Xevin Consulting - Blog Blog

W dzisiejszym wpisie kontynuuję tematykę ochrony danych osobowych w działalności firm i instytucji medycznych/farmaceutycznych, którą zapoczątkowałem rozważaniami na temat wymogów stawianych sponsorom badań medycznych.

Tym razem chciałbym przyjrzeć się przepisowi zawartemu w § 60 rozporządzenia Ministra Zdrowia z dnia 21 grudnia 2006 r. w sprawie rodzajów i zakresu dokumentacji medycznej w zakładach opieki zdrowotnej oraz sposobu jej przetwarzania, który określa wymogi jakie muszą być spełnione przy przechowywaniu dokumentacji medycznej.

Na początku należy zaznaczyć, że wymieniony wyżej przepis odnosi się tylko do dokumentacji prowadzonej w postaci elektronicznej. Zgodnie z nim dokumentację prowadzoną w postaci elektronicznej uważa się za zabezpieczoną, jeżeli w sposób ciągły są spełnione łącznie następujące warunki:

• zapewniona jest jej dostępność wyłącznie dla osób uprawnionych,
• jest chroniona przed przypadkowym lub nieuprawnionym zniszczeniem,
• są zastosowane metody i środki ochrony dokumentacji, których skuteczność w czasie ich zastosowania jest powszechnie uznawana.

Zabezpieczenie dokumentacji prowadzonej w postaci  elektronicznej wymaga w  szczególności:

• systematycznego dokonywania analizy zagrożeń,
• opracowania i stosowania procedur zabezpieczania  dokumentacji i systemów ich przetwarzania, w tym procedur dostępu oraz przechowywania,
• stosowania środków bezpieczeństwa adekwatnych do zagrożeń,
• bieżącego kontrolowania funkcjonowania wszystkich organizacyjnych i techniczno-informatycznych sposobów zabezpieczenia, a także okresowego dokonywania oceny skuteczności tych sposobów

Z powyższej krótkiej analizy wynika, że administrator danych (np. ZOZ) przetwarzający dane zawarte w dokumentacji medycznej musi, oprócz dopełnienia obowiązków przewidzianych w ustawie o ochronie danych osobowych i jej aktach wykonawczych, spełnić jeszcze wymogi zawarte w przepisie szczególnym, jakim jest wskazane na początku tej notki rozporządzenie.