пропозиції роботи
Wypowiedzi
-
A skąd macie dane tego lekarza?
Jeśli lekarz jest kierowany do nas na staż to dane mamy od lekarza, który dostarcza nam do podpisania porozumienie dotyczące odbycia stażu (porozumienie zawierane między szpitalami)
Lekarze których my kierujemy na staż są naszymi pracownikami (rezydenci).
Widzę że miałem uzasadnione wątpliwości dotyczące podpisywania takich umów. -
Lekarz musi odbyć staż zgodnie z programem specjalizacji, więc jest to w jego interesie - lekarz musi odbyć staż z różnych specjalizacji a często w szpitalu macierzystym nie ma możliwości odbycia stażu np z chirurgii. Sam szuka sobie jednostki gdzie będzie odbywał staż, powiadamia szpital o tej jednostce. Ale porozumienie jest podpisywane pomiędzy szpitalami a nie pomiędzy lekarzem a szpitalem.
-
Obowiązek informacyjny też mam realizowany.
-
Więc rozumiem że udostępnienie następuje na podstawie przepisów prawa? W ustawie o zawodzie lekarza i lekarza dentysty jest zapis:
art 19f.
1. Szkolenie specjalizacyjne może być prowadzone przez jednostki organizacyjne, o których mowa w art. 19 ust. 1, które spełniają warunki określone w ust. 2 i uzyskały akredytację do szkolenia specjalizacyjnego. Potwierdzeniem akredytacji jest wpis na listę jednostek akredytowanych do prowadzenia szkolenia specjalizacyjnego w danej dziedzinie.
2. Jednostka organizacyjna, o której mowa w ust. 1, ubiegająca się o akredytację do prowadzenia szkolenia specjalizacyjnego, jest obowiązana spełniać następujące warunki:
...
10) zawierać porozumienie z podmiotami, w celu umożliwienia zrealizowania przez lekarzy programu specjalizacji, w tym staży kierunkowych, o których mowa w ust. 3, których realizacji nie może zapewnić w ramach swojej struktury organizacyjnej.
3. Staże kierunkowe mogą być prowadzone przez:
1) jednostki organizacyjne, o których mowa w ust. 1, lub
2) inne jednostki organizacyjne spełniające warunki, o których mowa w ust. 2, po uzyskaniu przez nie akredytacji do prowadzenia staży kierunkowych.
Czy na te przepisy można się powołać udostępniając dane lekarzy?
Rozumiem że w razie powołania się na powyższe przepisy podmiot przyjmujący na staż nie musi uzyskiwać zgody na przetwarzanie danych osobowych od lekarza stażysty? -
Witam.
Temat związany z działalnością szpitali. Jak podchodzicie do tematu lekarzy kierowanych na staże? Do mojego Szpitala kierowani są często lekarze stażyści z innych szpitali (odbycie stażu specjalizacyjnego) na podstawie porozumienia stron (czasami jest to porozumienie ramowe a później dopiero podpisywane jest porozumienie dotyczące danego lekarza a czasami od razu z danym szpitalem jest podpisywane porozumienie dotyczące jednostkowego lekarza - porozumienia podpisywane są pomiędzy szpitalami). Oczywiście z mojego szpitala również lekarze są wysyłani. Do tej pory podchodziłem do tego w ten sposób że podstawą prawną była art 6 ust 1 lit e RODO (przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym), traktowałem dane jako udostępniane przez podmiot kierujący, stażyście byli szkoleni, wystawiane upoważnienie, prowadzone ewidencja. Ale ostatnio z jednego ze szpitali otrzymałem umowę powierzenia danych lekarzy w związku ze stażami specjalizacyjnymi. Czy jest konieczne w takiej sytuacji zawieranie umowy powierzenia? Oznaczałoby to w praktyce że za każdym razem dla stażu (np kilkutygodniowego dla jednego lekarza) trzeba by sporządzać umowę powierzenia do porozumienia. Czy jest prawnie możliwe przekazywanie danych do innego szpitala na podstawie zgody tego lekarza (w praktyce i tak często to właśnie on te porozumienie dostarcza)? -
Witam
Ja również poproszę o analizę ryzyka
Z góry dziękuję
Pozdrawiam
AI -
Witam
Jak proponujecie postępować w zakresie upoważnień do przetwarzania danych osobowych po 25 maja 2018r (data rozpoczęcia obowiązywania RODO): czy obecnie wystawione upoważnienia pozostają w mocy, czy może proponujecie wystawiać nowe upoważnienia z nową podstawą prawną czy może jeszcze jakieś inne rozwiązanie? Obecnie w mojej firmie mam wystawione ponad 500 upoważnień a niejeden abi ma zapewne o wiele więcej. -
Po przekazaniu moich uwag informatykom będziemy chyba odstępować od udostępnienia naszego systemu informatycznego.
Narodziła się nowa koncepcja aby zaopatrzyć podwykonawcę w prosty system informatyczny z funkcjonalnością gabinetu (początkowo pusta baza danych). To powinno wszystko ułatwić.
Wtedy moim zdaniem administratorem danych będzie wyłącznie podwykonawca a w umowie wystarczy wpisać że zleceniodawca zaopatrzy podwykonawcę w system informatyczny, który spełnia wymogi ustawy ODO i rozporządzenia z 2004r.
Proszę o opinię -
Ok. Zostawmy system informatyczny - będę się domagał od informatyków rozwiązania tego problemu.
Reasumując: mamy cel przetwarzania i podstawy prawne, mamy spełniony obowiązek informacyjny (który może być realizowany również bezpośrednio na gabinecie poprzez podpisanie odpowiedniego oświadczenia). Upoważnienia do uzyskiwania danych z systemu informatycznego, oświadczenia o poufności, ewidencja osób dopuszczonych – obowiązek mojego szpitala. W upoważnieniu dopisałbym również że obejmuje przetwarzanie danych osobowych w wersji „papierowej”, której współadministratorem jest podwykonawca (jeżeli będą dane dwóch szpitali na dokumentacji). Konta w naszym systemie na podstawie wniosków zakłada mój Szpital.
Podwykonawca ma również cel, podstawy prawne, obowiązek informacyjny spełniony (podpisanie na gabinecie, muszą wystawić upoważnienia, swoje oświadczenia o poufności oraz wpis do ich ewidencji (przetwarzania danych papierowych).
Co z obowiązkami dotyczącymi operacji na dokumentacji (przechowywanie, udostępnianie na mocy ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, brakowanie w przyszłości) , czyli z obowiązkami obydwu administratorów - myślę że dobrą drogą jest określenie tego w umowie i to wszystko powinno być obowiązkiem podwykonawcy bo nie wyobrażam sobie aby mój szpital miał odpowiadać za dokumentację, która jest przechowywana gdzie indziej.
Oczywiście pomieszczenie które będzie wyznaczone do przyjmowania pacjentów wprowadzę do obszaru przetwarzania i kontrole tego pomieszczenia przeprowadzę, także szkolenie (o ile będzie możliwość przeszkolenia lekarzy bo z tym jest zawsze problem). Przekazałbym również podstawowe zapisy polityki bezpieczeństwa do zapoznania się personelu – w końcu będą pracować na współadministrowanej dokumentacji papierowej i naszym systemie informatycznym. -
Cytat z serwisu Wolters Cluver (LEX):
"Czy SP ZOZ powierzający innemu SP ZOZ-owi wykonywanie świadczeń zdrowotnych może w
umowie powierzenia przetwarzania danych osobowych zamieścić zapis, zobowiązujący
kontrahenta do usunięcia wszelkich danych osobowych, których przetwarzanie zostało mu
powierzone?
Odpowiedź
W przypadku zlecenia udzielania świadczeń innemu podmiotowi leczniczemu nie dochodzi do powierzenia przetwarzania danych, każdy podmiot udzielający świadczeń zdrowotnych, prowadzi bowiem dokumentację medyczną we własnym imieniu.
Uzasadnienie
W przypadku zlecenia udzielania świadczeń innemu podmiotowi leczniczemu jako podwykonawcy w rozumieniu art. 26 ustawy z dnia 15 kwietnia 2011 r. o działalności leczniczej (tekst jedn.: Dz. U. z 2013 r. poz. 217 z późn. zm.) lub art. 133 ustawy z 27 sierpnia 2008 r. o świadczeniach opieki zdrowotnej finansowanych ze środków publicznych (tekst jedn.: Dz. U. z 2008 r. Nr 164, poz. 1027 z późn. zm.) świadczeniach nie dochodzi do powierzenia przetwarzania danych, w rozumieniu art.
31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz. U. z 2014 r. poz. 1182 z późn. zm.) o ile zaś dochodzi do przekazania dokumentacji medycznej w celu kontynuacji leczenia, podstawę prawną stanowi art. 26 ust. 3 pkt 1 ustawy z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (tekst jedn.: Dz. U. z 2012 r. poz. 159 z późn. zm.) - dalej u.p.p., każdy podmiot udzielający świadczeń zdrowotnych, w myśl art. 24 u.p.p. , prowadzi bowiem dokumentację medyczną we własnym imieniu i wskutek powyższego jest zobowiązany ją przechowywać przez okres wskazany w art. 29 u.p.p."
Kilka innych opinii na ten temat też tam znalazłem oraz jak wcześniej pisałem również prawnik mojego Szpital wypowiedział się w tym tonie.
Myślę że będę obstawał przy tym że umowa powierzenia jest niepotrzebna, ale umowa na usługę z określeniem m.in. odpowiedzialności konieczna.
Paweł G.:
Przemyślałbym działanie wyszukiwarki. Na pewno nie dostęp do całej bazy, na pewno wyłączone opcje autouzupełniania. Na pewno też podanie samego numeru Pesel pacjenta uznałbym za niewystarczające do wyszukania osoby w bazie.
Wyszukiwarka działa w ten sposób że jak wpiszę literkę „i” to wyskakują wszystkie nazwiska na literę „i” i wątpię aby firma informatyczna coś potrafiła z tym zrobić ale będę o to wnioskował (np. konieczność wpisania całego nazwiska i imienia lub PESEL’u). Ale nawet jeśli tego się na da zrobić, to w sytuacji gdy pracownicy podwykonawcy dostaną upoważnienia przez mojego Dyrektora do pozyskiwania danych z systemu informatycznego oraz oświadczenia do podpisania o zachowaniu poufności to powinno wszystko w porządku. Poza tym każdy pacjent uzyskuje informację że dane mogą być przekazywane innym podmiotom, upoważnionym na mocy przepisów prawa. Szpital będzie realizował świadczenia opieki bo tak przepisy nakazują, a w związku z tym że nie mamy możliwości samodzielnie tego realizować przekazujemy dane innemu podmiotowi. Więc myślę że obowiązek informacyjny również mamy spełniony.
Wątpliwość to : jeżeli, jak sugeruje Marek, nagłówek będzie musiał zawierać dane obydwu podmiotów, czyją dokumentacją jest dokumentacja stworzona na rzecz świadczeń, kto jest odpowiedzialny za jej przechowywanie, udostępnianie, brakowanie. Moim zdaniem te wszystkie procesy przetwarzania trzeba będzie opisać w umowie – kto za co odpowiada. -
Marek P.:
Jeszcze jedno pytanie, które może tu dużo wyjaśnić.
Dokumentacja medyczna pacjentów przyjmowanych w ramach opieki całodobowej będzie prowadzona pod jakim szyldem?
W nagłówku będą dane Waszego szpitala, czy podwykonawcy?
To jest bardzo dobre pytanie i bardzo istotna kwestia - niestety nie znamy jeszcze odpowiedzi (wytyczne NFZ). Jeżeli będzie tylko nagłówek podwykonawcy to sprawa jest prostsza, natomiast jeżeli nagłówki obydwu podmiotów to kwestia jest bardziej złożona. -
Ja bym tu jednak proponował rozważyć umowę powierzenia.
Rozważałem to, ale widzę tu dwa problemy:
1. Przekazanie danych do innego podmiotu leczniczego następuje na podstawie art 26 ust 3 pkt 1 UPP, podmiot udzielający świadczeń jest zobowiązany prowadzić dokumentacji i ją przechowywać we własnym zakresie (art 24.1, art 29 UPP). Art 24.7 mówi o przekazaniu dokumentacji podmiotowi powierzającemu po zakończeniu umowy, co gryzie sie z art 29 - nie jestem prawnikiem dlatego to zagadnienie przekazałem prawnikowi mojego szpitala, który utwierdził mnie w tym że prawidłowo to zinterpretowałem tzn że przekazując dane do innego podmiotu leczniczego nie należy podpisywać umowy powierzenia, ponieważ ten podmiot staje się administratorem przekazanych danych (co jest bezpieczniejsze dla przekazującego bo cała odpowiedzialność spływa na odbierającego a w umowie powierzenia to jednak przekazujący nadal jest administratorem) a podstawę prawną przekazania mamy - art 26.3.1 UPP.
2. Drugi problem, chyba nawet ważniejszy, wynika z funkcjonalności systemu informatycznego, gdyż dane udostępnione drugiemu podmiotowi obejmowałyby całą bazę (celem wyszukania pacjenta) a nie tylko dane osób którym podwykonawca będzie świadczył usługę.
ale w tym wypadku mam wątpliwości czy umożliwienie dostępu do systemu informatycznego po to żeby podwykonawca wprowadzał dane nie służące stricte do wykonywania świadczeń zdrowotnych , a jedynie do rozliczeń to "zapewnianie ciągłości".
to my będziemy rozliczać a podwykonawca wykonywać
Myślę że jeszcze poczekam na dokładne wytyczne NFZ jak ma wyglądać sprawozdawczość -
Dziękuje za linka. Super opracowanie.Niektóre przykłady są podobne do mojej sytuacji Przyda się.
-
A który administrator i w jakim zakresie będzie odpowiedzialny za zabezpieczenie danych i wdrożenie środków technicznych i organizacyjnych o których mowa w rozdziale V ustawy oraz w rozporządzeniu z 2004r.? Skoro my potrzebujemy dane wyłącznie z systemu informatycznego, celem rozliczenia świadczeń to wydaje mi się że można by wpisać że za zabezpieczenie systemu informatycznego służącego do przetwarzania danych odpowiadamy my (tym bardziej że to będzie wyłącznie terminal), natomiast w związku z tym że cała obsługa pacjenta będzie sie odbywała na terenie podwykonawcy odpowiedzialność za zabezpieczenie pomieszczenia, dokumentacji spoczywałaby na barkach podwykonawcy.
Czy takie elementy można by wpisać w umowie współpracy?
Co z kwestiami dotyczącymi upoważnień dla personelu, oświadczeń o poufności - czy pod upoważnieniami powinni się podpisać oboje administratorzy, czy jednak należałoby wystawić 2 upoważnienia - jedno w zakresie systemu informatycznego (podpisane przez nas) a drugie w zakresie dostępu do dokumentacji papierowej (podpisane przez tamtego administratora)?
Temat jest skomplikowany. -
Więc celem przetwarzania przez podwykonawce jest świadczenie usług medycznych a dane zbierane są na podstawie ustawy o prawach pacjenta i Rzeczniku praw pacjenta oraz na podstawie ustawy o systemie informacji w ochronie zdrowia. Podstawa prawna przetwarzania art 27 ust 2 pkt 7 i 2 uODO . Naszym celem jest rozliczenie świadczen, więc ustawa o świadczeniach finansowanych ze środków publicznych. Nasza podstawa prawna to też ten sam art 27 ust 2 pkt 7 i 2. Tamten ADO będzie rowniez pozyskiwać dane od pacjenta bo dopiero jak będzie konieczność udzielenia świadczenia pracownik podwykonawcy będzie rejestrował pacjenta w systemie i wtedy go będzie wyszukiwal w naszej bazie lub dopisywał nowego pacjenta. Myślę że obowiązek informacyjny powinien spełnic podwykonawca bo on ma stycznosc z pacjentem (do podpisania odpowiednia klauzula).
U nas w szpitalu obowiazują klauzule informacyjne o ODO, gdzie pisze że udostępniany podmiotom upoważnionym na podstawie przepisów.
Ważny w tym wszystkim jest również art 26 ust 3 pkt 1 ustawy o prawach pacjenta, mówiący że mozna przekazywać dokumentacje medyczna innym podmiotom w celu zachowania ciągłości leczenia.
Zgody na przetwarzanie danych jest również niepotrzebna - podstawa art 23 ust 1 pkt 2 u ODO. -
Dodam że dokumentacja wychodząca od podwykonawcy (np karty dla pacjentów) będzie oczywiście opatrzona danymi podwykonawcy i ciąży na nim obowiązek przechowywania tej dokumentacji. Naszym obowiązkiem jest jedynie rozliczenie się z NFZ poprzez system informatyczny bo to my musimy się rozliczyć a nie podwykonawca.
-
Dostęp do systemu będzie w trybie terminalowym (komputer u podwykonawcy będzie miał możliwość wyłącznie włączenia naszego systemu, żadnych wordów, excelów itp, baza danych jest u nas i rozliczenia od nas będą szły). Komputer ten nie będzie w żaden sposób połączony z systemem informatycznym podwykonawcy). Korekty danych w systemie przez pracowników podwykonawcy (rejestracja pacjentów, wprowadzanie opisów dgn, wywiadu, kodów itd) będą mogły być wykonywane jedynie na danych pacjentów opieki nocnej. Praca będzie cały czas na naszej bazie pacjentów, która fizycznie znajduje się na naszych serwerach.
Generalnie administratorem tych danych powinien być podwykonawca, jednak problem w tym że jego pracownicy będą pracować na naszym systemie informatycznym (muszą by rozliczyć się).
Czy dopuszczalnym rozwiązaniem jest aby ADO danych w systemie informatycznym byliśmy my (a więc musiałbym wystawić upoważnienie do pracy w systemie informatycznym i przetwarzania danych w tym systemie, podstawą wystawienia upoważnienia byłoby spisane porozumienie pomiędzy szpitalami) a ADO wszelkiej dokumentacji papierowej wytworzonej z systemu informatycznego oraz wystawionej odręcznie byłby podwykonawca na mocy umowy porozumienia między szpitalami?
Czyli zgodnie z powyższym rozwiązaniem byłoby 2 ADO (jeden od systemu informatycznego a drugi od dokumentacji papierowej) - czy takie rozwiązanie jest dopuszczalne? -
Witam.
Mam następujący problem do rozwiązania. Mianowicie mój szpital zobowiązany jest w ramach sieci szpitali do udzielania całodobowej i nocnej opieki zdrowotnej. Jednak w związku z tym że jesteśmy podmiotem monoprofilowym nie mamy np internistów. W związku z tym planowane jest podpisanie porozumienia z sąsiednim szpitalem, który jako podwykonawca świadczyłby usługi nocnej opieki. Jednak usługi te muszą być rozliczane przez nasz szpital, w związku z czym planowane jest udostępnienie naszego systemu informatycznego, z którego będą realizowane świadczenia i wysyłane rozliczenia do NFZ (za pośrednictwem bezpiecznego łącza lekarz podwykonawcy będzie pracował na naszym systemie informatycznym). Nie ma innej technicznej możliwości rozliczania świadczeń. W celu wyszukania pacjenta wyszczególnieni pracownicy podwykonawcy będą pracowali na naszej infrastrukturze informatycznej, będą mieli dostęp do naszej bazy pacjentów (tylko dane osobowe niezbędne do wyszukania a dane szersze tylko pacjentów zaopatrywanych), jednakże dokumentacja papierowa będzie własnością podwykonawcy. Czy w związku z tym że udostępniamy system medyczny (my zakładamy konta użytkowników), dobrym rozwiązaniem będzie w takim przypadku podpisanie umowy powierzenia czy może wystawienie upoważnień dla pracowników podwykonawcy i wiążący się z tym szereg innych czynności?
Pozdrawiam -
Więc w moim przypadku zachodzi sytuacja 2, lecz z tą różnicą, że to laboratorium zewnętrzne również zachowuje wyniki badań i je musi przechowywać przez okres 20 lat (art 29 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta).
Podpisanie umowy powierzenia jest w takiej sytuacji sprzeczne z art 24.7 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta:
7. W przypadku zaprzestania przetwarzania danych osobowych zawartych w dokumentacji medycznej przez podmiot, któremu powierzono takie przetwarzanie, w szczególności w związku z jego likwidacją, jest on zobowiązany do przekazania danych osobowych zawartych w dokumentacji medycznej podmiotowi, o którym mowa w ust. 1, który powierzył przetwarzanie danych osobowych. -
Zewnętrzne laboratorium przechowuje tę dokumentację (wyniki badań) zgodnie z przepisami, ale jednocześnie przekazuje nam te wyniki. Pacjent w momencie kiedy przychodzi do nas podpisuje klauzulę informacyjną, w której uzyskuje informację że jego dane mogą być przekazywane innym podmiotom na mocy przepisów prawa (w tym przypadku 26.3.1 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta). Ponadto jeżeli jest to pacjent któremu pobierane są próbki bezpośrednio w naszym laboratorium (nie na oddziale) to jest on informowany przez pracownika o fakcie wykonywania tych badań w innym ośrodku.
- 1
- 2
Dołącz do GoldenLine
Oferty pracy
Sprawdź aktualne oferty pracy
Aplikuj w łatwy sposób
Aplikuj jednym kliknięciem
