Dokumentacja medyczna wynoszona poza jednostkę

Dokumentacja medyczna wynoszona poza jednostkę, to zagadnienie, z którym ADO w medycynie spotykają się każdego dnia. Problematyka zorganizowania przetwarzania danych poza obszarem jednostki to zagadnienie rozbudowane i zawierające w sobie szereg aspektów. Aspektów które należy odpowiednio rozwinąć i opisać, tak aby zasady, jakie powstaną były czytelne i możliwe do stosowania przez personel.

Rozporządzenie RODO Zgodnie z art. 4 pkt. 2) Rozporządzenia RODO cyt.: “(…) przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie (…)”.

Innymi słowy personel realizując swoje zadania, dla poprawności ich wykonania, dokonuje faktycznie przetwarzania danych osobowych. Danych osobowych, które mogą być zapisane w sposób tradycyjny np. na papierze, albo mogą być utrwalone w postaci elektronicznej np. na przenośnych komputerach, czy nośnikach danych. Sytuację komplikuje jednak fakt, iż część zadań, jakie realizuje personel, a które wiążą się z koniecznością przetwarzania danych, realizowane muszą być poza obszarem Jednostki. Należy uświadomić sobie jednak wyjątkowość takiej sytuacji, jak i nowe zagrożenia, jakie one niosą dla bezpieczeństwa przetwarzanych danych. Przetwarzając dane poza obszarem jednostki bowiem pojawiają nam się nowe zewnętrzne zagrożenia, które nie istnieją teoretycznie w sytuacji, kiedy personel pracuje na miejscu w Jednostce. Oznacza to, iż wyjątkowa sytuacja, generująca dodatkowe ryzyka, wymaga od pracowników zwiększenia swojej czujności przy wykonywaniu powierzonych im zadań, jak i wymaga od nich stosowania szczególnych procedur bezpieczeństwa.

Co należy przewidzieć ...

Dokumentacja medyczna wynoszona poza jednostkę to sytuacja, w której ADO musi zdawać sobie sprawę z nowego rodzaju ryzyk, jakie musi minimalizować. Praktyka życia codziennego bowiem pokazuje nam, iż pozostawienie dokumentacji w autobusie, czy na parkingu, albo też jej zgubienie, czy nawet kradzież – to zdarzenia, które trzeba uwzględnić planując taki proces przetwarzania. Czasami specyfika pracy personelu wykonywanej w terenie np. u pacjenta jest tak szczególna, iż ADO muszą wprowadzać dodatkowe środki bezpieczeństwa. Chronić należy, nie tylko papierowe nośniki danych, ale także elektronicznej, należy przede wszystkim uświadamiać swój personel i pokazywać mu złe i dobre praktyki działań.

Przykłady niedozwolonych praktyk

Niestety jednak dokumentacja medyczna wynoszona poza jednostkę to proceder, który ma miejsce także w sytuacjach, które nie powinny mieć miejsca. W związku z powyższym dla uzmysłowienia personelowi istnienia tego rodzaju niedozwolonych praktyk wskazujemy kilka przykładów takich sytuacji, w których. Zabronione jest w szczególności:

Pozostawienia nośników danych w pojazdach samochodowych, pojazdach komunikacji publicznej bez kontroli własnej, bez względu na czas. pozostawiania nośników danych w bagażniku, albo pozostawienia ich w pojeździe po wyjściu z taxi, metra czy autobusu.
Pozostawiania nośników danych w pomieszczeniach poza Jednostką, bez kontroli własnej, bez względu na czas. pozostawianie ich w Urzędzie, na Poczcie,
Pozostawiania nośników danych w przestrzeni ogólnodostępnej poza Jednostką, bez kontroli własnej, bez względu na czas. pozostawienie na ławce w parku, przed sklepem, na dachu samochodu, w klatce schodowej, w windzie.
Wykorzystywanie nośników danych w sytuacji, kiedy pomieszczenia do tego celu wyznaczone innego podmiotu nie gwarantują zachowania zasad bezpieczeństwa przetwarzania. w lokalu gdzie udzielane są świadczenia, nie ma warunków do bezpiecznego przetwarzania danych,
Ujawniania danych osobowych zapisanych na nośnikach danych osobom nieuprawnionym, które nie są upoważnione do przetwarzania danych osobowych przez ADO. prowadzenie rozmów z osobami trzecimi na temat danych przetwarzanych, pokazywanie dokumentów osobom nieuprawnionym
Przekazywanie nośników danych osobom nieuprawnionym, które nie są upoważnione do przetwarzania danych osobowych przez ADO. proszenie osoby trzecie o przeniesienie nośników danych, albo o ich sprawdzenie, czy uruchomienie na innym komputerze.
Wykorzystywania osób nieuprawnionych do przewozu nośników danych. zlecanie transportu nośników danych, znajomym, bliskim.
Przesyłania danych osobowych zapisanych w postaci elektronicznej z wykorzystaniem publicznych dostępnych sieci internetowych, czy prywatnych sieci internetowych. korzystanie z punktów WiFi w restauracjach, czy kawiarniach
Prowadzenia korespondencji email zawierającej dane osobowe w postaci niezaszyfrowanej, z wykorzystaniem publicznych dostępnych sieci internetowych, czy prywatnych sieci internetowych. przesyłanie plików w postaci niezaszyfrowanej nie zabezpieczonej hasłem, albo przekazywanie hasła do plików także drogą email
Udostępniania osobom trzecim informacji o sposobach zabezpieczenia nośników danych w tym o metodach szyfrowania i wykorzystywanych do logowania hasłach indywidualnych osoby zatrudnionej. proszenie o pomoc w rozwiązaniu problemu technicznego z logowaniem osoby trzeciej, prowadzenie rozmów na temat sposobów zabezpieczenia nośników.