Szacowanie ryzyka w jednostkach medycznych.
Szacowanie ryzyka w jednostkach medycznych, ocena ryzyka naruszenia praw i wolności, ocena stopnia bezpieczeństwa na gruncie RODO oraz analiz ryzyka KRI. Brzmi znajomo prawda. Jednak należy sobie uświadomić fakt, iż są to różne zadania, jakie obciążają ADO funkcjonującego w obszarze medycyny.
Należy dostrzegać różnice.
Wyliczanka 1... 2... 3...
- Ocena ryzyka naruszenia praw i wolności na gruncie RODO (art. 32 ust. 1 RODO)
- Ocena stopnia bezpieczeństwa na gruncie RODO (art. 32 ust. 2 RODO)
- Szacowanie ryzyka zagrożeń oraz zarządzania tym ryzykiem (§ 1 ust. 5 pkt 1 Rozporządzenia RDM)
- Analiza ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy (§ 20 ust. 2 pkt. 3 KRI)
Rozporządzenie RODO.
Ocena ryzyka narusznia praw i wolności osób fizycznych.
„(…) Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)”.
Ocena stobnia bezpieczeństwa.
Zgodnie z art. 32 ust. 2 RODO cyt.:
„(…) Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (…)”.
Rozporządzenie RDM.
Zgodnie z § 1 ust. 5 pkt 1 Rozporządzenia Ministra Zdrowia z dnia 06 kwietnia 2020r., w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania [dalej Rozporządzenie RDM] cyt.:
„(…) Zabezpieczenie dokumentacji wymaga w szczególności: (…) systematycznego szacowania ryzyka zagrożeń oraz zarządzania tym ryzykiem (…)”.
Krajowe Ramy Interoperacyjności.
„(…) Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność (…)”.
Zgodnie z § 20 ust. 2 pkt. 3 KRI
„(…) Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: (…) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy (…)”.