Ochrona danych osobowych (RODO)

Zgodnie z art. 24 RODO – czyli Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 – każda placówka medyczna jest zobowiązana wdrożyć odpowiednie środki techniczne (np. posiadanie zainstalowanego programu antywirusowego) i organizacyjne (np. przechowywanie papierowych danych w szafce zamykanej na klucz na koniec dnia pracy), aby przetwarzanie danych osobowych odbywało się zgodnie z RODO i aby móc to wykazać. Z myślą o potrzebach naszych Klientów, przygotowaliśmy cztery możliwe warianty współpracy z nami w zakresie RODO.

Wariant nr 1

  • Przygotowanie dokumentacji z zakresu ochrony danych osobowych, która będzie zgodna z krajowymi i międzynarodowymi przepisami w tym zakresie (w tym RODO i Ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych) oraz z normą ISO 27001 dotyczącą zarządzania bezpieczeństwem informacji. Czynność ta obejmuje także przygotowanie treści tzw. obowiązku informacyjnego i umów powierzenia przetwarzania danych osobowych. 

  • Przeprowadzenie szkolenia Administratora Danych Osobowych (tj. Właściciela firmy) z zakresu ochrony danych osobowych, w tym z informacji zawartych w dokumentacji ochrony danych osobowych

  • Wydanie indywidualnych rekomendacji mających na celu podniesienie standardu ochrony danych osobowych na podstawie przeprowadzonej analizy ryzyka – zarówno w odniesieniu do spraw organizacyjnych, jak również technicznych

Wariant nr 2

  • Wykonanie czynności zawartych w wariancie nr 1 i koszta w nim zawarte

  • Jednorazowe wdrożenie – w systemie informatycznym – zasad opisanych w dokumentacji z zakresu ochrony danych osobowych, w tym:

    • przegląd i – w razie potrzeby – wdrożenie kopii bezpieczeństwa danych cyfrowych znajdujących się w np. programie do rozliczeń z NFZ, programie do prowadzenia elektronicznej dokumentacji medycznej, programie kadrowym, programie do wykonywania zdjęć RTG

    • przegląd i – w razie potrzeby – wdrożenie oprogramowania antywirusowego

    • przegląd i – w razie potrzeby – wdrożenie zasilaczy awaryjnych UPS, które podtrzymują zasilanie w trakcie przerwy w dostawie prądu i w ten sposób chronią dane przed utratą wskutek przerwy w dostawie energii elektrycznej

    • przegląd i – w razie potrzeby – zaktualizowanie oprogramowania routera

    • przegląd i – w razie potrzeby – zainstalowanie najnowszych poprawek bezpieczeństwa dla systemów operacyjnych komputerów / serwerów

    • przegląd i – w razie potrzeby – wdrożenie polityki automatycznych aktualizacji komputerów z systemem Windows

    • przegląd parametrów diagnostycznych twardych dysków, które mogą wskazywać wkrótce na awarie tych urządzeń oraz – w razie potrzeby – wymiana problemowego dysku na nowy

    • przegląd i – w razie potrzeby – zaszyfrowanie miejsc przechowywania danych (np. bazy danych oprogramowania do prowadzenia rozliczeń z NFZ albo dysków zewnętrznych, pendrive’ów) jako metoda zabezpieczenia się przed kradzieżą i zapewnienia tego, że nie trzeba będzie zgłaszać wycieku danych osobowych osobom, których te dane dotyczą (np. pacjentom) oraz do Urzędu Ochrony Danych Osobowych

    • przegląd i – w razie potrzeby – przekonfigurowanie zapory sieciowej w ten sposób, aby zabezpieczyć dostęp przez internet do danych znajdujących się na komputerach / serwerach

    • przegląd i – w razie potrzeby – wdrożenie bezpiecznej metody zdalnego dostępu do placówki medycznej (np. poprzez zastosowanie sieci VPN)

    • przegląd i – w razie potrzeby – wymiana komputerów z Windows XP (który nie jest wspierany przez producenta w zakresie poprawek bezpieczeństwa od kwietnia 2014 r.) na nowsze z Windows 7, 8 lub 10, ponieważ Windows XP był przyczyną paraliżu brytyjskiej sieci szpitali w maju 2017 r. wskutek działania wirusa

    • przegląd i – w razie potrzeby – zabezpieczenie hasłem dostępu do komputerów

    • przegląd i – w razie potrzeby – zabezpieczenie hasłem dostępu do programów, w których znajdują się dane osobowe (np. program do prowadzenia rozliczeń z NFZ)

    • przegląd i – w razie potrzeby – umieszczenie serwera i elementów sieci (router, switch) w bezpiecznym miejscu, np. w szafie zamykanej na klucz

Wariant nr 3

  • Wykonanie czynności zawartych w wariancie nr 1 i nr 2 i koszta w nich zawarte

  • Raz na kwartał utrzymanie dokumentacji z zakresu ochrony danych osobowych, np. w przypadku zatrudnienia nowej osoby personelu. Nie dotyczy utrzymania systemu informatycznego

  • Raz na kwartał wizyta w siedzibie klienta, w trakcie której przeprowadzimy audyt bezpieczeństwa pod kątem m.in.:

    • sprawdzenia nadanych upoważnień (czy każdy ma nadane upoważnienie i czy każdy ma upoważnienie odpowiadające zakresowi obowiązków),

    • sprawdzenia czy jest stosowana polityka kluczy (kto ma do czego klucz, czy nie istnieje sytuacja że klucz do szafek z danymi osobowymi znajduje się w szafce)

    • sprawdzenia czy jest stosowana polityka czystego biurka (czy np. nie występuje sytuacja, że kartka z hasłem do komputera jest przyklejona do monitora)

    • sprawdzenia czy wymiana danych osobowych z podmiotami trzecimi odbywa się w sposób bezpieczny (np. czy biuro rachunkowe przesyła PITy pracowników poprzez e-mail w postaci pliku na hasło)

    • sprawdzenia czy są zawarte z podwykonawcami umowy powierzenia przetwarzania danych osobowych – np. prawnik, firma zajmująca się rozliczeniami z NFZ, dostawca poczty elektronicznej, gabinet RTG, serwisant sprzętu medycznego

    • sprawdzenia czy są wykonywane kopie bezpieczeństwa danych cyfrowych (np. programu do prowadzenia rozliczeń z NFZ) oraz jak często jest weryfikowana ich przydatność w razie ewentualnej awarii (np. ile czasu zajęło skorzystanie z kopii i przywrócenie dostępności danego systemu informatycznego)

    • sprawdzenia aktualności dokumentacji z zakresu ochrony danych osobowych ze stanem faktycznym,

    • sprawdzenia czy w praktyce istnieją zabezpieczenia wykazane w polityce ochrony danych osobowych,

    • sprawdzenia czy i jak często są monitorowane próby włamań do systemu informatycznego klienta

  • Raz na kwartał przeprowadzenie analizy ryzyka

  • Audyt zostanie zakończony przygotowaniem i przekazaniem klientowi raportu z audytu

Wariant nr 4

  • Wykonanie czynności zawartych w wariancie nr 1 i nr 2 i nr 3 i koszta w nich zawarte

  • Utrzymanie informatyczne systemu informatycznego klienta – np.

    • bieżące monitorowanie czy komputer wykonał automatycznie aktualizacje bezpieczeństwa systemu Windows a jeśli nie to sprawdzenie tego zagadnienia tak, aby zastosować aktualizacje bezpieczeństwa w rozsądnym czasie od momentu ich publikacji

    • bieżące monitorowanie prób włamań do systemu informatycznego klienta oraz podejmowanie działań mających na celu wyeliminowanie takich sytuacji (tj. wzmacnianie odporności systemu informatycznego na ataki)

    • bieżące zmniejszanie ryzyka powodzenia ataku do systemu informatycznego (np. aktualizacja oprogramowania routera w momencie gdy pojawia się nowa wersja)

    • bieżące monitorowanie czy wykonują się kopie bezpieczeństwa danych cyfrowych zgodnie z przyjętym harmonogramem tworzenia kopii zapasowych

    • bieżące monitorowanie czy kopie bezpieczeństwa wykonują się prawidłowo – czy jest możliwe skorzystanie z nich w razie ewentualnej potrzeby

    • bieżące monitorowanie czy program antywirusowy działa prawidłowo na komputerze i czy pobiera najnowsze aktualizacje definicji wirusów, czy jego licencja wkrótce się nie kończy i zaproponowanie klientowi przedłużenia licencji odpowiednio wcześniej

    • wykonywanie cyklicznych testów penetracyjnych (sprawdzanie potencjalnych wektorów ataku) sieci klienta z zewnątrz – czyli postawienie się w roli włamywacza i próba uzyskania dostępu do sieci wewnętrznej klienta przez internet po to, żeby wyciągnąć wnioski dotyczące tego jakie zabezpieczenia jeszcze należałoby wdrożyć i wdrożenie ich

    • cykliczne testy zasilaczy awaryjnych UPS w zakresie czasu działania na baterii (ponieważ im dłużej zasilacz działa, tym czas jego pracy na baterii zmniejsza się)

    • wykonywanie bieżących czynności w systemie informatycznym na życzenie klienta np. instalacja nowego komputera, skonfigurowanie urządzenia wielofunkcyjnego itp.

    • bieżące monitorowanie parametrów sprzętowych komputera – np. dysku twardego – i ewentualna jego wymiana na nowy w przypadku zauważenia parametrów wskazujących na to, że urządzenie wkrótce ulegnie awarii

    • w myśl art. 32 RODO – testowanie zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego (np. cykliczne sprawdzenie czy i w jakim czasie jesteśmy w stanie skorzystać z kopii bezpieczeństwa w razie gdyby komputer uległ awarii albo wydarzyłby się pożar)

  • obecność w trakcie kontroli Urzędu ochrony danych osobowych

  • dokumentowanie wszystkich czynności opisanych powyżej na potrzeby dokumentacji ochrony danych osobowych (zgodnie z art. 5 ust 2 RODO)

  • pełnienie funkcji inspektora ochrony danych osobowych i administratora systemu informatycznego

 Cennik

Aby zapoznać się z cennikiem produktów i usług oferowanych przez naszą firmę, prosimy o kliknięcie w TEN LINK.

Najczęściej zadawane pytania

Pytanie: czy RODO dotyczy mnie, jeżeli prowadzę placówkę medyczną, która nie posiada kontraktu z NFZ?

Odpowiedź: tak, ponieważ RODO dotyczy wszystkich firm (w tym placówek medycznych), które przetwarzają (np. przechowują) dane osobowe – niezależnie od tego czy dana placówka medyczna posiada kontrakt z NFZ.