22 Jun 2018

ВНЕДРЯВАНЕ НА GDRP+ИНФОРМАЦИОННА СИГУРНОСТ

В ЛЕЧЕБНО ЗАВЕДЕНИЕ

 

Боян Т. Георгиев – доктор по Административно право и процес

Какво е необходимо за внедряването на GDPR в лечебно заведение?

  • Както знаете заведения, които са регистрирани по закона за лечебните заведения обработват и чувствителни данни по смисъла на Регламент (ЕС) 2016/679. Допълнителна причина, за да се подходи сериозно по това отношение. Внедряването на GDPR е екипна работа, в която задължително трябва да участват Юрист, IT – специалист(с достатъчна компетентност по информационна сигурност) и администратори, който изключително добре познава процесите и дейностите в това число и спецификата на медицинската практика по отношение на събиране, обработване и съхраняване на медицинската информация + документация. При нас процеса е разделен на три:
  • Първоначален анализ и одит на място
  • Изготвяне на документацията + внедряване на технически и организационни мерки.
  • Последващ анализ (проверка) също с одит на място
  • Юридическа помощ във връзка с прилагане на Регламент (ЕС) 2016/679, включително и правна помощ пред съда

Можем ли да разчитаме само на он-лайн продуктите, които са предлагат?

  • Категорично – НЕ, би било изключително несериозно. Тъй като там липсва индивидуалната преценка, която може да се види и оцени само на място. Няколко бланки не правят GDPR необходимо е по-задълбочено познаване на материята и процесите.

Кои са длъжни да назначат Защитник на личните данни (ДПО)?

Регламентът предвижда длъжностно лице по защита на личните данни да имат само определени категории администратори, а именно:

  • Публични органи или структури, освен когато става въпрос за съдилища при изпълнение на съдебните им функции;
  • Администратори, чиято дейност, поради своето естество, обхват и цели, изискват редовно и систематично мащабно наблюдение на субектите на данни;
  • Администратори, чиито основни   дейности се състоят в мащабно обработване на специалните категории данни и на лични данни, свързани с присъди и нарушения.

 

Необходимо ли е попълването на изрични декларации от страна на пациента?

  • Няма такава необходимост това е на законово основание Необходимо е да се направи преценка дали е законосъобразно и целесъобразно обработването на лични данни. Лечебните заведения обработва лични данни на пациентите на законово основание съгласно: Закона за здравето, Закона за лечебните заведения, включително и техните подзаконови нормативни уредби, най-вече различните Наредби, които са издадени на основание на тези два закона.
  • Във всички останали случаи събирането и изработването на лични данни трябва да е на основание единствено съгласието на лицето.

Кои са най-честите пропуски, да ги речем слаби места?

  • Определено хартията, както знаете в болниците се води изключително много хартиена документация. Истинско предизвикателство е да се създадат и внедрят алгоритми, които да гарантират съответствието. Точно по този проблем с колегите от JOYSTICK, работим по проект за дигитализация на медицинската документация, като техническата реализация е готова, но търсим нормативна издържаност за изцяло електронните документи.
  • Неструктурираните данни (word, excel, pdf файлове с лични данни) – по думи на колегите IT специалисти от екипа това е много сериозен проблем със сигурността. Практически няма как такива документи да се защитят в нормална Windows среда, за съжаление такива данни остават „живи“ дори, когато компютъра се повреди стига хард диска да е здрав.
  • Потребителите: трябва да се подобри потребителската култура, често явление са слаби пароли и използване на чужди профили в процеса на работа. Отваряне на лични пощи по време на работа, влизане в Facebook, теглене и инсталиране на разни приложение и програми.

Колко струва изпълнението на един такъв проект?

  • Ние работим съвместно с екипа на JOYSTICK (Smart Software Systems) и не съм пряко ангажиран с това, но нашите цени са публикувани и може да ги намерите на www.smart-ss.org в секцията GDPR.

Препоръки:

  • Подходете сериозно към проблема: Опредете служители или екип, които да отговарят за привеждане на дейността на лечебното заведение – администратор на лични данни, в съответствие с новите нормативни изисквания в областта на защитата на личните данни. Трябва да се познава: Регламент 2016/679 (Общ регламент относно защитата на данните), Закон за защита на личните данни (ЗЗЛД) и подзаконовите актове по прилагането му, ръководствата и насоките на Работната група по чл. 29 (след 25.05.2018 г. – на Европейския комитет по защита на данните) и на Комисията за защита на личните данни (КЗЛД). Създаване и редовно актуализиране на вътрешни регистри на дейностите по обработване на лични данни в лечебното заведение.
  • Наемете външна фирма, за да има обективност
  • Много е важно да се изготви:

– обективна оценка на риска на основата на: 1. естеството, обхвата, контекста и целите на обработването; 2. възможните рискове за правата и свободите на физическите лица и тяхната вероятност и тежест; 3. последиците за правата и свободите на физическите лица.;

– вътрешни инструкции/правила/процедури/ – политика за защита на личните данни в съответното лечебно заведение.