GDPR ve zdravotnictví a jeho dopady na práci nemocnic

Slides:



Advertisements
Podobné prezentace
Koncepce organizace posudkové služby JUDr. Jiří Veselý, Ph.D. ředitel odboru výkonu posudkové služby MPSV.
Advertisements

Název školy Gymnázium, střední odborná škola, střední odborné učiliště a vyšší odborná škola, Hořice Číslo projektu CZ.1.07/1.5.00/ Název materiálu.
Vztah předpisů na ochranu osobních údajů a předpisů k právu na informace Odborný seminář STMOÚ 23. – 25. říjen 2011 Špindlerův mlýn.
Právo na informace Zák. č. 106/1999 Sb.,o svobodném přístupu k informacím.
Založení firmy postup. Postup založení firmy 1) Výběr oboru podnikání a vymezení předmětu živnosti 2) Volba právní formy podnikání 3) Určení názvu a umístění.
BEZPEČNOSTNÍ TECHNOLOGIE I Operační program Vzdělávání pro konkurenceschopnost Projekt: Vzdělávání pro bezpečnostní systém státu (reg. č.: CZ.1.01/2.2.00/ )
Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační.
INFORMAČNÍ POLITIKA V PRAXI Účetní a daňová kancelář Pavla Mikésky Jíchová Renáta Podloucká Karolína Poláková Lucie Šedivá Klára.
© IHAS 2011 Tento projekt je financovaný z prostředků ESF prostřednictvím Operačního programu Vzdělávání pro konkurenceschopnost a státního rozpočtu ČR.
1.VYHLÁŠENÍ RESORTNÍCH BEZPEČNOSTNÍCH CÍLŮ MZ na období červen 2011– duben PODEPSÁNÍ PROHLÁŠENÍ WHO „Čistá péče je bezpečnější“
Publicita v projektech financovaných z ESF v rámci Operačního programu Lidské zdroje a zaměstnanost Seminář pro žadatele.
Operační program Vzdělávání pro konkurenceschopnost Název projektu: Inovace magisterského studijního programu Fakulty ekonomiky a managementu Registrační.
Odbor dozoru a kontroly veřejné správy Hodnotící zpráva k výsledkům kontrol ÚSC (2010 – 2011) Ing. Marie Kostruhová.
Pravidla pro zadávání zakázek v OP LZZ a IOP Metodický pokyn pro zadávání veřejných zakázek ( Příloha OM OP LZZ D9) Závazná postupy pro.
Číslo projektu školy CZ.1.07/1.5.00/ Číslo a název šablony klíčové aktivity III/2 Inovace a zkvalitnění výuky prostřednictvím ICT Číslo materiáluVY_32_INOVACE_OdP_S1_07.
Seminář na MZ Bezpečnost zdravotních služeb - současná priorita MZ MUDr. Markéta Hellerová Ministerstvo zdravotnictví.
Seminář pro žadatele k 3.,4. a 9. výzvě IROP Ing. Helena Mertová Výběrová a zadávací řízení
Krizové štáby. Zákon č. 240/2000 Sb., § 14 (1) Hejtman zajišťuje připravenost kraje na řešení krizových situací; ostatní orgány kraje se na této připravenosti.
Zákon č. 300/2008 Sb., o elektronických úkonech a autorizované konverzi dokumentů, a datové schránky Brno KrÚ JMK.
Pracovní skupina Portál elektronického zdravotnictví NSeZ – neveřejná prezentace Emauzy, MUDr. Pavel VEPŘEK předseda pracovní skupiny.
Principy Základních registrů Ing. Ondřej Felix, CSc.
Vyhláška č. 326/2006 Sb., o atestačním řízení pro elektronické nástroje Mgr. Martin Plíšek.
Revoluce jménem GDPR Eduard Pavlar Risk Assurance.
Výukový materiál Zpracovaný v rámci projektu EU peníze školám
Stávající systém kontroly při těžbě dřeva
Důležité informace pro rodiče vycházejících žáků
Pojem přeměna obchodní společnosti
Ucelené řešení pro řízení lidských zdrojů, ekonomiky a logistiky
Úřad práce České republiky
Průběžná informační povinnost emitenta kotovaných cenných papírů
Podpora implementace služby péče o děti od šesti měsíců do čtyř let v tzv. mikrojeslích a pilotní ověření služby Reg.č. projektu CZ /0.0/0.0/15_009/
Evaluace předmětů studenty (Anketky)
Název opory – Právní předpisy – požární ochrana
Aplikace Monitorovací systém
eRecept – komunikace se základními registry
Mobilní bezpečná platforma Policie ČR CZ / /17
Monitorování realizace projektu, věcná část monitorovací zprávy
Pracovnělékařské služby
Webová aplikace MS2014+ Ing. Josef Šetek
Workshop projektu systémová podpora sociální práce v obcích na téma:
Oblast: Dobré životní podmínky zvířat
Aplikace Monitorovací systém
Schvalovací proces + hodnoticí kritéria
Kód materiálu: VY_32_INOVACE_16_FUNKCNI_STYLY Název materiálu:
kpt. Ing. Tomáš Hoffmann HZS Karlovarského kraje
Číslo projektu školy CZ.1.07/1.5.00/
GDPR aneb to chceme.
Národní konference GDPR 2017, Praha, 23. listopadu 2017
Aktuální právní úprava činnosti školy a nové úkoly zástupce ředitele
NV č. 201/2010 Sb. ze dne 31. května 2010  o způsobu evidence úrazů, hlášení a zasílání záznamu o úrazu ve znění NV č. 170/2014 Sb. ze dne 6. srpna 2014.
Legislativní změny na úseku EO, OP, CD (k datu )
Závaznost ÚPD pro orgány státní správy lesa
Živnostenské podnikání (správně-právní režim) III. část
© 2012 STÁTNÍ ÚSTAV PRO KONTROLU LÉČIV
Technická Evidence Zdravotnických Prostředků 1
GDPR v sociálních službách - metodika implementace
Výukový materiál zpracovaný v rámci projektu
Aktuálně o stavu příprav na účinnost GDPR
Zapisovatelé do informačního systému evidence obyvatel
ZÁKON o ochraně osobních údajů
Hodnotící zpráva k výsledkům kontrol výkonu přenesené a samostatné působnosti svěřené orgánům obcí, krajů a hlavního města Prahy za léta 2014–2016.
Dostupné vzdělání pro všechny kdo chtějí znát a umět víc…
Seminář AMG, Písek 2018 GDPR.
Podpora sociální práce na území Statutárního města Kladna
Obecné nařízení o ochraně osobních údajů
Sociální sítě – pravidla fungování
Život bez střeva , Praha.
Informační systém základních registrů
v kontextu změn a potřeb moderního trhu práce
Mobilní bezpečná platforma Policie ČR CZ / /17
Transkript prezentace:

GDPR ve zdravotnictví a jeho dopady na práci nemocnic Ing. Šárka Nováková, MBA, pověřenec pro ochranu osobních údajů

VFN v Praze VFN je příspěvkovou organizací, je v přímé řídicí působnosti Ministerstva zdravotnictví České republiky, jedná se o významné zdravotnické zařízení, které patří mezi největší nemocnice v České republice a má: 43 zdravotnických pracovišť, téměř 6 tis. zaměstnanců, obrat více než 8 mld. Kč.

Hlavní opatření k naplnění pravidel GDPR Identifikovat všechny zpracovatele OÚ pro VFN a zaevidovat je v „Seznamu zpracovatelů“, v relevantních případech uzavřít smlouvu/dodatek o zpracování OÚ, nastavit zabezpečení přenosu dat, seznámit s novými pravidly relevantní zaměstnance a zanést tato pravidla do interních předpisů (směrnice), zpracovat informační memorandum pro zaměstnance VFN, zpracovat informační memorandum pro pacienty VFN, jejich rodinné příslušníky a další osoby, optimalizovat proces náboru nových zaměstnanců s ohledem na GDPR,

Hlavní opatření k naplnění pravidel GDPR v souladu s principem minimalizace rozhodnout, u kterých oblastí OÚ bude prováděn výmaz a u kterých anonymizace, jmenovat pověřence pro ochranu OÚ, zařadit jeho funkci do organizační struktury a vymezit jeho pravomoci v Organizačním řádu, nastavit proces a komunikační kanály pro příjem a vyřizování žádostí subjektů OÚ, provést revizi procesů v souvislosti se zpracováním OÚ na základě souhlasu subjektů OÚ, vytvořit a udržovat aktuální Registry zpracování OÚ pro administrativní i klinickou část VFN, vytipovat informační systémy, ve kterých je třeba monitorovat operace s OÚ (např. personální systém),

Hlavní opatření k naplnění pravidel GDPR zmapovat elektronická úložiště osobních údajů a vytvořit IT Registr OÚ, provést analýzu rizik pro zpracování OÚ a jednotlivé IT systémy, zabezpečit možné kanály úniku dat (USB média, freemaily, cloudová úložiště), implementovat adekvátní technická opatření pro ochranu OÚ, provést revizi přístupových oprávnění, zavést proces identifikace narušení zabezpečení OÚ a přijetí nápravných opatření, nastavit proces pro hlášení relevantních incidentů dozorovému úřadu popř. i subjektům OÚ.

Informace pro subjekty OÚ Všeobecné informace pro subjekty OÚ o zpracování OÚ ve VFN jsou dostupné v: informačním memorandu pro zaměstnance VFN zveřejněném na intranetu, informačním memorandu pro pacienty a ostatní subjekty zveřejněném na webových stránkách VFN.

Ukázka obsahu informačního memoranda Jaké osobní údaje VFN shromažďuje a zpracovává, nejdůležitější právní předpisy, z jakých zdrojů VFN OÚ získává, k jakým účelům je využívá a zpracovává, jak dlouho VFN OÚ uchovává, jakým způsobem VFN zajišťuje jejich ochranu, komu VFN OÚ poskytuje, jaká jsou práva subjektů OÚ, kam se mohou obrátit pro další informace, jak VFN informuje o zásadách a pravidlech zpracování OÚ a jejich ochraně.

Elektronická komunikace Způsoby pro bezpečnou komunikaci mimo VFN: šifrování souboru pomocí archivu ZIP a separátně zaslaného hesla, šifrování e-mailu pomocí kvalifikovaného certifikátu (elektronický podpis), chráněný e-mail bez možnosti přeposlání, vytištění nebo zkopírování textu. V případě požadavku pacienta o nezabezpečenou komunikaci je nezbytný jeho předchozí písemný souhlas.

Ukázka e-mailové výzvy k udělení souhlasu „Jménem VFN jako správce předmětných osobních údajů Vás upozorňuji na rizika jejich zaslání běžným e-mailem, tj. nezabezpečenou e-mailovou zprávou bez využití např. šifrování obsahu. U nezabezpečeného e-mailu nelze garantovat, mimo jiné to, že jeho obsah nebude po odeslání přečten či upraven neautorizovanou osobou. Akceptujete-li tato rizika a souhlasíte-li se zasláním předmětných osobních údajů běžným e-mailem, prosím, odpovězte mi na tuto zprávu e-mailem s textem „Souhlasím“. Odpověď Vám následně bude zaslána na e-mailovou adresu, ze které odešlete svůj souhlas. Podrobnosti o bezpečné komunikaci VFN s pacienty se dočtete zde.„

Informovanost zaměstnanců o GDPR Všichni zaměstnanci VFN musí úspěšně absolvovat e-learningové školení GDPR, zájemci mají možnost účasti na interních školeních zaměřených na bezpečnou komunikaci, na intranetu VFN je všem zaměstnancům přístupný portál „Bezpečnost informací“, jehož součástí jsou i odpovědi na často kladené otázky, viz následující ukázky rozdělené do kategorií: souhlas pacienta, nakládání s osobními údaji a bezpečná komunikace, bezpečnostní incidenty.

Souhlas pacienta Musí se pro vedení zdravotnické dokumentace požadovat souhlas pacienta se zpracováním OÚ? Ne. Jedná se o plnění právní povinnosti. Je pro vědecký výzkum a klinické studie potřeba souhlas pacienta se zpracováním OÚ? Souhlas může být třeba v případech, kdy jsou sbírány další OÚ, které dosud nejsou v ZD. Otázku je vždy vhodné konzultovat s legislativně právním odborem. Je možné vést osobní (kontaktní) údaje na oprávněné osoby, opatrovníky a zákonné zástupce mající přístup k ZD pacienta a dalším důvěrným informacím bez souhlasu těchto osob? Ano. Vedení těchto údajů vychází ze zákona, kde je uvedeno mezi právy pacienta. Je potřeba pacientův souhlas získávat opakovaně při každém pokusu o nezabezpečenou elektronickou komunikaci? Při opakovaném zasílání již není potřeba požadovat souhlas od stejné osoby = e-mailové adresy, pokud budou zasílány údaje ve stejném rozsahu. Pro jiný účel nelze souhlas použít.

Nakládání s osobními údaji a bezpečná komunikace Co nesmím udělat nebo dopustit při nakládání s OÚ pacientů a zaměstnanců? Nechávat volně dostupnou ZD, zasílat nezabezpečeně OÚ e-mailem, ukládat OÚ mimo stanovené prostředí nemocnice, zveřejňovat OÚ na sociálních sítích, ukládat OÚ na externí média nebo soukromé PC. Jak je zabezpečena e-mailová komunikace navzájem mezi lékaři a jednotlivými klinikami VFN? Bezpečná komunikační platforma (Microsoft Exchange), hesla, povinnost vícefaktorové autentizace při vzdáleném přihlášení atp. Lze komunikovat e-mailem s jinou nemocnicí nebo zdravotnickým zařízením, lékařem, laborantem? Běžnou e-mailovou zprávou nikoli, předávání OÚ musí být řešeno zabezpečenou komunikací. Jaký je rozdíl mezi interní komunikací a komunikací mimo VFN? V zabezpečení přenášených informací. Za jakých podmínek je možné předat výsledky vyšetření, recepty atp. např. rodinnému příslušníkovi pacienta? Souhlas pacienta, identifikace osoby.

Bezpečnostní incidenty Co dělat při zjištění podezření na únik OÚ? Neprodleně je třeba zadat incident do ServiceDesku - Únik osobních údajů a nahlásit pověřenci pro ochranu osobních údajů VFN. Kdo ve VFN odpovídá za nahlášení úniku OÚ na ÚOOÚ? Pouze pověřenec pro ochranu osobních údajů VFN. Jaká je lhůta? Bez zbytečného odkladu, do 72 hodin. Co by znamenalo pro VFN porušení ochrany OÚ? Na základě rizik plynoucích z porušení zákonných povinností by mohla být VFN pokutována ÚOOÚ, kdy pokuta může být až do výše 20 mil. EUR nebo 4 % ročního obratu. Současně velké reputační riziko (poškození dobrého jména VFN).

Ukázka registru OÚ VFN