Budowa świadomości w zakresie bezpieczeństwa informacji
Gwarancją sprawnej i skutecznej ochrony aktywów informacyjnych jest zapewnienie odpowiedniego poziomu świadomości wszystkich pracowników oraz zastosowanie przemyślanych rozwiązań organizacyjnych i technicznych.
Wymagania dotyczące zapewnienia bezpieczeństwa informacji regulowane są zarówno aktami prawa, jak i normami ISO.
Najważniejsze akty prawne poruszające kwestie ochrony informacji, w tym danych osobowych, w sektorze usług medycznych to:
Konstytucja.
Ustawa o ochronie danych osobowych.
Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta.
Ustawa o działalności leczniczej.
Ustawa o zawodzie lekarza i lekarza dentysty.
Rozporządzenie Ministra Zdrowia w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania.
Rozporządzenie Ministerstwa Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Inne ustawy np. o zwalczaniu nieuczciwej konkurencji, kodeks cywilny, kodeks pracy, kodeks karny a także dyrektywy Unii Europejskiej.
Czym są dane osobowe?
Dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
Osoba możliwa do zidentyfikowania – osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.
Dane wrażliwe (sensytywne) – dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, dane dotyczące wskazań oraz orzeczeń o ukaraniu i mandatach karnych.
Przetwarzanie danych osobowych – jakiekolwiek operacje wykonywane na danych osobowych (zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i archiwizowanie), a zwłaszcza te, które wykonuje się w systemach informatycznych.
Przetwarzanie danych wrażliwych dopuszczalne jest wyłącznie na podstawie bezpośredniego zezwolenia w Ustawie lub pisemnej zgody osoby, tylko wtedy, gdy:
– osoba, której dane dotyczą, wyrazi na to zgodę, chyba że chodzi o usunięcie dotyczących jej danych.
– jest to niezbędne dla realizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa.
– jest to konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą.
– jest to niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego.
– jest to niezbędne dla wypełniania prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.
Podmiot udzielający świadczeń zdrowotnych udostępnia dokumentację medyczną:
– pacjentowi lub jego przedstawicielowi ustawowemu,
– osobie upoważnionej przez pacjenta,
– upoważnionym instytucjom i organom.
Ustawa o zwalczaniu nieuczciwej konkurencji jako dodatkowa regulacja w zakresie ochrony informacji przedsiębiorców
Czynem nieuczciwej konkurencji jest działanie sprzeczne z prawem lub dobrymi obyczajami, jeżeli zagraża lub narusza interes innego przedsiębiorcy lub klienta.
Przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża lub narusza interes przedsiębiorcy, stanowi czyn nieuczciwej konkurencji.
Tajemnica przedsiębiorstwa to nieujawnione do wiadomości publicznej informacje techniczne, technologiczne i organizacyjne przedsiębiorstwa lub inne informacje posiadające wartość gospodarczą, co do których przedsiębiorca podjął niezbędne działania w celu zachowania ich poufności.
Norma ISO 27001 „System zarządzania bezpieczeństwem informacji”
Norma ISO 27001 określa, w jaki sposób można doskonalić proces zarządzania bezpieczeństwem informacji i zapewniać coraz lepszą ochronę aktywów informacyjnych. Standard ten dostarcza kompletną listę celów kontrolnych i zabezpieczeń. W wyniku ich wdrożenia i stosowania zarząd upewnia się, że ochrona dotyczy wszystkich aspektów bezpieczeństwa informacji.
Sam proces zarządzania bezpieczeństwem Informacji działa bazując na wynikach procesu zarządzania ryzykiem. W rezultacie zarząd może skierować odpowiednie środki tam gdzie doszukano się największego ryzyka.
Główne korzyści wynikające z wdrożenia ISO 27001 przedstawiają się następująco:
-
- spełnienie wymogów prawnych,
- obniżenie kosztów,
- lepsza ochrona aktywów informacyjnych,
- wzrost świadomość BI,
- redukcja czasu na badanie naruszeń bezpieczeństwa.
Chcesz dowiedzieć więcej na ten temat więcej? Weź udział w certyfikowanym szkoleniu Luqam i zdobądź widzę na temat wymagań ISO 27001!