Audyt bezpieczeństwa przetwarzania danych osobowych w praktyce stomatologicznej

W poprzednim artykule („TPS”, 5/2015) opisywałem zasady wyboru administratora bezpieczeństwa informacji w praktyce stomatologicznej. Szczegółowy tryb i sposób wykonywania przez niego zadań zostały uregulowane rozporządzeniem ministra administracji i cyfryzacji z 11 maja 2015 r.

Rozporządzenie określa procedury sprawdzania zgodności przetwarzania danych osobowych zgodnie z aktualnymi przepisami, a także nadzorowania opracowania i aktualizowania dokumentacji opisującej sposób przetwarzania danych osobowych. Podstawowa, obligatoryjna dokumentacja przetwarzania danych osobowych w każdej praktyce stomatologicznej to polityka bezpieczeństwa wraz z załącznikami. Szczególnie ważne z punktu widzenia organów kontrolnych są aktualne upoważnienia oraz ewidencja osób upoważnionych do przetwarzania danych osobowych. Dla podmiotów leczniczych przetwarzających dane osobowe w wersji elektronicznej wymagana jest także instrukcja zarządzania systemem informatycznym. Wymieniona powyżej dokumentacja powinna być na bieżąco aktualizowana przez administratora bezpieczeństwa informacji w odniesieniu do zmian w zakresie i sposobie przetwarzania danych osobowych. Proces aktualizacji jest wynikiem sprawdzania, czyli, w myśl wspomnianego na wstępie rozporządzenia, dokonywania czynności, które weryfikują zgodność przetwarzania danych osobowych z przepisami o ich ochronie. Sprawdzenie może być dokonywane dla administratora danych lub dla generalnego inspektora ochrony danych osobowych. Przeprowadzane jest ono w trybie działań planowych albo doraźnych. Działania planowe opierają się na sporządzonym przez administratora bezpieczeństwa informacji planie sprawdzeń. Określa on przedmiot, zakres oraz termin ich przeprowadzenia i dokumentowania.

Administrator bezpieczeństwa informacji uwzględnia w planie sprawdzeń wszystkie zbiory danych osobowych i systemy informatyczne służące do ich przetwarzania w praktyce stomatologicznej. Zbiory danych oraz systemy informatyczne służące do przetwarzania i zabezpieczenia danych osobowych muszą być sprawdzone co najmniej raz na pięć lat.

Jeśli w praktyce stomatologicznej nastąpi naruszenie ochrony danych osobowych lub uzasadnione podejrzenie o wystąpieniu takiego naruszenia, administrator bezpieczeństwa informacji dokonuje doraźnego sprawdzenia, niezależnie od terminu sprawdzenia planowego.

Sposób dokumentowania czynności sprawdzających polega na utrwaleniu danych z systemu informatycznego służącego do przetwarzania lub zabezpieczenia danych osobowych na dowolnym nośniku informatycznym albo w wersji papierowej. Dodatkowo w trakcie sprawdzania administrator bezpieczeństwa informacji sporządza notatkę z dokonanych oględzin i zebranych wyjaśnień. Jeśli w praktyce stomatologicznej jest osoba powołana do zarządzania systemem informatycznym, to wszelkie czynności sprawdzające administratora bezpieczeństwa informacji mogą być wykonywane przy współudziale tej osoby. Dokumentowanie sprawdzeń może być prowadzone w wersji papierowej bądź elektronicznej.

Przeczytaj wszystkie artykuły z kategorii PRAWO

W przypadku wykrycia podczas sprawdzania niezgodności administrator bezpieczeństwa informacji zawiadamia administratora danych (właściciela lub osobę, która go reprezentuje) o brakach w dokumentacji przetwarzania danych osobowych oraz o podjętych działaniach, w celu doprowadzenia dokumentacji do wymaganego stanu. Ma również prawo do pouczenia osoby nieprzestrzegającej zasad określonych w dokumentacji przetwarzania danych osobowych o prawidłowym sposobie ich realizacji. Jeśli praktyka stomatologiczna jest prowadzona w formie jednoosobowej działalności gospodarczej, to jej właściciel – administrator danych osobowych – może być równocześnie administratorem bezpieczeństwa informacji. W tej sytuacji spoczywają na nim wszystkie omówione powyżej obowiązki szczegółowo opisane w przytoczonym na wstępie rozporządzeniu. Jeśli jednak właściciel będący lekarzem nie chce poświęcać swojego czasu na czynności administracyjno-kontrolne, może zlecić taką usługę na zewnątrz, powołując do tego celu inną osobę. W podmiotach leczniczych o wieloosobowej strukturze prawnej administrator bezpieczeństwa informacji często powołuje z zewnątrz swojego zastępcę, który wykonuje w jego imieniu czynności wynikające z rozporządzenia oraz z ustawy, w szczególności przekazuje zastępcy obowiązek zaznajamiania wszystkich osób przetwarzających dane osobowe: lekarzy, asystę i rejestratorki, z aktualnymi przepisami o ochronie danych osobowych. Z uwagi na częste zmiany w przepisach, związane między innymi z zapowiedzianym wprowadzeniem w 2017 roku powszechnej elektronicznej dokumentacji medycznej, szkolenia aktualizujące przeprowadza się co najmniej raz w roku. Powołana osoba z zewnątrz w roli zastępcy administratora bezpieczeństwa informacji zwalnia administratora bezpieczeństwa informacji lub administratora danych pełniącego jego obowiązku z szeregu procedur administracyjno-kontrolnych, a także daje możliwość bardziej obiektywnego spojrzenia z zewnątrz na standardy bezpieczeństwa funkcjonujące w praktyce stomatologicznej. Pouczenia osób nieprzestrzegających standardów bezpieczeństwa, o których wspomina cytowane rozporządzenie, odbywa się w takiej sytuacji poprzez szkolenie lub indywidualny coaching. Wskazane jest zatem, aby powołany administrator bezpieczeństwa informacji miał dobre przygotowanie z zakresu coachingu i prowadzenia szkoleń. Odpadną wtedy dodatkowe koszty szkoleń zewnętrznych, które mają w założeniu kształtować nowe, pożądane nawyki, a często niestety nie przynoszą oczekiwanego efektu zmian. Regularny kontakt zewnętrznego administratora bezpieczeństwa informacji z zespołem praktyki stomatologicznej, oprócz realizacji wymaganych procedur z zakresu ochrony danych osobowych, daje również inne wymierne korzyści w postaci rozwoju kompetencji pozamedycznych, wzmacnia kompetencje cyfrowe, zwłaszcza starszego pokolenia lekarzy i asysty, a także doskonali umiejętności interpersonalne.

Rozwój technologii informacyjnej w służbie zdrowia wymaga coraz większej specjalizacji oraz podziału zadań i odpowiedzialności za proces leczenia na coraz większą liczbę osób. Sam lekarz nie jest w stanie opanować wszystkich wymaganych procedur obowiązujących przedsiębiorcę prowadzącego działalność gospodarczą. Jego głównym celem i powołaniem jest leczenie pacjentów zgodnie ze specjalizacją uzyskaną na studiach i etyką zawodową potwierdzoną przysięgą Hipokratesa. Im więcej zatem czynności i zobowiązań administracyjnych przekaże on innym, na zewnątrz, tym szybciej i łatwiej uzyska status wiarygodnego, rekomendowanego lekarza, a wydane przez niego pieniądze zwrócą się w o wiele krótszym czasie. Oczywiście potrzebny jest do tego rachunek ekonomiczny, ale pod kątem spełnienia oczekiwań potencjalnego pacjenta i wymaganej stopy zwrotu z inwestycji. W dobie cyfryzacji pacjent wymaga, aby jego dane osobowe, szczególnie te dotyczące stanu zdrowia, czyli tak zwane „wrażliwe”, były pod należytą ochroną i przetwarzane na określonym poziomie jakości. Zarówno wymogi formalne, jak i oczekiwania pacjentów dotyczące ochrony ich danych osobowych rosną proporcjonalnie do zwiększającego się ryzyka ich utraty. Dlatego czasami warto powierzyć odpowiedzialność w tym zakresie innym, a skupić się na rozwijaniu kompetencji medycznych. Ta nieuchronność w zmianie podejścia do prowadzenia praktyki stomatologicznej została dostrzeżona przez większość lekarzy i dlatego pomimo kryzysu branża stomatologiczna ma się nie najgorzej, a sytuacje „pustych foteli” nie są rzeczą powszechną. Potrzebna jest jednak do tego ustawiczna praca nad dostosowaniem się do nowych oczekiwań rynku. Powołany zewnętrzny administrator bezpieczeństwa informacji to jedna z takich możliwości odciążająca lekarza od wielu czynności niemedycznych. Dzięki temu lekarz jest mniej zestresowany, częściej uśmiechnięty, ma poczucie czasu przeznaczonego dla pacjenta, a nie wyłącznie na procedury.

Sprawdź wszystkie produkty stomatologiczne dostępne w naszym sklepie internetowym