Outsourcing IT w branży medycznej cz. II

W ostatnim wpisie zasygnalizowałam problematykę w zakresie outsoursingu IT w branży medycznej. Cały artykuł znajduje się Tutaj.

Wiemy już, że korzystanie przez podmioty lecznicze z usług zewnątrznych usługodawców z branży IT jest powszechne. Rozwój informatyzacji w sektorze zdrowia, obowiązek prowadzenia elektronicznej dokumentacji medycznej, rozliczanie z NFZ, korzystanie z systemu eWUŚ to tylko niektóre obszary wymagające wsparcia IT.

Jak wiemy branża medyczna przetwarza specyficzny rodzaj danych, bo dane wrażliwe. Przetwarzanie takich danych jest dopuszczalne jedynie w przypadku istnienia odpowowiedniej podstawy prawnej, gdyż co do zasady przetwarzanie wrażliwych danych o stanie zdrowia jest zakazane.

Dodatkowo mamy tajemnicę zawodową, która zobowiązuje zawody medyczne do szczególnej poufności. Osoby wykonujące zawód medyczny są obowiązane zachować w tajemnicy informacje związane z pacjentem, w szczególności ze stanem zdrowia pacjenta.

Jeszcze do niedawna GIODO stał na stanowisku, iż korzystanie z zewnętrznych usługodawców w zakresie  IT przez podmioty lecznicze nie posiada wystarczających podstaw prawnych. Sytuacja to aktualnie została uregulowana w ustawie o prawach pacjenta, w której wyraźnie przewidziano możliwość powierzenia danych medycznych.

Korzystanie z usług zewnętrznych usługodawców przez podmioty lecznicze jest możliwe pod warunkiem zapewnienia ochrony danych osobowych. Podmiot leczniczy musi zapewnić sobie w umowie prawo do kontroli  zgodności przetwarzania danych osobowych  przez podmiot przyjmujący te dane czyli przez usługodawców.

Usługodawca IT, któremu powierzono przetwarzanie danych osobowych  jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją zleconej mu przez podmiot leczniczy usługi,  także po śmierci pacjenta.

Usługodawca IT tj.  procesor zobowiązany jest do przestrzegania przepisów prawa o ochronie danych osobowych. Podmiot ten przed rozpoczęciem przetwarzania danych powinien podjąć środki zabezpieczające zbiór danych. Obowiązana jest również do prowadzenia odpowiedniej dokumentacji w zakresie przetwarzania danych osobowych.

Na gruncie przepisów rozporządzenia unijnego w omawianym zakresie nie wprowadzono rewolucyjnych zmian. W dalszym ciągu wymagana będzie umowa pomiędzy administratorem danych a procesorem ookreślająca przedmiot powierzenia, zakres powierzenia, kategorie powierzanych danych.

Nowum i ciekawostką  na gruncie nowych przepisów będzie solidarna odpowiedzialność wszystkich podmiotów uczestniczącym w outsourcingu a więc administratora danych oraz wszystkich procesorów i subprocesorów.

W praktyce osoba, której prawa zostaną naruszone będzie mogła dochodzić całej szkody od wszystkich podmiotów lub jednego z niech niezleżnie od ich indywidualnej winy. Podmiot, który szkodę naprawi a nie dopuścił się uchybień będzie mógł dochodzić zwrotu zapłaconego odszkodowania na zasadzie regresu.

Już tylko z tego powodu precyzyjne określenie w umowie praw i obowiązków stron w zakresie przetwarzania danych osobowych jest niezbędne, aby uniknąć rozmycia odpowiedzialności w łańcuchu przetwarzająych i płacenia odszkodowania za nie swoje uchybienia.

Outsourcing IT w branży medycznej cz. I

Korzystanie z usług IT w branży medycznej stało się powszechne. Przychodnie medyczne coraz  częściej wykorzystują systemy informatyczne w swojej pracy. Przy obsłudze tychże systemów korzystają z pomocy zewnętrznych informatyków. Systemy informatyczne służą podmiotom leczniczym do rejestrowania różnych informacji medycznych dotyczących tak pacjentów jak i udzielanych im świadczeń.

Obowiązek prowadzenia elektronicznej dokumentacji medycznej co prawda został przesłunięty do 2018 r. Niemniej jednak nie jest to jedyny obowiązek podmiotów leczniczych, z którym może być związane wypełnienie obowiązków dotyczących ochrony danych osobowych.

Należy pamiętać, że już dostęp do systemu eWUŚ, z którego korzystają podmioty lecznicze, implikuje obowiązki w zakresie ochrony danych osobowych. Podmiot ubiegający się o dostęp do systemu eWUŚ składa do NFZ stosowny wniosek oraz zobowiązuje się do przestrzegania ustawy o ochronie danych osobowych. Wiele takich zobowiązań pozostaje bez pokrycia.

Do systemu eWUŚ mogą mieć dostęp wyłącznie osoby upoważnione, powinny posługiwać się swoim loginem oraz swoim hasłem. Należy prowadzić ewidencję osób upoważnionych. System eWUŚ powinien być wymieniony w polityce bezpieczeństwa danych osobowych jako system służący do przetwarzania danych osobowych.

Bardzo powszechnym wśród podmiotów udzielających świadczeń medycznych jest również korzystanie z oprogramowania, które służy rejestrowaniu danych związanych z udzielanymi świadczeniami a które podlegają rozliczeniu z NFZ. Dodatkowo NFZ udostępnia swoją aplikację służącą do przesyłania w celach rozliczeniowych specjalnych raportów. Właściciele podmiotów leczniczych najczęściej rejestrację danych związanych z rozliczaniem umów z NFZ zlecają na zewnątrz.

Outsourcing IT w branży medycznej dotyczy różnych czynności od rejestrowania danych w systemie po zapewnianie wsparcia technicznego dla systemów przetwarzajacych dane osobowe pacjentów. Najczęściej w związku z realizacją zleconych usług firma IT lub i jej pracownicy uzyskują dostęp do danych osobowych wrażliwych, bo dotyczących zdrowia.

W następnych wpisach napiszę jak wygląda praktyka w zakresie ochrony danych przy ousourcingu IT oraz jak się ona ma do wymagań prawnych.

 

“Prawnicy w chmurze”

Dzisiaj o chmurze dla prawników, jakkolwiek dziwnie to brzmi. Mam oczywiście na myśli korzystanie przez profesjonalne kancelarie prawnicze z aplikacji udostępnianych w tzw. chmurze obliczeniowej. Usługi SaaS polegają na udostępnianiu oprogramowania przez przeglądarkę internetową. Rozwój tego rodzaju usług  aktualnie jest bardzo dynamiczny. Takie oprogramowanie jest wygodne, gdyż umożliwia dostęp przez internet do wszelkich przechowywanych w nich danych bez ograniczeń, jest tańsze w porównaniu z tradycyjnym oprogramowaniem instalowanym na dysku komputera. Z tego powodu aplikacje biznesowe udostępniane w tzw. chmurze powstają jak grzyby po deszczu.

W świetle prawa ochrony danych osobowych korzystanie z usług claud computing będzie oznaczało powierzenie danych do zewnętrznego usługodawcy, z czym związana jest zmniejszona kontrola nad danymi a czasami wręcz jej utrata. Dane wprowadzane są do zewnętrznego systemu informatycznego i przechowywane są na zewnętrznych serwerach, które najczęściej, ale też nie zawsze należą do dostarczyciela oprogramowania.

Co widzę, gdy pobieżnie przeglądam serwisy oferujące oprogramowanie do obsługi kancelarii prawniczej dostępne przez internet. Widzę ciemność. Regulamin co prawda jakiś z reguły jest, ale w zakresie ochrony i przetwarzania danych osobowych w wielu przypadkach niesatysfakcjonujący. Dodatkowo ani z regulaminu ani  z informacji podanych na stronie nie dowiadujemy się, gdzie są przechowywane dane, brak jakiekolwiek informacji o lokalizacji serwerów, brak informacji dotyczących stosowanych w centrum danych zabezpieczeń technicznych.

W świetle prawa korzystanie z zewnętrznej aplikacji, do której wprowadzane są dane osobowe związane jest z powierzeniem danych do przetwarzania. Niezbędną podstawą prawną powierzenia jest umowa pomiędzy kancelarią a dostarczycielem oprogramowania, w której kwestia powierzenia jest wyraźnie uregulowana w tym cel powierzenia danych, zakres powierzonych danych oraz obowiązki w zakresie zabezpieczenia danych.

Dostarczyciel oprogramowania w modelu claud computing jest procesorem, który odpowiada za zgodne z prawem przetwarzanie danych osobowych, za stosowanie odpowiednich środków technicznych oraz organizacyjnych w celu zabezpieczenia danych, za prowadzenie odpowiedniej dokumentacji opisującej przetwarzanie danych.

Brak umowy powierzenia oraz nieuregulowanie powyższych kwestii w sposób wymagany prawem naraża zarówno kancelarię, która powierza dane do przetwarzania, ale też procesora na odpowiedzialność administracyjną przed GIODO, karną oraz cywilną.

Jeśli chodzi o prawników dochodzi nam tu jeszcze jedna istotna kwestia a mianowicie tajemnica zawodowa. Pracownicy są zobowiązani  zachować w tajemnicy wszystkie informacje dotyczące klienta i jego spraw. Dochowanie tajemnicy zawodowej obejmuje zakaz ujawniania informacji i dokumentów poufnych.

Prawnicy mają obowiązek zabezpieczyć poufne informacje przed niepowołanym ujawnieniem. Dokuemnty i nośniki  przechowywane w formie elektronicznej powinny być objęte odpowiednią kontrolą dostępu i zabezpieczeniem systemu.

Umowa powierzenia danych do przetwarzania zawarta między kancelarią prawniczą a dostarczycielem aplikacji jest niezbędna dla należytego dochowania również tajemnicy zawodowej zasad w niej określonych.

Pamiętajmy, że w tym roku zostało ostatecznie przyjęte ogólne rozporządzenie unijne o ochronie danych osobowych, które wejdzie w życie 25 maja 2018 r. i od tego dnia w naszym porządku prawnym pojawią się drakońskie kary finansowe za naruszenia zasad przetwarzania danych zawartych w tym rozporządzeniu.

W nowym prawie unijnym kwestia powierzenia również została szczegółowo unormowana. Powierzenie danych innemu podmiotowi wymaga zawarcia umowy i uregulowania w niej wielu istotnych kwestii takich jak przedmiot przetwarzania, zakres przetwarzania i zakres powierzonych danych, cel przetwarzania a także upoważnienie do zatrudnienia podwykonawców.

Ciekawostką i novum jest solidarna odpowiedzialność administratora danych tutaj kancelarii oraz procesora dostarczyciela aplikacji za szkodę spowodowaną niezgodnym z prawem przetwarzaniem. Osoba, której dane dotyczą, w przypadku stwierdzenia naruszenia będzie mogła żądać zapłaty odszkodowania również tytułem zadośćuczynienia od administratora lub procesora zależnie od swojego wyboru.

Wbrew pozorom czasu nie zostało aż tak wiele bowiem 25.05.2018 to będzie ta data, w której stan zgodności z prawem powinien być bez zarzutu tak, aby na wypadek ewentualnej kontroli nie obawiać się drastycznych sankcji finansowych.

Historia z życia wzięta

Oczyma wyobraźni zobaczmy małe miasto, gdzie ludzie albo znają się osobiście albo znają się tylko z widzenia. Zidentyfikowanie konkretnej osoby fizycznej w takim miasteczku to żadna trudność. W takim mieście ludzie jak wszędzie się rodzą, umierają, pracują, uczą, zakładają rodziny, popełniają przestępstwa czy osiągają sukcesy. Charakterystyczne jednak dla takiego miasta jest to, że wszyscy się znają.

Bohaterami naszej historii jest pracownica sądu, dłużniczka mająca procesy w owym sądzie i salon fryzjerski, w którym rzecz się rozegra. Historia rozpoczyna się w momencie, gdy pracownica sądu poznaje dłużniczkę w związku z ofertą wynajmu lokalu złożoną przez tę pierwszą. Dłużniczka była jedną z osób zainteresowanych wynajmem od urzędniczki lokum.

Pracownica sądu wiele lat spędziła w sądzie i potrafi wykorzystać cenne informacje służbowe. W celu weryfikacji wiarygodności potencjalnej najemczyni sprawdza ją w sądowych bazach danych i okazuje się, że nasza dłużniczka posiada procesy sądowe i niekorzystne dla siebie wyroki. Możesz sobie wyobrazić, że do zawarcia umowy najmu pomiędzy paniami nie dochodzi, ale w tym momencie nasza historia dopiero nabiera tempa.

Pracownica sądu niedługo po incydencie z dłużniczką udaje się do znanego w mieście salonu fryzjerskiego “Angela”. Z panią Kasią zaprzyjaźnioną fryzjerką znają się od lat, ich rozmowy są przyjacielskie a czasem wręcz poufałe. Tego dnia urzędniczka z blond farbą na włosach i wypiekami na twarzy opowiada Pani Kasi jak uniknęła tarapatów związanych z wynajęciem mieszkania osobie z kilkoma wyrokami i komornikiem na karku. Padają dane personalne oraz szczegóły dotyczące wyroków sądowych dłużniczki.

Pech chciał, że cała historia rozniosła się po mieście i dotarła do samej dłużniczki, która nie wiele czekając postanowiła rozprawić się z niedyskretną pracownicą sądu. Pomiędzy Paniami zawisł spór sądowy o naruszenie dóbr osobistych dłużniczki przez ujawnienie przez pracownicę sądu poufnych informacji służbowych.

W świetle prawa ochrony danych osobowych pracownica pozyskała dane o dłużniczce wykorzystując swoje stanowisko służbowe. Jako pracownik sądu posiadała upoważnienie administratora danych i prawo dostępu do danych. Wykorzystała możliwości służbowe, aby zweryfikować wiarygodność dłużniczki jako potencjalnej najemczyni lokalu. Jednakże nie poprzestała jedynie na tym. Informacje bowiem puściła w eter.

W świetle prawa  osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia. Urzędniczka nie dochowała tajemnicy a wiadomo, kto nie dochowuje tajemnicy musi liczyć się z konsekwencjami.

W tym przypadku dłużniczka skorzystała ze środków prawa cywilnego i wytoczyła urzędniczce powództwo o naruszenie dóbr osobistych. Bezprawność działania urzędniczki była oczywista, co przesądziło jej odpowiedzialność cywilną.

Jednakże to nie koniec bowiem w takim przypadku w grę wchodzi również odpowiedzialność karna. Udostępnienie lub umożliwienie dostępu do danych osobowych przez osobę obowiązaną do ich ochrony osobom nieupoważnionym jest zagrożone karą grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2.

Historia opowiedziana dzisiaj wydarzyła się naprawdę. Nie jest to historia niezwykła czy nieprawdopodobna, większość z nas mogłaby przytoczyć podobną. Tym razem poufne dane osobowe ujawniła pracownica sądu, ale informacje takie są ujawniane przez przedstawicieli różnych zawodów i różnych branż również tych, które są zobowiązane prawem do szczególnej poufności jak na przykład lekarze czy prawnicy.

Kontrola GIODO w sklepie internetowym

Przeprowadzona kontrola sklepu internetowego wykazała, że do momentu dokonania płatności klient sklepu internetowego miał możliwość anulowania zamówienia. Anulowanie zamówienia nie powodowało jednak usunięcia danych osobowych podanych w związku ze składaniem zamówienia. Z chwilą anulowania zamówienia przez klienta dalsze przetwarzanie danych osobowych zebranych przez sklep stało się niezgodne z celem, dla którego  dane zostały zebrane. W konsekwencji Generalny Inspektor uznał, iż naruszono przepisy ustawy o ochronie danych osobowych.

Ile danych osobowych gromadzisz, mimo, iż nie masz ku temu odpowiednich podstaw prawnych. Systemy sklepów internetowych pękają w szwach. Poza formularzami rejestracyjnymi są jeszcze  formularze zapisu na Newslettery, formularze kontaktowe, formularze zapisu do programów lojalnościowych i inne. Wszystkie zbierają dane osobowe.

Przypadek opisany powyżej dotyczy sytuacji, gdy zamówienie zostało anulowane, ale może to być też sytuacja, gdy zamówienie nie zostało zatwierdzone, nie doszło do zawarcia umowy a użytkownik nie dokonał rejestracji w sklepie czy w takiej sytuacji masz prawo przetwarzać jego dane.

Pamiętaj, że przetwarzanie danych jest dozwolone, ale zgodnie z prawem i z poszanowaniem zawartych w nim zasad. Jedną z zasad jest zasada legalności. W celu zgodnego z prawem przetwarzania danych musisz posiadać odpowiednią  do tego podstawę prawną oraz przetwarzać dane w celu, dla którego zostały zebrane zgodnie z zasadą celowości.

W przypadku sklepu internetowego taką podstawą uprawniającą do przetwarzania danych będzie złożenie zamówienia. Dane w takim przypadku będą przetwarzane w celu realizacji zawartej umowy.

W momencie, gdy nie dochodzi do zawarcia umowy lub zamówienie zostaje anulowane a klient nie założył konta w sklepie jego dane powinny być usunięte, gdyż dalsze ich przetwarzanie naruszy prawa osób, których dane dotyczą.

Dane osobowe mogą przetwarzane zgodnie z celem, dla którego zostały zebrane i niepoddawane dalszemu przetwarzanie niezgodnemu z tym celem.

Jest jeszcze jeden ciekawy przypadek warty wspomnienia. Sklepy internetowe czasami wysyłają przypomnienie o niedokończonych zakupach o treści  “w twoim koszyku czekają na ciebie wybrane towary” lub “nie dokończyłeś zakupów co się stało, może jesteśmy w stanie ci pomóc”.

Systemy sprzedażowe sklepów internetowych zapisują dane wpisywane podczas kolejnych kroków składania zamówienia i okazuje się, że przetwarzają je nawet, jeśli finalnie zamówienie nie zostanie złożone lub anulowane. Dodatkowo poddają dane dalszemu przetwarzaniu inicjując kontakty z takim potencjalnym klientem. Są to działania marketingowe, do których niezbędna jest zgoda.

Podczas kontroli GIODO, o której piszę dzisiaj  została wydana decyzja nakazująca usunięcie danych klientów, którzy anulowali zamówienie  z bazy danych sklepu.