Szukasz sprzętu medycznego? Wypełnij darmowe zapytanie
Wypełnij darmowe zapytanie
MedicalOnline.pl wyszukuje najlepszych dostawców
i przesyła im Twoje zapytanie
Dostawcy przesyłają Ci oferty handlowe dotyczące zapytania
sprzęt medyczny
Wyślijzapytanie ofertowe

Ewidencja i przechowywanie danych drażliwych

mgr inż. Mariusz Bednarz | 2011-06-10
Zbiory danych ewidencjonowane w ZOZ, jako dane wrażliwe, podlegają wzmożonej ochronie, podmioty świadczące usługi medyczne są zwolnione z obowiązku zgłaszania tych zbiorów do GIODO. Sprawdź jakie rozwiązania obowiązują w obecnym stanie prawnym.

Zasady prowadzenia, udostępniania i przechowywania przez zakłady opieki zdrowotnej dokumentacji medycznej są zawarte w ustawie z  30 sierpnia 1991 r. o zakładach opieki zdrowotnej  oraz  wydanym na jej podstawie rozporządzeniu Ministra Zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania.
Zgodnie z zapisami tych ustaw zakład opieki zdrowotnej ma obowiązek prowadzić i chronić dokumentację medyczną. Powinna być przechowywana przez okres 20 lat, licząc od końca roku ostatniego wpisu.
Z kolei dane wrażliwe to z punktu widzenia ustawy z 29 sierpnia 1997 roku min.: skorowidze, kartoteki, księgi, wykazy i inne zbiory ewidencyjne oraz informatyczne. W sposób jednoznaczny wskazują na konkretną osobę – zwierają jej imię, nazwisko, numer PESEL i dane medyczne, które powinny podlegać wzmożonej ochronie.
Do rejestrowania danych osobowych powołany został specjalny organ - GIODO. Jego zadaniem jest rejestracja zbiorów danych osobowych oraz kontrola ich ochrony w podmiotach je przetwarzających. Podmioty świadczące usługi medyczne są zwolnione ze zgłaszania takiego zbioru,  zgodnie z art. 43 ust. 1 pkt 5 ustawy z  29 sierpnia 1997 r. o ochronie danych osobowych. Zwolnienie z obowiązku rejestracji zbioru danych dotyczącego osób korzystających z usług medycznych, nie zwalnia administratora danych (podmiot przetwarzający) z pozostałych obowiązków, jakie nakładają na niego przepisy ustawy.

Administrator danych

Administrator danych osobowych musi przestrzegać zasad ich przetwarzania, w tym zasady przetwarzania danych zgodnie z prawem, zabezpieczenia ich przed udostępnieniem osobom nieupoważnionym, utratą lub zniszczeniem, zbierania ich adekwatnie do celu ich przetwarzania oraz przechowywania ich w sposób umożliwiający identyfikację osób, których dotyczą, jednak nie dłużej niż jest to potrzebne do osiągnięcia celu tego przetwarzania. Administrator danych osobowych w jednostce medycznej jest też zobowiązany do opracowania i wdrożenia specjalnej polityki bezpieczeństwa, a w przypadku kiedy dane osobowe przetwarzane są przy pomocy systemów informatycznych, powołać administratora ochrony informacji.

Do przetwarzania danych administrator powinien dopuszczać wyłącznie osoby, które posiadają odpowiednie upoważnienia. Jeśli jednostka medyczna zleca obsługę informatyczną firmie zewnętrznej, administrator ochrony informacji powinien określić warunki przekazywania danych, ich zakres, zasady ich przetwarzania oraz odpowiedzialność.

Powierzenie danych firmie zewnętrznej

Wiele podmiotów stosuje umowę powierzenia danych, w której określa się zakres powierzonych danych, wskazuje jednoznacznie, kto i w jakim zakresie odpowiada za ich zabezpieczenie oraz ewentualnie (kiedy umowa dotyczy np. programu do rozliczeń z NFZ)  jego typu i zakresu działania. W takiej sytuacji umowa ma charakter powołania administratora ochrony informacji w ramach firmy zewnętrznej.
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z  29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych nakłada także obowiązek wprowadzenia odpowiedniego poziomu bezpieczeństwa przetwarzania danych w systemie informatycznym: podstawowego, podwyższonego lub wysokiego w zależności od kategorii danych oraz zagrożenia.
W przypadku danych szczególnie chronionych m.in. takich jak dane dotyczące stanu zdrowia, zastosowany musi być poziom co najmniej podwyższony, a w przypadku jeśli dana jednostka korzysta np. z łącza internetowego na komputerach z oprogramowaniem przetwarzającym dane, musi być zastosowany poziom wysoki.

Gdy  jedna jednostka ZOZ przekazuje drugiej jednostce dane pacjenta administrator musi ze szczególną uwagą rejestrować „migrację” danych. Teczka pacjenta musi w trakcie takiej procedury podlegać szczególnej ochronie. Znane są sytuacje, w których po przekazaniu danych innej jednostce medycznej „ginie” część danych medycznych. W takiej sytuacji na wniosek pacjenta, GIODO wszczyna postępowanie administracyjne i na podstawie kontroli może nałożyć karę na ZOZ.

Ochrona danych osobowych w Internecie

Jednostki ZOZ coraz częściej wykorzystują Internet do kontaktu z pacjentami, np. wprowadzając internetowe rejestracje oraz serwisy informacji medycznej. Firmy programistyczne proponują wiele rozwiązań dotyczących np. rozliczeń świadczeń medycznych z NFZ poprzez różnego rodzaje portale rozliczeniowe. Sam NFZ wykorzystuje w tym celu np. Portal Świadczeniodawcy. Przy zachowaniu szczególnych zasad bezpieczeństwa, jest to bezpieczne rozwiązanie
Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych w swoich zapisach wspomina o elektronicznych systemach przetwarzania danych. Publikując dane osobowe na witrynach internetowych administrator danych osobowych musi się upewnić czy dysponuje zezwoleniem osoby, której te dane dotyczą.
Z tego obowiązku zwolnione są informacje dotyczące lekarzy zatrudnionych w  danym ZOZ, ponieważ przepisy ustawy z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty oraz ustawy z  30 sierpnia 1991 r. o zakładach opieki zdrowotnej nie przewidują podstawy prawnej do udostępnienia tych danych.
Zagadnienie ochrony danych osobowych w zakładach opieki zdrowotnej jest bardzo szerokie. Nie dotyczy tylko systemów informatycznych, ale także dokumentacji medycznej sporządzanej w formie papierowej. Zabezpieczenie danych pacjentów w sposób zgodny z prawem i taki, aby uniemożliwić ich utratę buduje dodatkową nic zaufania między pacjentem, a jednostką medyczną, co jest niezmiernie ważne w zapewnieniu maksymalnie wysokiego standardu opieki medycznej w ZOZ.

Podstawa prawna:
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych - Dz.U. 2002 r. nr 101, poz. 926,
  • ustawa z  30 sierpnia 1991 r. o zakładach opieki zdrowotnej – - tekst jedn.: Dz.U. z 2007 r. nr 14, poz. 89 ze zm.,
  • ustawa z 5 grudnia 1996 r. o zawodach lekarza i lekarza dentysty – tekst jedn.: Dz.U z 2008 r. nr 136, poz. 857 ze zm.,
  •  rozporządzenie Ministra Spraw Wewnętrznych i Administracji z  29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych – Dz.U. nr 100, poz. 1024,
  • rozporządzenie Ministra Zdrowia z 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania – Dz.U. nr 252 poz. 1697.
Kiedy pacjent ma prawo do wizyty domowej lekarza POZ
25.02.2011Dariusz Poznański, Ministerstwo Zdrowia, Departame&hellip
Gdzie przechowywać paszport techniczny urządzeń medycznych
24.01.2011Krzysztof Tuczapski/Prezes zarządu Zamojskiego Szp&hellip
Jak prowadzić dokumentację medyczną od 1 stycznia 2011 r.
01.04.2011Dariusz Poznański , Departament Organizacji Ochron&hellip
Ustawa o działalności leczniczej uchwalona przez Senat
06.04.2011Serwis Kadry Zarządzającej ZOZ
więcej