Grzegorz
Krzemiński
600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...
Temat: PESEL, imię i nazwisko pacjenta
Tomasz F.:
Grzegorz K.:
Ale przecież ten lekarz i każda osoba z placówki ma dostęp i prawo do przetwarzania.
Czy dla innego pacjenta to są dane osobowe? Albo dla przedstawiciela medycznego.
To zależy - generalnie te informacje mogą nie być danymi osobowymi dla innego pacjenta tak długo, jak nie ma możliwości identyfikacji. Nie można też wykluczyć, że ktoś spojrzy na tą kopertę imię nazwisko pesel i stwierdzi że zna/identyfikuję tą osobę na podst. obserwacji bo np. sąsiad czy teściowa /a zna przypadkiem ich pesel i pasują do nazwiska/.
Zaczniemy wydawać maski na wejściu? Tak, żeby nie zidentyfikować siedzących przed gabinetem? ;-) Wiem, przerysowuję, ale celowo.
A w sytuacji gdy ktoś/np. pacjent/ przywłaszczy sobie kopertę i zajrzy do środka to prawdopodobnie w karcie jest adres tel itp. - wtedy już są.
Jak to było? Ludwiku D i psie Sabo nie idźcie tą drogą. Po pierwsze pacjent popełni przestępstwo. Bo to nie dla niego. Warto tu o chwilę zastanowienia - czy zostawiasz swoje pióro, długopis, jakieś inne rzeczy na biurku i nagle ktoś wchodzi i sobie to zabiera?
Dlatego z tym ostrożnie. Ogólnie co do wymagań prawnych przypomnę "obszar przetwarzania". I restrykcje.
Jak napisał Paweł dla ADO i jego upoważnionych są to dane osobowe i ma obowiązek ich ochrony. co łączy się z wcześniejszymi kwestiami /czy może być oraz czy zostawiamy na biurku.
Ale nadal - w tym wątku nie chodzi o zostawianie na biurku, a o naniesienie numeru PESEL i imienia i nazwiska.
I druga rzecz - dyskusje w temacie - dane czy nie, to też zupełnie odrębny wątek. Innymi słowy - czy ja jako pacjent, w ten sposób stałem się przestępcą? ;-) Bo skoro to dane osobowe, do których nie przetwarzania nie mam żadnych uprawnień, a wszedłem w ich posiadanie, to co?
To tak pod rozwagę, bo temat wcale nie jest prosty i jednoznaczny. Może nagle okazać się, że 90% społeczeństwa powinno mieć postawione zarzuty. Np. ci, co sprawdzają wycieki z baz danych ;-)
A wracając do wątku. Pamiętając nadal, że nie o to chodzi. Krótka analiza, powtórzona po raz kolejny. Czy PESEL i imię i nazwisko - samo, bez innych rzeczy umożliwi mi identyfikację osoby?
I rozpatrując:
- ja jako pacjent, czy staję się przestępcą? Bo wszedłem w posiadanie danych osobowych?
- lekarz stał się przestępcą? udostępnił mi dane
- żadne z powyższych?
Jeśli dokonano zabezpieczenia tych danych przed udostępnieniem /oznaczenia koperty oraz zawartości koperty/ to nie widzę przesłanek zakazu nanoszenia tego numeru pesel. Z tym, że mam wątpliwości czy dokonano tego zabezpieczenia.
I tu się zgadzamy. Tego dotyczyło pytanie i jak już wyjaśniłem. Przypuszczam, ze ABI (proszę sprostować jak źle), za namową jednego lub kilku "doktrynistów" bez zrozumienia istoty uznał, że PESEL to dane osobowe umożliwiające identyfikację osoby każdemu, w tym osobie postronnej. I teraz nieco ciężko się wywinąć.
Imię, nazwisko i PESEL moim zdaniem MOGĄ być nanoszone na kopertę w celu uzyskania integralności danych. W tym w szczególności w celu właściwej dystrybucji kopert z kartami. Tak po polsku pisząc, jako ABI wolałbym aby dystrybucja szła na podstawie jednoznacznego oznaczenia koperty (właśnie np. PESEL), niż za pomocą sprawdzania wyciągając konkretna kartę, czy dokumentację medyczną i ryzykować utratą "świstka".
Warunek, dobry opis procesu. Bo nadal jak widzę doktoryzujemy się bez krótkiego nawet opisu.
Dla mnie wygląda tak:
1. rejestracja pacjenta (pacjent składa zapotrzebowanie na usługę).
Zagrożenia:
Utrata poufności - jak za blisko za nim ktoś stoi (zabezpieczenie magiczne żółte linie i info, że prosimy pojedynczo).
Utrata integralności - źle zrozumiane imię i nazwisko - wyciągnięta karta innego pacjenta. Zabezpieczenie... PESEL z dokumentu...
utrata rozliczalności: na kopercie podpis lub inne oznaczenie recepcjonistki czy jak to się nazywa.
Może warto w ten sposób opisać i wiele się wyjaśni? Polecam Xmind lub MindManager lub inne do mapowania, które mają wzorce "timeline". I na przejściach oznaczyć które atrybuty mogą być naruszone. Ja sobie na kartce zrobiłem ten proces jak go widziałem w przychodni i wychodzi mi, że PESEL jest jednym z lepszych zabezpieczeń dla pacjenta. Dorobić tylko zabezpieczenie przez zaborem, utratą i już. I dla świętego spokoju też przez odczytaniem przez krwiożerczych przedstawicieli i innych. Akurat tych innych to świetny przykład kontekstu zewnętrznego - analiza PESTLE, czynnik S - społecznościowy - wzorce kariery. Lubimy jako naród obrabiać innym d... więc ty zagrożenie z kategorii makro idealnie pomoże ;-)
No ale to ... analiza zagrożeń.
ps. zrobiłem rachunek sumienia - moje wizyty u lekarzy które pamiętam, tylko w jednej z przychodni te koperty były zabezpieczone /w sensie nie leżały na biurku/ ale tylko w sytuacji gdy lekarz przyjmował w swoim gabinecie, w innym pomieszczeniu czy inny rodzaj świadczeń tego samego lekarza - już nie.
Security awareness? Tylko na rany, nie w tak idiotyczny sposób jak to często się w Polsce robi. Nie chodzi o nastraszenie, zagrożenie karami i inne takie, bo mam wrażenie, że wielu z tych straszących nawet nie było przed obliczem śledczego (niezależnie czy proroka, czy policjanta), więc są po prostu niewiarygodni. Pominę już kwestię całkowitego braku wiedzy o procedurze karnej, co "uniewiarygadnia" ich dodatkowo.
To ma być świadomość...