Na dzikim zachodzie straszy duch RODO. Ostatnio widziany był w Królestwie Niderlandów. Duch ucieleśniony w holenderskim organie nadzorczym (Autoriteit Persoonsgegevens) postanowił ukarać szpital w Hadze zawrotną kwotą 460 tysięcy Euro.
Groźne zjawisko podobno nadciąga już do Polski. Rządowe Centrum Bezpieczeństwa (RCB) opracowuje treść sms-owego komunikatu w tej sprawie, który ma być wysyłany do administratorów danych…Zgroza…
A tak zupełnie na poważnie: coraz częściej słyszymy o RODO w kontekście ochrony zdrowia. Nic dziwnego, w planach PUODO, sektor zdrowotny jest uznany jako priorytetowy w kontekście ochrony danych osobowych. Dane medyczne są danymi wrażliwymi, które podlegają szczególnej ochronie. Ponadto w dużych placówkach dochodzi do przetwarzania danych pacjentów „na dużą skalę” , co sprawia, że wymagane są bardziej zaawansowane procedury chroniące bezpieczeństwo informacji.
Przy tym wszystkim dobrze jednak pamiętać, że za odpowiednie zaprojektowanie systemu ochrony danych osobowych odpowiada wyłącznie administrator danych, czyli w praktyce spółka, samodzielny publiczny zakład opieki zdrowotnej, oraz na przykład lekarz prowadzący indywidualną praktykę lekarską.
Wynika to z tak zwanej “zasady rozliczalności”, zgodnie z którą samo RODO (czy polska ustawa o ochronie danych osobowych) nie narzucają z góry administratorowi jakie działania ma podjąć, w jaką infrastrukturę techniczną wyposażyć poszczególne komórki organizacyjne placówki, nie mówiąc już o zakupie „szaf pancernych zgodnych z RODO”.
Innymi słowy, żadne przepisy nie mówią WPROST co należy zrobić aby dobrze chronić dane osobowe – okaże się to dopiero jak przytrafi kontrola z Urzędu Ochrony Danych Osobowych. Nie powinno być większego problemu w sytuacji niewielkiej praktyki lekarskiej czy pielęgniarskiej. Niektóre izby lekarskie zresztą same opracowały te zagadnienia i udostępniły dla swoich członków podstawowe dokumenty związane z ochroną danych osobowych. Powinno to wystarczyć.
Schody zaczynają się, gdy struktura placówki medycznej jest bardziej złożona, istnieje kilka oddzielnych przychodni, personel dzieli się na medyczny i administracyjny, a dodatkowo współpracuje się z licznymi podmiotami przetwarzającymi. W takiej sytuacji żadne szablonowe rozwiązanie nie zda egzaminu.
Będzie tylko i wyłącznie ochroną iluzoryczną, która padnie przy pierwszej próbie szturmu ze strony organu nadzorczego. Warto zatem podejść do tematu ochrony danych rozsądnie. Nie przesadzać, nie dać się ogłupić, ale po prostu spełnić minimum obowiązków, jakie nakładają na nas przepisy w sferze ochrony danych osobowych.
W tym celu sensownie jest zbadać jakie słabe punkty posiada nasza placówka i gdzie potencjalnie może wystąpić błąd, którego skutkiem będzie incydent naruszenia danych osobowych, który należy zgłosić organowi nadzorczemu (72 godziny na zgłoszenie).
Po przeprowadzeniu takiego wewnętrznego audytu, warto zaprojektować system ochrony danych w ten sposób, by w razie kontroli, można było się przy jego pomocy bronić – zgodnie z “zasadą rozliczalności”.
Dodaj komentarz