GDPR ve zdravotnictví a jeho dopady na práci nemocnic Ing. Šárka Nováková, MBA, pověřenec pro ochranu osobních údajů
VFN v Praze VFN je příspěvkovou organizací, je v přímé řídicí působnosti Ministerstva zdravotnictví České republiky, jedná se o významné zdravotnické zařízení, které patří mezi největší nemocnice v České republice a má: 43 zdravotnických pracovišť, téměř 6 tis. zaměstnanců, obrat více než 8 mld. Kč.
Hlavní opatření k naplnění pravidel GDPR Identifikovat všechny zpracovatele OÚ pro VFN a zaevidovat je v „Seznamu zpracovatelů“, v relevantních případech uzavřít smlouvu/dodatek o zpracování OÚ, nastavit zabezpečení přenosu dat, seznámit s novými pravidly relevantní zaměstnance a zanést tato pravidla do interních předpisů (směrnice), zpracovat informační memorandum pro zaměstnance VFN, zpracovat informační memorandum pro pacienty VFN, jejich rodinné příslušníky a další osoby, optimalizovat proces náboru nových zaměstnanců s ohledem na GDPR,
Hlavní opatření k naplnění pravidel GDPR v souladu s principem minimalizace rozhodnout, u kterých oblastí OÚ bude prováděn výmaz a u kterých anonymizace, jmenovat pověřence pro ochranu OÚ, zařadit jeho funkci do organizační struktury a vymezit jeho pravomoci v Organizačním řádu, nastavit proces a komunikační kanály pro příjem a vyřizování žádostí subjektů OÚ, provést revizi procesů v souvislosti se zpracováním OÚ na základě souhlasu subjektů OÚ, vytvořit a udržovat aktuální Registry zpracování OÚ pro administrativní i klinickou část VFN, vytipovat informační systémy, ve kterých je třeba monitorovat operace s OÚ (např. personální systém),
Hlavní opatření k naplnění pravidel GDPR zmapovat elektronická úložiště osobních údajů a vytvořit IT Registr OÚ, provést analýzu rizik pro zpracování OÚ a jednotlivé IT systémy, zabezpečit možné kanály úniku dat (USB média, freemaily, cloudová úložiště), implementovat adekvátní technická opatření pro ochranu OÚ, provést revizi přístupových oprávnění, zavést proces identifikace narušení zabezpečení OÚ a přijetí nápravných opatření, nastavit proces pro hlášení relevantních incidentů dozorovému úřadu popř. i subjektům OÚ.
Informace pro subjekty OÚ Všeobecné informace pro subjekty OÚ o zpracování OÚ ve VFN jsou dostupné v: informačním memorandu pro zaměstnance VFN zveřejněném na intranetu, informačním memorandu pro pacienty a ostatní subjekty zveřejněném na webových stránkách VFN.
Ukázka obsahu informačního memoranda Jaké osobní údaje VFN shromažďuje a zpracovává, nejdůležitější právní předpisy, z jakých zdrojů VFN OÚ získává, k jakým účelům je využívá a zpracovává, jak dlouho VFN OÚ uchovává, jakým způsobem VFN zajišťuje jejich ochranu, komu VFN OÚ poskytuje, jaká jsou práva subjektů OÚ, kam se mohou obrátit pro další informace, jak VFN informuje o zásadách a pravidlech zpracování OÚ a jejich ochraně.
Elektronická komunikace Způsoby pro bezpečnou komunikaci mimo VFN: šifrování souboru pomocí archivu ZIP a separátně zaslaného hesla, šifrování e-mailu pomocí kvalifikovaného certifikátu (elektronický podpis), chráněný e-mail bez možnosti přeposlání, vytištění nebo zkopírování textu. V případě požadavku pacienta o nezabezpečenou komunikaci je nezbytný jeho předchozí písemný souhlas.
Ukázka e-mailové výzvy k udělení souhlasu „Jménem VFN jako správce předmětných osobních údajů Vás upozorňuji na rizika jejich zaslání běžným e-mailem, tj. nezabezpečenou e-mailovou zprávou bez využití např. šifrování obsahu. U nezabezpečeného e-mailu nelze garantovat, mimo jiné to, že jeho obsah nebude po odeslání přečten či upraven neautorizovanou osobou. Akceptujete-li tato rizika a souhlasíte-li se zasláním předmětných osobních údajů běžným e-mailem, prosím, odpovězte mi na tuto zprávu e-mailem s textem „Souhlasím“. Odpověď Vám následně bude zaslána na e-mailovou adresu, ze které odešlete svůj souhlas. Podrobnosti o bezpečné komunikaci VFN s pacienty se dočtete zde.„
Informovanost zaměstnanců o GDPR Všichni zaměstnanci VFN musí úspěšně absolvovat e-learningové školení GDPR, zájemci mají možnost účasti na interních školeních zaměřených na bezpečnou komunikaci, na intranetu VFN je všem zaměstnancům přístupný portál „Bezpečnost informací“, jehož součástí jsou i odpovědi na často kladené otázky, viz následující ukázky rozdělené do kategorií: souhlas pacienta, nakládání s osobními údaji a bezpečná komunikace, bezpečnostní incidenty.
Souhlas pacienta Musí se pro vedení zdravotnické dokumentace požadovat souhlas pacienta se zpracováním OÚ? Ne. Jedná se o plnění právní povinnosti. Je pro vědecký výzkum a klinické studie potřeba souhlas pacienta se zpracováním OÚ? Souhlas může být třeba v případech, kdy jsou sbírány další OÚ, které dosud nejsou v ZD. Otázku je vždy vhodné konzultovat s legislativně právním odborem. Je možné vést osobní (kontaktní) údaje na oprávněné osoby, opatrovníky a zákonné zástupce mající přístup k ZD pacienta a dalším důvěrným informacím bez souhlasu těchto osob? Ano. Vedení těchto údajů vychází ze zákona, kde je uvedeno mezi právy pacienta. Je potřeba pacientův souhlas získávat opakovaně při každém pokusu o nezabezpečenou elektronickou komunikaci? Při opakovaném zasílání již není potřeba požadovat souhlas od stejné osoby = e-mailové adresy, pokud budou zasílány údaje ve stejném rozsahu. Pro jiný účel nelze souhlas použít.
Nakládání s osobními údaji a bezpečná komunikace Co nesmím udělat nebo dopustit při nakládání s OÚ pacientů a zaměstnanců? Nechávat volně dostupnou ZD, zasílat nezabezpečeně OÚ e-mailem, ukládat OÚ mimo stanovené prostředí nemocnice, zveřejňovat OÚ na sociálních sítích, ukládat OÚ na externí média nebo soukromé PC. Jak je zabezpečena e-mailová komunikace navzájem mezi lékaři a jednotlivými klinikami VFN? Bezpečná komunikační platforma (Microsoft Exchange), hesla, povinnost vícefaktorové autentizace při vzdáleném přihlášení atp. Lze komunikovat e-mailem s jinou nemocnicí nebo zdravotnickým zařízením, lékařem, laborantem? Běžnou e-mailovou zprávou nikoli, předávání OÚ musí být řešeno zabezpečenou komunikací. Jaký je rozdíl mezi interní komunikací a komunikací mimo VFN? V zabezpečení přenášených informací. Za jakých podmínek je možné předat výsledky vyšetření, recepty atp. např. rodinnému příslušníkovi pacienta? Souhlas pacienta, identifikace osoby.
Bezpečnostní incidenty Co dělat při zjištění podezření na únik OÚ? Neprodleně je třeba zadat incident do ServiceDesku - Únik osobních údajů a nahlásit pověřenci pro ochranu osobních údajů VFN. Kdo ve VFN odpovídá za nahlášení úniku OÚ na ÚOOÚ? Pouze pověřenec pro ochranu osobních údajů VFN. Jaká je lhůta? Bez zbytečného odkladu, do 72 hodin. Co by znamenalo pro VFN porušení ochrany OÚ? Na základě rizik plynoucích z porušení zákonných povinností by mohla být VFN pokutována ÚOOÚ, kdy pokuta může být až do výše 20 mil. EUR nebo 4 % ročního obratu. Současně velké reputační riziko (poškození dobrého jména VFN).
Ukázka registru OÚ VFN