CIS - Ochrona informacji w służbie zdrowia: bezpieczeństwo dokumentacji medycznej dzięki ISO 27001

CIS - MIĘDZYNARODOWA JEDNOSTKA CERTYFIKUJĄCA SYSTEMY ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Aby otrzymywać najnowsze informacje o naszych szkoleniach, imprezach i konferencjach dołącz do naszej listy mailingowej:

Aktualności

Plan Szkoleń - 2011 !!!
Menadżer i Auditor ISO 27001- Szkolenie odnawiające certyfikat - TERMIN: 12-13 KWIECIEŃ 2011

Intranet

Ochrona informacji w służbie zdrowia: bezpieczeństwo dokumentacji medycznej dzięki ISO 27001.

med W 2008 roku w Europie utracono setki tysięcy danych dotyczących stanu zdrowia obywateli. W listopadzie w okolicach Elbląga w skutek kradzieży „wyparowały” komputery zawierające dane medyczne.

W wielu krajach Europy działają regulacje nakładające na służbę zdrowia obowiązek ochrony danych osobowych pacjentów. Dotyczy to zarówno lekarzy, laboratoriów, szpitali jak i sanatoriów. Rozporządzenie obliguje podmioty medyczne do zapewnienia właściwej klasyfikacji danych, analizy ryzyka, polityki bezpieczeństwa, miar technicznych i organizacyjnych, szeroko rozumianej dokumentacji i sieci komunikacyjnej. "Ochrona danych osobowych stanowi dla służby zdrowia dodatkowe kryterium jakości" mówi Erich Scheiber, Dyrektor Generalny CIS. "Na przykład w Austrii w lutym 2009 roku weszła w życie długo oczekiwana regulacja (GTelV). Zakłada ona bezpieczna wymianę danych miedzy pacjentem a instytucjami opieki zdrowotnej. Według GTelV niedozwolone jest między innymi wysyłanie nieszyfrowanych e-maili. Nawet korzystanie z faksów obciążone jest bardziej rygorystycznymi zasadami. Rozporządzenie przewiduje okres przejściowy do 2010 r. Obecnie zaniedbanie ochrony danych osobowych pacjenta w Austrii może kosztować 5.000 euro, a w sprawach karnych nawet więcej" - dodaje Scheiber.

W Polsce ochronę danych osobowych gwarantuje zarówno Konstytucja, Ustawa o ochronie danych osobowych jak i Europejska Konwencja Praw Człowieka także Rozporządzenie ministra Zdrowia w sprawie rodzajów i zakresu dokumentacji medycznych zakładach opieki zdrowotnej oraz sposobu jej przetwarzania.

Dane medyczne należące do tzw. danych wrażliwych (sensytywnych) w szczególny sposób mogą być wykorzystywane przeciwko obywatelowi. Nie oznacza to, że nie powinny być gromadzone. Zbieranie informacji o pacjentach jest niezbędne na przykład dla planujących budżet instytucji służby zdrowia – sprawny obieg informacji daje szanse na racjonalizowanie wydatków. Jednak dostęp do danych na temat naszego stanu zdrowia może być nieuczciwie wykorzystywany i sprzyjać dyskryminacji ze strony ubezpieczycieli czy potencjalnych pracodawców. Niewłaściwie chroniona baza danych może stanowić niebezpieczny potencjał dla firm zajmujących się dystrybucją farmaceutyków i parafarmaceutyków.

Jedną z dróg do osiągnięcia właściwego i pożądanego poziomu ochrony danych jest certyfikacja Międzynarodowego Standardu Bezpieczeństwa zgodnie ISO 27001 – Systemu Zarządzania Bezpieczeństwem Informacji. Uzyskany certyfikat świadczy o tym, że organizacja stosuje z należytą starannością wszystkie niezbędne środki bezpieczeństwa zachowując równocześnie ustawowe wymogi integralności, poufności oraz dostępności danych.

W tym zakresie nowością wśród międzynarodowych norm z serii ISO 27000 jest ISO 27799 (od września 2008 r. jako Polska Norma) Informatyka w ochronie zdrowia - Zarządzanie bezpieczeństwem informacji w ochronie zdrowia przy użyciu ISO/IEC 27002 (ISO 17799). „Określono w niej wskazówki dla wsparcia interpretacji i stosowania w informatyce ochrony zdrowia ISO/IEC 27002. Określono zbiór szczegółowych narzędzi kontrolnych do zarządzania bezpieczeństwem informacji w ochronie zdrowia i dostarczono najlepszych wskazówek praktycznych zarządzania bezpieczeństwem informacji w ochronie zdrowia. W przypadku zastosowania, organizacje i inni administratorzy informacji w ochronie zdrowia będą mogli zapewniać minimalny konieczny poziom bezpieczeństwa, który jest właściwy do okoliczności występujących w ich organizacji, oraz będą zachowywać integralność poufnego charakteru i dostępność personalnych informacji w ochronie zdrowia (źródło: PKN)”.

W efekcie szpital czy też inna jednostka ma szanse wypracować model funkcjonowania i obiegu informacji, w którym prywatne dane pacjentów będą chronione przed osobami niepożądanymi, a dostępne dla nich samych i upoważnionych lekarzy. Równocześnie pojawią się narzędzia porządkujące pracę podmiotu wdrażającego system zarówno sferze administracyjnej, personalnej, finansowej czy kontrolnej. Dodatkowo jednostka legitymująca się certyfikatem ISO 27001 nie tylko wzbudza zaufanie pacjentów, ale ma szanse stać się pożądanym partnerem jako firma wiarygodna i działająca na przejrzystych zasadach. Wśród polskich szpitali wdrożeniem Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z wymaganiami normy ISO 27001 pochwalić się może Centrum Medyczne LIM, co potwierdza uzyskany certyfikat z akredytacją. med2