Rola i obowiązki Zarządu w procesach bezpieczeństwa
Odpowiedzialność za utrzymanie odpowiedniego poziomu bezpieczeństwa jest przypisana do Zarządu Szpitala, a nie tylko do Działu Informatyki, pełnomocnika ds. Cybezpieczeństwa czy Inspektora Ochrony Danych.
Wymagania przepisów RODO, ustawy o KSC, i standardów branżowych (akredytacji) nawzajem się przeplatają i uzupełniają.
Obowiązki Zarządu – zestawienie
| RODO | KSC | Standardy branżowe / akredytacja |
| Strategia bezpieczeństwa | ||
| Zapewnienie wdrożenia polityk ochrony danych, analizy ryzyka, ocena skutków dla czynności przetwarzania (DPIA), środków technicznych i organizacyjnych. | Zatwierdzenie polityki cyberbezpieczeństwa, wyznaczenie osób odpowiedzialnych, integracja z zarządzaniem ryzykiem. | Wymóg planu zdarzeń nadzwyczajnych, planów szkoleń, polityki podnoszenia kwalifikacji. |
| Organizacja i zasoby | ||
| Powołanie IOD, zapewnienie mu niezależności i zasobów. | Zapewnienie zasobów dla zespołu ds. cyberbezpieczeństwa, udział w krajowych działaniach (CSIRT). | Zapewnienie środków na szkolenia, infrastrukturę, przeglądy urządzeń. |
| Szkolenia | ||
| Zapewnienie cyklicznych szkoleń z ochrony danych i bezpieczeństwa informacji dla całego personelu. | Szkolenia z cyberbezpieczeństwa dla personelu, w tym dla kadry zarządzającej. | Wymóg szkoleń z kontroli zakażeń, jakości, bezpieczeństwa, aparatury medycznej. |
| Nadzór nad dostawcami | ||
| Zawieranie umów powierzenia, weryfikacja środków bezpieczeństwa, prawo audytu dostawcy/podmiotu przetwarzającego. | Wymóg zapewnienia bezpieczeństwa łańcucha dostaw (dostawcy systemów IT, chmura). | Rekomendacje korzystania z dobrych praktyk CeZ przy dokumentacji elektronicznej. |
| Incydenty i naruszenia | ||
| Nadzór nad procedurą zgłaszania naruszeń do UODO, decyzje dotyczące informowania pacjentów, dokumentowanie naruszeń. | Nadzór nad zgłaszaniem poważnych incydentów do CSIRT, współpraca z organami. | Wymóg planu postępowania na wypadek zdarzeń nadzwyczajnych i ćwiczeń ewakuacyjnych. |
| Rozliczalność | ||
| Możliwość wykazania zgodności (dokumentacja, rejestry, raporty z audytów, szkoleń). | Dokumentacja środków bezpieczeństwa, incydentów, audytów KSC. | Dokumentacja szkoleń, przeglądów, planów i ich aktualizacji. |
Podsumowanie – rola Zarządu / dyrekcji:
- nadaje priorytet bezpieczeństwu w strategii Szpitala,
- akceptuje poziom ryzyka (świadomie, na podstawie analizy ryzyka),
- zapewnia budżet na środki bezpieczeństwa, szkolenia i audyty,
- monitoruje wskaźniki (liczba incydentów, wyniki audytów, poziom przeszkolenia personelu).
Rola kadry zarządzającej na poziomie oddziałów/działów – kierownicy oddziałów i działów:
- identyfikują specyficzne ryzyka (np. systemy wspierane przez sztuczną inteligencję – AI, systemy zdalnie nadzorowane przez firmy serwisujące, urządzenia internetu rzeczy -IoT, systemy laboratoryjne),
- dbają o przeszkolenie personelu (w tym z zasad bezpiecznego używania sprzętu),
- egzekwują stosowanie procedur (logowanie, czyste biurko i pulpit, zgłaszanie incydentów),
- współpracują z IOD i zespołem ds. cyberbezpieczeństwa przy analizie incydentów.
