IT Medical IT Medical
IT Medical

Bezpieczeństwo i RODO

Bezpieczeństwo — bo dane medyczne to nie dane sklepowe Dane medyczne to szczególna kategoria danych osobowych (art. 9 RODO) — obejmują: stan zdrowia, diagnozy, wyniki badań, przebieg leczenia, leki, d...

Bezpieczeństwo — bo dane medyczne to nie dane sklepowe

Dane medyczne to szczególna kategoria danych osobowych (art. 9 RODO) — obejmują: stan zdrowia, diagnozy, wyniki badań, przebieg leczenia, leki, dane genetyczne, dane biometryczne. Najwyższy poziom ochrony prawnej. Naruszenie: kary UODO do 20 mln EUR / 4% obrotu + odpowiedzialność karna + utrata zaufania pacjentów.

Ransomware — zagrożenie nr 1

Szpitale są celem nr 1 ataków ransomware na świecie. Dlaczego: dane krytyczne (bez HIS szpital się zatrzymuje), presja czasu (pacjenci nie mogą czekać), skłonność do płacenia (alternatywa to paraliż placówki). Główny wektor ataku: phishing (email z załącznikiem lub linkiem, który ktoś kliknie). Jak się bronimy: segmentacja sieci (ransomware nie przejdzie z sieci administracyjnej do medycznej), regularne aktualizacje systemów, EDR/XDR na stacjach roboczych, backup offline (air-gapped — niedostępny z sieci), plan reagowania na incydenty (kto dzwoni, kto odłącza, kto odtwarza), szkolenia personelu (rozpoznawanie phishingu, zgłaszanie podejrzanych wiadomości).

Dokumentacja bezpieczeństwa

Obowiązkowa: polityka ochrony danych osobowych, instrukcja zarządzania systemem informatycznym, rejestr czynności przetwarzania, analiza ryzyka, DPIA (ocena skutków dla ochrony danych — obowiązkowa przy przetwarzaniu danych medycznych na dużą skalę). Przygotowujemy, aktualizujemy i utrzymujemy tę dokumentację — i wspieramy placówkę podczas kontroli UODO.

Kontrola dostępu

Zasada minimalnych uprawnień: lekarz widzi swoich pacjentów, nie wszystkich. Rejestratorka widzi dane rejestracyjne, nie dokumentację medyczną. IT nie widzi danych medycznych — administruje systemem, nie czyta historii chorób. Audit trail: każdy dostęp do danych pacjenta logowany (kto, kiedy, do czego). Monitoring: regularne sprawdzanie logów (czy ktoś oglądał dane pacjentów, których nie leczy?).

Szkolenia

80% naruszeń bezpieczeństwa zaczyna się od człowieka. Szkolimy: rozpoznawanie phishingu, polityka haseł (nie na karteczce pod klawiaturą!), procedura zgłaszania incydentów, bezpieczne używanie pendrive/email/telefonu. Szkolenia regularne (nie jednorazowe) — bo zagrożenia ewoluują.

Bezpieczeństwo i RODO - image 1
Home Bezpieczeństwo i RODO