Szacowanie ryzyka w jednostkach medycznych

Szacowanie ryzyka w jednostkach medycznych.

Szacowanie ryzyka w jednostkach medycznych, ocena ryzyka naruszenia praw i wolności, ocena stopnia bezpieczeństwa na gruncie RODO oraz analiz ryzyka KRI. Brzmi znajomo prawda. Jednak należy sobie uświadomić fakt, iż są to różne zadania, jakie obciążają ADO funkcjonującego w obszarze medycyny.

Należy dostrzegać różnice.

Różne zakresy zadań i danych. Należy dostrzec, iż realizacja ww. obowiązków realizowana jest na gruncie odrębnych przepisów prawa, w obszarze odrębnie funkcjonujących definicji na gruncie każdego z aktów autonomicznie, w oparciu o różne zakresy danych w tym danych osobowych, w odniesieniu do różnego rodzaju przetwarzania, w tym nie tylko przetwarzania w rozumieniu RODO, z uwzględnieniem różnie zdefiniowanych ryzyk, zagrożeń.

Wyliczanka 1... 2... 3...

Ocena ryzyka naruszenia praw i wolności na gruncie RODO (art. 32 ust. 1 RODO)
Ocena stopnia bezpieczeństwa na gruncie RODO (art. 32 ust. 2 RODO)
Szacowanie ryzyka zagrożeń oraz zarządzania tym ryzykiem (§ 1 ust. 5 pkt 1 Rozporządzenia RDM)
Analiza ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy (§ 20 ust. 2 pkt. 3 KRI)

Rozporządzenie RODO.

Ocena ryzyka narusznia praw i wolności osób fizycznych.

Zgodnie z art. 32 ust. 1 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE [dalej RODO] cyt.:

„(…) Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (…)”.

Różne zakresy zadań i danych. Oceniasz ryzyko naruszenia praw lub wolności osób fizycznych, uwzględniając różny zakres prawdopodobieństwa i różne stopnie wagi zagrożeń przy uwzględnieniu ocenionego już stopnia bezpieczeństwa zastosowanych rozwiązań.

Ocena stobnia bezpieczeństwa.

Zgodnie z art. 32 ust. 2 RODO cyt.:

„(…) Oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia się w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (…)”.

Różne zakresy zadań i danych. Oceniasz stopień bezpieczeństwa zastosowanych rozwiązań, tak aby stwierdzić, czy są one odpowiednie względem wskazanych ryzyk i zagrożeń określonych na gruncie RODO.

Rozporządzenie RDM.

Zgodnie z § 1 ust. 5 pkt 1 Rozporządzenia Ministra Zdrowia z dnia 06 kwietnia 2020r., w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania [dalej Rozporządzenie RDM] cyt.:

„(…) Zabezpieczenie dokumentacji wymaga w szczególności: (…) systematycznego szacowania ryzyka zagrożeń oraz zarządzania tym ryzykiem (…)”.

Krajowe Ramy Interoperacyjności.

Zgodnie z § 20 ust. 1. Rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r., w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych [dalej KRI] cyt.:

„(…) Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność (…)”.

Zgodnie z § 20 ust. 2 pkt. 3 KRI

„(…) Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań: (…) przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy (…)”.

Różne zakresy zadań i danych. Okresowo analizujesz ryzyko wystąpienia utraty integralności, dostępności, poufności informacji.