1 / 22

Polityka bezpieczeństwa informacji w podmiocie leczniczym

Polityka bezpieczeństwa informacji w podmiocie leczniczym. Aspekty praktyczne Prowadzący Piotr Glen Specjalista ds. ochrony danych osobowych Administrator Bezpieczeństwa Informacji.

breck
Download Presentation

Polityka bezpieczeństwa informacji w podmiocie leczniczym

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Polityka bezpieczeństwa informacji w podmiocie leczniczym Aspekty praktyczne Prowadzący Piotr Glen Specjalista ds. ochrony danych osobowych Administrator Bezpieczeństwa Informacji

  2. Administrator danych - to organ, jednostka organizacyjna, podmiot lub osoba decydująca o celach i środkach przetwarzania danych osobowychArt. 7 ust. 4 Ustawy o ochronie danych osobowych

  3. OBOWIĄZKI ADMINISTRATORA DANYCHzgodnie z Ustawą o ochronie danych osobowych (Art. 36, 37, 38, 39) oraz z Rozporządzeniem MSWiA w sprawie systemów informatycznych służących do przetwarzania danych osobowych • Zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. 2. Prowadzić dokumentację opisującą sposób przetwarzania i ochrony danych. 3. Wyznaczyć administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, chyba że sam wykonuje te czynności. 4. Do przetwarzania danych dopuścić wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. 5. Zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. 6. Prowadzić ewidencję osób upoważnionych do ich przetwarzania 7. Zgłosić zbiory danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO).

  4. ŹRÓDŁA PRAWA BEZPOŚREDNIO ODNOSZĄCE SIĘ DO SŁUŻBY ZDROWIA • Art. 51. KONSTYTUCJI RZECZYPOSPOLITEJ POLSKIEJ 1. Nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby. • Ustawa o ochronie danych osobowych, • Ustawa o działalności leczniczej, • Ustawa o działalności ubezpieczeniowej, • Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta, • Rozporządzenie Ministra Zdrowia w sprawie szczegółowego zakresu i trybu udzielania zakładom ubezpieczeń informacji o stanie zdrowia ubezpieczonych lub osób, na rzecz których ma zostać zawarta umowa ubezpieczenia oraz sposobu ustalania wysokości opłat za udzielenie tych informacji. • Rozporządzenie Ministra Zdrowia w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobów jej przetwarzania.

  5. ROZPORZĄDZENIE MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowychDziennik Ustaw nr 100 z 2004 poz. 1024 zm § 3. 1. Na dokumentację składa się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, zwana dalej „instrukcją”. 2. Dokumentację prowadzi się w formie pisemnej. 3. Dokumentację wdraża administrator danych.

  6. Pojęcie „polityka bezpieczeństwa” to zestaw praw, reguł i praktycznych doświadczeń regulujących sposób zarządzania, ochrony i dystrybucji informacji wrażliwej (danych osobowych, dokumentacji medycznej) wewnątrz organizacji. Polityka bezpieczeństwa powinna odnosić się całościowo do problemu zabezpieczenia danych osobowych u administratora danych tj. zarówno do zabezpieczenia danych przetwarzanych tradycyjnie jak i danych przetwarzanych w systemach informatycznych. Celem polityki bezpieczeństwa, jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postepowania, które należy stosować, aby właściwie wykonać obowiązek odpowiedniej ochrony danych.

  7. Dokument polityki bezpieczeństwa powinien deklarować zaangażowanie kierownictwa i wyznaczać podejście instytucji do zarządzania bezpieczeństwem informacji. Jako minimum wskazuje się, aby dokument określający politykę bezpieczeństwa zawierał: definicjębezpieczeństwa informacji, jego ogólne cele i zakres oraz znaczenie bezpieczeństwa jako mechanizmu umożliwiającego współużytkowanie informacji; oświadczenie o intencjach kierownictwa, potwierdzające cele i zasady bezpieczeństwa informacji;

  8. Tzn.: • Postanowienia ogólne „...Administrator Danych ma świadomość znaczenia przetwarzanych informacji dla realizacji celów jednostki i potrzeby ochrony informacji, poprzez budowę systemu zarządzania bezpieczeństwem informacji…” • Definicje • Administrator Danych • Administrator Bezpieczeństwa Informacji • Administrator Systemu Informatycznego • Użytkownik • Pomieszczenia • Poufność danych • Integralność danych i systemu informatycznego • itp..

  9. krótkie wyjaśnienie zasad, standardów i wymagańzgodności mających szczególne znaczenie np.: • zgodność z prawem (w oparciu o jakie przesłanki przetwarzamy dane osobowe); • wymagania dotyczące kształcenia w dziedzinie bezpieczeństwa (szkolenia dla użytkowników); • zapobieganie i wykrywanie wirusów oraz innego złośliwego oprogramowania (obowiązki ABI i ASI); • zarzadzanie ciągłością działania biznesowego (kopie bezpieczeństwa, aktualizacje, ochrona zasobów krytycznych); • konsekwencje naruszenia polityki bezpieczeństwa (odpowiedzialność dyscyplinarna, finansowa, karna).

  10. definicje ogólnych i szczególnych obowiązków w odniesieniu do zarzadzania bezpieczeństwem informacji, w tym zgłaszania przypadków naruszenia bezpieczeństwa - procedury i wzory zgłoszeń, opis postępowania użytkowników i ABI; odsyłacze do dokumentacji mogącej uzupełniaćpolitykę, np. bardziej szczegółowych polityk bezpieczeństwa i procedur dla poszczególnych systemów informatycznych lub zasad bezpieczeństwa, których użytkownicy powinni przestrzegać, a także do Instrukcji zarządzania systemem informatycznym;

  11. Polityka musi identyfikować zasoby jakie chronimy, w jaki sposób i gdzie. polityka bezpieczeństwa powinna zawierać w szczególności: • wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe (obszar przetwarzania danych); • wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych;

  12. określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych, a tj.: • Gospodarka kluczami do pomieszczeń; • Systemy alarmowe, monitoringu, kontroli dostępu, ochrony zewnętrznej; • Sposób przechowywania dokumentów w formie papierowej; • Sposób przechowywania kopii zapasowych; • Sposób niszczenia danych po ustaniu ich przydatności • Zabezpieczenia ppoż. i przeciwwłamaniowe • Sposoby zabezpieczenia komputerów i innych urządzeń przenośnych;

  13. Zabezpieczenia przed skutkami awarii zasilania; • Proces uwierzytelnienia dostępu do systemu; • Konfiguracja i częstotliwość zmiany haseł dostępu; • Środki bezpieczeństwa przy korzystaniu z Internetu i poczty elektronicznej; • Środki ochrony przed złośliwym oprogramowaniem; • Sposoby ustawienia monitorów, wygaszacze ekranów • Szkolenia użytkowników; • Deklaracja zachowania tajemnicy; • Upoważnienia do przetwarzania danych i Ewidencja osób upoważnionych.

  14. Odpady medyczne i dokumenty na śmietniku2011-03-16 Odpady medyczne i dokumentację lekarską znaleziono w poniedziałkowy późny wieczór w kontenerach na śmieci na osiedlu Batorego. Sprawę bada policja, bo w grę wchodzi wyciek danych osobowych. Odpady medyczne i dokumenty znaleźli strażnicy miejscy w Poznaniu. - Przed godziną 21 strażnicy zostali poinformowani przez mieszkańców, że w pojemnikach na makulaturę znajdują się odpady medyczne, a także dokumenty zawierające dane osobowe – - Patrol pojechał na miejsce, żeby to sprawdzić. Strażnicy faktycznie znaleźli dokumentację medyczną z nazwiskami pacjentów, ich adresami i wynikami badań oraz zakrwawione waciki, rękawiczki lateksowe, strzykawki itp. O sprawie powiadomiono policję, bo złamanie ustawy o ochronie danych osobowych jest przestępstwem.

  15. Wyłudzenia na podstawie danych osobowych skradzionych ze szpitala Wyniesione z jednej ze szczecińskich klinik dane osobowe 11 pacjentów stały się podstawą do wyłudzenia przez fikcyjną firmę 49 tys. zł kredytów. Wyłudzenie ponad 50 tys. zł na konto innych pacjentów uniemożliwiła interwencja policji. Akt oskarżenia w sprawie ośmiu osób, mieszkańców Szczecina, które zaangażowały się w fałszerstwa i wyłudzenia, skierowano do Sądu Rejonowego w Szczecinie. Wśród oskarżonych jest m.in. kobieta, która utworzyła fikcyjną firmę, były pracownik kliniki, który wyniósł z niej dane osobowe pacjentów zarejestrowane w szpitalnym komputerze, a także pośrednicy składający wnioski kredytowe i odbierający pieniądze. Posługując się danymi personalnymi pacjentów szczecińskiej kliniki oskarżeni w październiku i listopadzie ubiegłego roku składali w jednym z miejscowych banków wnioski kredytowe na kwoty od 2 do 5 tys. zł. Byli pacjenci nie wiedzieli, że zaciągnęli pożyczki. Dowiadywali się o tym, gdy przyszło im spłacać długi.

  16. GENERALNY INSPEKTOR OCHRONY DANYCH OSOBOWYCH DIS/DEC – 1207/44995/09 dot. DIS-K-421/130/09 D E C Y Z J A Na podstawie art. 104 § 1 i art. 105 § 1 ustawy z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego w związku z art. 36 ust. 1 i ust. 2, art. 37, art. 39 ust. 1 ustawy o ochronie danych osobowych (Dz. U. z 2002 r., Nr 101, poz. 926 z późn. zm.), § 4 i § 5 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024), po przeprowadzeniu postępowania administracyjnego w sprawie przetwarzania danych osobowych przez Regionalny Szpital Specjalistyczny im. (…) w (…), z siedzibą w (…), I. Nakazuję Regionalnemu Szpitalowi Specjalistycznemu (…), przywrócenie stanu zgodnego z prawem w procesie przetwarzania danych osobowych, poprzez: 1. Zabezpieczenie dokumentacji zawierającej dane osobowe przechowywanej w pomieszczeniu nr 8, opisanym nazwą „Księgowość Zarządzająca” i pomieszczeniu opisanym nazwą „Druki”, przed jej udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem - w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna, 2. Opracowanie procedury określającej sposób zabezpieczenia pomieszczeń i sposób postępowania z kluczami do pomieszczeń oraz prowadzenie ewidencji wydawanych i zdawanych kluczy do pomieszczeń - w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna 3. Uzupełnienie polityki bezpieczeństwa, prowadzonej w formie dokumentu o nazwie „Polityka bezpieczeństwa systemów informatycznych służących do przetwarzania danych osobowych w Regionalnym Szpitalu Specjalistycznym (…)”, o wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe - w terminie 14 dni od dnia, w którym niniejsza decyzja stanie się ostateczna; 4. Nadanie osobom zatrudnionym przy przetwarzaniu danych osobowych, upoważnień do przetwarzania danych osobowych – od dnia, w którym niniejsza decyzja stanie się ostateczna. 5. Prowadzenie w Regionalnym Szpitalu Specjalistycznym (…), ewidencji osób upoważnionych do przetwarzania danych osobowych - od dnia, w którym niniejsza decyzja stanie się ostateczna.

  17. Rodzaje kontroli GIODO

  18. Za nieprzestrzeganie przepisów ochrony danych osobowych grozi: ODPOWIEDZIALNOŚĆ ADMINISTRACYJNA ODPOWIEDZIALNOŚĆ DYSCYPLINARNA ODPOWIEDZIALNOŚĆ ODSZKODOWAWCZA ODPOWIEDZIALNOŚĆ KARNA ODPOWIEDZIALNOŚĆ FINANSOWA

  19. KTO POWINIEN PISAĆ POLITYKĘ I INSTRUKCJĘ ORAZ NADZOROWAĆ ICH PRZESTRZEGANIE ? • ABI i ASI (Informatyk) • ABI – osoba ciesząca się zaufaniem Dyrektora i jednocześnie autorytetem u pracowników (kadry, sekretariat, administracja, marketing itp.) • ASI – informatyk na etacie, kierownik IT, firma zewnętrzna; • Możliwość korzystania z usług firm zewnętrznych – odpowiednia umowa powierzenia, imienne wskazanie osób.

  20. DZIĘKUJĘ ZA UWAGĘ Piotr Glen www.wiknet.net.pl piotr.glen@wiknet.net.pl

More Related