Podstawy prawne cyberbezpieczeństwa i ochrony danych

Zapewnienie cyberbezpieczeństwa jest obowiązkiem prawnym, a nie jedynie problemem technicznym.

Kluczowe akty prawne z których ten obowiązek wynika, to:

• Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC);
• Rozporządzenie o ochronie danych osobowych (RODO);
• Standardy akredytacyjne szpitali.

Ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) – Szpital jako operator usługi kluczowej ma obowiązek:

Zarządzać ryzykiem w cyberbezpieczeństwie:

• Zidentyfikować systemy kluczowe dla funkcjonowania Szpitala: HIS, RIS/PACS, systemy laboratoryjne, systemy zasilania awaryjnego, itd.
• Przeprowadzić analizę ryzyka, wdrożyć adekwatne środki techniczne i organizacyjne.
• Powiązać je z planami ciągłości działania i planem na wypadek zdarzeń nadzwyczajnych.

Zapewnić organizację bezpieczeństwa:

• Wyznaczyć osoby odpowiedzialne za cyberbezpieczeństwo.
• Zapewnić regularne szkolenia z zakresu cyberbezpieczeństwa dla personelu (w tym dla kadry zarządzającej).
• Opracować i wdrożyć polityki i procedury bezpieczeństwa (zarządzanie dostępem, kopie zapasowe, aktualizacje, korzystanie z poczty i Internetu).

Zarządzać incydentami:

• Posiadać i stosować procedury wykrywania, klasyfikacji i obsługi incydentów.
• Zgłaszać poważne incydenty do właściwego CSIRT (krajowego zespołu reagowania na incydenty bezpieczeństwa komputerowego NASK, MON, GOV) w wymaganych terminach.
• Współpracować z CSIRT i organami nadzorczymi.

Prowadzić dokumentację i przeprowadzać audyty:

• Dokumentować stosowane środki bezpieczeństwa i stwierdzone incydenty;
• Poddawać się kontrolom i audytom (KSC, NFZ, UODO, akredytacja).

Rozporządzenie o ochronie danych osobowych (RODO) – obowiązki administratora (Zarządu Szpitala) obejmują:

Określenie zasad przetwarzania danych:

• Zapewnić zgodność przetwarzania z zasadami: legalności, minimalizacji, integralności i poufności, ograniczenia celu i retencji (art. 5 RODO).

Zapewnienie niezbędnych środków technicznych i organizacyjnych:

• Wdrożyć odpowiednie środki zapewniające poziom bezpieczeństwa adekwatny do ryzyka (art. 32 RODO): m.in. pseudonimizacja, szyfrowanie, zapewnienie poufności, integralności, dostępności i odporności systemów, zdolność szybkiego przywrócenia dostępności, regularne testowanie środków bezpieczeństwa.

Wykonywać analizę ryzyka:

• Przeprowadzać regularną analiza ryzyka dla naruszenia praw i wolności pacjentów oraz personelu.
• Wykonywać analizę ryzyka i ocenę skutków dla czynności przetwarzania przed zastosowaniem nowych technologii i/lub zmian organizacyjnych.
• Dokumentować wyniki analiz i podjęte decyzje.

Zapewnić szkolenia:

• Zapewnić cykliczne szkolenia personelu w zakresie ochrony danych i bezpieczeństwa informacji.
• Budować kulturę zapewnienia bezpieczeństwa informacji.

Wyznaczyć Inspektora Ochrony Danych (IOD):

• Powołanie IOD, zapewnienie mu zasobów, zagwarantowanie niezależności.
• Zapewnienie udziału IOD we wszystkich sprawach dotyczących ochrony danych.

Rejestrować i obsługiwać incydenty:

• Zapewnienie stosowania procedur wykrywania, rejestrowania i przetwarzania incydentów.
• Zgłaszanie naruszeń do UODO w ciągu 72 godzin, informowania osób, których dane dotyczą gdy zostaje stwierdzone wysokie ryzyko, prowadzenie rejestru naruszeń.

Respektować prawa pacjentów:

• Zapewnić realizację prawa do informacji o przetwarzaniu danych.
• Zapewnić realizację praw pacjenta jako podmiotu danych (dostęp do danych, sprostowanie, ograniczenie, sprzeciw, kopia danych).

Stosować umowy powierzenia w przypadku zlecenia przetwarzania:

• Zawierać umowy powierzenia z podmiotami przetwarzającymi, weryfikować ich środki bezpieczeństwa, egzekwować prawo do audytu.
• Określić wymagania wobec podmiotów przetwarzających (dostawcy systemów IT, chmury).

Standardy akredytacyjne szpitali – wymagają m.in.:

• Zapewnienia bezpieczeństwa przetwarzania danych, ustalonych zasad dostępu, przechowywania i ich udostępniania, wykonywania kopii bezpieczeństwa.
• Planu postępowania na wypadek zdarzeń nadzwyczajnych, ciągłości działania w przypadku awarii systemów informatycznych.
• Posiadania systemów zasilania awaryjnego i ich regularnego testowania.
• Wykonywania planowych przeglądów i konserwacji urządzeń.
• Polityki szkoleń, w tym z zakresu bezpieczeństwa.