GoldenLine
Zaloguj się
Andrzej I

Andrzej I Inspektor Ochrony
Danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Witam.
Mam następujący problem do rozwiązania. Mianowicie mój szpital zobowiązany jest w ramach sieci szpitali do udzielania całodobowej i nocnej opieki zdrowotnej. Jednak w związku z tym że jesteśmy podmiotem monoprofilowym nie mamy np internistów. W związku z tym planowane jest podpisanie porozumienia z sąsiednim szpitalem, który jako podwykonawca świadczyłby usługi nocnej opieki. Jednak usługi te muszą być rozliczane przez nasz szpital, w związku z czym planowane jest udostępnienie naszego systemu informatycznego, z którego będą realizowane świadczenia i wysyłane rozliczenia do NFZ (za pośrednictwem bezpiecznego łącza lekarz podwykonawcy będzie pracował na naszym systemie informatycznym). Nie ma innej technicznej możliwości rozliczania świadczeń. W celu wyszukania pacjenta wyszczególnieni pracownicy podwykonawcy będą pracowali na naszej infrastrukturze informatycznej, będą mieli dostęp do naszej bazy pacjentów (tylko dane osobowe niezbędne do wyszukania a dane szersze tylko pacjentów zaopatrywanych), jednakże dokumentacja papierowa będzie własnością podwykonawcy. Czy w związku z tym że udostępniamy system medyczny (my zakładamy konta użytkowników), dobrym rozwiązaniem będzie w takim przypadku podpisanie umowy powierzenia czy może wystawienie upoważnień dla pracowników podwykonawcy i wiążący się z tym szereg innych czynności?
Pozdrawiam
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Odpowiedź nie jest prosta. Musicie ustalić, co tak naprawdę będzie się działo w tym oprogramowaniu, kto i w jakim zakresie będzie ADO. Może relacje ADO-procesor, a może dwóch współadministratorów.

Trzeba by znać architekturę systemu, schematy przepływów danych, diagramy przypadków użycia, ustalić aktorów i terminatorów. Bez tego trudno coś wyrokować.
Link do wypowiedziLink
Andrzej I

Andrzej I Inspektor Ochrony
Danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Dostęp do systemu będzie w trybie terminalowym (komputer u podwykonawcy będzie miał możliwość wyłącznie włączenia naszego systemu, żadnych wordów, excelów itp, baza danych jest u nas i rozliczenia od nas będą szły). Komputer ten nie będzie w żaden sposób połączony z systemem informatycznym podwykonawcy). Korekty danych w systemie przez pracowników podwykonawcy (rejestracja pacjentów, wprowadzanie opisów dgn, wywiadu, kodów itd) będą mogły być wykonywane jedynie na danych pacjentów opieki nocnej. Praca będzie cały czas na naszej bazie pacjentów, która fizycznie znajduje się na naszych serwerach.
Generalnie administratorem tych danych powinien być podwykonawca, jednak problem w tym że jego pracownicy będą pracować na naszym systemie informatycznym (muszą by rozliczyć się).
Czy dopuszczalnym rozwiązaniem jest aby ADO danych w systemie informatycznym byliśmy my (a więc musiałbym wystawić upoważnienie do pracy w systemie informatycznym i przetwarzania danych w tym systemie, podstawą wystawienia upoważnienia byłoby spisane porozumienie pomiędzy szpitalami) a ADO wszelkiej dokumentacji papierowej wytworzonej z systemu informatycznego oraz wystawionej odręcznie byłby podwykonawca na mocy umowy porozumienia między szpitalami?
Czyli zgodnie z powyższym rozwiązaniem byłoby 2 ADO (jeden od systemu informatycznego a drugi od dokumentacji papierowej) - czy takie rozwiązanie jest dopuszczalne?
Link do wypowiedziLink
Andrzej I

Andrzej I Inspektor Ochrony
Danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Dodam że dokumentacja wychodząca od podwykonawcy (np karty dla pacjentów) będzie oczywiście opatrzona danymi podwykonawcy i ciąży na nim obowiązek przechowywania tej dokumentacji. Naszym obowiązkiem jest jedynie rozliczenie się z NFZ poprzez system informatyczny bo to my musimy się rozliczyć a nie podwykonawca.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Andrzej I.:
Czyli zgodnie z powyższym rozwiązaniem byłoby 2 ADO (jeden od systemu informatycznego a drugi od dokumentacji papierowej)
Po kolei, małymi kroczkami.

Moja wstępna ocena, że dwóch ADO, ale na pewno nie możesz myśleć w tym kierunku, że jeden od systemu IT, a drugi od dokumentacji papierowej.

Skoro dwóch ADO, to każdy realizuje własne cele przetwarzania. Zdefiniuj te cele i wskaż na nie podstawę prawną - dla każdego ADO z osobna.

PS. Systemem IT i jego funkcjonalnościami zajmiesz się na samym końcu. To tylko technika, która musi być dopasowana do stanu prawnego i rzeczywistych potrzeb człowieka.Ten post został edytowany przez Autora dnia 11.09.17 o godzinie 15:05
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Kolejny krok.

Skoro dwóch ADO, to znaczy, że po stronie Twojego ADO dochodzi do udostępnienia danych odbiorcy, a tamten ADO pozyskuje dane ze źródeł innych niż osoba, której dane dotyczą.

Zarówno na udostępnienie danych, jak i ich pozyskanie obaj ADO muszą znaleźć przesłankę legalizującą spośród wymienionych w art. 27 ust. 2 uodo.

Po stronie udostępniającego leży spełnienie obowiązku informacyjnego, o którym mowa w art. 24 uodo, po stronie odbiorcy obowiązek, o którym mowa w art. 25 uodo. Można się też pisemnie umówić, który ADO spełnia obowiązek informacyjny w imieniu obu podmiotów, kiedy i w jaki sposób.
Link do wypowiedziLink
Andrzej I

Andrzej I Inspektor Ochrony
Danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Więc celem przetwarzania przez podwykonawce jest świadczenie usług medycznych a dane zbierane są na podstawie ustawy o prawach pacjenta i Rzeczniku praw pacjenta oraz na podstawie ustawy o systemie informacji w ochronie zdrowia. Podstawa prawna przetwarzania art 27 ust 2 pkt 7 i 2 uODO . Naszym celem jest rozliczenie świadczen, więc ustawa o świadczeniach finansowanych ze środków publicznych. Nasza podstawa prawna to też ten sam art 27 ust 2 pkt 7 i 2. Tamten ADO będzie rowniez pozyskiwać dane od pacjenta bo dopiero jak będzie konieczność udzielenia świadczenia pracownik podwykonawcy będzie rejestrował pacjenta w systemie i wtedy go będzie wyszukiwal w naszej bazie lub dopisywał nowego pacjenta. Myślę że obowiązek informacyjny powinien spełnic podwykonawca bo on ma stycznosc z pacjentem (do podpisania odpowiednia klauzula).

U nas w szpitalu obowiazują klauzule informacyjne o ODO, gdzie pisze że udostępniany podmiotom upoważnionym na podstawie przepisów.

Ważny w tym wszystkim jest również art 26 ust 3 pkt 1 ustawy o prawach pacjenta, mówiący że mozna przekazywać dokumentacje medyczna innym podmiotom w celu zachowania ciągłości leczenia.
Zgody na przetwarzanie danych jest również niepotrzebna - podstawa art 23 ust 1 pkt 2 u ODO.
Link do wypowiedziLink
Andrzej I

Andrzej I Inspektor Ochrony
Danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

A który administrator i w jakim zakresie będzie odpowiedzialny za zabezpieczenie danych i wdrożenie środków technicznych i organizacyjnych o których mowa w rozdziale V ustawy oraz w rozporządzeniu z 2004r.? Skoro my potrzebujemy dane wyłącznie z systemu informatycznego, celem rozliczenia świadczeń to wydaje mi się że można by wpisać że za zabezpieczenie systemu informatycznego służącego do przetwarzania danych odpowiadamy my (tym bardziej że to będzie wyłącznie terminal), natomiast w związku z tym że cała obsługa pacjenta będzie sie odbywała na terenie podwykonawcy odpowiedzialność za zabezpieczenie pomieszczenia, dokumentacji spoczywałaby na barkach podwykonawcy.
Czy takie elementy można by wpisać w umowie współpracy?
Co z kwestiami dotyczącymi upoważnień dla personelu, oświadczeń o poufności - czy pod upoważnieniami powinni się podpisać oboje administratorzy, czy jednak należałoby wystawić 2 upoważnienia - jedno w zakresie systemu informatycznego (podpisane przez nas) a drugie w zakresie dostępu do dokumentacji papierowej (podpisane przez tamtego administratora)?
Temat jest skomplikowany.
Link do wypowiedziLink
Przemysław Siembida

Przemysław Siembida Pełnomocnik Zarządu
ds. Telekomunikacji,
Administrator B...

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Hej, rzuć okiem na linka - może będzie pomocny.
http://www.giodo.gov.pl/pl/1520057/3595
Link do wypowiedziLink
Andrzej I

Andrzej I Inspektor Ochrony
Danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Dziękuje za linka. Super opracowanie.Niektóre przykłady są podobne do mojej sytuacji Przyda się.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Ja bym tu jednak proponował rozważyć umowę powierzenia.

Po pierwsze rozwiązuje to zasadniczy problem posiadania podstawy prawnej dla przetwarzania przez szpital wykonujący dla Was opieką całodobową danych rozliczeniowych, które Wy będziecie wykazywać do NFZ.
Generalnie sam przy różnych umowach/porozumieniach chętnie wykorzystuję art 26 ust 3 pkt 1) UPP czyli prawo udostępniania dokumentacji medycznej w celu zapewniania ciągłości medycznej, ale w tym wypadku mam wątpliwości czy umożliwienie dostępu do systemu informatycznego po to żeby podwykonawca wprowadzał dane nie służące stricte do wykonywania świadczeń zdrowotnych , a jedynie do rozliczeń to "zapewnianie ciągłości". Wiem, że rozliczanie jest powiązane ze świadczeniem usług, ale dla mnie taka podstawa jest śliska. Może jakiś prawnik by to wybronił, jeżeli jest taki na tym forum - to prosimy o opinię...
Póki co, jak dla mnie powierzenie wydaje się być lepszym i klarowniejszym rozwiązaniem. W umowie powierzenia wpiszecie cel i zakres powierzenia i wszystko jest jasne.

Po drugie - powierzenie rozwiązuje różne dylematy techniczno-organizacyjne, o których piszesz wyżej.
Procesor będzie odpowiedzialny za wdrożenie odpowiednich zabezpieczeń zgodnie z rozporządzeniem MSWiA z 2004r., w szczególności:
- za przeszkolenie swojego personelu i zobowiązanie do ochrony danych,
- za wydanie upoważnień (także do przetwarzania danych w Waszym systemie informatycznym),
- za właściwą ochronę pomieszczeń z których będą korzystać,
- za właściwa ochronę dostępu fizycznego do terminali oraz za ochronę danych umożliwiających uzyskanie dostęp do Waszego systemu informatycznego;
itd. itp.
Link do wypowiedziLink
Andrzej I

Andrzej I Inspektor Ochrony
Danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Ja bym tu jednak proponował rozważyć umowę powierzenia.

Rozważałem to, ale widzę tu dwa problemy:
1. Przekazanie danych do innego podmiotu leczniczego następuje na podstawie art 26 ust 3 pkt 1 UPP, podmiot udzielający świadczeń jest zobowiązany prowadzić dokumentacji i ją przechowywać we własnym zakresie (art 24.1, art 29 UPP). Art 24.7 mówi o przekazaniu dokumentacji podmiotowi powierzającemu po zakończeniu umowy, co gryzie sie z art 29 - nie jestem prawnikiem dlatego to zagadnienie przekazałem prawnikowi mojego szpitala, który utwierdził mnie w tym że prawidłowo to zinterpretowałem tzn że przekazując dane do innego podmiotu leczniczego nie należy podpisywać umowy powierzenia, ponieważ ten podmiot staje się administratorem przekazanych danych (co jest bezpieczniejsze dla przekazującego bo cała odpowiedzialność spływa na odbierającego a w umowie powierzenia to jednak przekazujący nadal jest administratorem) a podstawę prawną przekazania mamy - art 26.3.1 UPP.
2. Drugi problem, chyba nawet ważniejszy, wynika z funkcjonalności systemu informatycznego, gdyż dane udostępnione drugiemu podmiotowi obejmowałyby całą bazę (celem wyszukania pacjenta) a nie tylko dane osób którym podwykonawca będzie świadczył usługę.
ale w tym wypadku mam wątpliwości czy umożliwienie dostępu do systemu informatycznego po to żeby podwykonawca wprowadzał dane nie służące stricte do wykonywania świadczeń zdrowotnych , a jedynie do rozliczeń to "zapewnianie ciągłości".

to my będziemy rozliczać a podwykonawca wykonywać

Myślę że jeszcze poczekam na dokładne wytyczne NFZ jak ma wyglądać sprawozdawczość
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Jeszcze jedno pytanie, które może tu dużo wyjaśnić.
Dokumentacja medyczna pacjentów przyjmowanych w ramach opieki całodobowej będzie prowadzona pod jakim szyldem?
W nagłówku będą dane Waszego szpitala, czy podwykonawcy?Ten post został edytowany przez Autora dnia 13.09.17 o godzinie 14:42
Link do wypowiedziLink
Andrzej I

Andrzej I Inspektor Ochrony
Danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Marek P.:
Jeszcze jedno pytanie, które może tu dużo wyjaśnić.
Dokumentacja medyczna pacjentów przyjmowanych w ramach opieki całodobowej będzie prowadzona pod jakim szyldem?
W nagłówku będą dane Waszego szpitala, czy podwykonawcy?

To jest bardzo dobre pytanie i bardzo istotna kwestia - niestety nie znamy jeszcze odpowiedzi (wytyczne NFZ). Jeżeli będzie tylko nagłówek podwykonawcy to sprawa jest prostsza, natomiast jeżeli nagłówki obydwu podmiotów to kwestia jest bardziej złożona.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Dla mnie z opisu wynika, że oba podmioty realizują własne cele przetwarzania.

Po stronie Twojej organizacji udostępnienie danych jest niezbędne do realizacji waszych celów przetwarzania, w tym dopełnienia obowiązków wymaganych przepisami prawa.

Po stronie kontrahenta pozyskanie danych osobowych jest niezbędne do realizacji celów kontrahenta, w tym dopełnienia obowiązków wymaganych przepisami prawa.

Organizacyjnie robiłbym to tak, że jako administrator bazy danych dopuszczałbym do systemu pracowników kontrahenta na podstawie wniosku osoby prawidłowo umocowanej do reprezentowania odbiorcy danych - pisemnego, złożonego przez ePUAP. lub za pośrednictwem innego systemu teleinformatycznego gwarantującego niezaprzeczalność. Osobom, których dotyczy wniosek, nadawałbym upoważnienia do przetwarzania danych osobowych w zakresie pozyskiwania danych z systemu informatycznego o nazwie X i wpisywałbym je do swojej ewidencji osób upoważnionych.

Przemyślałbym działanie wyszukiwarki. Na pewno nie dostęp do całej bazy, na pewno wyłączone opcje autouzupełniania. Na pewno też podanie samego numeru Pesel pacjenta uznałbym za niewystarczające do wyszukania osoby w bazie.

Na pewno oświadczenie pracownika kontrahenta, że pozyskanie danych jest legalne dla tego konkretnego przypadku i niezbędne do realizacji konkretnego celu realizowanego przez odbiorcę danych wobec osoby, której dane dotyczą.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Paweł G.:
Dla mnie z opisu wynika, że oba podmioty realizują własne cele przetwarzania.
(...)
Po stronie kontrahenta pozyskanie danych osobowych jest niezbędne do realizacji celów kontrahenta, w tym dopełnienia obowiązków wymaganych przepisami prawa.

Co jest zasadniczym celem całej akcji?
Głównym celem działań jest spełnienie przez szpital zlecający wymogu świadczenia nocnej i świątecznej opieki zdrowotnej zdrowotnej.

Kontrahent nie pozyskuje danych osobnych pacjentów, bo po prostu taką działalność postanowił prowadzić. Robi to ponieważ zobowiązał się do świadczenia tych usług na podstawie umowy ze szpitalem zlecającym, a więc realizuje cel postawiony przez zlecającego...

Będzie to szczególnie jasne jeżeli dokumenty medyczne wystawiane przez kontrahenta będą miały w nagłówku nazwę zlecającego. Wiem, że tak ma być w przypadku szpitala, w którym ja pracuję (też będziemy zlecać opiekę nocną i świąteczną podwykonawcy). W przypadku szpitala, w którym pracuje Andrzej chyba jeszcze nie wiadomo, ale nawet jeżeli opieka (kontrahent) będzie wystawiała dokumenty z nagłówkami własnymi, to rozważałbym powierzenie co najmniej w zakresie dostępu do systemu informatycznego szpitala w celu wprowadzania danych rozliczeniowych.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Marek P.:
zobowiązał się do świadczenia tych usług na podstawie umowy ze szpitalem zlecającym, a więc realizuje cel postawiony przez zlecającego...
Nie tylko. Realizuje też własne cele przetwarzania, choćby w zakresie prowadzenia własnej dokumentacji medycznej.

edit://
Oczywiście rekomenduję pisemne porozumienie między oboma administratorami.Ten post został edytowany przez Autora dnia 15.09.17 o godzinie 12:47
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Paweł G.:
Nie tylko. Realizuje też własne cele przetwarzania, choćby w zakresie prowadzenia własnej dokumentacji medycznej.

Prowadzi dokumentację medyczną na własny użytek?
W innym celu niż realizacja opieki nocnej i świątecznej zleconej przez szpital Andrzeja?
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Marek P.:
Nie tylko. Realizuje też własne cele przetwarzania, choćby w zakresie prowadzenia własnej dokumentacji medycznej.
Prowadzi dokumentację medyczną na własny użytek?
Tak. Prowadzi własną dokumentację medyczną zgodnie z przepisami prawa.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: Powierzenie danych i dostępu do systemu informatycznego...

Paweł G.:
Tak. Prowadzi własną dokumentację medyczną zgodnie z przepisami prawa.

Prowadzi własną dokumentację medyczną zgodnie z przepisami prawa
w związku z realizacją celów wynikających z umowy na świadczenie usług zawartej ze zleceniodawcą, czy bez związku?
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Powierzenie danych przez Sz...




Wyślij zaproszenie do
Anuluj