IME - XVI. Országos Egészségügyi Infokommunikációs Konferencia

Átírás

1 IME - XVI. Országos Egészségügyi Infokommunikációs Konferencia Előadó: Nagy István Állami Egészségügyi Ellátó Központ Gottsegen György Országos Kardiológiai Intézet Informatikai osztályvezető május 17.

2 Mi az? Két éve tudjuk, hogy jön, mégse állunk sehogy a felkészüléssel! 1 - Egy régóta érő, fontos új szabályozás, amely végre rendesen megvédi az emberek jogait. 2 - Egy bürokratikus rémálom, ami már akkor elavult volt, amikor kitalálták, és azóta csak nyúlik, mint a rétestészta, és többet árt, mint használ. 3 Egy új speciális büntető törvénykönyv.

3

4 Milyen hatással van a intézményekre? 1. Felsővezetői és dolgozói oktatások 2. Elkészül az intézeti Adatleltár 3. Belső folyamatok felmérése (kockázat minimalizálás) 4. GDPR konform hozzájárulások elkészítése 5. GDPR konform nyilvántartások kialakítása 6. Hatásvizsgálat elkészítése 7. Elkészülnek az Adatkezelési tájékoztatások 8. Adatkezelést végző szerződéses partnerek nyilatkoztatása, szerződés kiegészítések elkészítése 9. Kidolgozásra kerül az érdekmérlegelés módszertana 10. Belső adatvédelmi tisztviselő 11. Kamera rendszer használatának GDPR konformmá tétele 12. Adattovábbítási feladatok felülvizsgálata a GDPR elvárásai szerint 13. Munkavállalók tevékenységének szabályozása (Internet használat, levelezés, telefon használat, eszköz használat, beléptető rendszer, ) 14. Belső szabályzatok átalakítása 15. Incidenskezelési eljárás kialakítása 16. Az érintett személyek adatvédelmi jogainak gyakorlása esetén irányadó eljárások kidolgozása és bevezetése (pl. információ kérés adatkezelésről, adatok helyesbítésének kérése, adatzárolás, másolat kérés a tárolt adatokról, ) 17. Hatósági audit (NAIH) 18. Folyamatos ellenőrzés és kontroll kialakítása

5

6

7 Legfontosabb GDPR folyamatok GDPR-Hungary

8 GDPR szerepkörök Nagyon fontos, hogy tisztában legyünk a GDPR szerepkörök megnevezésével és azok funkcióival. Az egészségügyi intézmények számára nagyon fontos, hogy a saját folyamataira vonatkozóan értelmezze a GDPR szerepköröket, majd a Intézményi folyamatokat a szerepkörökre vonatkozó GDPR előírások alapján szabályozzuk.! Érintett: az adatkezelés alanya, akinek a személyes adatai kezelésre kerülnek. Adatkezelő: aki kezeli az Érintett adatait, egy vállalat esetén a cég minden olyan dolgozója, aki az adatokba betekinthet. Adatfeldolgozó: aki az Adatkezelő megbízásából kapcsolatba kerül (feldolgozza, tárolja) az Érintett adataival, azonban tovább nem adhatja azokat. Címzett: aki részére az Adatkezelő átadja az adatokat, és aki ezeket az adatokat tovább értékesítheti, pl. marketing célokra. Harmadik fél: aki nem Adatkezelő, nem Adatfeldolgozó és nem Címzett, de valamilyen módon kapcsolatba kerül az adatokkal. Adatvédelmi tisztviselő: az Adatkezelő alkalmazottjaként vagy külső megbízottjaként ő felel az adatvédelmi előírások betartásáért. GDPR-Hungary

9 Kihívások a GDPR kapcsán Személyes adat fogalma és kezelése Biometrikus adatok kezelése Informatika új szerepkörben Fő tevékenység Adatvédelmi tisztviselő Álnevesítés kérdése Az elfeledtetéshez való jog Jogos érdek fogalma Érdekmérlegelés Rendszeres és szisztematikus megfigyelés Kamerás megfigyelés Jogi kötelezettségek technológiai megvalósítása

10 Mi a személyes adat? A rendelet szövege szerint minden személyes adat, ami alapján egy ember azonosítható, például a név, telefonszám, lakcím, helyadatok, cím és más online azonosítók ugyanúgy, mint az illető "testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó" tényezők. Ezen belül külön kategóriát és extra védelmet élveznek az olyan különleges személyes adatok, mint a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, szakszervezeti tagságra, szexuális életre vagy szexuális irányultságra vonatkozó adatok, illetve a genetikai, biometrikus és egészségügyi adatok. A GDPR tehát az egyik oldalról mindenkit érint, hiszen ilyen-olyan személyes adatait mindenkinek kezeli valamilyen szervezet. A másik oldalról pedig minden olyan cégre, szervezetre vonatkozik, amely személyes adatot gyűjt, kezel, tárol, dolgoz fel vagy használ.

11 Biometrikus azonosítás

12 A biometrikus adatok kezelése 1. Mintavétel az adatbázishoz: ujjlenyomat, kéz, tenyér, hang, stb. beolvasása mindenkiről, aki az azonosítási rendszerben érintett lesz. 2. Adatbázis létrehozása: a fiziológiás jellemzőkről beolvasott mintákat, illetve az azokból készült bináris kódot nevesítve, személyhez rögzítve eltárolja a rendszer. 3. Felhasználói mintavétel: a rendszer beolvassa az aktuális mintát az azonosítandó személyről, és ezt kódolja, ha szükséges. 4. Ellenőrzés vagy azonosítás: a beolvasott aktuális mintát a szoftver összeveti az adatbázisban rögzített adatokkal. Bármilyen biometrikus azonosítás felveti a személyes adatok feletti rendelkezés jogi kérdését!

13 Az informatika új szerepkörben A kórházakban a gyógyítást tekintettük eddig a fő tevékenységnek. Az informatikai rendszerek az egészségügyi intézményekben kiszolgáló tevékenységnek számítottak eddig május 25-től a GDPR értelmezésében Az egészségügyi adatok kezelése, nyilvántartása Fő tevékenységnek számít!

14 Fő tevékenység* A fő tevékenységek az adatkezelő vagy az adatfeldolgozó céljainak eléréséhez szükséges legfontosabb műveleteket jelentik. E tevékenységek körébe tartozik az összes olyan tevékenység is, amely során az adatkezelés az adatkezelő vagy az adatfeldolgozó tevékenységének elválaszthatatlan részét képezi. Az egészségügyi adatok kezelését, például a betegek egészségügyi nyilvántartását a kórházak egyik fő tevékenységének kell tekinteni. A kórház azonban nem tudná biztonságosan és hatékonyan biztosítani az egészségügyi ellátásokat egészségügyi adatok kezelése, például a betegek egészségügyi nyilvántartása nélkül. Ezért ezeknek az adatoknak a kezelését a kórház egyik fő tevékenységének kell tekinteni, emiatt a kórházaknak adatvédelmi tisztviselőt kell kijelölni. wp243rev01_hu.pdf *GDPR 37. cikk (1) bekezdésének b) és c) pont b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé; c) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

15 Rendszeres és szisztematikus megfigyelés A GDPR nem határozza meg az érintettek rendszeres és szisztematikus megfigyelésének fogalmát de a WP29 wp243 segít ebben A Munkacsoport értelmezése szerint a rendszeres kifejezés jelentése az alábbiak közül egy vagy több: Folyamatosan vagy bizonyos időközönként történik egy adott időszakban Meghatározott időpontokban ismétlődő vagy megismétlik Folyamatosan vagy időszakosan történik Példák olyan tevékenységekre, amelyek során az érintettek rendszeres és szisztematikus megfigyelésére kerülhet sor: egészségügyi adatok megfigyelése viselhető eszközökön keresztül

16 Adatvédelmi tisztviselő A GDPR 37. cikkének (1) bekezdése előírja, hogy adatvédelmi tisztviselőt három esetben kell kijelölni: a) ha az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik; b) ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé; vagy c) ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

17 Az álnevesítés kérdése (28) A személyes adatok álnevesítése csökkentheti az érintettek számára a kockázatokat, valamint segíthet az adatkezelőknek és az adatfeldolgozóknak abban, hogy az adatvédelmi kötelezettségeiknek megfeleljenek. (26) Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Az álnevesített személyes adatok, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó adatnak kell tekinteni. Átgondoltan és körültekintően szabad csak használni az álnevesítést!

18 Az elfeledtetéshez való jog - 1 A legtöbb fejfájást a személyes adatok törlése fogja okozni, mert egyáltalán nem magától értetődő, hogy egy rendszer képes-e erre. Az egészségügyben működő egészségügyi informatikai rendszerekben a teljes törlési funkció egyszerűen nincs definiálva. Sőt kifejezetten tilos volt eddig! A 2011 óta hatályos Infotv. sokkal markánsabban beszél az adattörlés mivoltáról: kerek-perec kimondja, hogy az számít adattörlésnek, amely után az adat már nem helyreállítható többé ez pedig igen erős célzás a végletes, helyreállíthatatlan adattörlés folyamatára.

19 Az elfeledtetéshez való jog - 2 Ez azt jelenti, hogy ha valaki kéri a törlést, akkor nekem elő kell szedni az archivált szalagokat és az adatbázisokból ki kell törölni a vonatkozó személyes adatokat? Igen azt jelentené, de ez technológiailag több okból sem megvalósítható. Egyrészt az alkalmazások nem így lettek fejlesztve, ha adatbázisból kitörölnek adatokat, az az egész adatbázis integritására káros hatással lehet, másrészt meg egy ilyen művelet időben és munkafolyamatban is aránytalan terhet jelent a Szervezetre. Én úgy gondolom, hogy (erre hivatkozik a GDPR is), hogy ha valami nem, vagy csak aránytalan költség mellett megvalósítható, akkor sajnos azt maradványkockázatként viselni kell (nyilván azzal, hogy akkor meghozunk olyan adminisztratív intézkedéseket, amelyekkel csökkenthető a kockázat). Meg kell tenni, amit lehet, de amit nem lehet, vagy nem vagyunk képesek megtenni, azzal nincs értelme foglalkozni.

20 Jogos érdek fogalma GDPR 6 cikk (1) A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben.. f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek évi CXII. törvény 6 1.b pontja b) az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. Ki kell alakítani a jogos érdek érvényesítéséhez az érdekmérle gelés módszertanát!

21 A jogi kötelezettségek technológiai megvalósíthatósága Nézzük azt a 32. Cikkelyt (1) Az adatkezelő és az adatfeldolgozó a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak érdekében, hogy a kockázat mértékének megfelelő szintű adatbiztonságot garantálja. Fordítás Magyarról- Magyarra (1) Ha tárolsz és kezelsz személyes adatot, a tevékenységed és a tevékenységedet fenyegető kockázatok (és mellékhatások) figyelembe vételével alkalmazz (üzemeltess, használj, szerezz be, fejlessz) műszaki és adminisztratív védelmet és valósíts meg átlátható folyamatokat annak érdekében, hogy a kezelt adatok biztonságban legyenek.* *

22 Kamerás megfigyelés Mi van akkor, ha a munkavállaló nem egyezik bele, nem nyilatkozik, hogy felvételt készítsenek róla munkavégzés közben? Ha a jogos érdek fennáll, akkor tudatni kell-e vele? A jogos érdek az cél és nem a hely de olyan helyiségeket ahol a munkavállalók a pihenő idejüket töltik, tölthetik ahol nincs vagyon védelmi cél. Legyen hozzá dokumentált érdekmérlegelési vizsgálat mert azt a NAIH azonnal kéri Nem igazán jogos érdek a munkavállaló munkájának a megfigyelése, azt más technológiákkal kell megfigyelni. A vagyon és személyvédelem, személybiztonság, bűnmegelőzés amit meg lehet indokolni. Ehhez is kell azonban tájékoztató kiadása, csak akkor jogszerű a használata. E mellett a kamerák üzemeltetői (akik vagy adatfeldolgozók lesznek vagy nem, attól függ mihez férnek hozzá), szintén kötelesek bizonyos dokumentáció előkészítésre és adatbiztonság követelményeinek való megfelelésre. Ha jogos érdek, azaz 6. cikk (1) bek. f) pont, akkor felejtsük el a vagyonvédelmi törvényt: az f) pontban a magyar jogalkotó nem kapott felhatalmazást jogalkotásra... Ezeket a felvételeket 15 napon belül jogszerű megőrizni, utána csak akkor, ha valamilyen incidenst rögzített. Itt valószínűleg elkerülhetetlen az egyeztetés egy szakjogásszal! évi CXXXIII. Törvény a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól

23 Már csak 7 nap!

24 Albert Einstein szerint: "Az őrültség legbiztosabb jele, hogy ha mindig mindent ugyanúgy csinálsz, mégis más eredményt vársz.