Temat: ABI w Szpitalu

Witam,
jestem początkującym ABI w Szpitalu. Problem jest w tym, że jako jedyna osoba pełniąca tą funkcję nie ma się z kim porozmawiać ani się poradzić.
Mam wiele pytań:
1. Jak wprowadzić obowiązek informacyjny (powiadomiłam wszystkich na intranecie o wprowadzeniu obowiązku informacyjnego pół roku temu i nie wiem czy ktoś się do tego dostosował). Może powinnam wskazać gdzie i w jakim miejscu mają to wpisać? A w których miejscach macie w innych szpitalach?na tablicy, na karcie informacyjnej, na umowach?
2. Poprosiłam aby każdy przygotował w swojej komórce listę zbiorów jakie przetwarzają. W komórkach medycznych dostałam wiele zbiorów : jak dziennik podania leku , listy podpisania załączników ISO( czy to tez jest zbiór?), W komórkach administracyjnych prawie nic nie dostałam gdyż to nie są dane osobowe ( taką dostałam odpowiedz) ani umowy ani inne prowadzone rejestry księgowe. Co jest zbiorem do zarejestrowania w takich komórkach? faktury? umowy?
3. Mam przeprowadzić sprawdzenia, tzn wszystkich zbiorów jakie wpisałam do załącznika do PBI "wykaz zbiorów danych...". co mam w nich sprawdzić? Co kontrolować podczas sprawdzenia?
4. Wyczytałam, na forum , ze lista obecności nie powinna mieć wykazane " C" tzw chorobowe , czy to powinnam skontrolować? czy najpierw przekazać informację, że tak nie powinno być a dopiero później skontrolować?
5. Najbardziej przeraża mnie kontrola działu IT. Nie jestem informatykiem to co ja mam tam skontrolować?
Może naiwne są moje pytania. Może za jakiś czas będę sie z nich śmiała ale na dzień dzisiejszy jestem przerażona, tym bardziej , że pracuje na innym stanowisku a pełnienie funkcji ABI jest dodatkowym zajęciem. Jeżeli mógłby mi ktoś pomóc będę bardzo wdzięczna i z góry dziękuję.

Temat: ABI w Szpitalu

Po pierwsze wykonywanie obowiązków ABI jest określone przez ustawodawcę jako priorytet i ADO może powierzyć inne obowiązki, jeżeli nie przeszkadza to w wypełnianiu funkcji ABI.

Ponieważ nie jestem specjalistą od szpitali zostawię odpowiedź na pierwsze pytania osobom, które w pełni udzielą informacji.

3. Tak wszystkich przynajmniej raz na 5 lat każdy. Przy sprawdzeniu podajesz przedmiot, zakres, okres. Sprawdzasz zbiór papierowy lub elektroniczny jego zgodność z PBI, IZSI, UODO i ustawami, które obowiązują Twoją jednostkę, upoważnienia do zbioru, strukturę, uprawnienia do zbiorów informatycznych, powierzanie, udostępnianie, obowiązek rejestracyjny, informacyjny itd...

4. Zawsze lepiej najpierw poinformować i zalecić zmianę niż czekać aż zrobisz sprawdzenie mając wcześniej wiedzę na temat naruszenia odo

5. Powołaj biegłego

Temat: ABI w Szpitalu

Jestem ABI w szpitalu od 4 latach, więc mam już temat nieco przestudiowany
(od razu zaznaczam, że z wykształcenie jestem informatykiem, nie prawnikiem).
Postaram się pomóc w miarę moich możliwości i czasu.

Na wszystkie tematy, które poruszyłaś można by długo dyskutować. Na razie postaram się odpowiedzieć możliwie krótko - w razie wątpliwości dopytuj.

ad 1) Obowiązek informacyjny w szpitalu może występować co najmniej w stosunku do kilku grup osób - pacjentów, pracowników, kandydatów na pracowników i kontrahentów szpitala.
W stosunku do każdej z poszczególnych grup jest trochę inna sytuacja.
Myślę, że Twoje pytanie dotyczy pacjentów.

Można się zastanowić, czy ten obowiązek dotyczy szpitali w przypadku jeżeli realizują w stosunku do pacjentów wyłącznie swoją zasadniczą działalności (czyli bez wykorzystywania danych pacjenta do badań klinicznych, marketingu czy innych celów).
Czy nie zachodzi tu sytuacja, że "osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1 (art. 24 ust. 2)".

Wydaje się, że większość Szpitali na wszelki wypadek stara się ten obowiązek zrealizować.
Najczęściej w postaci informacji na stronie internetowej.
W moim przypadku - mam kartki z informacjami umieszczone na szybach lub tablicach na izbach przyjęć i rejestracjach do poradni i pracowni + zafoliowana kartka do wglądu dla pacjentów.
Pacjenci przyjmowani do Szpitala podpisują się na kartce gdzie obok upoważnienia do informowania o stanie zdrowia, wydawania dokumentacji itp.: jest oświadczenie, że zostali poinformowani odnośnie zbierania danych osobowych.

ad 2) Jeżeli chodzi o dane medyczne, to chyba najczęściej definiuje się w szpitalach jeden zbiór - zbiór danych pacjentów (nazwy mogą być różne), nawet jeżeli fizycznie zbiór ten jest rozproszony, obejmuje dokumentację papierową i elektroniczną, a do jego przetwarzania używa się wielu programów/modułów.

Administracja ma zwykle całkiem sporo danych osobowych, chociażby:
- dane pracowników (kadrowo-płacowe),
- dane kandydatów na pracowników,
- dane kontrahentów (osoby fizyczne prowadzące działalność gospodarczą),
- dane osób będących stronami umów lub reprezentujących strony umów,
- wykazy pracowników firm zewnętrznych skierowanych do pracy na terenie Szpitala (ochrona, sprzątanie, usługi transportu wewnętrznego, ekipy remontowo-budowlane),
- dane kontaktowe i korespondencja.

ad 3) Czytałaś rozporządzenie MAiC w sprawie sprawdzeń ABI?
http://isap.sejm.gov.pl/DetailsServlet?id=WDU20150000745
Do tego proponuję poczytać wątki na tym forum poświęcone sprawdzeniom.
Oraz artykuły w sieci:
https://www.google.pl/search?q=abi+sprawdzenia+rozporz%...
Temat jest jeszcze stosunkowo świeży (mimo, że obowiązuje od ponad roku), więc mało jest na ten temat publikacji i wiele osób drapie się po głowach jak to najlepiej robić :-)

ad 4) tak jak napisał Paweł Lada

ad 5) Ja mam zadanie ułatwione bo sam jestem informatykiem (chociaż teraz już raczej głównie zajmuję się wykonywaniem obowiązków ABI i ISO 27001).
Zastanawiając się co mogę Ci poradzić doszedłem do czegoś takiego:
pamiętaj, że ABI jest od sprawdzania zgodności z przepisami i procedurami (PBI, ISZI itp.) i nikt nie oczekuje, że będzie się znał(a) na technologiach IT (chociaż to czasami ułatwia pracę). Wykonując sprawdzenie możesz zażądać od informatyków wyjaśnień dot. realizacji wymaganych zabezpieczeń i ew. demonstracji ich działania. Zbieraj też ich podpisy na dokumentacji sprawdzeń - jeżeli Cię oszukają, to będzie to ich odpowiedzialność.

Przykłady:

Rozporządzenie MSWiA do ustawy narzuca wymogi co do zmienności i złożoności haseł - wykonując sprawdzenie prosisz o wykonanie zmiany hasła wybranemu użytkownikowi na takie, które nie spełnia wymogów i patrzysz czy system to zaakceptuje czy odrzuci.

Rozporządzenie MSWiA, paragraf 7 narzuca wymogi co do tego jakie informacje powinien odnotowywać system informatyczny wykorzystywany do przetwarzania danych. Wybierasz sobie jakieś przykładowe dane - np. pobyt pacjenta w szpitalu, dane dot. zatrudnienia pracownika itp. i prosisz informatyków, żeby Ci pokazali, że system odnotował datępierwszego wprowadzenia tych danych, kto je wprowadził, itd.

Rozporządzenie narzuca wymogi co do postępowania z nośnikami przeznaczonymi likwidacji, przekazania lub naprawy - prosisz o informatyków o złożenie pisemnych wyjaśnień jak to jest konkretnie realizowane, i okazania protokółów zniszczenia (jeżeli takie prowadzą).

itp. itd.

Ogólnie rzecz biorąc - trzymaj się i w razie czego pisz - to forum to prawdziwy skarb dla każdego ABI :-)

Pozdrawiam.

Temat: ABI w Szpitalu

Dziękuję za wypowiedzi, wydrukuję sobie i będę to analizowała. Mam pytanie po za forum ale nie wiem jak mogłabym się skontaktować z którymś z Panów, prywatne wiadomość można wysłać tylko jedna i już ją wykorzystałam.

Temat: ABI w Szpitalu

Napisałem na prv

Temat: ABI w Szpitalu

Krystyna M.:

1. Jak wprowadzić obowiązek informacyjny (powiadomiłam wszystkich na intranecie o wprowadzeniu obowiązku informacyjnego pół roku temu i nie wiem czy ktoś się do tego dostosował).

Wzór pisma:

Na podstawie art. 36a ust. 2 pkt 1 lit. a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. 1 2015.2135) – dalej: ustawa oraz § 3 ust. 2 pkt 2 rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. 2015.745) - dalej: rozporządzenie zawiadamiam o rozpoczęciu sprawdzenia doraźnego.

[Termin (co najmniej za 7 dni)]

Zakresem sprawdzenia obejmuję sposób realizacji obowiązku informacyjnego, o którym mowa w art. art. 24-25 ustawy w odniesieniu do zbioru X [przez pracownika Y/w dziale Z].
Ponadto w odniesieniu do zbioru X sprawdzeniem obejmuję:
a/ legalność przetwarzania, w szczególności dokonanie (bądź nie) udokumentowanej analizy przesłanek legalizujących w momencie tworzenia zbioru lub planowanego wprowadzenia pierwszych danych do zbioru;
b/ celowość i adekwatność przetwarzania oraz metody ich zapewniania i weryfikacji;
c/ metody zapewniania merytorycznej poprawności danych;
d/ metody zapewniania przestrzegania zasady ograniczenia czasowego.

Zgodnie z rozporządzeniem osoby, których czynności objęto sprawdzeniem, mają obowiązek wziąć udział w sprawdzeniu lub umożliwić dokonanie koniecznych czynności, w szczególności na żądanie ABI udzielić ustnych lub pisemnych wyjaśnień w terminie określonym przez ABI oraz umożliwić dokonanie oględzin. W razie konieczności dokonania oględzin systemu informatycznego należy zapewnić obecność osoby administrującej systemem.

Może powinnam wskazać gdzie i w jakim miejscu mają to wpisać? A w których miejscach macie w innych szpitalach?na tablicy, na karcie informacyjnej, na umowach?

Jednocześnie na podstawie art. 36a ust. 2 pkt 1 lit. c ustawy wskazuję przykładowy sposób realizowania obowiązku informacyjnego:
.................................................................................................................................................

2. Poprosiłam

Zobowiązałam.

aby każdy przygotował w swojej komórce listę zbiorów jakie przetwarzają. W komórkach medycznych dostałam wiele zbiorów : jak dziennik podania leku , listy podpisania załączników ISO( czy to tez jest zbiór?), W komórkach administracyjnych prawie nic nie dostałam gdyż to nie są dane osobowe ( taką dostałam odpowiedz) ani umowy ani inne prowadzone rejestry księgowe.

Sprawdzenie. Ale musisz tak dobrze nauczyć się wyodrębniać zbiory, żeby móc w tym zakresie przeszkolić pracowników.

3. Mam przeprowadzić sprawdzenia, tzn wszystkich zbiorów jakie wpisałam do załącznika do PBI "wykaz zbiorów danych...". co mam w nich sprawdzić? Co kontrolować podczas sprawdzenia?

Art. 23, 27.
Art. 24, 25.
Art. 26, może 26a.
Art. 31.
Art. 36 ust. 1 (także w odniesieniu do IT) - w rozbiciu na szczegółowe wymagania wynikające z treści tego przepisu.
Art. 37.
Art. 38.
Art. 39 ust. 1
Art. 39 ust. 2

Na kolejne sprawdzenie zostawiłbym przepisy rozdziału 6 i rozdziału 7.

4. Wyczytałam, na forum , ze lista obecności nie powinna mieć wykazane " C" tzw chorobowe , czy to powinnam skontrolować? czy najpierw przekazać informację, że tak nie powinno być a dopiero później skontrolować?

Nie trzeba zajmować się pierdołami, kiedy leży organizacja bezpieczeństwa i zarządzanie ochroną.

5. Najbardziej przeraża mnie kontrola działu IT. Nie jestem informatykiem to co ja mam tam skontrolować?

Wypytywać o wszystko, prosić o opis konfiguracji urządzeń, opis konfiguracji zabezpieczeń, opis konfiguracji i zabezpieczeń sieci, prosić o demonstrację działania systemów, demonstrację procesów uwierzytelniania użytkowników, procesów nadawania im uprawnień, sposobu wychodzenia z sytuacji awaryjnych, procesów wprowadzania danych do systemów. Skrupulatnie wszystko protokołować w dosłownym brzmieniu. Nie komentować, nie wymądrzać się. Analizę zgodności przeprowadzić później. W razie potrzeby zażądać pisemnie dodatkowych pisemnych wyjaśnień.

Temat: ABI w Szpitalu

Ponadto w odniesieniu do zbioru X sprawdzeniem obejmuję:
a/ legalność przetwarzania, w szczególności dokonanie (bądź nie) udokumentowanej analizy przesłanek legalizujących w momencie tworzenia zbioru lub planowanego wprowadzenia pierwszych danych do zbioru;
b/ celowość i adekwatność przetwarzania oraz metody ich zapewniania i weryfikacji;
c/ metody zapewniania merytorycznej poprawności danych;
d/ metody zapewniania przestrzegania zasady ograniczenia czasowego.

Dziękuję za odpowiedz i staram się to przeanalizować krok po kroku..ale:

teoria to jedno a realizacja to drugie!!!
----------------------------------------------
zrobię pierwsze sprawdzenie np. w Dziale Gospodarczym pod który podlegają
- zamówienia publiczne
- kierownik
- dział techniczny
-magazyn
-kuchnia
Przedłożę pismo do ADO o planie kontroli, potem o programie kontroli ( równocześnie do działu).
Przychodzę na kontrolę, wchodzę iiiii co? np. "mają mnie gdzieś", proszę o " zbiory" ale jakie jak mi nie przekazano żadnych (odpowiedz krótka : my nie przetwarzamy żadnych zbiorów które by panią interesowały), mam wirtualnie poprosić o umowy, kazać sobie pokazać komputer? Jak mam się zachować w pokoju Kierownika ( ja dla niego jestem tylko zwykłym pracownikiem innego działu). Będzie podważał każde moje słowo, czyn, prośbę. Muszę się przygotować tak aby nie dać się zagiąć ( a moja wiedza jest na razie bardzo mała). Muszę wiedzieć na 100% o co mogę poprosić i co sprawdzać a potem ustalę na podstawie jakiego "przepisu". Na prawdę boje się.

Temat: ABI w Szpitalu

Panie Pawle,
jeszcze pytanie do tego sformułowania:

a/ legalność przetwarzania, w szczególności dokonanie (bądź nie) udokumentowanej analizy przesłanek legalizujących w momencie tworzenia zbioru lub planowanego wprowadzenia pierwszych danych do zbioru

jak mam to rozumieć? jeżeli nie mam zbioru podanego przez dział? udało mi sie stworzył załącznik do PBI ale nie mam nigdzie zaznaczone pierwsze wprowadzenie danych do zbioru? np. rejestr umów: to kiedy jest pierwsze wprowadzenie?

Temat: ABI w Szpitalu

W Twoim przypadku warunkiem koniecznym jest porządne przeszkolenie kadry kierowniczej nt. identyfikowania procesów przetwarzania danych osobowych, zasad wyodrębniania zbiorów oraz zadań i uprawnień ABI.

No i odpowiednia Polityka - odpowiedzialność za legalność procesów musi spoczywać na kierownictwie działu. Współpraca z ABI musi leżeć w ich interesie, to oni mają o tę współpracę zabiegać - w trosce o swoje własne cztery litery. ABI umie, oni nie. ABI może pomóc. Jeśli chce.

Czyli warunek sine qua non: wypisać sobie delegację na porządne, na początek dwudniowe szkolenie. I niech się szefostwo modli o łaskę niebios, bo złożyło w GIODO fałszywe oświadczenie pod wnioskiem o rejestrację administratora bezpieczeństwa informacji.