Mediporta

RODO, czyli najczęściej zadawane pytania związane z wprowadzeniem rozporzadzenia w życie

19 marca 2018

Wejście w życie Rozporządzenia Ogólnego o Ochronie Danych Osobowych (RODO) stanowi wyzwanie dla wszystkich podmiotów związanych z szeroko pojętym przetwarzaniem danych, u podstaw którego znajduje się m.in. obowiązek oszacowania ryzyka związanego z bezpieczeństwem i ochroną danych osobowych. Proces dostosowywania podmiotu do RODO jest zabiegiem długotrwałym i wymaga od administratora danych podjęcia działań gwarantujących odpowiedni poziom zabezpieczeń. W związku z często pojawiającymi się pytaniami dotyczącymi wprowadzenia RODO, poniżej prezentujemy kilka najczęściej zadawanych przez Państwa pytań wraz z odpowiedziami.

Kiedy zacznie obowiązywać RODO?

Z dniem 25.05.2018r. znajdą zastosowanie przepisy rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), dalej zwanego RODO.

Do czego zobowiązany jest podmiot leczniczy w związku z wprowadzeniem RODO?

Jednym z wymagań Unijnego Rozporządzenia o Ochronie Danych Osobowych jest zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzanych danych osobowych, w tym ochronę danych przed niezgodnym z prawem przetwarzaniem, przypadkową utratą, zniszczeniem lub uszkodzeniem.

Wdrożenie przepisów RODO w placówce medycznej, która występuje w roli administratora danych wrażliwych (tj. danych osobowych i medycznych pacjentów), wymaga weryfikacji podejścia do ochrony danych osobowych. Nowe wymagania obejmują m.in.:

  • konieczność analizy ryzyka związanego z przetwarzaniem danych,
  • dostosowanie dokumentacji i procedur do nowych wymagań,
  • uwzględnienie szerokich praw osób, których dotyczą przetwarzane dane (m.in. prawo do usunięcia danych, prawo do sprzeciwu, prawo do przeniesienia danych, prawo do ograniczenia przetwarzania danych, prawo do sprostowania i uzupełnienia danych, itd.).

Zadaniem administratora danych jest przeprowadzanie wielowymiarowej analizy i oceny czy dotychczas zastosowane środki bezpieczeństwa i ochrony danych w placówce są adekwatne do ryzyka związanego z szeroko pojętym przetwarzaniem danych. Efektem przeprowadzonej analizy powinno być mi.in dobranie i zastosowanie w placówce odpowiednich środków bezpieczeństwa.

Więcej informacji o RODO znajdą państwo m.in. na stronie internetowej Urzędu Ochrony Danych Osobowych (UODO) www.uodo.gov.pl.

Jakie działania zalecamy administratorom systemu Mediporta w celu podniesienia poziomu bezpieczeństwa danych?

Biorąc pod uwagę działania administracyjne w systemie Mediporta, poniżej prezentujemy kilka zaleceń, w celu zwiększenia poziomu bezpieczeństwa i ochrony danych osobowych i medycznych pacjentów:

  • Rekomenduje się przeprowadzenie wewnętrznego audytu uprawnieńról poszczególnych użytkowników systemu Mediporta, w celu kontroli dostępu do określonych danych i funkcji aplikacji. Jeśli dotychczas przypisane role i uprawnienia np. wybiegają poza kompetencje i zakres obowiązków określonego pracownika placówki, należy je ograniczyć i dostosować tylko do wymagań ściśle powiązanych z danym stanowiskiem.

  • Administrator systemu jest zobligowany do stałej weryfikacji czy poszczególni użytkownicy logują się do systemu Mediporta poprzez swoje indywidualne loginy i hasła. Niedopuszczalna jest sytuacja np. w której dwóch pracowników placówki korzysta z jednego i tego samego konta użytkownika systemu Mediporta.

  • Zaleca się stały monitoring audytów, w tym audytu logowań użytkowników do systemu Mediporta przez administratora.

  • Administrator systemu jest zobligowany do stałej weryfikacji kont użytkowników, w celu podjęcia odpowiednich działań w przypadku pracowników, którzy nie są już zatrudnieni w placówce, np. poprzez zablokowanie kont wybranych użytkowników i ograniczenie dostępu do systemu Mediporta.

  • Zaleca się weryfikację czy poszczególni użytkownicy mają wprowadzony numer telefonu komórkowego w konfiguracji swojego konta, który jest niezbędny np. w celu zresetowania hasła do systemu Mediporta.

  • Zalecana jest konfiguracja rozszerzonej polityki bezpieczeństwa haseł użytkowników systemu Mediporta, w tym określenie najdłuższego wieku hasła oraz ilości prób nieudanego logowania, po których dostęp do systemu jest blokowany. Jednocześnie przypominamy, że jeśli użytkownik nie zaloguje się na swoje konto przez okres 6 miesięcy wówczas konto zostanie zablokowane systemowo.

  • Zalecane jest przygotowanie przez placówkę wzoru oświadczenia o dostępnie do dokumentacji medycznej pacjentawzoru zgody na przetwarzanie danych osobowych w celach marketingowych, bowiem placówka jako administrator danych odpowiada za to, aby poszczególne oświadczenia i zgody były odpowiednio przechowywane i oznaczane w placówce.

O innych zmianach i zaleceniach dotyczących działania oraz obsługi systemu Mediporta w zakresie bezpieczeństwa i ochrony danych będziemy informowali Państwa na bieżąco.

Czy system Mediporta jest przygotowany na to, aby praca w programie była zgodna z normami RODO?

Nasz zespół stale pracuje nad wieloma obszarami systemu w celu dostosowania go do norm i zaleceń wynikających z RODO. Jednym z głównym zadań, które realizujemy na bieżąco jest spełnienie wymagań dotyczących zabezpieczeń systemu i danych jakie są w nim przetwarzane. Spełnienie szczegółowych wymogów i zabezpieczeń dotyczących danych przetwarzanych w systemie Mediporta, gwarantuje wdrożenie odpowiednich środków kontroli wynikający z przeprowadzonej analizy ryzyka. Poniżej prezentujemy wybrane przykłady zabezpieczeń wykorzystywanych w systemie Mediporta:

  • chmura obliczeniowa i odpowiednia infrastruktura techniczno-informatyczna (atestowane centra danych),
  • gwarancja ciągłości danych (redundancja na poziomie plików i baz danych),
  • mechanizm audytów dotyczący dostępu i edycji danych (medycznych i osobowych pacjentów),
  • system uprawnień i ról użytkowników,
  • możliwość podpisywania wizyt podpisem kwalifikowanym,
  • możliwość eksportu danych osobowych pacjenta w standardzie HL7CDA,
  • możliwość stosowania rozszerzonej polityki haseł (najdłuższy wiek hasła, minimalna długość i złożoność hasła),
  • uwierzytelnianie użytkowników (indywidualne loginy i hasła, powiązanie z mechanizmem audytów),
  • rejestr logowań użytkowników do systemu.

Spółka Mediporta deklaruje ciągłe doskonalenie tworzonego przez siebie oprogramowania w kontekście zasad dotyczących ochrony danych osobowych. Stale monitorujemy zalecenia dotyczące RODO, w szczególności przygotowywany przez CSIOZ kodeks branżowy, w celu podniesienia poziomu bezpieczeństwa systemu Mediporta.

Warto też dodać, że podnoszenie poziomu bezpieczeństwa nie jest procesem jednorazowym i przebiega w sposób ciągły, a poszczególne mechanizmy i zabezpieczenia są na bieżąco analizowane i dostosowywane do zmieniających się uwarunkowań i przepisów.

Więcej informacji o rekomendacjach w zakresie bezpieczeństwa, stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej znajdą Państwo m.in. na stronie internetowej ezdrowie.gov.pl.

W jaki sposób Spółka Mediporta realizuje obowiązki wynikające z RODO, biorąc pod uwagę dane osobowe przetwarzanie w ramach współpracy z określoną praktyką lub placówką medyczną?

Kwestie związane z przetwarzaniem danych osobowych i medycznych są uregulowane w umowie, w której Spółka Mediporta jako dostawca usług zobowiązuje się przetwarzać ww. dane wyłącznie w celu realizacji umowy. W umowie zawarte są m.in.:

  • zobowiązania dotyczące aktualizacji oprogramowania oraz wykonywanych czynności serwisowych,
  • kwestie bezpieczeństwa danych,
  • informacje o polityce wykonywania i retencji kopii zapasowych.

Oprócz tego umowa zawiera również dane na temat dostawców usług w chmurze oraz informacje o lokalizacji poszczególnych serwerów.

Dodatkowo Spółka Mediporta jako podmiot przetwarzający dane (tzw. procesor), stale analizuje ryzyko dotyczące ochrony danych pod kątem zabezpieczeń związanych z ich przetwarzaniem, w celu zminimalizowania wystąpienia niepożądanego czynnika (np. ujawnienie danych, przechwycenie danych, itd.). Analiza wykonywana jest zarówno na etapie projektowania zmian w systemie jak również w trakcie jego eksploatacji. Jej efektem jest dobór odpowiednich zabezpieczeń uwzględniających przepisy prawa, wymagania biznesowe oraz wymagania dotyczące innych zasobów posiadających wartość dla ciągłości działania Spółki. Stałe podnoszenie poziomu bezpieczeństwa, wynikającego z analizy ryzyka w Spółce Mediporta obejmuje m.in. dobór odpowiednich środków organizacyjnych i technicznych, w celu zapewniania ochrony danych wrażliwych.

Co placówka medyczna powinna dostarczyć Spółce Mediporta w związku z wprowadzeniem RODO?

W przypadku, jeśli placówka posiada już wypracowany wzór upoważnienia do dostępu do danych medycznych pacjenta i zgody na przetwarzanie danych w celach marketingowych (w związku z wprowadzeniem RODO), prosimy o przesłanie go na adres pomoc@mediporta.pl. Po przesłaniu wzorów Specjalista z Centrum Wsparcia Mediporty skontaktuje się z Państwem w sprawie implementacji odpowiedniego formularza w systemie Mediporta (zgodnie z cennikiem). Należy dodać, że wzory upoważnień i zgód są kwestią indywidualną każdego podmiotu leczniczego (administratora danych) i mogą być różne dla poszczególnych placówek. Jednocześnie chcielibyśmy podkreślić, że przesłane wzory oświadczeń nie będą w żaden sposób analizowane i opiniowane przez Specjalistów z Centrum Wsparcia Mediporty (podmiot przetwarzający dane), pod kątem zgodność lub niezgodności z RODO. Przygotowanie odpowiednich wzorów oświadczeń (ich treści i zapisów), biorąc pod uwagę zgodność z RODO leży w kwestii administratora danych, a więc w kwestii określonego podmiotu leczniczego. Tym samym wzory oświadczeń zostaną zaimplementowane w systemie Mediporta w takiej formie, w jakiej zostały przesłane przez Państwa do Centrum Wsparcia Mediporty, bez wprowadzania modyfikacji i ingerowania w ich treści.

Sprawdź jak Mediporta możewyglądać u Ciebie

1

Wypełnij formularz kontaktowy

Uzupełnij wszystkie dane, abyśmy mogli wysłać wersję demo dostosowaną do Twojej placówki.

2

Otwórz e-mail z linkiem do demo

Teraz możesz zobaczyć, jak działa Mediporta. W każdej chwili możesz skorzystać z szeregu wskazówek i przewodników zawartych w programie.

3

Porozmawiaj z naszym ekspertem

Doradzimy Ci, jakie rozwiązanie będzie najlepsze dla Twojej placówki.

    Wybierz swoją specjalizację, aby uzyskać dostęp do wersji demo najlepiej ilustrującej możliwości systemu Mediporta w Twojej działalności. Dostęp prześlemy e-mailem po wypełnieniu formularza.

    Administratorem danych osobowych jest Mediporta Sp. z o.o. z siedzibą w Poznaniu przy ul. Władysława Reymonta 35. Dane podane w formularzu DEMO będą przetwarzane w celu otrzymania wiadomości email z dostępem do wersji demonstracyjnej systemu, a także późniejszego kontaktu biznesowego w tej sprawie. Podanie danych jest dobrowolne, ale niezbędne, aby otrzymać dostęp do DEMO.

    Przetwarzanie danych odbywa się za Twoją zgodą, którą możesz cofnąć w dowolnym momencie. Dane te będą przetwarzane do czasu wycofania zgody.

    Szczegóły dotyczące przetwarzania Twoich danych osobowych dostępne są w ramach zakładki RODO.

    Polecane artykuły

    Opieka Koordynowana w Mediporcie

    20 maja 2024

    Opieka Koordynowana w Mediporcie

    Koordynowana Opieka Zdrowotna (KOZ) to nowoczesny model opieki medycznej, który stawia pacjenta w centrum działań diagnostycznych i terapeutycznych. Dzięki KOZ lekarze rodzinni mogą zlecać badania, które do tej pory były dostępne tylko u specjalistów. Pacjenci z chorobami przewlekłymi, takimi jak: choroby kardiologiczne, cukrzyca (diabetologia), choroby płuc (pulmonologia), choroby…

    Rola rejestracji w funkcjonowaniu placówek medycznych

    27 lipca 2023

    Rola rejestracji w funkcjonowaniu placówek medycznych

    Sprawne działanie przychodni zależy od skoordynowanej pracy personelu medycznego i administracyjnego, a także odpowiedniego zarządzania procesami organizacyjnymi. Skoordynowana praca personelu to kluczowy element osiągnięcia wysokiej jakości i efektywności opieki medycznej. Dzięki temu przychodnia może lepiej sprostać potrzebom pacjentów, osiągnąć lepsze wyniki leczenia i zbudować silne fundamenty…