Zgodnie z art. 24 RODO – czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 – każda placówka medyczna jest zobowiązana wdrożyć odpowiednie środki techniczne (np. posiadanie zainstalowanego programu antywirusowego) i organizacyjne (np. przechowywanie papierowych danych w szafce zamykanej na klucz na koniec dnia pracy), aby przetwarzanie danych osobowych odbywało się zgodnie z RODO i aby móc to wykazać. Z myślą o potrzebach naszych Klientów, przygotowaliśmy cztery możliwe warianty współpracy z nami w zakresie RODO.
Wariant nr 1
-
Przygotowanie dokumentacji z zakresu ochrony danych osobowych, która będzie zgodna z krajowymi i międzynarodowymi przepisami w tym zakresie (w tym RODO i Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych) oraz z normą ISO 27001 dotyczącą zarządzania bezpieczeństwem informacji. Czynność ta obejmuje także przygotowanie treści tzw. obowiązku informacyjnego i umów powierzenia przetwarzania danych osobowych.
-
Przeprowadzenie szkolenia Administratora Danych Osobowych (tj. Właściciela firmy) z zakresu ochrony danych osobowych, w tym z informacji zawartych w dokumentacji ochrony danych osobowych
-
Wydanie indywidualnych rekomendacji mających na celu podniesienie standardu ochrony danych osobowych na podstawie przeprowadzonej analizy ryzyka – zarówno w odniesieniu do spraw organizacyjnych, jak również technicznych
Wariant nr 2
-
Wykonanie czynności zawartych w wariancie nr 1 i koszta w nim zawarte
-
Jednorazowe wdrożenie – w systemie informatycznym – zasad opisanych w dokumentacji z zakresu ochrony danych osobowych, w tym:
-
przegląd i – w razie potrzeby – wdrożenie kopii bezpieczeństwa danych cyfrowych znajdujących się w np. programie do rozliczeń z NFZ, programie do prowadzenia elektronicznej dokumentacji medycznej, programie kadrowym, programie do wykonywania zdjęć RTG
-
przegląd i – w razie potrzeby – wdrożenie oprogramowania antywirusowego
-
przegląd i – w razie potrzeby – wdrożenie zasilaczy awaryjnych UPS, które podtrzymują zasilanie w trakcie przerwy w dostawie prądu i w ten sposób chronią dane przed utratą wskutek przerwy w dostawie energii elektrycznej
-
przegląd i – w razie potrzeby – zaktualizowanie oprogramowania routera
-
przegląd i – w razie potrzeby – zainstalowanie najnowszych poprawek bezpieczeństwa dla systemów operacyjnych komputerów / serwerów
-
przegląd i – w razie potrzeby – wdrożenie polityki automatycznych aktualizacji komputerów z systemem Windows
-
przegląd parametrów diagnostycznych twardych dysków, które mogą wskazywać wkrótce na awarie tych urządzeń oraz – w razie potrzeby – wymiana problemowego dysku na nowy
-
przegląd i – w razie potrzeby – zaszyfrowanie miejsc przechowywania danych (np. bazy danych oprogramowania do prowadzenia rozliczeń z NFZ albo dysków zewnętrznych, pendrive’ów) jako metoda zabezpieczenia się przed kradzieżą i zapewnienia tego, że nie trzeba będzie zgłaszać wycieku danych osobowych osobom, których te dane dotyczą (np. pacjentom) oraz do Urzędu Ochrony Danych Osobowych
-
przegląd i – w razie potrzeby – przekonfigurowanie zapory sieciowej w ten sposób, aby zabezpieczyć dostęp przez internet do danych znajdujących się na komputerach / serwerach
-
przegląd i – w razie potrzeby – wdrożenie bezpiecznej metody zdalnego dostępu do placówki medycznej (np. poprzez zastosowanie sieci VPN)
-
przegląd i – w razie potrzeby – wymiana komputerów z Windows XP (który nie jest wspierany przez producenta w zakresie poprawek bezpieczeństwa od kwietnia 2014 r.) na nowsze z Windows 7, 8 lub 10, ponieważ Windows XP był przyczyną paraliżu brytyjskiej sieci szpitali w maju 2017 r. wskutek działania wirusa
-
przegląd i – w razie potrzeby – zabezpieczenie hasłem dostępu do komputerów
-
przegląd i – w razie potrzeby – zabezpieczenie hasłem dostępu do programów, w których znajdują się dane osobowe (np. program do prowadzenia rozliczeń z NFZ)
-
przegląd i – w razie potrzeby – umieszczenie serwera i elementów sieci (router, switch) w bezpiecznym miejscu, np. w szafie zamykanej na klucz
-
Wariant nr 3
-
Wykonanie czynności zawartych w wariancie nr 1 i nr 2 i koszta w nich zawarte
-
Raz na kwartał utrzymanie dokumentacji z zakresu ochrony danych osobowych, np. w przypadku zatrudnienia nowej osoby personelu. Nie dotyczy utrzymania systemu informatycznego
-
Raz na kwartał wizyta w siedzibie klienta, w trakcie której przeprowadzimy audyt bezpieczeństwa pod kątem m.in.:
-
sprawdzenia nadanych upoważnień (czy każdy ma nadane upoważnienie i czy każdy ma upoważnienie odpowiadające zakresowi obowiązków),
-
sprawdzenia czy jest stosowana polityka kluczy (kto ma do czego klucz, czy nie istnieje sytuacja że klucz do szafek z danymi osobowymi znajduje się w szafce)
-
sprawdzenia czy jest stosowana polityka czystego biurka (czy np. nie występuje sytuacja, że kartka z hasłem do komputera jest przyklejona do monitora)
-
sprawdzenia czy wymiana danych osobowych z podmiotami trzecimi odbywa się w sposób bezpieczny (np. czy biuro rachunkowe przesyła PITy pracowników poprzez e-mail w postaci pliku na hasło)
-
sprawdzenia czy są zawarte z podwykonawcami umowy powierzenia przetwarzania danych osobowych – np. prawnik, firma zajmująca się rozliczeniami z NFZ, dostawca poczty elektronicznej, gabinet RTG, serwisant sprzętu medycznego
-
sprawdzenia czy są wykonywane kopie bezpieczeństwa danych cyfrowych (np. programu do prowadzenia rozliczeń z NFZ) oraz jak często jest weryfikowana ich przydatność w razie ewentualnej awarii (np. ile czasu zajęło skorzystanie z kopii i przywrócenie dostępności danego systemu informatycznego)
-
sprawdzenia aktualności dokumentacji z zakresu ochrony danych osobowych ze stanem faktycznym,
-
sprawdzenia czy w praktyce istnieją zabezpieczenia wykazane w polityce ochrony danych osobowych,
-
sprawdzenia czy i jak często są monitorowane próby włamań do systemu informatycznego klienta
-
-
Raz na kwartał przeprowadzenie analizy ryzyka
-
Audyt zostanie zakończony przygotowaniem i przekazaniem klientowi raportu z audytu
Wariant nr 4
-
Wykonanie czynności zawartych w wariancie nr 1 i nr 2 i nr 3 i koszta w nich zawarte
-
Utrzymanie informatyczne systemu informatycznego klienta – np.
-
bieżące monitorowanie czy komputer wykonał automatycznie aktualizacje bezpieczeństwa systemu Windows a jeśli nie to sprawdzenie tego zagadnienia tak, aby zastosować aktualizacje bezpieczeństwa w rozsądnym czasie od momentu ich publikacji
-
bieżące monitorowanie prób włamań do systemu informatycznego klienta oraz podejmowanie działań mających na celu wyeliminowanie takich sytuacji (tj. wzmacnianie odporności systemu informatycznego na ataki)
-
bieżące zmniejszanie ryzyka powodzenia ataku do systemu informatycznego (np. aktualizacja oprogramowania routera w momencie gdy pojawia się nowa wersja)
-
bieżące monitorowanie czy wykonują się kopie bezpieczeństwa danych cyfrowych zgodnie z przyjętym harmonogramem tworzenia kopii zapasowych
-
bieżące monitorowanie czy kopie bezpieczeństwa wykonują się prawidłowo – czy jest możliwe skorzystanie z nich w razie ewentualnej potrzeby
-
bieżące monitorowanie czy program antywirusowy działa prawidłowo na komputerze i czy pobiera najnowsze aktualizacje definicji wirusów, czy jego licencja wkrótce się nie kończy i zaproponowanie klientowi przedłużenia licencji odpowiednio wcześniej
-
wykonywanie cyklicznych testów penetracyjnych (sprawdzanie potencjalnych wektorów ataku) sieci klienta z zewnątrz – czyli postawienie się w roli włamywacza i próba uzyskania dostępu do sieci wewnętrznej klienta przez internet po to, żeby wyciągnąć wnioski dotyczące tego jakie zabezpieczenia jeszcze należałoby wdrożyć i wdrożenie ich
-
cykliczne testy zasilaczy awaryjnych UPS w zakresie czasu działania na baterii (ponieważ im dłużej zasilacz działa, tym czas jego pracy na baterii zmniejsza się)
-
wykonywanie bieżących czynności w systemie informatycznym na życzenie klienta np. instalacja nowego komputera, skonfigurowanie urządzenia wielofunkcyjnego itp.
-
bieżące monitorowanie parametrów sprzętowych komputera – np. dysku twardego – i ewentualna jego wymiana na nowy w przypadku zauważenia parametrów wskazujących na to, że urządzenie wkrótce ulegnie awarii
-
w myśl art. 32 RODO – testowanie zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego (np. cykliczne sprawdzenie czy i w jakim czasie jesteśmy w stanie skorzystać z kopii bezpieczeństwa w razie gdyby komputer uległ awarii albo wydarzyłby się pożar)
-
-
obecność w trakcie kontroli Urzędu ochrony danych osobowych
-
dokumentowanie wszystkich czynności opisanych powyżej na potrzeby dokumentacji ochrony danych osobowych (zgodnie z art. 5 ust 2 RODO)
-
pełnienie funkcji inspektora ochrony danych osobowych i administratora systemu informatycznego
Cennik
Aby zapoznać się z cennikiem produktów i usług oferowanych przez naszą firmę, prosimy o kliknięcie w TEN LINK.
Najczęściej zadawane pytania
Pytanie: czy RODO dotyczy mnie, jeżeli prowadzę placówkę medyczną, która nie posiada kontraktu z NFZ?
Odpowiedź: tak, ponieważ RODO dotyczy wszystkich firm (w tym placówek medycznych), które przetwarzają (np. przechowują) dane osobowe – niezależnie od tego czy dana placówka medyczna posiada kontrakt z NFZ.