Temat: PESEL, imię i nazwisko pacjenta
Doświadczony ABI przede wszystkim analizuje proces. I jak mi udowadnialiście w wielu wątkach - nie robi analizy. Z tym, że ryzyka - to na pewno. Ale analizę jak widać ma robić. Cieszę się.
Tylko jeszcze raz sprostuję. ABI nie robi analizy RYZYKA. Robi analizę zagrożeń, zgodnie z art 36 - ochrona ma być adekwatna do ZAGROŻEŃ, nie do RYZYKA. Do analizy RYZYKA nie ma narzędzi.
Teraz jak już mówimy o analizie zagrożeń. Joanno - dane osobowe, aby były bezpieczne (uznane za bezpieczne) muszą mieć spełnione wszystkie atrybuty łącznie:
1. Poufność
2. Integralność
3. Rozliczalność.
Jak widzę w tej dyskusji znów ABI skupiają się tylko i wyłącznie na poufności danych, gdzie mi akurat wydaje się, że w tym przypadku integralność danych powinna mieć kluczowe znaczenie. Napisałem o tym wyżej - lekarz MUSI mieć pewność, że otrzymał właściwą kartę. Osoba dostarczająca MUSI mieć pewność, że dostarczyła właściwą kartę. A PACJENT musi być pewien, że to on jest leczony.
Co do poufności - analiza krótka. Jeszcze raz. Czy mi - osobie bez dostępu do Waszego systemu informatycznego, Waszych zasobów tradycyjnych (kartotek) czy dostępu do bazy PESEL - zestawienie imię, nazwisko i PESEL dostarczą takich informacji, że zidentyfikuję konkretną osobę?
Drugie - czy informacja o tym, że ktoś idzie do lekarza konkretnej specjalizacji, naprawdę dostarcza informacji o stanie zdrowia, czy DOMYSŁÓW, ze może potrzebuję porady tego konkretnego lekarza? Ja np. byłem kiedyś na wizycie u kardiologa pogadać o stanie mojego Taty...
I czy może się zdarzyć, że jednego dnia przyjdzie do przychodni 3 Janów Nowaków i .. czy lekarz się może pomylić w karcie, jak nie ma PESEL czy nie?
Dane osobowe nie są zabawą w policjanta i złodzieja. Mają służyć konkretnej działalności. Więc rozpatrywać ich ochronę trzeba ze wszystkich stron - a co najmniej z punktu widzenia wszystkich wymienionych atrybutów bezpieczeństwa. I do dziś mnie zastanawia, dlaczego w UODO nie ma jeszcze dostępności - o to proszę wszystkich ABI którzy się u mnie szkolą lub szukają porady.
I na koniec. O tym, do jakie mam wrażenie. Mam wrażenie, że w tej jednostce na siłę próbuje się zaimplementować rozwiązanie z innego miejsca czy tez coś, co ktoś podpowiedział - o nr PESEL. Jako identyfikującym wprost i jednoznacznie osobę. Myślę, że jest czas na to, żeby głęboko przemyśleć rozwiązanie i jak się ABI pomylił, to niech poszuka rozwiązania jak utrzymać swój autorytet. Ale na pewno nie w sposób narzucający.
Proponuję zacząć od uświadomienia recepcji i lekarzom kwestii ochrony danych osobowych, powiedzieć co ma być zabezpieczone - i SKONSULTOWAĆ z nimi rozwiązanie. W sensie poprosić ich o podpowiedź, jak by widzieli to rozwiązanie, na koniec zrobić notatkę ze spotkania i w ten sposób uzyskać uzgodnienie rozwiązania. Innymi słowy wciągnąć osoby realizujące konkretny proces w jego zabezpieczenie.
Tylko znów pojawia się pytanie- czy jest zrobione mapowanie procesów w których dane osobowe uczestniczą, z zapisem narażenia na utratę atrybutów? (przepływy - zapis w dokumentacji).