuje tylko te czynności, do których został upoważniony i nadano mu uprawnienia. W tym miejscu nie można pominąć kwestii rozliczalności procesu przetwarzania danych osobowych, czyli ewidencji czynności wykonanych na danych osobowych przez konkretnych pracowników. Jest to na szczęście obowiązek dostawców oprogramowania, aby takie funkcjonalności były dostępne w oferowanych przez nich systemach. Użytkownik systemu musi przy tym posiadać własny login i hasło dostępowe o odpowiedniej złożoności. Niedopuszczalne są praktyki udostępniania haseł czy loginów i zastępowanie na przykład lekarzy w pewnych czynnościach, które być może ułatwiają im pracę i są rozsądne, ale z perspektywy przepisów prawa stanowią naruszenie dobrych praktyk oraz zasad rozliczalności procesu przetwarzania danych osobowych. Hasła dostępowe muszą być odpowiednio skomplikowane i być regularnie zmieniane. Oczywiście można korzystać z generatorów haseł, jednak trudność w ich zapamiętywaniu może powodować konieczność ich zapisywania, co nie służy kwestii bezpieczeństwa. Rozsądniejsze jest zatem skonstruowanie hasła składającego się z dużych i małych liter, cyfr i znaków specjalnych. Optymalne rozwiązanie to hasło co najmniej ośmioznakowe i zmieniane nie rzadziej niż raz na kwartał. Trzeba też pamiętać, aby nie stosować haseł naprzemiennie czy też hasła nie powinny być ciągiem następujących po sobie klawiszy. Każdy użytkownik systemów informatycznych winien wykorzystywać powierzony mu sprzęt do celów służbowych. Nie jest zalecane łączenie jego funkcji prywatnych i zawodowych.
Administrator ma obowiązek serwisować zakupiony sprzęt zgodnie z zaleceniami producentów, a obsługa informatyczna w dzisiejszych okolicznościach musi być stałym elementem w działalności poradni lekarskich. Elektronizacja procesów medycznych bardzo często powoduje konieczność korzystania z przeglądarek internetowych i poczty elektronicznej do celów służbowych. Pamiętajmy, by zabezpieczyć te czynności oprogramowaniem antywirusowym, które również powinno mieć komercyjną licencję, aby rzeczywiście zapewniać bezpieczeństwo. Niedopuszczalne są również czynności, których efektem jest zapamiętywanie haseł w przeglądarkach internetowych. Każdy użytkownik winien zwracać także uwagę na przesłane pliki, których pochodzenie budzi wątpliwości lub też ich rozszerzenie jest niestandardowe. Zagrożenia sieciowe to jeden z potencjalnych obszarów, na które trzeba uważać, ale nie należy zapomnieć też o zagrożeniach fizycznych, takich jak na przykład kradzież przenośnego komputera. Trzeba zatem pamiętać, aby transportując taki sprzęt samochodem, nie pozostawiać go w widocznym miejscu, a jeśli korzystamy z bazy danych zapisanej bezpośrednio na tym urządzeniu, rekomendowane jest stosowanie szyfrowanych dysków. Mając świadomość wielu obowiązków ciążących na administratorach danych, najlepiej jest je spisać i uporządkować w dokumencie, który roboczo zazwyczaj tytułowany jest „Instrukcją zarządzania systemami informatycznymi” i stanowi najczęściej załącznik do „Polityki ochrony danych osobowych”. Pamiętajmy też, że nawet najlepsze systemy zabezpieczeń mogą okazać się niewystarczające, jeśli personel nie potrafi z nich korzystać, stąd inwestowanie w umiejętności pracowników musi być również priorytetowo traktowane przez właścicieli poradni.
Artykuł opublikowano w Biuletynie Wielkopolskiej Izby Lekarskiej 10/2021.
– To moment, od kiedy droga na skróty i „po kosztach” może mieć nieodwracalne konsekwencje dla administratorów danych osobowych – właścicieli gabinetów i poradni. Organizacja sieci komputerowej, systemów zabezpieczeń i dobór adekwatnych narzędzi to podstawa. Często pokusa oszczędności i pozorowanej optymalizacji prowadzi do korzystania z rozwiązań ogólnodostępnych na rynku, których zaletą jest bezpłatność i łatwość w dostępie, ale najczęściej takie rozwiązania bazują na podstawowych narzędziach w zakresie programistycznym i otwartych kodach źródłowych, co powoduje zwiększoną podatność na zagrożenia sieciowe. Nie powinno się również do celów działalności zawodowej używać oprogramowania przeznaczonego do użytku domowego. Takie oprogramowanie najczęściej nie pozwala stosować dodatkowych mechanizmów zabezpieczeń. Na administratorach danych spoczywa obowiązek doboru takich narzędzi, które w sposób obiektywny zapewnią bezpieczeństwo i integralność przetwarzanych danych osobowych. Zarządzający danymi osobowymi często skupiają się na zabezpieczeniu danych przed ich niepożądanym pozyskaniem, a czasem zapominają, że niezwykle istotne jest zapewnienie ich trwałości i kompletności, stąd tak ważne jest opracowanie systemów sporządzania kopii zapasowych.
Dzisiejsze programy do prowadzenia dokumentacji medycznej bardzo często są narzędziami online i za bezpieczeństwo oraz kompletność danych odpowiadają ich producenci, ale pamiętajmy, że wybierając konkretny program, powinniśmy zwrócić uwagę i na ten wątek. Praca na danych osobowych jest ściśle związana z operacjami przetwarzania, takimi jak wprowadzanie danych, ich modyfikowanie, archiwizowanie i porządkowanie. Niezwykle ważnym zadaniem dla administratorów danych jest zatem prawidłowe nadanie uprawnień personelowi medycznemu, który przetwarza te dane w gabinecie czy poradni. Jest to tzw. polityka uprawnień, w której każdy pracownik wykonuje tylko te czynności, do których został upoważniony i nadano mu uprawnienia. W tym miejscu nie można pominąć kwestii rozliczalności procesu przetwarzania danych osobowych, czyli ewidencji czynności wykonanych na danych osobowych przez konkretnych pracowników. Jest to na szczęście obowiązek dostawców oprogramowania, aby takie funkcjonalności były dostępne w oferowanych przez nich systemach. Użytkownik systemu musi przy tym posiadać własny login i hasło dostępowe o odpowiedniej złożoności. Niedopuszczalne są praktyki udostępniania haseł czy loginów i zastępowanie na przykład lekarzy w pewnych czynnościach, które być może ułatwiają im pracę i są rozsądne, ale z perspektywy przepisów prawa stanowią naruszenie dobrych praktyk oraz zasad rozliczalności procesu przetwarzania danych osobowych. Hasła dostępowe muszą być odpowiednio skomplikowane i być regularnie zmieniane. Oczywiście można korzystać z generatorów haseł, jednak trudność w ich zapamiętywaniu może powodować konieczność ich zapisywania, co nie służy kwestii bezpieczeństwa. Rozsądniejsze jest zatem skonstruowanie hasła składającego się z dużych i małych liter, cyfr i znaków specjalnych. Optymalne rozwiązanie to hasło co najmniej ośmioznakowe i zmieniane nie rzadziej niż raz na kwartał. Trzeba też pamiętać, aby nie stosować haseł naprzemiennie czy też hasła nie powinny być ciągiem następujących po sobie klawiszy. Każdy użytkownik systemów informatycznych winien wykorzystywać powierzony mu sprzęt do celów służbowych. Nie jest zalecane łączenie jego funkcji prywatnych i zawodowych.
Administrator ma obowiązek serwisować zakupiony sprzęt zgodnie z zaleceniami producentów, a obsługa informatyczna w dzisiejszych okolicznościach musi być stałym elementem w działalności poradni lekarskich. Elektronizacja procesów medycznych bardzo często powoduje konieczność korzystania z przeglądarek internetowych i poczty elektronicznej do celów służbowych. Pamiętajmy, by zabezpieczyć te czynności oprogramowaniem antywirusowym, które również powinno mieć komercyjną licencję, aby rzeczywiście zapewniać bezpieczeństwo. Niedopuszczalne są również czynności, których efektem jest zapamiętywanie haseł w przeglądarkach internetowych. Każdy użytkownik winien zwracać także uwagę na przesłane pliki, których pochodzenie budzi wątpliwości lub też ich rozszerzenie jest niestandardowe. Zagrożenia sieciowe to jeden z potencjalnych obszarów, na które trzeba uważać, ale nie należy zapomnieć też o zagrożeniach fizycznych, takich jak na przykład kradzież przenośnego komputera. Trzeba zatem pamiętać, aby transportując taki sprzęt samochodem, nie pozostawiać go w widocznym miejscu, a jeśli korzystamy z bazy danych zapisanej bezpośrednio na tym urządzeniu, rekomendowane jest stosowanie szyfrowanych dysków. Mając świadomość wielu obowiązków ciążących na administratorach danych, najlepiej jest je spisać i uporządkować w dokumencie, który roboczo zazwyczaj tytułowany jest „Instrukcją zarządzania systemami informatycznymi” i stanowi najczęściej załącznik do „Polityki ochrony danych osobowych”. Pamiętajmy też, że nawet najlepsze systemy zabezpieczeń mogą okazać się niewystarczające, jeśli personel nie potrafi z nich korzystać, stąd inwestowanie w umiejętności pracowników musi być również priorytetowo traktowane przez właścicieli poradni.
Artykuł opublikowano w Biuletynie Wielkopolskiej Izby Lekarskiej 10/2021.
