Temat: PESEL, imię i nazwisko pacjenta

Witam!
Jestem Abi w szpitalu gdzie mieszczą się tam również przychodnie. Panie rejestratorki na kopertach z dokumentacją piszą imię i nazwisko oraz PESEL, (uważają ze łatwiej im znaleźć jest pacjenta). ja uważam że to niedopuszczalne i jest teraz walka. Mam tylko pytanie do doświadczonych Abi: czy mam racje nie zgadzając się na umieszczeniu dodatkowo numer PESEL przy imieniu i nazwisku na kopertach z dokumentacją?

Temat: PESEL, imię i nazwisko pacjenta

Podałaś za mało informacji o obiegu tych dokumentów.
Inna sytuacja jest gdy dostęp do tych kopert (choćby przypadkowy - np. przenoszenie pliku kopert w ręku przez korytarze dostępne dla pacjentów) mają osoby trzecie, a inna gdy obrót kopertami jest 'szczelny'.

Jeśli uważasz, że umieszczanie na kopertach PESEL stanowi zagrożenie, to uzbrój się w argumenty i zgłoś jako incydent swojemu ADO. W sprawozdaniu z incydentu wpisujesz zalecenia. Od ADO zależy czy nakaże zmienić organizację pracy (a powinien).

Uwaga trzecia. O ile koperta z imieniem i nazwiskiem pacjenta internisty nie narusza ustawy, to do specjalisty np. kardiologa mogą pojawić się kłopoty - zwłaszcza gdy jest możliwy, choćby przypadkowy, dostęp osób trzecich.

Na zakończenie. Możesz zrobić paniom rejestratorkom "zgaduj zgadulę" - kto, zgodnie z art. 51 i 52 uodo odpowiada za dopuszczenie do przypadkowego zapoznania się z danymi wrażliwymi osób nieupoważnionych np. gdy przenoszą plik kart korytarzem pełnym pacjentów i owe karty im wypadną, rozsypią na podłodze, a wraży pacjenci pospieszą z pomocą w zbieraniu, jednocześnie zapoznając się, nawet pobieżnie, z zawartością. :)))Ten post został edytowany przez Autora dnia 05.06.17 o godzinie 07:44

Temat: PESEL, imię i nazwisko pacjenta

Koperty są zanoszone do Poradni i leżą na biurku, więc obawiam się że pacjent może zerknąć na nieswoją kopertę. U ans są Poradnie Specjalistyczne więc tym bardziej ten fakt mnie niepokoi.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

Chyba tu jakieś drugie dno jest... Bo doświadczony ABI nie powinien mieć problemu ze zrozumieniem niektórych rzeczy. Jakie ryzyko jest ze spojrzenia na kopertę? Tylko tak konkretnie, co z tego może wynikać?

Pytanie - czy dla mnie imię, nazwisko i PESEL umożliwią zidentyfikowanie konkretnej osoby? Nie mając dostępu do bazy PESEL ani innej, gdzie ów PESEL spięty jest z innymi danymi - sorry, ale nie ma szans, chyba, że ktoś mi pokaże legalny sposób na powiązanie przeze mnie - pacjenta przychodni numeru PESEL, imienia i nazwiska z konkretną osobą.

Druga rzecz - jak wielkim ryzykiem będzie POMYLENIE konkretnej osoby np. Jan Nowak? 15 na przychodnię...

Przed dalszym rozważaniem sytuacji proponuję nieco zastanowić się też nad tym, co ABI chce osiągnąć swoim rozwiązaniem i jakie będą skutki jakichkolwiek zmian.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
Pytanie - czy dla mnie imię, nazwisko i PESEL umożliwią zidentyfikowanie konkretnej osoby?
Umieszczasz ten konkretny proces przetwarzania w niewłaściwym kontekście, co zaciemnia obraz sytuacji i utrudnia skupienie się na realnie występujących zagrożeniach. Trzeba by się raczej zastanowić, jakie ryzyka będą tu związane z możliwością przeczytania (zapamiętania? sfotografowania?) Peselu przez innego pacjenta tej konkretnej przychodni (lokalna społeczność), czy też jakie ryzyka będą płynąć z ewentualnego poznania Peselu przez przedstawiciela firmy farmaceutycznej wchodzącego do gabinetu lekarza.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

Paweł G.:
Grzegorz K.:
Pytanie - czy dla mnie imię, nazwisko i PESEL umożliwią zidentyfikowanie konkretnej osoby?
Umieszczasz ten konkretny proces przetwarzania w niewłaściwym kontekście, co zaciemnia obraz sytuacji i utrudnia skupienie się na realnie występujących zagrożeniach.
Naprawdę? Skąd wiesz?
Trzeba by się raczej zastanowić, jakie ryzyka będą tu związane z możliwością przeczytania (zapamiętania? sfotografowania?) Peselu przez innego pacjenta tej konkretnej przychodni (lokalna społeczność), czy też jakie ryzyka będą płynąć z ewentualnego poznania Peselu przez przedstawiciela firmy farmaceutycznej wchodzącego do gabinetu lekarza.

Naprawdę? ABI ma się skupić na ryzykach??? W KOŃCU? Analizę ma zrobić, czy jednak nie?
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

I dla jasności. Żaden ABI - jako ABI ryzyk nie zrobi. Zagwozdka czemu...
Zrobi tylko ZAGROŻENIA. (to podpowiedź)
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Trzeba by się raczej zastanowić, jakie ryzyka będą tu związane z możliwością przeczytania (zapamiętania? sfotografowania?) Peselu przez innego pacjenta tej konkretnej przychodni (lokalna społeczność), czy też jakie ryzyka będą płynąć z ewentualnego poznania Peselu przez przedstawiciela firmy farmaceutycznej wchodzącego do gabinetu lekarza.

Temat: PESEL, imię i nazwisko pacjenta

Joanna M.:
Koperty są zanoszone do Poradni i leżą na biurku, więc obawiam się że pacjent może zerknąć na nieswoją kopertę. U ans są Poradnie Specjalistyczne więc tym bardziej ten fakt mnie niepokoi.

Masz już dwie sytuacje. Jedna, to praca rejestracji. Druga, prace poradni w gabinetach.
Kładzenie na biurko kopert, z danymi pacjentów, z danego dnia, w gabinecie (gdzie z treścią może zapoznać się wcześniejszy pacjent) prawidłowym nie jest - art.51. Dobrym nawykiem jest kładzenie na biurko lekarza, historii choroby pacjenta, po jego wejściu do gabinetu. Resztę kart przechowuje się w taki sposób, by pacjent nie miał do nich wglądu.
Grzegorz K.:
Bo doświadczony ABI nie powinien mieć problemu ze zrozumieniem niektórych rzeczy.

Doświadczony ABI nie zadaje takich pytań na forum. Joanna wyraźnie napisała:
Mam tylko pytanie do doświadczonych Abi....
z nadzieją, że doświadczony ABI pomoże jej zrozumieć lub podpowie jak podejść do przedstawionego zagadnienia.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

Doświadczony ABI przede wszystkim analizuje proces. I jak mi udowadnialiście w wielu wątkach - nie robi analizy. Z tym, że ryzyka - to na pewno. Ale analizę jak widać ma robić. Cieszę się.

Tylko jeszcze raz sprostuję. ABI nie robi analizy RYZYKA. Robi analizę zagrożeń, zgodnie z art 36 - ochrona ma być adekwatna do ZAGROŻEŃ, nie do RYZYKA. Do analizy RYZYKA nie ma narzędzi.

Teraz jak już mówimy o analizie zagrożeń. Joanno - dane osobowe, aby były bezpieczne (uznane za bezpieczne) muszą mieć spełnione wszystkie atrybuty łącznie:
1. Poufność
2. Integralność
3. Rozliczalność.

Jak widzę w tej dyskusji znów ABI skupiają się tylko i wyłącznie na poufności danych, gdzie mi akurat wydaje się, że w tym przypadku integralność danych powinna mieć kluczowe znaczenie. Napisałem o tym wyżej - lekarz MUSI mieć pewność, że otrzymał właściwą kartę. Osoba dostarczająca MUSI mieć pewność, że dostarczyła właściwą kartę. A PACJENT musi być pewien, że to on jest leczony.

Co do poufności - analiza krótka. Jeszcze raz. Czy mi - osobie bez dostępu do Waszego systemu informatycznego, Waszych zasobów tradycyjnych (kartotek) czy dostępu do bazy PESEL - zestawienie imię, nazwisko i PESEL dostarczą takich informacji, że zidentyfikuję konkretną osobę?

Drugie - czy informacja o tym, że ktoś idzie do lekarza konkretnej specjalizacji, naprawdę dostarcza informacji o stanie zdrowia, czy DOMYSŁÓW, ze może potrzebuję porady tego konkretnego lekarza? Ja np. byłem kiedyś na wizycie u kardiologa pogadać o stanie mojego Taty...

I czy może się zdarzyć, że jednego dnia przyjdzie do przychodni 3 Janów Nowaków i .. czy lekarz się może pomylić w karcie, jak nie ma PESEL czy nie?

Dane osobowe nie są zabawą w policjanta i złodzieja. Mają służyć konkretnej działalności. Więc rozpatrywać ich ochronę trzeba ze wszystkich stron - a co najmniej z punktu widzenia wszystkich wymienionych atrybutów bezpieczeństwa. I do dziś mnie zastanawia, dlaczego w UODO nie ma jeszcze dostępności - o to proszę wszystkich ABI którzy się u mnie szkolą lub szukają porady.

I na koniec. O tym, do jakie mam wrażenie. Mam wrażenie, że w tej jednostce na siłę próbuje się zaimplementować rozwiązanie z innego miejsca czy tez coś, co ktoś podpowiedział - o nr PESEL. Jako identyfikującym wprost i jednoznacznie osobę. Myślę, że jest czas na to, żeby głęboko przemyśleć rozwiązanie i jak się ABI pomylił, to niech poszuka rozwiązania jak utrzymać swój autorytet. Ale na pewno nie w sposób narzucający.

Proponuję zacząć od uświadomienia recepcji i lekarzom kwestii ochrony danych osobowych, powiedzieć co ma być zabezpieczone - i SKONSULTOWAĆ z nimi rozwiązanie. W sensie poprosić ich o podpowiedź, jak by widzieli to rozwiązanie, na koniec zrobić notatkę ze spotkania i w ten sposób uzyskać uzgodnienie rozwiązania. Innymi słowy wciągnąć osoby realizujące konkretny proces w jego zabezpieczenie.

Tylko znów pojawia się pytanie- czy jest zrobione mapowanie procesów w których dane osobowe uczestniczą, z zapisem narażenia na utratę atrybutów? (przepływy - zapis w dokumentacji).
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
lekarz MUSI mieć pewność, że otrzymał właściwą kartę.
Do tego pisanie Peselu na kopercie nie jest konieczne.
Czy mi - osobie bez dostępu do Waszego systemu informatycznego, Waszych zasobów tradycyjnych (kartotek) czy dostępu do bazy PESEL - zestawienie imię, nazwisko i PESEL dostarczą takich informacji, że zidentyfikuję konkretną osobę?
Pytanie bez znaczenia dla oceny tej sytuacji, bo przetwarzanie danych odbywa się w zupełnie innym kontekście.

Znaczenie ma natomiast, czy pacjent chce, by jego sąsiad:
a/ wiedział, że człowiek był u konkretnego lekarza,
b/ poznał jego Pesel.

Znaczenie ma, czy pacjent chce, by przedstawiciel firmy farmaceutycznej mógł poznać jego imię, nazwisko i Pesel.
Drugie - czy informacja o tym, że ktoś idzie do lekarza konkretnej specjalizacji, naprawdę dostarcza informacji o stanie zdrowia
Wystarczy, że dostarcza informacji, że człowiek danego dnia jest pacjentem lekarza konkretnej specjalizacji. To też są prywatne informacje o osobie. Mamy być rzecznikami prywatności, a nie prowadzić akademickie rozważania o niczym. Jeżeli przyjęta organizacja pracy może narazić na szwank czyjąś prywatność, naruszyć jej prawa podstawowe, to działamy, a nie na siłę staramy się udowodnić, że problemu nie ma.

Osobiście nie życzę sobie, żeby moje dane (nawet samo imię i nazwisko) leżały na biurku u lokalnego lekarza i żeby mogły je oglądać inne osoby. Nikomu nic do tego, kiedy i do jakiego lekarza pójdę.
Tomasz Fibingier

Tomasz Fibingier Inspektor Ochrony
Danych + IT

Temat: PESEL, imię i nazwisko pacjenta

Ja zawsze czytam z zainteresowaniem spory /jeśli mogę tak napisać przedstawicieli dwóch doktryn/szkól/.podejścia. Te bitwy są btw. bardzo pouczające :).

Tylko mam wrażenie że w dyskusji gubi się meritum spawy - bo czy najważniejsze jest, że lekarz/pielęgniarka nasmarował PESEL na kopercie.

Moim zdaniem trzeba rozpatrzyć jakie to niesie zagrożenia zapisanie tego peselu obok nazwiska.

Jeśli mam tą kopertę i podnoszone jest że pacjent może zerknąć i zobaczyć opis tej koperty, to zakładam że jest lekarz biurko i pacjent/interesant - sporne koperty lezą między nimi na biurku i pacjent może oglądać.
Jeśli powyższe się zgadza to może nie narzucać zmiany systemu oznaczania kopert, bo przecież ktoś uznał, że jest to zasadne /nie wypowiadam się nt. zasadności czy adekwatności tego konkretnego sposobu - nie mam większej styczności z tą branżą/ - tylko uświadomić personel i wytłumaczyć, że w tej sytuacji najlepiej by było odwrócić te koperty peselem do dołu i go nie widać, a lekarz by je podglądał tak jak pokerzysta patrzy w karty.

Innym zagrożeniem byłoby, że te dokumenty medyczne leżą w obszarze granicznym /na biurku/ i są w zasięgu lekarza oraz pacjenta. Myślę że należało by rozważyć czy takie ich przechowanie na biurku przez czas pracy poradni, nie stwarza innego zagrożenia - pacjent korzystając z chwilowej nieuwagi lekarza/personel może zwędzić tą kopertę lub zniszczyć - bo ma w zasięgu ręki.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Oczywiście. Karty lekarz powinien trzymać w biurku i wyjmować tylko tę dotyczącą aktualnego pacjenta. Tym bardziej, ze wszyscy wiemy, jak nieodpowiedzialni są lekarze. Potrafią wyjść do rejestracji, zostawiając szeroko otwarty gabinet z leżącymi na biurku dokumentami.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

No więc:
1. Dyskusja dotyczy NANOSZENIA PESEL I IMIENIA I NAZWISKA na kopertę, a nie zostawiania ich na biurku. Zostawianie na biurku - rozwiązanie: szuflada, najlepiej zamykana. Górna, żeby lekarz nie miał czynnika uciążliwego pracy.
2. To czy komuś się podoba, czy nie to chyba zgoda? A przesłanka przetwarzania danych w lecznicach to jest chyba inna.

Dyskusja natomiast dotyczy tego, czy na kopertach MA BYĆ PESEL obok nazwiska, czy ma go nie być.

Więc jeszcze raz - naruszeniem jakiego przepisu jest naniesienie numeru PESEL i imienia i nazwiska na kopertę?
I czy ten zestaw danych, będzie wpadał pod definicje danych osobowych?

Przypomnę tylko, że dostęp do bazy PESEL jest określony przepisami. I nawet jeśli firmy używają go do identyfikacji osoby, to aby postronna osoba zidentyfikowała kogokolwiek po tym zestawie danych musiałaby mieć dostęp albo do źródłowego pesla albo do zbiorów firmy, które używają go jako ID.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
Więc jeszcze raz - naruszeniem jakiego przepisu jest naniesienie numeru PESEL i imienia i nazwiska na kopertę?
I czy ten zestaw danych, będzie wpadał pod definicje danych osobowych?
Tak, dane dotyczą zidentyfikowanej (przez administratora danych) osoby fizycznej.
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: PESEL, imię i nazwisko pacjenta

Ale przecież ten lekarz i każda osoba z placówki ma dostęp i prawo do przetwarzania.

Czy dla innego pacjenta to są dane osobowe? Albo dla przedstawiciela medycznego.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Dane osobowe to nie jest pojęcie względne. Czy dla kogoś są, dla kogoś nie są...
Dane osobowe - wszelkie informacje dotyczące:
1/ zidentyfikowanej lub
2/ możliwej do zidentyfikowania
3/ osoby fizycznej.

Spełnione są warunki 1 oraz 3 - zatem tak, są to dane osobowe, które administrator danych ma chronić przed ujawnieniem osobom nieupoważnionym.
Tomasz Fibingier

Tomasz Fibingier Inspektor Ochrony
Danych + IT

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
Ale przecież ten lekarz i każda osoba z placówki ma dostęp i prawo do przetwarzania.

Czy dla innego pacjenta to są dane osobowe? Albo dla przedstawiciela medycznego.

To zależy - generalnie te informacje mogą nie być danymi osobowymi dla innego pacjenta tak długo, jak nie ma możliwości identyfikacji. Nie można też wykluczyć, że ktoś spojrzy na tą kopertę imię nazwisko pesel i stwierdzi że zna/identyfikuję tą osobę na podst. obserwacji bo np. sąsiad czy teściowa /a zna przypadkiem ich pesel i pasują do nazwiska/.
A w sytuacji gdy ktoś/np. pacjent/ przywłaszczy sobie kopertę i zajrzy do środka to prawdopodobnie w karcie jest adres tel itp. - wtedy już są.

Jak napisał Paweł dla ADO i jego upoważnionych są to dane osobowe i ma obowiązek ich ochrony. co łączy się z wcześniejszymi kwestiami /czy może być oraz czy zostawiamy na biurku.

Jeśli dokonano zabezpieczenia tych danych przed udostępnieniem /oznaczenia koperty oraz zawartości koperty/ to nie widzę przesłanek zakazu nanoszenia tego numeru pesel. Z tym, że mam wątpliwości czy dokonano tego zabezpieczenia.

ps. zrobiłem rachunek sumienia - moje wizyty u lekarzy które pamiętam, tylko w jednej z przychodni te koperty były zabezpieczone /w sensie nie leżały na biurku/ ale tylko w sytuacji gdy lekarz przyjmował w swoim gabinecie, w innym pomieszczeniu czy inny rodzaj świadczeń tego samego lekarza - już nie.
Paweł G.

Paweł G. IOD, podmiot danych

Temat: PESEL, imię i nazwisko pacjenta

Tomasz F.:
To zależy - generalnie te informacje mogą nie być danymi osobowymi dla innego pacjenta tak długo, jak nie ma możliwości identyfikacji.
Moim zdaniem rozpatrywanie danych osobowych jako pojęcia względnego może skutkować za rok brakiem notyfikacji naruszeń (art. 33 Rodo). Istnieje ryzyko, że ktoś uzna, że dla osoby postronnej te dane nie stanowiły danych osobowych i nie odnotuje naruszenia ich poufności (np. położenia ich na biurku przez lekarza).

Wg mnie to, czy informacje są danymi osobowymi, oceniamy zawsze i tylko z punktu widzenia administratora i położenie kart na biurku z możliwością przeczytania imienia i nazwiska pacjenta przez osobę postronną traktowałbym jednak jako naruszenie ochrony danych.

Temat: PESEL, imię i nazwisko pacjenta

Grzegorz K.:
Ale przecież ten lekarz i każda osoba z placówki ma dostęp i prawo do przetwarzania.
Teza śmiała i odważna lecz chybiona. Nie każda osoba z placówki ma dostęp i prawo do przetwarzania.

Czy dla innego pacjenta to są dane osobowe? Albo dla przedstawiciela medycznego.
To czy coś jest daną osobową podlega ocenie pod kątem możliwości ADO, a nie osób postronnych. To nie jest ważne czy pacjent/przedstawiciel medyczny może zidentyfikować innego pacjenta - ważny, że może to zrobić ADO.
Przyjęcie innego stanowiska prowadziłoby do absurdów (np. numer telefonu komórkowego nie byłby daną osobową gdyż nie wiele osób ma możliwość ustalenia abonenta, co by znaczyło, że telkom nie musi ich chronić, zgodnie z uodo).

ps.
Kogoś z dyskutujących obchodzi jeszcze udzielenie wyczerpującej odpowiedzi Autorce wątku?Ten post został edytowany przez Autora dnia 06.06.17 o godzinie 14:46

Następna dyskusja:

Imię+nazwisko+pesel+zarobek




Wyślij zaproszenie do