Proste to RODO ochrona danych w medycynie

Szacowanie ryzyka, ocena ryzyka, analiza ryzyka

Szacowanie ryzyka w jednostkach medycznych

Szacowanie ryzyka w jednostkach medycznych.

Szacowanie ryzyka w jednostkach medycznych, ocena ryzyka naruszenia praw i wolności, ocena stopnia bezpieczeństwa na gruncie RODO oraz analiz ryzyka KRI. Brzmi znajomo prawda. Jednak należy sobie uświadomić fakt, iż są to różne zadania, jakie obciążają ADO funkcjonującego w obszarze medycyny.

Należy dostrzegać różnice.

Wyliczanka 1... 2... 3...

  1. Ocena ryzyka naruszenia praw i wolności na gruncie RODO (art. 32 ust. 1 RODO)
  2. Ocena stopnia bezpieczeństwa na gruncie RODO (art. 32 ust. 2 RODO)
  3. Szacowanie ryzyka zagrożeń oraz zarządzania tym ryzykiem (§ 1 ust. 5 pkt 1 Rozporządzenia RDM)
  4. Analiza ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy (§ 20 ust. 2 pkt. 3 KRI)

Rozporządzenie RODO.

Ocena ryzyka narusznia praw i wolności osób fizycznych.

„(…) Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznychróżnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)”.

Ocena stobnia bezpieczeństwa.

Zgodnie z art. 32 ust. 2 RODO cyt.:

„(…) Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (…)”.

Rozporządzenie RDM.

„(…) Zabezpieczenie dokumentacji wymaga w szczególności: (…) systematycznego szacowania ryzyka zagrożeń oraz zarządzania tym ryzykiem (…)”.

Krajowe Ramy Interoperacyjności.

„(…) Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność (…)”.

Zgodnie z § 20 ust. 2 pkt. 3 KRI

„(…) Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: (…) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy (…)”.