Miejsko-Gminna Biblioteka Publiczna

Ochrona danych medycznych i osobowych pacjentów

Poradnik zawiera zbiór najbardziej aktualnych odpowiedzi na problemy pojawiające się przy przetwarzaniu danych osobowych pacjentów w placówkach medycznych uwzględniając zmiany obowiązujące od 1 stycznia 2016 r. Wskazówki ekpertów będą pomocne zarówno dla jednostek przetwarzających dane osobowe w formie papierowej, jak i dla podmiotów gromadzących je w formie elektronicznej. Zawarte w publikacji porady pozwolą uniknąć menedżerom i właścicielom placówek dotkliwych konsekwencji - karnej lub grzywny za nieprawidłowe przetwarzanie danych osobowych nałożonych przez GIODO.

---

1. I. WSTĘP
2. II. POWIERZENIE PRZETWARZANIA DOKUMENTACJI MEDYCZNEJ - WEDŁUG NAJNOWSZYCH PRZEPISÓW
3. III. KONTROLA BEZPIECZEŃSTWA DANYCH MEDYCZNYCH
4. 1. Jak wygląda kontrola Generalnego Inspektora Ochrony Danych Osobowych
5. 2. 13 obszarów ochrony danych podlegających kontroli inspektorów GIODO
6. 3. Jak przygotować się do kontroli inspektorów ochrony danych osobowych
7. 4. Procedura na wypadek naruszenia bezpieczeństwa danych
8. IV. OCHRONA DANYCH OSOBOWYCH PACJENTÓW W UJĘCIU PRAWNYM ..
9. 1. Jak zabezpieczyć placówkę przed wyciekiem danych medycznych
10. 2. Ochrona serwerów placówki przed atakiem hakerów
11. 3. Czy można gromadzić dane osobowe bez zgody pacjenta
12. 4. Jak nie naruszać intymności pacjenta
13. 5. Czy upoważniony może usunąć swoje dane z dokumentacji medycznej
14. 6. Czy upoważnienie może dotyczyć tylko części dokumentacji medycznej
15. 7. Czy placówki mogą zbierać dane "na zapas"
16. 8. Jakość wpisów w dokumentacji medycznej - "niemy świadek" procesu leczenia
17. 9. Kary za zgubienie dokumentacji medycznej
18. 10. Ubezpieczyciel może żądać dokumentacji zmarłego pacjenta
19. 11. Zawartość umowy o powierzenie danych podmiotowi trzeciemu (firmie przechowującej dane)
20. 12. Ochrona dóbr osobistych personelu placówki
21. 13. Znacznie ABI w placówce medycznej
22. V. PRAKTYKA OCHRONY DANYCH - ODPOWIEDZI NA NAJCZĘŚCIEJ ZADAWANE PYTANIA
23. 1. Upoważnienie do przetwarzania danych
24. Czy informatyk może mieć dostęp do dokumentacji medycznej
25. Jak się zabezpieczyć przed nieoczekiwaną nieobecnością głównego informatyka
26. Czy upoważnienie do przetwarzania danych osobowych może być wydane w formie służbowego e-maila, który byłby następnie zachowany w celach dowodowych
27. Czy recepcjonistka lub asystentka wydająca lub wypisująca wyniki badań musi mieć upoważnienie do przetwarzania danych osobowych
28. Czy serwisant z firmy zewnętrznej mający dostęp do sprzętu medycznego, np. tomografu lub aparatów usg, ma mieć upoważnienie do przetwarzania danych
29. Czy wolontariusze to osoby upoważnione do przetwarzania danych, czy nadaje się im upoważnienia do przetwarzania danych osobowych
30. Czy osoba, która zajmuje się przetargami i przygotowuje różne oferty, powinna mieć nadane upoważnienie do przetwarzania danych
31. Czy szkolenia z zakresu ochrony danych dla personelu są obowiązkowe
32. Czy każdy pracownik placówki ochrony zdrowia musi posiadać upoważnienie do przetwarzania danych osobowych i czy to musi być osobny, szczegółowy dokument
33. 2. Potwierdzenie tożsamości
34. Jak zidentyfikować i potwierdzić tożsamość osoby dzwoniącej do placówki ochrony zdrowia, która pyta o wyniki swoich badań
35. Jak odpowiadać na telefoniczne zapytania kuratorów sądowych, policji, sądu czy też rodziny pacjentów, którzy pytają czy wymieniony z nazwiska Pan/Pani u nas przebywa. Czy odpowiedź na zasadzie tak/nie bez podania jakichkolwiek innych danych o leczeniu jest naruszeniem ustawy
36. Czy dane firm, przedsiębiorców, osób fizycznych prowadzących działalność gospodarczą, to dane osobowe
37. 3. Ochrona danych lekarzy
38. Czy na stronie internetowej przychodni można zamieścić zdjęcia zatrudnionych lekarzy
39. Czy miesięczne wynagrodzenie dyrektora szpitala to informacja publiczna
40. Czy przewodniczący związków zawodowych może się zwrócić o udostępnienie listy pracowników i ich danych w zakresie imienia, nazwiska i komórki organizacyjnej celem przeprowadzenia referendum w sprawie akcji strajkowej
41. 4. Przenoszenie i wydawanie dokumentacji
42. Czy zakład opieki zdrowotnej może odmówić mężowi wydania dokumentacji medycznej dotyczącej żony
43. Czy roszczenie pacjenta o przekazanie jego dotychczasowej papierowej dokumentacji medycznej do nowej przychodni (w związku z przeprowadzką pacjenta) jest zasadne
44. Czy lekarz może zabrać dokumentację medyczną pacjenta do domu
45. 5. Zgoda pacjenta
46. Czy pacjent może wyrazić zgodę na leczenie, jednocześnie nie wyrażając zgody na przetwarzanie jego danych
47. Czy osoba rejestrująca się w przychodni może odmówić podania numeru PESEL
48. Czy na wysłanie maiła lub sms-a z przypomnieniem o zaplanowanej wizycie u lekarza potrzebna jest pisemna zgoda pacjenta
49. 6. Prawo do informowania
50. Czy osoba żyjąca w konkubinacie lub związku nieformalnym np. homoseksualnym, może być poinformowana o stanie zdrowia osoby jej bliskiej przebywającej w szpitalu
51. 7. Rejestracja zbiorów danych osobowych
52. Czy podmioty udzielające świadczeń zdrowotnych mają obowiązek rejestracji zbiorów danych osobowych swoich pacjentów u GIODO
53. Co to znaczy, że administrator bezpieczeństwa informacji prowadzi jawny rejestr zbiorów danych przetwarzanych przez administratora danych
54. Czy w jawnym rejestrze zbiorów danych należy opisać zbiory o nazwie "pacjenci" lub "pracownicy" zwłaszcza pod kątem nazw i adresów firm, którym powierzono dane z tych zbiorów do przetwarzania
55. 8. Powierzenie przetwarzania danych
56. Jak uregulować formalnie współpracę z lekarzem prowadzącym własną praktykę, który na podstawie umowy zlecenia, używając własnego komputera i oprogramowania, wykonuje badania genetyczne pacjentom szpitala
57. Czy dyrektor szpitala może przekazać dane osobowe pacjentów do przyszpitalnej szkoły
58. Czy potrzebna jest umowa powierzenia z zewnętrznym laboratorium lub inną specjalistyczną placówką medyczną wykonującą usługi dla administratora danych
59. 9. Polityka haseł
60. Czy dyrektor szpitala lub inny administrator danych może mieć u siebie zdeponowane hasła użytkowników, na wypadek gdy pracownik zapomni swojego
61. Czy polityka haseł opisana w "Instrukcji zarządzania systemem informatycznym" administratora danych może narzucać obowiązek zmiany hasła co 60 lub 90 dni
62. Czy w przypadku umowy o serwis oprogramowania lub urządzeń medycznych pracownicy serwisujący mogą korzystać z haseł personelu w jego obecności
63. Czy przy zmianie nazwiska użytkownika systemu powinno się zmienić jego identyfikator - login odnotowany w ewidencji osób upoważnionych do przetwarzania danych
64. 10. Naruszenie ochrony danych
65. Czy naruszenie ochrony danych w placówce leczniczej trzeba zgłaszać do Generalnego Inspektora Ochrony Danych Osobowych lub innego organu
66. 11. Udostępnienie informacji
67. Czy zakład pracy może zwrócić się do ZOZ-u z prośbą o udostępnienie informacji dotyczącej stanu zdrowia pracownika na potrzeby prowadzonego postępowania powypadkowego
68. 12. Rola Administratora Bezpieczeństwa Informacji
69. Czy ABI to wyodrębniony etat i samodzielne stanowisko pracy
70. Czy administratorem bezpieczeństwa informacji (ABI) może być pracownik działu IT
71. Czy ABI jest zobowiązany do przesyłania rocznych sprawozdań i raportów z audytów bezpieczeństwa informacji do GIODO
72. Czy pełnomocnik ds. ochrony informacji niejawnych to, to samo co administrator bezpieczeństwa informacji (ABI)
73. 13. Ochrona wizerunku (monitoring)
74. Czy w przypadku stosowania monitoringu wizyjnego w sali dzieci młodszych oddziału dziecięcego lub na oddziale porodowym należy uzyskać zgodę rodziców na przetwarzanie wizerunku ich dzieci
75. 14. Przechowywanie i zabezpieczenie dokumentacji
76. Z czego wynika i w jakim celu narzucony jest obowiązek inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania danych osobowych i medycznych
77. Czy papierową dokumentację medyczną należy przechowywać w metalowych szafach
78. 15. Przetwarzanie danych
79. Czy dopuszczalne jest umieszczanie przed gabinetami lekarskimi list z nazwiskami pacjentów zapisanych na dany dzień na wizytę lekarską
80. Czy w dokumentacji medycznej można przechowywać ksero dowodu osobistego lub paszportu pacjenta
81. Jeśli system wykorzystywany w szpitalu nie zawiera imienia i nazwiska, a tylko numer identyfikacyjny pacjenta - to informacje te nie pozwalają na identyfikację tożsamości danej osoby. Czy można założyć, że system ten nie służy do przetwarzania danych osobowych
82. Jak należy postępować w przypadku uszkodzenia komputera, na którym są przetwarzane dane osobowe
83. Czy kierownik medyczny, nie będący lekarzem może mieć dostęp do danych pacjentów na potrzeby tworzenia statystyk
84. VI. WZORY FORMULARZY
85. Upoważnienie do przetwarzania danych osobowych
86. Ewidencja osób upoważnionych do przetwarzania danych
87. Oświadczenie o upoważnieniu osoby bliskiej do zasięgania informacji o stanie zdrowia
88. Oświadczenie o braku upoważnienia do zasięgania informacji o stanie zdrowia
89. Upoważnienie do dostępu do dokumentacji medycznej
90. Jawny wykaz zbiorów danych osobowych
91. Roczny program sprawdzenia zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych
92. Analiza organizacyjnych środków bezpieczeństwa informacji
93. Instrukcja postępowania w sytuacji naruszenia ochrony danych osobowych
94. Dziennik Administratora Systemu Informatycznego
95. Umowa powierzenia przetwarzania danych osobowych
96. Umowa o zachowaniu poufności przetwarzania danych osobowych
97. VII. PODSTAWA PRAWNA

Zobacz spis treści

Dodaj komentarz do pozycji:

Swoją opinię można wyrazić po uprzednim zalogowaniu.