Temat: ABI w Szpitalu
Jestem ABI w szpitalu od 4 latach, więc mam już temat nieco przestudiowany
(od razu zaznaczam, że z wykształcenie jestem informatykiem, nie prawnikiem).
Postaram się pomóc w miarę moich możliwości i czasu.
Na wszystkie tematy, które poruszyłaś można by długo dyskutować. Na razie postaram się odpowiedzieć możliwie krótko - w razie wątpliwości dopytuj.
ad 1) Obowiązek informacyjny w szpitalu może występować co najmniej w stosunku do kilku grup osób - pacjentów, pracowników, kandydatów na pracowników i kontrahentów szpitala.
W stosunku do każdej z poszczególnych grup jest trochę inna sytuacja.
Myślę, że Twoje pytanie dotyczy pacjentów.
Można się zastanowić, czy ten obowiązek dotyczy szpitali w przypadku jeżeli realizują w stosunku do pacjentów wyłącznie swoją zasadniczą działalności (czyli bez wykorzystywania danych pacjenta do badań klinicznych, marketingu czy innych celów).
Czy nie zachodzi tu sytuacja, że "osoba, której dane dotyczą, posiada informacje, o których mowa w ust. 1 (art. 24 ust. 2)".
Wydaje się, że większość Szpitali na wszelki wypadek stara się ten obowiązek zrealizować.
Najczęściej w postaci informacji na stronie internetowej.
W moim przypadku - mam kartki z informacjami umieszczone na szybach lub tablicach na izbach przyjęć i rejestracjach do poradni i pracowni + zafoliowana kartka do wglądu dla pacjentów.
Pacjenci przyjmowani do Szpitala podpisują się na kartce gdzie obok upoważnienia do informowania o stanie zdrowia, wydawania dokumentacji itp.: jest oświadczenie, że zostali poinformowani odnośnie zbierania danych osobowych.
ad 2) Jeżeli chodzi o dane medyczne, to chyba najczęściej definiuje się w szpitalach jeden zbiór - zbiór danych pacjentów (nazwy mogą być różne), nawet jeżeli fizycznie zbiór ten jest rozproszony, obejmuje dokumentację papierową i elektroniczną, a do jego przetwarzania używa się wielu programów/modułów.
Administracja ma zwykle całkiem sporo danych osobowych, chociażby:
- dane pracowników (kadrowo-płacowe),
- dane kandydatów na pracowników,
- dane kontrahentów (osoby fizyczne prowadzące działalność gospodarczą),
- dane osób będących stronami umów lub reprezentujących strony umów,
- wykazy pracowników firm zewnętrznych skierowanych do pracy na terenie Szpitala (ochrona, sprzątanie, usługi transportu wewnętrznego, ekipy remontowo-budowlane),
- dane kontaktowe i korespondencja.
ad 3) Czytałaś rozporządzenie MAiC w sprawie sprawdzeń ABI?
http://isap.sejm.gov.pl/DetailsServlet?id=WDU20150000745
Do tego proponuję poczytać wątki na tym forum poświęcone sprawdzeniom.
Oraz artykuły w sieci:
https://www.google.pl/search?q=abi+sprawdzenia+rozporz%...
Temat jest jeszcze stosunkowo świeży (mimo, że obowiązuje od ponad roku), więc mało jest na ten temat publikacji i wiele osób drapie się po głowach jak to najlepiej robić :-)
ad 4) tak jak napisał Paweł Lada
ad 5) Ja mam zadanie ułatwione bo sam jestem informatykiem (chociaż teraz już raczej głównie zajmuję się wykonywaniem obowiązków ABI i ISO 27001).
Zastanawiając się co mogę Ci poradzić doszedłem do czegoś takiego:
pamiętaj, że ABI jest od sprawdzania zgodności z przepisami i procedurami (PBI, ISZI itp.) i nikt nie oczekuje, że będzie się znał(a) na technologiach IT (chociaż to czasami ułatwia pracę). Wykonując sprawdzenie możesz zażądać od informatyków wyjaśnień dot. realizacji wymaganych zabezpieczeń i ew. demonstracji ich działania. Zbieraj też ich podpisy na dokumentacji sprawdzeń - jeżeli Cię oszukają, to będzie to ich odpowiedzialność.
Przykłady:
Rozporządzenie MSWiA do ustawy narzuca wymogi co do zmienności i złożoności haseł - wykonując sprawdzenie prosisz o wykonanie zmiany hasła wybranemu użytkownikowi na takie, które nie spełnia wymogów i patrzysz czy system to zaakceptuje czy odrzuci.
Rozporządzenie MSWiA, paragraf 7 narzuca wymogi co do tego jakie informacje powinien odnotowywać system informatyczny wykorzystywany do przetwarzania danych. Wybierasz sobie jakieś przykładowe dane - np. pobyt pacjenta w szpitalu, dane dot. zatrudnienia pracownika itp. i prosisz informatyków, żeby Ci pokazali, że system odnotował datępierwszego wprowadzenia tych danych, kto je wprowadził, itd.
Rozporządzenie narzuca wymogi co do postępowania z nośnikami przeznaczonymi likwidacji, przekazania lub naprawy - prosisz o informatyków o złożenie pisemnych wyjaśnień jak to jest konkretnie realizowane, i okazania protokółów zniszczenia (jeżeli takie prowadzą).
itp. itd.
Ogólnie rzecz biorąc - trzymaj się i w razie czego pisz - to forum to prawdziwy skarb dla każdego ABI :-)
Pozdrawiam.