I. Fejezet: Általános rendelkezések 3. II. fejezet: Fogalmak 3. III. fejezet: Az adatkezelés célja 5

Átírás

1

2 TARTALOMJEGYZÉK I. Fejezet: Általános rendelkezések 3 II. fejezet: Fogalmak 3 III. fejezet: Az adatkezelés célja 5 IV. fejezet: Az adatvédelemért felelős személyek és feladataik 7 V. fejezet: Betegtájékoztatás felvételkor és jelentkezéskor 8 VI. fejezet: Gyógyszolgáltatásnál jelenlévőkre vonatkozó szabályok 8 VII. fejezet:az iratokba való betekintés, betegadatokról információ adás 9 VIII. fejezet Adattovábbítás, adatszolgáltatás 10 IX. fejezet: Az egészségügyi dokumentáció megőrzésének és megsemmisítésének rendje 12 X. fejezet: Az adatbeviteli, adatkezelési, adattárolási és adatmentés szabályai 12 XI. fejezet: Adatkezeléssel és adatfeldolgozással foglalkozó személyek adatkezelési oktatása 20 XII. fejezet: Számítógépes programok 20 XIII. fejezet: Záró rendelkezések 21 2

3 I. Fejezet: Általános rendelkezések 1. A szabályzat célja: A szabályzat célja meghatározni és szabályozni az egészségi állapotra vonatkozó különleges személyes adatok és az azokhoz kapcsolódó személyes adatok kezelésének feltételeit és céljait. Személyes adatot csak törvényes cél eléréséhez szükséges esetekben és mértékben lehet kezelni. 2. A szabályzat hatálya kiterjed: Az intézet egész területére, valamennyi dolgozójára, valamint az intézettel kapcsolatba került vagy kerülő, illetve annak szolgáltatásait igénybe vevő természetes személyre (továbbiakban érintett), függetlenül attól, hogy beteg-e vagy egészséges, valamint a törvény előírásai szerint kezelt, az érintettre vonatkozó egészségügyi és személyazonosító adatokra. 3. Alkalmazott törvények és rendeletek felsorolása: évi CLIV. törvény az egészségügyről évi XLVII. törvény az egészségügyi és hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről 2011.évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról 62/1997.(XII. 21.) NM rendelet az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésének egyes kérdéseiről II. fejezet Fogalmak 1. Egészségügyi adat: Az érintett testi, értelmi és lelki állapotára, kóros szenvedélyére, valamint a megbetegedés, illetve az elhalálozás körülményeire, a halál okára vonatkozó, az általa vagy róla más személy által közölt, illetve az egészségügyi ellátó hálózat által észlelt, vizsgált, mért, leképzett vagy származtatott adat; továbbá az előzőekkel kapcsolatba hozható, az azokat befolyásoló mindennemű adat (pl.: magatartás, környezet, foglalkozás). 2. Személyazonosító adat: A családi és utónév, leánykori név, a nem, a születési hely és idő, az anya leánykori családi és utóneve, a lakóhely, a tartózkodási hely, a társadalombiztosítási azonosító jel (a továbbiakban: TAJ szám) együttesen, vagy ezek közül bármelyik, amennyiben alkalmas vagy alkalmas lehet az érintett azonosítására. 3

4 3. Személyes adat: A meghatározott természetes személlyel (a továbbiakban: érintett) kapcsolatba hozható adat, az adatból levonható az érintett személyre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. 4. Különleges adat: - A faji eredetre, a nemzeti, nemzetiségi és etnikai hovatartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más meggyőződésre, - Az egészségi állapotra, a kóros szenvedélyre, a szexuális életre valamint a büntetett előéletre vonatkozó személyes adatok. 5. Adatkezelés: Az alkalmazott eljárástól függetlenül a személyes adatok gyűjtése, felvétele és tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) és törlése. Adatkezelésnek számít az adatok megváltoztatása és további felhasználásuk megakadályozása is. 6. Adatfeldolgozás: Az adatkezelési műveletek, technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől. 7. Adattovábbítás: Ha az adatot meghatározott harmadik személy számára hozzáférhetővé teszik. 8. Nyilvánosságra hozatal: Ha az adatot bárki számára hozzáférhetővé teszik. 9. Adatkezelő: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely a személyes adatok kezelésének célját meghatározza, az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, illetőleg a végrehajtással adatfeldolgozót bízhat meg. Kötelező adatkezelés esetén az adatkezelés célját és feltételeit, valamint az adatkezelőt az adatkezelést elrendelő törvény vagy önkormányzati rendelet határozza meg. Adatkezelő: a betegellátó, az intézményvezető, adatvédelmi felelős 10. Adatfeldolgozó: Az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely az adatkezelő megbízásából személyes adatok feldolgozását végzi. 11. Adattörlés: Az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk nem lehetséges. 4

5 12. Gyógykezelés: Minden olyan tevékenység, amely az egészség megőrzése, továbbá a megbetegedések megelőzése, korai felismerése, megállapítása, gyógyítása, a megbetegedés következtében kialakult állapotromlás szinten tartása vagy javítása céljából az érintett közvetlen vizsgálatára, kezelésére, ápolására, orvosi rehabilitációjára, illetve mindezek érdekében az érintett vizsgálati anyagainak feldolgozására irányul, ideértve a gyógyszerek, gyógyászati segédeszközök, gyógyfürdőellátások kiszolgálását, a mentést és betegszállítást, valamint a szülészeti ellátást is. 13. Orvosi titok: A gyógykezelés során az adatkezelő tudomására jutott egészségügyi és személyazonosító adat, továbbá a szükséges vagy folyamatban lévő, illetve befejezett gyógykezelésre vonatkozó, valamint a gyógykezeléssel kapcsolatban megismert egyéb adat. 14. Egészségügyi dokumentáció A gyógykezelés során a betegellátó tudomására jutott egészségügyi és személyazonosító adatokat tartalmazó feljegyzés, nyilvántartás vagy bármilyen más módon rögzített adat, függetlenül annak hordozójától vagy formájától. 15. Kezelést végző orvos: Az érintett gyógykezelést végző vagy abban közreműködő orvos. 16. Betegellátó: A kezelést végző orvos, az egészségügyi szakdolgozó, az érintett gyógykezelésével kapcsolatos tevékenységet végző egyéb személy, a gyógyszerész 17. Közeli hozzátartozó A házastárs, az egyenes ágbeli rokon, az örökbe fogadott, a mostoha- és nevelt gyermek, az örökbe fogadó, a mostoha- és nevelőszülő, valamint a testvér és az élettárs. 18. Sürgős szükség: Az egészségi állapotban hirtelen bekövetkezett olyan változás, amelynek következtében azonnali egészségügyi ellátás hiányában az érintett közvetlen életveszélybe kerülne, illetve súlyos vagy maradandó egészségkárosodást szenvedne. III.fejezet Az adatkezelés célja 5

6 1. Az egészségügyi és személyazonosító adat kezelésének célja: - Az egészség megőrzésének, fenntartásának előmozdítása - A betegellátó eredményes gyógykezelési tevékenységének elősegítése - Az érintett egészségi állapotának nyomon követése - A közegészségügyi és járványügyi érdekből szükségessé váló intézkedések megtétele - 2. Egészségügyi és személyazonosító adatot az (1) bekezdésben meghatározottakon túl a törvényben meghatározott esetekben - az alábbi célból lehet kezelni: - Egészségügyi szakemberképzés - Orvos-szakmai és epidemiológiai vizsgálat, elemzés, az egészségügyi ellátás tervezése - Statisztikai vizsgálat - Tudományos kutatás - Az egészségügyi adatot kezelő szerv vagy személy hatósági vagy törvényességi ellenőrzését, szakmai vagy törvényességi felügyeletét végző szervezetek munkájának elősegítése, ha az ellenőrzés célja más módon nem érhető el, valamint az egészségügyi ellátásokat finanszírozó szervezetek feladatainak ellátása - A társadalombiztosítási, illetve szociális ellátások megállapítása, amennyiben az az egészségi állapot alapján történik. Hatósági eljárásokban: - Bűnüldözés, továbbá a rendőrségről szóló 1994.évi XXXIV. törvényben meghatározott feladatok ellátására kapott felhatalmazás körében bűnmegelőzés, - Közigazgatási eljárás - Szabálysértési eljárás - Ügyészségi eljárás - Bírósági eljárás Az érintettek érdekében: - Az érintettek nem egészségügyi intézményben történő elhelyezése, gondozása - A munkavégzésre való alkalmasság megállapítása függetlenül attól, hogy ezen tevékenység munkaviszony, közalkalmazotti és közszolgálati jogviszony, hivatásos szolgálati viszony vagy egyéb jogviszony keretében történik. 3. Adatkezelési célokra csak annyi és olyan egészségügyi, illetve személyazonosító adat kezelhető, amely az adatkezelési cél megvalósításához elengedhetetlenül szükséges. 4. Az Intézeten belül az egészségügyi és személyazonosító adat kezelésére jogosult: - a betegellátó - a szakmai vezető - az adatvédelmi felelős 5. Az egészségügyi és személyazonosító adatok kezelése és feldolgozása során biztosítani kell az adatok biztonságát véletlen vagy szándékos megsemmisítéssel, megsemmisüléssel, megváltoztatással, károsodással, nyilvánosságra kerüléssel szemben, továbbá, hogy azokhoz illetéktelen személy ne férjen hozzá. 6. Az egészségügyi dokumentációban szereplő hibás egészségügyi adatot az adatfelvételt követően úgy kell kijavítani vagy törölni, hogy az eredetileg felvett adat megállapítható legyen. 6

7 IV. fejezet Az adatvédelemért felelős személyek és feladataik 1. Az Intézeten belül az egészségügyi és személyazonosító adatok védelméért, a nyilvántartás megőrzéséért a szakmai vezető a felelős. 2. A szakmai vezető tevékenysége során: a) gondoskodik az adatvédelmi szabályok betartatásáról, b) ellenőrzi az adatkezelők és adatfeldolgozók adatkezeléssel, illetve adatfeldolgozással összefüggő tevékenységét, c) kezdeményezi az adatvédelem, illetve az adatbiztonság területén kifejlesztett új technológiák és eszközök alkalmazását, d) biztosítja az adatkezeléssel és adatfeldolgozással foglalkozó személyek adatkezelési oktatását, e) tudományos kutatás esetén engedélyezi az orvosi dokumentációba való betekintést, f) kijelöli az adatvédelmi felelőst, g) ellenőrzi az adatvédelmi felelős tevékenységét, h) gondoskodik az intézmény adatvédelmi szabályzatának elkészíttetéséről, i) dönt a kötelező nyilvántartási időt követően a nyilvántartott adatok további tárolásáról vagy megsemmisítéséről. 3. A (2) bekezdés a)-e) pontokban meghatározott feladatokat az ügyvezető döntése alapján az intézmény adatvédelmi felelőse is elláthatja. 4. Adatvédelmi felelősnek jelölhető: - Szakorvos szakképesítéssel rendelkező orvos, vagy - legalább 2 év joggyakorlattal rendelkező jogi egyetemi végzettségű személy, vagy - felsőfokú végzettségű, az egészségügyi adatkezelésben legalább 2 év gyakorlatot szerzett személy. 5. Adatvédelmi felelős feladatai: a) elkészítteti az intézet általános adatkezelési szabályzatát, b) gondoskodik az adatvédelmi szabályok betartatásáról, c) ellenőrzi az adatkezelők és adatfeldolgozók adatkezeléssel, illetve adatfeldolgozással összefüggő tevékenységét, d) kezdeményezi az adatvédelem, illetve az adatbiztonság területén kifejlesztett új technológiák és eszközök alkalmazását, e) biztosítja az adatkezeléssel és adatfeldolgozással foglalkozó személyek adatkezelési oktatását, f) tudományos kutatás esetén engedélyezi az orvosi dokumentációba való betekintést, g) 3 évenként felülvizsgálja az adatkezelési szabályzatot h) intézkedik, hogy az adatkezelő munkaköri leírásában szerepeljenek az adatkezelésre vonatkozó szabályok, 7

8 i) nyilvántartja a kötelező és hivatalos adatszolgáltatási kötelezettségeket és gondoskodik azok előírásszerű teljesítéséről, j) kapcsolatot tart az ellátási területen dolgozó orvosokkal a korszerű és biztonságos adatcsere elősegítése céljából. 6. Az adatkezelők feladatai: a) A személyes adatok kezelésének célját meghatározza, b) az adatkezelésre vonatkozó döntéseket meghozza és végrehajtja, illetőleg c) a végrehajtással adatfeldolgozót bízhat meg, d) gondoskodik arról, hogy az általuk kezelt adatokhoz és adathordozókhoz illetéktelenek ne juthassanak hozzá. A munkájuk során tudomásukra jutott egészségügyi információkat a jogosultak kivételével senkivel nem közölhetik. A titoktartási kötelezettség a munkaviszony megszűnése után is fennmarad. V. fejezet Betegtájékoztatás felvételkor és jelentkezéskor 1. A beteget az első jelentkezése, illetőleg felvétele alkalmával tájékoztatni kell arról, hogy ellátása során egészségügyi és a hozzájuk kapcsolódó személyes adatainak rögzítésére és kezelésére is sor kerül, szigorúan az adatvédelmi előírások betartásával. 2. A beteg dokumentációjának azonosíthatóságát a jelenlegi rendszer biztosítja( beteg neve, betegazonosító, ellátás dátuma, születési dátum, TAJ szám) 3. Az azonosíthatóságot támogatja az ambuláns lapot lezáró orvos aláírása, pecsétje. VI. fejezet A gyógy-szolgáltatásnál jelenlévőkre vonatkozó szabályok 1. A gyógykezelés során a kezelést végző orvoson és egyéb betegellátó személyeken kívül általában csak az lehet jelen, akinek az ottlétéhez a beteg hozzájárul. 2. Fogva tartott személy vizsgálatánál jelen lehet a rendőrség hivatásos állományú tagja vagy büntetés-végrehajtási szervezet szolgálati jogviszonyban lévő tagja, ha a gyógykezelést végző betegellátó biztonsága, illetve a szökés megakadályozása céljából erre szükség van. 3. A beteg hozzájárulása nélkül is jelen lehet az, aki az adott betegség miatt őt korábban kezelte. 4. Jelen lehet, akinek erre szakmai-tudományos célból a szakmai vezető vagy az adott egység adatvédelméért felelős vezetője engedélyt adott, kivéve, ha ez ellen az érintett kifejezetten tiltakozik. 8

9 5. A jelenlévő(k)nek az érintett beteg emberi jogait és méltóságát tiszteletben kell tartani. VII. fejezet Az iratokba való betekintés, betegadatokról információ adás 1. Az érintett személy (vagy törvényes képviselője) jogosult tájékoztatást kapni a gyógykezeléssel összefüggésben történő adatkezelésről, a rá vonatkozó egészségügyi és személyazonosító adatokat megismerheti, az orvosi dokumentációba betekinthet, valamint az ambuláns lapról saját költségére másolatot kaphat. Az adat kiadásának tényét és időpontját a dokumentációban rögzíteni kell. 2. Az érintett halála esetén törvényes képviselője, közeli hozzátartozója, valamint örököse írásos kérelem alapján jogosult a halál okával összefüggő vagy összefüggésbe hozható, továbbá a halál bekövetkezését megelőző gyógykezeléssel kapcsolatos egészségügyi adatokat megismerni, az orvosi dokumentációba betekinteni, valamint azokról saját költségére másolatot kapni. 3. Információt kaphat az is, aki erre a betegtől személyre szóló, írásos felhatalmazással bír. 4. A betegellátót az érintett választott háziorvosa, valamint az igazságügyi orvos szakértő kivételével a titoktartási kötelezettség köti azzal a betegellátóval szemben is, aki az orvosi vizsgálatban, a kórisme megállapításában, illetve a gyógykezelésben nem működött közre, kivéve, ha az adatok közlése a kórisme megállapítása vagy az érintett további gyógykezelése érdekében szükséges. 5. Telefonon információ általában nem adható. Kivételt képez, ha a kétséget kizáróan az illetékes kezelőorvos vagy a felvilágosítást nyújtó által személyesen ismert, jogosult hozzátartozó jelentkezik. 9

10 VIII. fejezet Adattovábbítás, adatszolgáltatás 1. Az egészség megőrzése, a gyógykezelés elősegítése, az érintett egészségi állapotának nyomon követése, közegészségügyi-járványügyi célból: - Az egészségügyi ellátó hálózaton belül az egészségügyi és személyazonosító adatok továbbíthatók, illetve összekapcsolhatók. A különböző forrásból származó egészségügyi és személyazonosító adatokat csak addig az időpontig és olyan mértékig lehet összekapcsolni, ameddig az a megelőzés, a gyógykezelés, a közegészségügyi-járványügyi intézkedések megtételéhez feltétlenül szükséges. - Az érintett betegségével kapcsolatba hozható minden olyan egészségügyi adat továbbítható, amely a gyógykezelés érdekében fontos, kivéve ha ezt az érintett írásban kifejezetten megtiltja. Ennek lehetőségéről a továbbítás előtt az érintettet tájékoztatni kell. - Sürgős szükség esetén a kezelést végző orvos által ismert, a gyógykezeléssel összefüggésbe hozható minden egészségügyi és személyazonosító adat továbbítható az érintett hozzájárulása nélkül is. Sürgős szükség, valamint az érintett belátási képességének hiánya esetén az önkéntességet vélelmezni kell. - A kezelést végző orvos az általa megállapított, az érintettre vonatkozó egészségügyi adatokról az érintettet közvetlenül tájékoztatja, és amennyiben az érintett ezt kifejezetten nem tiltotta meg azokat továbbítja az érintett választott háziorvosának. - Az érintett (vagy törvényes képviselője) köteles hozzájárulni az adatközléshez, ha valószínűsíthető vagy beigazolódott, hogy valamely fertőző betegségben szenved, ha szűrő- és alkalmassági vizsgálatok elvégzéséhez van szükség, heveny mérgezés esetén, az adatszolgáltatásra a magzat, illetve a kiskorú gyermek gyógykezelése, egészségi állapotának megőrzése vagy védelme érdekében van szükség. - A tüdőgondozó intézetek a tuberkulózis előfordulása esetén további személyek veszélyeztetésére tekintettel - egymás között továbbíthatják az érintett kontaktusaira vonatkozó személyazonosító adatok közül a családi és utónevet, a leánykori nevet, a lakóés tartózkodási helyet. 2. Epidemiológiai vizsgálatok, elemzések elkészítéséhez: - Daganatos eredetű betegség észlelése esetén a betegellátó továbbítja az érintett egészségügyi és személyazonosító adatai a Nemzeti Rákregiszternek. - Az EüM irányítása alá tartozó országos szervek és intézetek - saját szakterületükön kezelhetik az esetszám meghatározása céljából a cél eléréséig az érintett TAJ számát és egészségügyi adatait, a személyazonosító adatai közül azokat, amelyek önmagukban nem teszik lehetővé az érintett személyének azonosítását (nem, életkor, irányítószám). 3. Statisztikai célú adatszolgáltatás - Az érintett egészségügyi adatai statisztikai célra személyazonosításra alkalmatlan módon kezelhetők. 10

11 - Az érintett egészségügyi és személyazonosító adata statisztikai célú felhasználásra személyazonosításra alkalmas módon az érintett hozzájárulásával adható át.. 4. Tudományos kutatás céljára - Tudományos kutatás céljából a szakmai vezető vagy az adatvédelmi felelős engedélyével lehet a tárolt adatokba betekinteni. - Tudományos közleményben nem szerepelhetnek egészségügyi és személyazonosító adatok oly módon, hogy megállapítható legyen az érintett személyazonossága. - A tárolt adatokról nem készíthető személyazonosító adatokat tartalmazó másolat. - A tárolt adatokba betekintett személyekről, a betekintés céljáról és időpontjáról nyilvántartást kell vezetni, melyet 10 évig meg kell őrizni. - A kutatási kérelem megtagadását a szakmai vezető vagy az adatvédelmi felelős írásban köteles megindokolni. A kérelem megtagadása esetén a kérelmező bírósághoz fordulhat. 5. Adattovábbítás a Társadalombiztosítás szerveinek: - Az OEP és az ONYF részére abban az esetben továbbítható egészségügyi és személyazonosító anyag, ha: arra az érintettnek járó társadalombiztosítási ellátások megállapítása, folyósítása céljából van szükség, a társadalombiztosítási ellátások folyósításának ellenőrzése céljából kérik. 6. Adattovábbítás az egészségügyi ellátó hálózaton kívüli szerv megkeresésére - Kötelező az adattovábbítás az alábbiakban felsorolt szervek írásbeli megkeresésére: Büntetőügyben nyomozó hatóság, az ügyészség, a bíróság, az igazságügyi orvos szakértő, Polgári és közigazgatási ügyben az ügyészség, a bíróság, az igazságügyi orvos szakértő, Szabálysértési eljárás során az eljárást lefolytató szervek, Hadköteles személy esetén az illetékes jegyző, a hadkiegészítő parancsnokság, illetve a katonai egészségügyi alkalmasságot megállapító bizottság, Nemzetbiztonsági szolgálatok részére. - A kezelést végző orvos a nyomozó hatóságot a halaszthatatlan intézkedés jelzéssel ellátott, külön jogszabályban előírt ügyészi jóváhagyást nélkülöző megkeresésre is köteles tájékoztatni az általa kezelt, az adott üggyel összefüggő egészségügyi és személyazonosító adatokról. - Haladéktalanul jelenteni kell a rendőrségnek az olyan sérült adatait, aki 8 napon túl gyógyuló sérülést szenvedett és a sérülés feltehetően bűncselekmény következménye. A jelentés a kezelőorvos feladata. A betegdokumentációban rögzíteni kell a jelentés megtörténtét. 11

12 - Közigazgatási eljárás, illetve az érintett intézményi elhelyezése, gondozása céljából akkor lehet az egészségügyi és személyi adatot továbbítani, ha arra az érintett jogainak érvényesítéséhez vagy kötelezettségei teljesítéséhez van szükség. - Amennyiben az érintett egészségügyi adatai más személyt is érintenek, akkor az egészségügyi és személyi adatok továbbításához e harmadik személy írásbeli hozzájárulását is be kell szerezni. - A személyazonosításra alkalmatlan egészségügyi adat időbeli és térbeli korlát nélkül továbbítható. IX. fejezet Az egészségügyi dokumentáció megőrzésének és megsemmisítésének rendje 1. Az egészségügyi dokumentációt az adatfelvételtől számított legalább 30 évig, a zárójelentést legalább 50 évig kell megőrizni. 2. Az adatok a kötelező nyilvántartási időt követően amennyiben gyógykezelés vagy tudományos kutatás érdekében ez indokolt továbbra is nyilvántarthatók. Ellenkező esetben azokat meg kell semmisíteni. 3. Képalkotó diagnosztikai eljárással készült felvételt, valamint a felvétel esetén az arról készített leletet kell legalább 30 évig megőrizni. 4. Az intézet dokumentációját a jogutód veszi át. 5. Ha az Intézet jogutód nélkül szűnik meg: - a tudományos jelentőségű egészségügyi dokumentációt a levéltár, - az egyéb dokumentációt az ÁNTSZ területileg illetékes intézménye veszi át. X. fejezet Adatbeviteli, adatkezelési, adattárolási és adatmentési szabályok Az adatkezelési rendszer általános biztonsági előírásai 1. Adatkezelési célokra csak annyi és olyan egészségügyi illetve személyazonosító adat kezelhető, amely az adatkezelési cél megvalósításához elengedhetetlenül szükséges. 2. A betegtől felvett, a gyógykezelése érdekében szükséges adatokat nyilván kell tartani. Erre alkalmas minden olyan adattárolási eszköz, módszer, technika, amely biztosítja az adatok védelmét és meggátolja, hogy a védett adatok illetéktelen személyek tudomására jussanak. 3. A felvett dokumentációban szereplő hibás egészségügyi adatot úgy kell kijavítani vagy törölni, hogy az eredetileg felvett (hibás) adat is megállapítható legyen. 12

13 4. A rendelőkben, vizsgáló- és kezelőhelyiségekben semmilyen beteg vagy személyes adatot tartalmazó iratot (lelet, ambuláns lap, stb.) nem lehet olyan helyre elhelyezni, ahol illetéktelen személy az adatokhoz hozzáférhet. Az ilyen iratok elzárásáról azokban az irodákban, illetve személyzeti helyiségekben is gondoskodni kell, ahol az iratkezelőn és az illetékes személyeken kívül más, illetéktelen személy is megfordulhat. 5. Az előzőekben adott előírások nem csak az érintettől felvett adatokra vonatkoznak, hanem valamennyi részére adott gyógy-szolgáltatással kapcsolatos egészségügyi- és hozzájuk kapcsolódó személyes adatra, amelyek akár intézményünkben készültek, akár adattovábbítás útján külső intézménytől került a szolgáltatási dokumentációba. 6. Minden adatkezeléssel foglalkozó személy munkája közben köteles az elvárható legnagyobb gondossággal eljárni az adatok hitelessége, megőrzése és az illetéktelen hozzáférés megakadályozása érdekében. (A beteg állapotára vonatkozó adatokat orvos és egészségügyi dolgozó másik orvosnak és egészségügyi dolgozónak csak abban az esetben adhat át, amennyiben az a beteg ellátásához szükséges és csak az ellátáshoz indokolt mértékben továbbíthat adatokat.) 7. Minden adathordozó tárolása és továbbítása során az adathordozó jellegének megfelelően gondoskodni kell arról, hogy esetleges baleset- és tűz esetén az adatvesztés elkerülhető legyen. 8. Figyelembe kell venni az ellátott betegek és minden személy jogát a rá vonatkozó adatok megismerésére, az adatok felett való rendelkezés tekintetében a jogszabályi kereteken belül. Az adatkezelési rendszer környezetének védelme 1. Azokban a helyiségekben, amelyekben személyes vagy egészségügyi adatok kezelése történik, csak az alábbi személyek tartózkodhatnak munkavégzés céljából jelen lévő személyek az intézményben gyógykezelt személy, ha ellátása az adott helyiségben történik az intézményben gyógykezelt személy hozzátartozója, az előző pont szerinti feltétel esetén 2. Az intézmény informatikai rendszeréhez tartozó - akár hálózatba kapcsolt, akár önállóan működő - számítógépein csak az intézménnyel jogviszonyban álló személy dolgozhat, azokban a rendszerekben, amelyre a jogviszony felhatalmazza. 3. Egészségügyi vagy személyes adatokat tartalmazó - akár elektronikus, akár hagyományos - adathordozó kezelésében csak az intézménnyel munkavégzésre irányuló jogviszonyban álló dolgozó vehet részt. 4. Egészségügyi vagy személyes adatokat tartalmazó - akár elektronikus, akár hagyományos - adathordozó nyitott helyiségben őrizetlenül nem hagyható. Az adatok sérülésének, illetve elvesztésének megelőzésére, a következmények felszámolására tervezett intézkedések 1. A hagyományos adathordozók tárolásakor a fizikai védelem biztosításán túl az általános ügyirat kezelési és iktatási szabályok szerint kell eljárni az adatok visszakereshetőségének érdekében. 13

14 2. Az elektronikus adathordozón tárolt adatokról nyomtatott másolatot kell készíteni akkor, ha a visszakereshetőség biztonsága az elektronikus rendszerben a hagyományos adatkezelés biztonságánál számottevően rosszabb, vagy ha erről külön jogszabály intézkedik. 3. Az elektronikus adattárolás biztonsága érdekében minden adatról olyan gyakorisággal kell mentést készíteni, hogy az esetleges adatvesztés esetén az utolsó elmentett állapot alapján az adatok jelentős nehézség nélkül visszaállíthatók legyenek. Az utolsó mentés után végzett módosítások rekonstruálhatósága érdekében szükség esetén papír alapú másolatot kell tartani a következő mentésig. 4. Nem kell mentést készíteni az elektronikusan tárolt adatokról abban az esetben, ha a tárolóeszköz műszaki és fizikai biztonsága a papíron történő szakszerű adattárolás biztonságát számottevően meghaladja. 5. Az adatok védelme érdekében különös figyelemmel kell lenni a számítógép-vírusok terjedésére. Minden adathordozót, vagy az internetről letöltött file-t, vírusmentesség szempontjából az első felhasználás előtt ellenőrizni kell. Az adatkezelési rendszer sérülése, illetve károsodása esetére tervezett intézkedések 1. Helyre nem állítható, vagy csak jelentős nehézséggel helyreállítható adatvesztés esetén értesíteni kell a részleg, vagy az intézmény adatvédelmi felelősét (a probléma természetének megfelelően). 2. Az adatvédelmi felelős szükség esetén az adott részleg, illetve az intézmény vezetését tájékoztatja a történtekről. 3. Jelentős adatvesztés esetén a felelősség kérdését az adatvédelmi felelős bevonásával meg kell vizsgálni. Az adatvesztés tényét, műszaki okát és az elveszett adatok körét - amennyire pontosítható - dokumentálni kell. 4. Adatvesztés veszélyével járó meghibásodás észlelésekor az adatvédelmi felelőst azonnal értesíteni kell. A meghibásodott rendszer használatát lehetőleg meg kell szakítani további intézkedésig. Ez azonban természetesen nem hátráltathatja a munkafolyamatokat úgy, hogy az a betegellátás biztonságát veszélyeztesse, vagy más természetű személyi vagy jelentős anyagi kárt okozzon. 5. Amennyiben lehetséges, az adatok pótlásáról gondoskodni kell. Az ezzel járó többletmunka elvégzéséről szükség esetén a szervezeti egység vezetője intézkedik. A többletmunkáért külön juttatás csak akkor adható, ha a munka mennyisége ezt indokolja és a többletmunkát végző személy nem okolható az adatvesztésért. Az adatok eltulajdonítása elleni védekezés szabályai 1. Az adatok illetéktelen kézbe kerülésének elkerülése céljából az intézmény külső hálózati rendszerén zajló forgalom folyamatos figyelése szükséges - a technikai lehetőségek által biztosított mértékben. 2. Külső hálózati forgalomban személyes egészségügyi adatok csak megfelelő titkosítás mellett és csak a jogszabályok által megengedett adatszolgáltatás esetén lehetséges. 3. Személyes és egészségügyi adat elektronikus levélben közvetlenül, titkosítás nélkül nem továbbítható. 14

15 4. Személyes és egészségügyi adat telefonon csak akkor közölhető, ha az érdeklődő személyazonossága és illetékessége kétely nélkül megállapítható, valamint a telefonvonal lehallgatóságának gyanúja nem áll fenn. 5. Személyes és egészségügyi adat illetéktelen kézbe kerülésekor, vagy gyanú esetén az adatvédelmi felelőst értesíteni kell, függetlenül attól, hogy az eltulajdonítás következtében adatvesztés is bekövetkezett-e (azaz maradt-e példány az intézmény birtokában). 6. Személyes és egészségügyi adat illetéktelen kézbe kerülésekor, vagy gyanú esetén - ha annak jelentősége indokolja - az adatvédelmi felelős javasolja az intézmény vezetésének az illetékes hatóságok értesítését. Az adatkezelő azonosítása, az adatkezelései rendszerbe történő belépés, illetve kilépés 1. Hagyományos adatkezelés (papíron történő) dokumentáció esetén az adatkezelő (az adatrögzítést, vagy módosítást végző személy azonosítása, aláírással történik minden esetben.) 2. A számítógépeken történő adatkezelés esetén az azonosítás a felhasználói név, jelszó segítségével történik. önállóan működő számítógép esetén akkor, ha erre az adott operációs rendszer lehetőséget nyújt hálózati rendszerben minden esetben 3. Minden a hálózati rendszer használatára jogosult személynek egyedi jelszót kell adni. Csoportos jelszó használata tilos, kivéve, ha technikai okból ez elkerülhetetlen. A jelszót csak a felhasználó ismerheti, a jelszót a rendszergazdának vagy harmadik személynek átadni tilos. 4. Lehetőleg korlátozni kell az egy felhasználó számára megengedett többszörös egyidejű belépést, de ez az ésszerű munkaszervezést ne akadályozza. 5. Az illetéktelen személy által megismert jelszót haladéktalanul le kell cserélni. 6. A jelszó titokban tartásáért a felhasználó maga felelős. 7. A névvel és jelszóval történő bejelentkezés után a számítógépet őrizetlenül hagyni nem szabad. Az adatkörök csoportosítása adatkezelők szerint 1) Személyi adatok (dolgozók, stb. adatai) kezelik: a munkaköri beosztás szerint illetékesek 2) Az ellátott betegek személyi és orvosi adatai kezelik: az egészségügyi dolgozók (orvosok, asszisztencia, adminisztrátorok) közül azok, akik az adott beteg ellátásában részt vesznek. 3) Gazdasági adatok (pénzügyi, kapacitásra, teljesítményre, személyi állományra vonatkozó adatok) kezelik: a munkaköri beosztás szerint illetékesek 15

16 4) Egyéb adatok Az adatkezelők jogosultságának nyilvántartása 1. A számítógépes rendszerekben a hozzáférési jogosultságot a helyi, vagy hálózati operációs rendszer tartja nyilván. Az adatkezelési rendszer adminisztrálásának szabályozása 1. A hálózati rendszerek rendszergazdái nyilvántartást vezetnek a hálózati rendszerben kiadott hozzáférési jogokról. E tekintetben az adott operációs rendszer által nyújtott nyilvántartás általában elegendő, külön adminisztráció csak akkor szükséges, ha a felhasználói nevek (user name, account name) alapján a felhasználó személye nem lenne azonosítható. 2. Törekedni kell olyan rendszerek bevezetésére, amelyek a rendszer jelentősebb eseményeit (belépések, jogosulatlan belépési kísérletek, futási hibák, hardware meghibásodások) automatikusan naplózzák. Ezeket az elektronikus formában készült eseménynaplókat rendszeres időközökben elemezni és/vagy archiválni kell. Megőrzésük addig szükséges, amíg bennük lévő információ felhasználása reálisan szükséges lehet. Az adatok eredetének azonosíthatósága 1. Az adatok eredetének azonosítása hagyományos adatkezelés esetében az aláíráson túlmenően olvasható név, a szervezeti egység (részleg) nevének vagy azonosítójának, külső forrásból származó adat esetén az intézmény - személy - nevének, illetve azonosítójának feltüntetésével történhet. 2. Adatok utólagos módosítása esetén a módosítás dátumát, a módosítást végző személy nevét vagy azonosítóját minden esetben fel kell tüntetni, indokolt esetben a módosítás okának és egyéb körülményeinek megjelölésével. A módosítást úgy kell elvégezni, hogy az eredeti adat azonosítható maradjon. Az adatok pontosságának, valódiságának mérése Az adatok pontosságáért az adatokat származtató és rögzítő munkatárs a felelős. Az adatok bevitelekor az egészségügyi dokumentáció vezetésére vonatkozó utasítás, valamint szakmai előírások rendelkezéseit maradéktalanul be kell tartani. AZ ADATKEZELÉSI RENDSZERBŐL, ILLETVE AZ ABBA IRÁNYULÓ ADATFORGALOM SZABÁLYOZÁSA Az egészségügyi adatok forgalmára vonatkozó előírások 1. Egészségügyi adat bevitelét, rögzítését csak arra jogosult személy végezheti. 2. A jogosultság alapvető feltétele: a megfelelő egészségügyi ismeret: az adat kezelőjének ismernie kell az adott információ orvosi jelentőségét, az esetleges téves adatbevitel vagy adatvesztés körülményeit. az adott adatkezelési rendszer megfelelő ismerete: hagyományos adminisztráció esetén a klasszikus orvosi-ápolási dokumentáció alapvető szabályainak és konvencióinak ismerete, számítógépes rendszer esetén a legalapvetőbb számítógépkezelői ismeretek és az adott program felhasználói szintű ismerete. 16

17 3. A jogosultság konkrét személy szerinti meghatározása az egyes szervezeti egységek feladata. A szervezeti egység vezetője a helyi adatvédelmi felelőssel szükség esetén erre vonatkozóan írásban is rendelkezhet. 4. Egészségügyi adat közlésére a vonatkozó jogszabályoknak megfelelően kerülhet sor. Az adatközlésre jogosult személy az orvosi titoktartás szabályai szerint köteles eljárni. Feldolgozott, illetve személyazonosításra alkalmatlan adat közlése tudományos céllal a tudományos közlések szakmai és etikai szabályai szerint történhetnek. 5. Elektronikus adat fogadása esetén törekedni kell a vírusmentesség ellenőrzésére. 6. Elektronikus adatközlés esetén törekedni kell a vírusmentességre. Az elküldött adat vírusmentességéről meg kell győződni minden olyan esetben, amikor küldő rendszerben a fertőzöttség konkrét gyanúja, vagy ténye fennáll. 7. Amennyiben a beteg kezelésére, állapotára vonatkozó adatot (egészségügyi dokumentációt) jogszabályban meghatározott esetben külső szervnek kell megküldeni az csak másolatban adható ki. A megkereső szerv nevét címét, a megkeresés okát és a megküldött adatok körét a beteg dokumentációban fel kell tüntetni. Az adattovábbítás külső szervek megkeresése alapján a kezelő orvos feladata, azzal, hogy az évi XLVII. törvény rendelkezései szerint köteles eljárni. A hálózati kommunikációra vonatkozó általános előírások (az Internet szolgáltatások igénybevétele) 1. A hálózati rendszerek feladata, hogy hatékony információcsere lehetőségét biztosítsák mind az intézményen belül, mind a külvilág felé. Ennek az intézmény alapfeladatainak minél magasabb színvonalon történő ellátását kell szolgálnia. A hálózati szolgáltatások igénybevételekor ezt a célt kell szem előtt tartani. A hálózati szolgáltatások hozzáférhetősége érdekében kerülni kell a hálózatok indokolatlan túlterhelését. 2. A hálózati szolgáltatásokat rendeltetésszerűen kell használni. Pl. az elektronikus levelezési rendszert nem szabad nagy tömegű adatok továbbítására használni. Kérdéses esetben a helyi rendszergazda segítségét kell igénybe venni az adott feladat kivitelezésének szakszerű módszeréről. 3. A hálózati szolgáltatások szórakozási célú igénybevétele szigorúan tilos. 4. A hálózat használatára vonatkozó szabályokat szándékosan és ismételten megsértő személyeket az adatvédelmi felelős az Internet szolgáltatásból kizárja. Az adatkezelési rendszer működésének műszaki megbízhatósága 1. Az intézmény mindenkori anyagi helyzetének függvényében törekedni kell az elavult berendezések és alkatrészek folyamatos cseréjére, lehetőleg az üzemképtelenné válás előtt. 2. Adatbiztonság szempontjából megbízhatatlannak minősülő berendezés használata tilos. 17

18 3. A hálózati szervereket, az aktív hálózati egységeket lehetőleg védeni kell az áramkimaradás és áramingadozás következtében beálló adatvesztéstől. 4. Megfelelő elektromos berendezésekkel védekezni kell az áramkimaradás-visszakapcsolás okozta fizikai károsodás ellen. 5. A számítógépek ki- és bekapcsolását csak olyan személy végezheti, aki a szükséges számítástechnikai ismeretekkel - pl. az adatállományok lezárása kikapcsolás előtt - tisztában van. Kétes esetben a számítógépet inkább bekapcsolva kell hagyni, és megfelelő ismeretekkel rendelkező személy segítségé kell kérni. Ezen követelményre a számítógépek elhelyezésére szolgáló helyiségek takarító személyzete figyelmét fel kell hívni. 6. Hibajelenség észlelésekor az észlelt hibát azonnal rögzíteni kell (a jelenség leírása, a hibaüzenet kinyomtatása vagy lejegyzése révén), a munkát - hacsak alapvető betegellátási érdek meg nem követeli - fel kell függeszteni, és a rendszergazda vagy más hozzáértő személy segítségét kell kérni. 7. A berendezéseket csak a műszaki előírásoknak megfelelő módon szabad használni. (pl. tilos a nyomtatókba az előírásnak nem megfelelő papírt, kazettát, stb. helyezni). 8. Kerülni kell a számítógépek fölösleges mozgatását. 9. A berendezések rendszeres tisztántartásról gondoskodni kell, de azt csak a műszaki előírásoknak megfelelően szabad elvégezni. Az adatkezelési rendszer karbantartásának szabályozása 1. A rendszergazda a hozzá tartozó berendezések műszaki megbízhatóságát rendszeresen ellenőrzi, a műszaki leírásokban megadott kötelező karbantartási feladatokat elvégzi. 2. A kopásnak kitett tartozékok (pl. festékkazetta) időben történő cseréjéről az eszköz használójának vagy az adott rendszer gazdájának gondoskodni kell. 3. A software rendszerek karbantartását a rendszer leírásának - ennek hiányában a rendszer ismert tulajdonságainak - megfelelően kell végezni (pl. állományok mentése). Ezt a rendszergazdának kell figyelemmel kísérnie. Az adatkezelési rendszer dokumentálására vonatkozó előírások szabályozása 1. A hardware és software rendszerek szállítóitól meg kell kívánni a rendszerek magyar nyelvű dokumentációját. Ennek hiányában a szállítónak folyamatos segítségnyújtást ("help desk" funkció) kell biztosítani. 2. A belső fejlesztésű rendszerek esetében is törekedni kell a megfelelő rendszerdokumentáció elkészítésére. Ezt kötelezően el kell készíteni akkor, ha a rendszert teljes mélységében az intézményben egyetlen személy ismeri. Az adatkezelési rendszer megváltoztatásának szabályai, átmeneti rendelkezések a műszaki változtatás és fejlesztés időszakára 1. Az adatkezelési rendszerek fejlesztésére vonatkozóan stratégiát kell kidolgozni, melyet az intézmény vezetése hagy jóvá. 18

19 2. A stratégiának a korszerű rendszerekre vonatkozó elveken és szabványokon kell alapulnia, a lehető legteljesebb mértékig biztosítva a moduláris fejleszthetőséget, az integrált működést és a platformfüggetlenséget. 3. A stratégia kidolgozása és elfogadása után csak olyan változtatás hajtható végre, amely megfelel az elfogadott stratégiának. Ettől eltérni csak akkor lehet, ha azt jogszabály követeli meg. 4. A fejlesztéseket és az átállásokat úgy kell végrehajtani, hogy a betegellátás folyamatosságát ne zavarja. Amennyiben ez nem lehetséges, az átállást előre egyeztetni kell minden érintettel, és a kiesett betegellátási funkció pótlásáról gondoskodni kell. Az adatkezelők munkavégzésre irányuló jogviszonyával összefüggő adatvédelmi vonatkozású kérdések szabályozása 1. Az Adatvédelmi Szabályzat hatálya kiterjed minden személyre, aki az intézménnyel munkavégzésre irányuló jogviszonyban áll. (ld. 1. fejezet) 2. Az Adatvédelmi Szabályzat előírásainak megsértéséből származó károkért az elkövető anyagilag felelős. Az adatot kezelő és az adatkezelési rendszert fenntartó, illetve fejlesztő feladatkörök elválasztása 1. Adatkezelő munkakörök valamennyi orvosi munkakör egészségügyi szakdolgozó, asszisztens, adminisztrátor gazdasági - műszaki igazgatási területen dolgozó adminisztrátor, ügyintéző és vezető 2. Adatkezelési rendszert fenntartó, fejlesztő munkakörök, Informatikai munkatárs 19

20 XI. fejezet Adatkezeléssel és adatfeldolgozással foglalkozó személyek adatkezelési oktatása Az adatvédelmi képzés szabályozása 1. Gondoskodni kell arról, hogy az intézmény minden olyan dolgozója, aki egészségügyi és a hozzájuk kapcsolódó személyes adatot tartalmazó dokumentumot, feljegyzést készít, kezel, tárol, megismer, vagy bármilyen más kapcsolatba kerül velük, munkába állás előtt elsajátítsa az adatvédelemmel kapcsolatos ismereteket. A legfontosabb ismeretek ennek során a következők: Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről szóló évi XLVII. Törvény idevonatkozó előírásai, különös tekintettel az intézményre vonatkozó részekkel. Az intézmény adatkezelési és tárolási rendszere és rendje. A betegjogok témához tartozó előírásai. Az adatok más személynek való átadására vonatkozó szabályok. A Hospitaly integrált betegforgalmi rendszerrel kapcsolatos elméleti és gyakorlati felkészítést a dolgozó az adatvédelmi felelős által kijelölt személy révén kapja meg. 2. Az adatvédelmi felelős, illetve informatikus a továbbképzésen szerzett ismereteket a dolgozók felé oktatás, tájékoztatás keretében továbbítani kötelesek. XII. fejezet Számítógépes program BETEGNYILVÁNTARTÁS 1. Hospitaly program, amely rendelkezik - betegfelvételi és elbocsátási, - diagnózis és beavatkozás kódoló, - jelentő modullal. Napi mentés: informatikus végzi Archiválás: informatikus végzi 20

21 XIII. fejezet Záró rendelkezések Az Adatkezelési és Adatvédelmi Szabályzatot szükség esetén, de legalább 3 évenként felül kell vizsgálni. 21