Służba zdrowia to szczególni administratorzy danych osobowych. I nie chodzi tu tylko o wrażliwość przetwarzanych informacji, ale przede wszystkim o specyfikę działalności. Dlatego też kluczowym elementem decydującym o zapewnieniu właściwej ochrony prywatności pacjentów jest stworzenie zrozumiałej, funkcjonalnej i skutecznej polityki bezpieczeństwa, przez którą nie należy rozumieć dokumentu, ale spójny system zapewniający minimalny akceptowalny poziom ochrony.

Przetwarzanie danych osobowych jest procesem skomplikowanym, a jego właściwa realizacja wymaga zdefiniowania bardzo wielu obszarów. Dlatego też zapewnienie właściwego ich bezpieczeństwa jest przedsięwzięciem wymagającym kompleksowych działań. Ma to szczególne znaczenie właśnie w takich specyficznych organizacjach jakimi są placówki służby zdrowia.

Niniejszy artykuł na pewno nie porusza wszystkich szczegółów systemu ochrony danych osobowych. Wynika to nie tylko z jego objętości, ale przede wszystkim z konieczności dostosowywania obranej polityki bezpieczeństwa do wymagań konkretnej organizacji. Niemniej jednak poniżej postaram się przedstawić najważniejsze – w mojej ocenie, elementy wyznaczające poziom ochrony przetwarzanych danych osobowych, przy uwzględnieniu ogólnej specyfiki instytucji świadczących usługi medyczne.

Podstawowym elementem każdego systemu bezpieczeństwa jest człowiek. To jego zachowania determinują skuteczność wszystkich innych zabezpieczeń. Dlatego należy przykładać szczególną wagę do procedur odnoszących się do zarządzania pracownikami mającymi dostęp do przetwarzania danych osobowych.

Placówki medyczne to szczególni pracodawcy. Po pierwsze, szereg różnych grup w ramach tzw. zawodów medycznych. Po drugie, różnorodne formy zatrudnienia – od umowy o pracę, przez kontrakty menedżerskie, po staże i praktyki. Po trzecie, bardzo specyficzny sposób wykonywania pracy, szczególnie w przypadku ratownictwa medycznego.

Dlatego za najważniejsze elementy systemu bezpieczeństwa osobowego należy uznać procedury określające:

• rekrutacje,
• szkolenia,
• nadzór.

Pierwszy z obszarów choć najważniejszy, bywa najczęściej lekceważony i pomijany. Nie chodzi w nim o kwestie formalne związane z realizacją procesu zatrudnienia, a o jego wykorzystanie dla celów bezpieczeństwa. Należy więc zapewnić by w procesie weryfikacji kandydatur uwzględnione zostały kwestie związane z oceną ich właściwych postaw. A ponadto rekrutacja na stanowiska najbardziej kluczowe dla bezpieczeństwa przetwarzanych danych osobowych (np. pracownicy rejestracji), powinna odbywać się przy czynnym udziale administratora bezpieczeństwa informacji.

W przypadku obszaru edukacji należy w szczególności określić zasady obowiązkowości szkoleń podstawowych, przeprowadzanych przed dopuszczeniem do przetwarzania danych osobowych, jak również cyklicznego uaktualniania posiadanej wiedzy. Przede wszystkim należy pamiętać by w programie takich szkoleń jak najmniej miejsca zajmowało omawianie ogólnych zasad prawnych, które każdy może sobie doczytać samodzielnie, a w szczególności kwestie praktyczne, niezbędne w codziennej pracy.

Natomiast procedury „nadzoru” powinny być bliższe zasadom współodpowiedzialności, niż nieefektywnej kontroli. Musi być więc jasno sprecyzowana hierarchia zarządzania, uprawnienia i obowiązki poszczególnych szczebli, tj. od administratora danych osobowych, przez administratora bezpieczeństwa informacji, administratora systemu informatycznego, kierowników poszczególnych komórek organizacyjnych, aż po osoby upoważnione do przetwarzania danych osobowych. Należy także pamiętać o kluczowej zasadzie, że „delegowanie obowiązków, nie zdejmuje odpowiedzialności”.

(...)

dr Łukasz KISTER

OMiI 3/2013

Zamów 

fShare

Tweet