RODO w gabinecie: 10 najprostszych wdrożeń, które realnie zmniejszają ryzyko

W gabinecie lekarskim przetwarzane są dane szczególnej kategorii (dane o zdrowiu). W praktyce ryzyko najczęściej nie wynika z braku rozbudowanych dokumentów, tylko z braku kilku podstawowych zasad, tj. kontroli dostępu, uporządkowania upoważnień, spójnej współpracy z dostawcami IT oraz procedury działania, gdy dojdzie do incydentu.

Poniżej znajdziesz 10 wdrożeń „minimum”, które można wdrożyć w małym gabinecie i w niewielkiej placówce. Każde z nich jest proste, możliwe do udokumentowania i ma bezpośredni wpływ na redukcję ryzyka.

Zasada ogólna: dokumenty mają wspierać praktykę, nie odwrotnie

RODO wymaga zabezpieczeń adekwatnych do ryzyka oraz zdolności wykazania, że gabinet działa w sposób uporządkowany. W praktyce oznacza to połączenie dwóch elementów: (1) realnych środków technicznych i organizacyjnych oraz (2) krótkiej dokumentacji, która potwierdza, że te środki funkcjonują w zespole.

10 prostych wdrożeń

Mapa danych w gabinecie

Zacznij od mapy. Odpowiedz jakie dane przetwarzasz, w jakich narzędziach i kto ma do nich dostęp. Nie chodzi o audyt „na kilkanaście stron”, tylko o uporządkowanie faktów.

• Kanały: EDM, dokumentacja papierowa, e-mail, telefon, SMS, komunikatory, formularze www, newsletter, webinary.
• Cele: udzielanie świadczeń, rozliczenia, kontakt z pacjentem, marketing (newsletter), rekrutacja/HR.
• Dostawcy: system EDM, hosting, poczta, platforma newsletterowa, platforma webinarowa, księgowość, serwis IT.

Rejestr czynności przetwarzania – wersja praktyczna

Rejestr czynności przetwarzania w ochronie zdrowia zwykle jest zasadny, ponieważ przetwarzane są dane o zdrowiu. W praktyce rejestr ma pełnić funkcję spisu treści, czyli co przetwarzamy i na jakich zasadach.

• Dla każdego procesu: kategorie danych, kategorie osób, cel, podstawa, odbiorcy, retencja, środki bezpieczeństwa.
• Ustal jedną osobę odpowiedzialną za aktualizację (np. właściciel gabinetu / kierownik rejestracji).

Klauzule informacyjne i polityka prywatności – krótkie i spójne

Klauzule informacyjne powinny być czytelne i dopasowane do tego, jak faktycznie działa gabinet. Najczęstszy błąd to kopiowanie wzorów niespójnych z praktyką.

• Oddziel informację dla pacjenta (świadczenia) od informacji dla marketingu (newsletter).
• Wskaż kategorie odbiorców danych (np. dostawcy IT, księgowość, operator płatności).
• Zapewnij dostęp: wersja na stronie www + wersja w gabinecie (wydruk lub kod QR).

Upoważnienia i role – „tyle dostępu, ile potrzeba”

W małych podmiotach ryzyko często wynika z kont współdzielonych, nadmiernych uprawnień i braku ewidencji upoważnień. To obszar, który można uporządkować szybko.

• Każda osoba ma własne konto w systemie (bez kont współdzielonych).
• Ustal role i minimalne uprawnienia: lekarz / pielęgniarka / rejestracja / rozliczenia.
• Prowadź ewidencję upoważnień (kto, od kiedy, do jakich kategorii danych).

Standard weryfikacji tożsamości i udostępniania dokumentacji

Udostępnianie dokumentacji i informacji to jeden z częstych powodów skarg. Zespół powinien działać według jednego standardu.

• Ustal kanały przyjmowania wniosków i sposób potwierdzenia tożsamości w każdym z nich.
• Wprowadź prostą checklistę: pacjent / pełnomocnik / przedstawiciel ustawowy / osoba upoważniona.
• Prowadź rejestr udostępnień: komu, kiedy, jaki zakres, w jakiej formie.

Umowy powierzenia z dostawcami

Jeżeli dostawca ma dostęp do danych (np. EDM, hosting, helpdesk IT, newsletter, platforma webinarowa), co do zasady trzeba uporządkować relację.

• Sprawdź, czy umowa wskazuje przedmiot, czas, charakter i cel przetwarzania oraz obowiązki i prawa administratora.
• Zweryfikuj podwykonawców (subprocesorów) i miejsce przetwarzania danych (w tym transfery poza EOG, jeżeli występują).
• Ustal sposób obsługi incydentów i zgłoszeń (czas reakcji, kanał kontaktu, zakres wsparcia).

Zabezpieczenie kont i urządzeń: MFA, aktualizacje, szyfrowanie

W praktyce incydenty często zaczynają się od poczty elektronicznej albo telefonu służbowego. Proste zabezpieczenia znacząco ograniczają ryzyko.

• Włącz uwierzytelnianie wieloskładnikowe (MFA) dla poczty i paneli administracyjnych.
• Wymuś politykę haseł, blokadę ekranu i automatyczne aktualizacje.
• Szyfruj urządzenia mobilne; włącz możliwość zdalnego usunięcia danych (w razie utraty).

Kopie zapasowe i test odtwarzania – bezpieczeństwo to także dostępność

RODO wymaga zapewnienia poufności, integralności i dostępności. Kopie zapasowe bez testu odtwarzania nie spełniają swojej funkcji w sytuacji kryzysowej.

• Zasada 3–2–1: trzy kopie, dwa różne nośniki, jedna kopia poza lokalizacją.
• Test odtworzenia co najmniej raz na kwartał (z krótką notatką/protokołem).
• Ustal docelowy czas przywrócenia działania (RTO) i osobę odpowiedzialną.

Retencja i bezpieczne niszczenie: przechowuj tyle, ile trzeba

Mniej danych to mniejsze ryzyko. Retencja powinna wynikać z przepisów oraz uzasadnionych potrzeb gabinetu. Dotyczy to zarówno dokumentacji medycznej, jak i korespondencji czy materiałów marketingowych.

• Ustal okresy przechowywania dla kluczowych kategorii danych i dokumentów.
• Wprowadź zasady niszczenia papieru i bezpiecznego usuwania danych z nośników.
• Zapisz, kto zatwierdza niszczenie/usunięcie oraz jak to dokumentujesz.

Procedura naruszeń danych (0–72 godziny): jedna karta działania

Najwięcej ryzyk powstaje wtedy, gdy po incydencie nie ma uporządkowanych działań: brak faktów, brak oceny ryzyka, brak decyzji co do zgłoszenia. Wystarczy procedura na jednej stronie, używana w praktyce.

• Zabezpieczenie: ogranicz skutki (blokada kont, zmiana haseł, odłączenie urządzenia, kontakt z dostawcą IT).
• Fakty: co się stało, jakie dane, ilu pacjentów, czy doszło do ujawnienia lub utraty danych.
• Ocena ryzyka: czy incydent może powodować ryzyko naruszenia praw i wolności osób fizycznych.
• Decyzja o zgłoszeniu: w razie potrzeby zgłoszenie do Prezesa Urzedu Ochrony Danych Osobowych w terminie 72 godzin od stwierdzenia naruszenia.
• Komunikacja z osobami, których dane dotyczą, gdy ryzyko jest wysokie rozważ zawiadomienie bez zbędnej zwłoki.
• Dokumentacja i wnioski: opisz działania i wdrożenie środków zapobiegawczych.

DPIA i IOD: kiedy „minimum” przestaje wystarczać

DPIA (ocena skutków dla ochrony danych) to narzędzie stosowane wtedy, gdy dany sposób przetwarzania prawdopodobnie wiąże się z wysokim ryzykiem dla praw i wolności osób. IOD (inspektor ochrony danych) jest wymagany w określonych przypadkach, a w innych może być decyzją organizacyjną.

Sygnały, że warto rozważyć DPIA

• Wdrożenie nowych technologii lub procesów, które istotnie zmieniają sposób przetwarzania danych (np. narzędzia AI).
• Systematyczne i rozbudowane przetwarzanie danych o zdrowiu w większej skali lub w złożonych integracjach systemów.
• Rozwiązania o charakterze monitoringu lub stałej obserwacji w określonej przestrzeni (jeżeli są planowane).

Sygnały, że trzeba przeanalizować obowiązek IOD

• Główna działalność obejmuje przetwarzanie danych szczególnej kategorii na dużą skalę lub regularne monitorowanie.
• Podmiot ma wiele lokalizacji, duży wolumen pacjentów lub scentralizowane, złożone systemy IT.

Kiedy to już konsultacja 1:1

Konsultacja zwykle jest zasadna, jeżeli:

• doszło do incydentu lub naruszenia danych i trzeba ocenić obowiązki zgłoszeniowe oraz komunikację,
• wdrażasz nowe narzędzia (telemedycyna, monitoring, AI, rozbudowane EDM) i chcesz ocenić ryzyka oraz ewentualną DPIA,
• korzystasz z wielu dostawców chmurowych i chcesz uporządkować powierzenia oraz transfery danych,
• zespół nie ma spójnego standardu udostępniania dokumentacji i weryfikacji uprawnień.

Disclaimer

Niniejszy artykuł ma charakter edukacyjny i informacyjny. Nie stanowi porady prawnej ani opinii prawnej w indywidualnej sprawie. W przypadku konkretnych sytuacji prawnych rekomendujemy konsultację z prawnikiem.