Instrukcja postępowania z dokumentacją medyczną

Samodzielny Publiczny Zakład Opieki Zdrowotnej w Choszcznie

Polityka Bezpieczeństwa Informacji

ul. M. Niedziałkowskiego 4A, 73-200 Choszczno

tel. +48 95 7652438 fax.: +48 95 7652410

 

Załącznik nr 1 do Zarządzenia nr 48/2015 Dyrektora SPZOZ w Choszcznie z dnia 14.10.2015 r.

 

INSTRUKCJA

POSTĘPOWANIA Z DOKUMENTACJĄ MEDYCZNĄ

w Samodzielnym Publicznym Zakładzie Opieki Zdrowotnej

w Choszcznie

 

Załączniki:

Choszczno, 14 października 2015 r.

 

Podstawa prawna:

1. Ustawa o działalności leczniczej z dnia 15 kwietnia 2011r. (T. j. Dz. U. z 2015 roku, poz. 618, ze zm.),

2. Ustawa z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta (T. j. Dz. U.
z 2012, poz. 159, ze zm.),

3. Ustawa z dnia 5 grudnia 1996 r. o zawodzie lekarza, lekarza dentysty (Dz. U. z 2015 r., poz. 464, ze zm.),

4. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (T. j. Dz. U. z 2014 roku, poz. 1182, ze zm.),

5. Rozporządzenie Ministra Zdrowia z dnia 21 grudnia 2010 r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (T. j. Dz. U. z 2014 roku, poz. 177, ze zm.).

Rozdział I

Postanowienia ogólne

§ 1.

1. Instrukcja postępowania z dokumentacją medyczną w Samodzielnym Publicznym Zakładzie Opieki Zdrowotnej w Choszcznie ma na celu ustalenie jednolitych zasad postępowania z dokumentacją medyczną, zgodnie z obowiązującymi w tym zakresie przepisami poprzez:

a) wykonywanie zadań w sposób zgodny z prawem, terminowy i skuteczny;

b) pogłębianie swojej wiedzy zawodowej celem kompetentnego załatwiania spraw;

c) życzliwe i uprzejme traktowanie każdego interesanta;

d) przekazywanie wyczerpujących, jasnych i zrozumiałych informacji dotyczących jego sprawy.

2. Instrukcja w formie papierowej znajduje się w Dziale statystyki medycznej.

3. Instrukcja w formie elektronicznej znajduje się na stronie internetowej Szpitala www.spzozchoszczno.pl

§ 2.

Zakres stosowania

Instrukcja postępowania z dokumentacją medyczną obowiązuje wszystkie osoby zatrudnione w Samodzielnym Publicznym Zakładzie Opieki Zdrowotnej w Choszcznie, niezależnie od formy zatrudnienia.

§ 3.

Ilekroć w niniejszej Instrukcji mowa jest o:

1. Szpitalu - należy przez to rozumieć w Samodzielnym Publicznym Zakładzie Opieki Zdrowotnej w Choszcznie

2. Dyrektorze - należy przez to rozumieć powołanego przez Zarząd Powiatu Choszczeńskiego Kierownika w Samodzielnym Publicznym Zakładzie Opieki Zdrowotnej w Choszcznie, który ponosi odpowiedzialność za zarządzanie Szpitalem;

3. Medycznej komórce organizacyjnej - należy przez to rozumieć komórkę organizacyjną, w szczególności Oddział, Pracownię, wchodzącą zgodnie ze Statutem Szpitala w skład Pionu Lecznictwa;

4. Komórce organizacyjnej - należy przez to rozumieć wyodrębnioną w schemacie organizacyjnym strukturę organizacyjną Szpitala;

5. Kierowniku komórki organizacyjnej - należy przez to rozumieć kierownika wyodrębnionej w schemacie organizacyjnym struktury organizacyjnej Szpitala;

6. Dokumentacji medycznej - należy przez to rozumieć określone w ustawie oraz przepisach odrębnych dane i informacje medyczne odnoszące się do stanu zdrowia pacjenta lub udzielonych mu w podmiocie leczniczym świadczeń zdrowotnych;

7 Instrukcji - należy przez to rozumieć niniejszą Instrukcję postępowania z dokumentacją medyczną w Samodzielnym Publicznym Zakładzie Opieki Zdrowotnej w Choszcznie;

8. Polityce Bezpieczeństwa Informacji - należy przez to rozumieć przestrzeganie zasad bezpieczeństwa informacji, zbiór zasad i procedur obowiązujących przy zbieraniu, przetwarzaniu i wykorzystywaniu danych osobowych we wszystkich zbiorach.

9. Za dane osobowe - uważa się wszelkie informacje dotyczące osoby fizycznej, już zidentyfikowanej, lub możliwej do zidentyfikowania. Osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić pośrednio lub bezpośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

10. Za dane osobowe „wrażliwe" (sensytywne) rozumie się dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

11. Bezpieczeństwo informacji - to zachowanie poufności, integralności i dostępności informacji, gdzie:

a) Poufność - jest zdefiniowana jako zapewnienie, że informacja jest dostępna jedynie osobom upoważnionym;

b) Integralność - jest zdefiniowana jako zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania;

c) Dostępność - jest zdefiniowana jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne.

 

§ 4.

Odpowiedzialność i uprawnienia

1 ) Administrator Bezpieczeństwa informacji - za nadzorowanie zasad stosowania niniejszej instrukcji;

2) Ordynatorzy/Kierownicy komórek organizacyjnych - za wdrożenie i nadzorowanie zasad stosowania niniejszej instrukcji w obrębie oddziału, komórki organizacyjnej;

3) Sekretariaty medyczne - za przestrzeganie zasad stosowania niniejszej instrukcji, udzielanie przystępnej informacji osobom zainteresowanym;

4) Medyczne komórki organizacyjne/Pozostałe komórki organizacyjne - za przestrzeganie zasad stosowania niniejszej instrukcji, udzielanie przystępnej informacji osobom zainteresowanym;

5) Pracownicy Poradni, Pracowni i izby Przyjęć Szpitala - za przestrzeganie zasad stosowania

niniejszej instrukcji, udzielanie przystępnej informacji osobom zainteresowanym oraz przygotowywanie kopii dokumentacji medycznej (będącej w ich posiadaniu);

6) Kierownik Działu Statystyki Medycznej - za wdrożenie i nadzorowanie zasad stosowania niniejszej instrukcji w obszarze komórki organizacyjnej i Szpitala;

7) Pracownicy Działu Statystyki Medycznej - za:

a) przestrzeganie zasad stosowania niniejszej instrukcji,

b) udzielanie przystępnej informacji osobom zainteresowanym,

c) udostępnianie dokumentacji zgodnie z ustalonymi zasadami,

d) przygotowywanie kopii dokumentów i jej wydawanie oraz wysyłanie dokumentacji osobom uprawnionym, uprawnionym organom i podmiotom zgodnie z niniejszą instrukcją,

e) poświadczanie kopii „za zgodność z oryginałem" na podstawie udzielonych upoważnień

f) naliczanie opłat.

Rozdział II

Zasady ogólne postępowania z dokumentacją medyczną

 

§ 5.

1. Szpital prowadzi dokumentację medyczną pacjentów korzystających ze świadczeń opieki zdrowotnej udzielanych przez medyczne komórki organizacyjne Szpitala, zgodnie z obowiązującymi w tym zakresie przepisami.

2. Dokumentacja medyczna, zwana dalej "dokumentacją", prowadzona jest w postaci papierowej i elektronicznej.

§ 6.

W Szpitalu wdrożono mechanizmy zapewniające regularną ocenę zawartości, kompletności oraz autoryzacji dokumentacji medycznej:

1. Dyrektor Szpitala Zarządzeniem z dnia 15 października 2004r. powołał Komisję ds. Analizy
i Jakości dokumentacji medycznej.

2. Do zadań Komisji należy:

1) monitorowanie zawartości, kompletności oraz autoryzacji dokumentacji medycznej,

2) ocena dokumentacji medycznej jest podstawą do wyciągania wniosków dotyczących zawartości, kompletności oraz autoryzacji w odniesieniu do poszczególnych oddziałów.

3. Przedmiotowa dokumentacja, tj. listy obecności oraz protokoły ze spotkań znajdują się
u Przewodniczącedo Komisji.

§ 7

Szczegółowy zakres danych, które musi zawierać każdy rodzaj dokumentacji został określony w Rozporządzeniu Ministra Zdrowia z dnia 21 grudnia 2010r. w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania (T. j. Dz. U. z 2014 r., poz. 177, ze zm.).

Rozdział III

Zasady udostępniania dokumentacji medycznej

 

§ 8.

W Szpitalu opracowano procedurę udostępniania dokumentacji medycznej, stanowiącą załącznik nr 1 do niniejszej Instrukcji.

§ 9.

1. Szpital udostępnia dokumentację medyczną:

1) pacjentowi lub jego przedstawicielowi ustawowemu;

2) osobie upoważnionej przez pacjenta;

3) upoważnionym Organom.

2. Po śmierci pacjenta, prawo wglądu w dokumentację medyczną ma osoba upoważniona przez pacjenta za życia.

3. Dokumentacja medyczna może być udostępniana także:

1) innym podmiotom udzielającym świadczeń zdrowotnych, jeżeli jest ona niezbędna do zapewnienia ciągłości świadczeń zdrowotnych;

2) organom władzy publicznej, Narodowemu Funduszowi Zdrowia, organom samorządu zawodów medycznych oraz konsultantom krajowym i wojewódzkim, w zakresie niezbędnym do wykonywania przez te podmioty ich zadań, w szczególności kontroli i nadzoru;

3) podmiotom o których mowa w art. 119 ust. 1 i 2 ustawy z dnia 15 kwietnia 2011 roku o działalności medycznej w zakresie niezbędnym do przeprowadzenia kontroli na zlecenie ministra właściwego do spraw zdrowia,

4) Ministrowi właściwemu do spraw zdrowia, sądom, w tym sądom dyscyplinarnym, prokuraturom, lekarzom sądowym i rzecznikom odpowiedzialności zawodowej, w związku z prowadzonym postępowaniem;

5) uprawnionym na mocy odrębnych ustaw organom i instytucjom, jeżeli badanie, którego dotyczy dokumentacja zostało przeprowadzone na ich wniosek;

6) organom rentowym oraz zespołom do spraw orzekania o niepełnosprawności - w związku

z prowadzonym przez nie postępowaniem;

7) podmiotom prowadzącym rejestry usług medycznych - w zakresie niezbędnym do prowadzenia rejestrów;

8) zakładom ubezpieczeń - za zgodą pacjenta;

9) komisjom lekarskim podległym ministrowi właściwemu do spraw wewnętrznych, wojskowym komisjom lekarskim oraz komisjom lekarskim Agencji Bezpieczeństwa Wewnętrznego lub Agencji Wywiadu, podległym Szefom Właściwych Agencji,

10) lekarzowi i pielęgniarce w związku z prowadzeniem procedury oceniającej podmiot udzielający świadczeń zdrowotnych na podstawie przepisów o akredytacji w ochronie zdrowia - w zakresie niezbędnym do jej przeprowadzenia;

11) wojewódzkiej komisji do spraw orzekania o zdarzeniach medycznych, o której mowa w art. 67e ust.1, w zakresie prowadzonego postępowania,

12) spadkobiercom w zakresie prowadzonego postępowania przed komisją, o której mowa w pkt. 11,

13) szkole wyższej lub jednostce badawczo-rozwojowej do wykorzystania dla celów naukowych - bez ujawniania nazwiska i innych danych umożliwiających identyfikację osoby, której dokumentacja dotyczy.

 

§ 10.

Formy udostępniania dokumentacji medycznej

Dokumentacja jest udostępniana:

1) do wglądu w na miejscu w Szpitalu w obecności:

1) pracownika Działu statystyki medycznej;

2) lekarza prowadzącego albo lekarza odpowiedniej specjalności;

3) lub innego upoważnionego pracownika Szpitala.

2) poprzez sporządzenie jej wyciągów, odpisów lub kopii;

3) poprzez wydanie oryginału za pokwitowaniem odbioru i z zastrzeżeniem zwrotu po wykorzystaniu, jeżeli uprawniony organ lub podmiot żąda udostępnienia oryginałów tej dokumentacji.

§ 11.

Zasady odpłatności za udostępnianie dokumentacji medycznej

1. Za udostępnienie dokumentacji medycznej w formie wyciągów, odpisów lub kopii Szpital pobiera opłatę.

2. Podstawą wyliczenia kwoty odpłatności jest publikowana przez prezesa Głównego Urzędu Statystycznego wysokość przeciętnego miesięcznego wynagrodzenia w gospodarce narodowej w poprzednim kwartale.

3. Wysokość opłat wynosi:

a) za jedną stronę wyciągu lub odpisu dokumentacji medycznej – 7 zł,

b) za jedną stronę kopii dokumentacji medycznej – 0,70 zł,

c) za sporządzenie wyciągu, odpisu lub kopii dokumentacji medycznej na elektronicznym nośniku danych, jeżeli zakład prowadzi dokumentację medyczną w formie elektronicznej - 7 zł

4. W przypadku nie odebrania zleconej do kopiowania dokumentacji pacjent lub jego przedstawiciel ustawowy, osoba upoważniona przez pacjenta, upoważniony Organ pokrywa koszty sporządzonej kopii.

5. Opłat , o których mowa w ust. 1 i 3 nie pobiera się w przypadku udostępnienia dokumentacji w związku z postępowaniem przed wojewódzką komisją do spraw orzekania o zdarzeniach medycznych.

 

§ 12

Dział statystyki medycznej odpowiedzialny jest za bieżącą aktualizację cennika opłat i podawanie go do wiadomości pracowników, interesantów w sposób zwyczajowo przyjęty w Szpitalu oraz zamieszczenie informacji na stronie internetowej www.spzozchoszczno.pl

Rozdział IV

Przetwarzanie danych osobowych zawartych w dokumentacji medycznej z uwzględnieniem praw pacjenta

 

§ 13.

Prawa pacjenta do informacji:

1) Pacjent ma prawo do informacji o swoim stanie zdrowia.

2) Pacjent, w tym małoletni, który ukończył 16 lat, lub jego ustawowy przedstawiciel mają prawo do uzyskania od lekarza przystępnej informacji o stanie zdrowia pacjenta, rozpoznaniu, proponowanych oraz możliwych metodach diagnostycznych i leczniczych, dających się przewidzieć następstwach ich zastosowania albo zaniechania, wynikach leczenia oraz rokowaniu.

3) Pacjent lub jego ustawowy przedstawiciel mają prawo do wyrażenia zgody na udzielenie informacji wymienionych w ust. 2 innym osobom.

4) Pacjent ma prawo żądać, aby lekarz nie udzielał mu informacji, o której mowa w ust. 2.

5) Po uzyskaniu informacji, o których mowa w ust. 2, pacjent ma prawo przedstawić lekarzowi swoje zdanie w tym zakresie.

6) W sytuacjach wyjątkowych, jeżeli rokowanie jest niepomyślne dla pacjenta, lekarz może ograniczyć informację o stanie zdrowia i o rokowaniu, jeżeli według oceny lekarza przemawia za tym dobro pacjenta. W takich przypadkach lekarz informuje przedstawiciela ustawowego pacjenta lub osobę upoważnioną przez pacjenta. Na żądanie pacjenta lekarz ma jednak obowiązek udzielić mu żądanej informacji.

7) Pacjent małoletni, który nie ukończył 16 lat, ma prawo do uzyskania od lekarza informacji, o których mowa w ust. 2, w zakresie i formie potrzebnej do prawidłowego przebiegu procesu diagnostycznego lub terapeutycznego.

8) Pacjent, w tym małoletni, który ukończył 16 lat, lub jego ustawowy przedstawiciel mają prawo do uzyskania od pielęgniarki przystępnej informacji o jego pielęgnacji i zabiegach pielęgniarskich.

§ 14.

Prawo pacjenta do tajemnicy informacji z nim związanych:

1. Pacjent ma prawo do zachowania w tajemnicy przez osoby wykonujące zawód medyczny, w tym udzielające mu świadczeń zdrowotnych, informacji z nim związanych, a uzyskanych w związku z wykonywaniem zawodu medycznego.

2. W celu realizacji prawa, o którym mowa w ust. 1 osoby wykonujące zawód medyczny są obowiązane zachować w tajemnicy informacje związane z pacjentem, w szczególności związane ze stanem zdrowia pacjenta.

3. Przepisu ust. 2 nie stosuje się, w przypadku gdy:

1) tak stanowią przepisy odrębnych ustaw;

2) zachowanie tajemnicy może stanowić niebezpieczeństwo dla życia lub zdrowia pacjenta lub innych osób;

3) pacjent lub jego przedstawiciel ustawowy wyraża zgodę na ujawnienie tajemnicy;

4) zachodzi potrzeba przekazania niezbędnych informacji o pacjencie związanych z udzielaniem świadczeń zdrowotnych innym osobom wykonującym zawód medyczny, uczestniczącym w udzielaniu tych świadczeń .

4. Osoby wykonujące zawód medyczny, udzielające świadczeń zdrowotnych, z wyjątkiem przypadków, o których mowa w ust. 3 pkt 1-3, są związane tajemnicą również po śmierci pacjenta.

§ 15.

Prawo pacjenta do dokumentacji medycznej:

1) Pacjent ma prawo do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych;

2) Dane zawarte w dokumentacji medycznej podlegają ochronie określonej w niniejszej Instrukcji oraz w przepisach odrębnych.

 

Rozdział V

Przechowywanie dokumentacji medycznej

§ 16

Szpital przechowuje dokumentację medyczną przez okres 20 lat, licząc od końca roku kalendarzowego, w którym dokonano w niej ostatniego wpisu, z wyjątkiem:

1) dokumentacji medycznej w przypadku zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia, która jest przechowywana przez okres 30 lat, licząc od końca roku kalendarzowego, w którym nastąpił zgon.

2) zdjęć rentgenowskich, zdjęć mammograficznych, płyt CD z badaniem KT i RTG  przechowywanych poza dokumentacją medyczną pacjenta, które są przechowywane przez 10 lat, licząc od końca roku kalendarzowego, w którym wykonano zdjęcie;

3) skierowań na badania lub zleceń lekarza, które są przechowywane przez 5 lat, licząc od końca roku kalendarzowego, w którym udzielono świadczenia będącego przedmiotem skierowania lub zlecenia;

4) dokumentacji medycznej dotyczącej dzieci do ukończenia 2 roku życia, która jest przechowywana przez okres 22 lat.

§ 17.

Szczegółowo zasady przechowywania i archiwizowania dokumentacji medycznej w Szpitalu określa obowiązująca Instrukcja Składnicy Akt.

 

Rozdział VI

Zasady bezpieczeństwa dotyczące informacji medycznej

§ 18.

Zasady ogólne:

1) Zasada legalności przetwarzania (przetwarzanie danych w sposób zgodny z prawem),

2) Zasada związania celem przetwarzania danych osobowych (zbieranie danych dla oznaczonych, zgodnych z prawem celów i niepoddawanie dalszemu przetwarzaniu niezgodnemu z tymi celami),

3) Zasada merytorycznej poprawności i adekwatności przetwarzania danych osobowych (adekwatność danych w stosunku do celu ich przetwarzania, określenie w jakim celu, w jakim zakresie i przez kogo dane będą przetwarzane),

4) Zasada ograniczenia czasu przetwarzania danych osobowych (przechowywanie danych nie dłużej niż jest to niezbędne do osiągnięcia celów, moment osiągnięcia celu obejmuje tak że czas archiwizacji, niejednokrotnie bowiem zaprzestanie „operacyjnego" przetwarzania danych nie wyczerpuje celu przetwarzania),

5) Zasada przywilejów koniecznych (każdy użytkownik SI, posiada prawa ograniczone wy łącznie do tych, które są konieczne do wykonywania powierzonych mu zadań),

6) Zasada wiedzy koniecznej (poszczególni pracownicy posiadają wiedzę o systemie informatycznym, ale ograniczoną wyłącznie do zagadnień, które są konieczne do realizacji powierzonych im zadań),

7) Zasada pracy zbiorowej (wszyscy użytkownicy są świadomi o konieczności ochrony wykorzystywanych zasobów),

8) Zasada indywidualnej odpowiedzialności (za utrzymanie właściwego poziomu bezpieczeństwa odpowiadają konkretne osoby, które mają świadomość tego, za co odpowiadają i jakie grożą im konsekwencje, jeżeli zaniedbają swoje obowiązki),

9) Zasada obecności koniecznej (prawo do przebywania w określonych pomieszczeniach obszaru mają wyłącznie osoby, które są do tego upoważnione).

§ 19.

Wszystkie osoby zatrudnione w Szpitalu w Choszcznie bez względu na formę zatrudnienia, rodzaj wykonywanej pracy, wymiar czasu oraz zajmowane stanowisko:

1. Zobowiązuje się do noszenia identyfikatorów,

2. Zobowiązuje się do zachowania w tajemnicy danych osobowych,

3. Zobowiązuje się do zachowania w tajemnicy sposoby zabezpieczenia danych osobowych,

4. Zobowiązuje się do przestrzegania przepisów i regulacji wiążących się z Polityką Bezpieczeństwa Informacji Szpitala w Choszcznie, w szczególności z ochroną danych osobowych (danych wrażliwych) oraz  innych danych krytycznych dla funkcjonowania Szpitala, a w szczególności do:

1) zachowania w tajemnicy posiadanych haseł i kont w SI Szpitala w Choszcznie,

2) zmiany haseł do posiadanych kont co najmniej raz na miesiąc,

3) wykorzystywania posiadanych oraz udostępnionych kont Użytkownika wyłącznie do zadań służbowych,

4) do niezwłocznego wylogowywania się po zakończeniu pracy,

5) nieinstalowania samodzielnie, bez zgody administratorów SI Szpitala w Choszcznie oprogramowania systemowego, podsystemów i aplikacji (programów),

6) nieuruchamiania aplikacji (programów), które mogą zakłócić i destabilizować pracę SI Szpitala, bądź naruszyć prywatność danych w nim zgromadzonych,

7) nieudostępniania osobom trzecim informacji na temat struktury informatycznej SI Szpitala (w tym adresacji sieci, struktur aplikacji, baz danych itp.),

8) zamykania drzwi i okien, w momencie opuszczania pomieszczeń,

9) stosowania Polityki „czystego biurka i czystego ekranu":

a) tam gdzie jest to właściwe, dokumenty papierowe i nośniki komputerowe, kiedy nie są używane, powinny być przechowywane w odpowiednich, zamykanych szafach lub innego rodzaju zabezpieczonych meblach, szczególnie poza godzinami pracy.

b) tam, gdzie jest to właściwe, komputery osobiste i stacje robocze nie powinny być pozostawiane bez nadzoru w stanie zarejestrowania do sieci, a jeśli nie są używane, to powinny być chronione za pomocą zamków na klucz, haseł lub innych środków zabezpieczenia.

c) punkty wysyłania i odbierania poczty oraz urządzenia faksowe pozostające bez nadzoru powinny być chronione.

d) fotokopiarki powinny być zablokowane (lub w inny sposób chronione przed nieuprawnionym użyciem) poza normalnymi godzinami pracy.

e) wydruki zawierające informacje wrażliwe lub klasyfikowane powinny zostać niezwłocznie zabrane z drukarki.

10) Fizycznej ochrony sprzętu komputerowego przed kradzieżą, zniszczeniem lub niewłaściwym używaniem,

5. Zabrania się:

1) wynoszenia mienia - sprzęt, informacje i oprogramowanie nie powinno być wynoszone poza siedzibę Szpitala bez zezwolenia. Tam, gdzie jest to właściwe i konieczne, zabranie sprzętu i jego zwrot są rejestrowane. Rejestr prowadzi ABI.

2) otwierania plików znajdujących się na nośnikach niepewnego lub nieautoryzowanego pochodzenia, oraz plików otrzymanych przez sieć, do których nie można mieć zaufania.

3) działań mogących narazić na szwank wizerunek Szpitala. Poczta elektroniczna powinna być używana wyłącznie do celów służbowych.

4) w obszarach (pomieszczeniach) gdzie przetwarzane są dane osobowe, przebywania osób

nieupoważnionych. Osoby nieupoważnione mogą przebywać tylko w obecności użytkowników.

5) demontować komputerów oraz dokonywać jakiejkolwiek zmian komponentów sprzętu

komputerowego.

§ 20.

Szczególne wymagania dotyczące dokumentacji prowadzonej w postaci elektronicznej.

Dokumentacja medyczna prowadzona jest w postaci elektronicznej, w systemie teleinformatycznym zapewniającym:

1) zabezpieczenie dokumentacji przed uszkodzeniem lub utratą;

2) zachowanie integralności i wiarygodności dokumentacji;

3) stały dostęp do dokumentacji dla osób uprawnionych oraz zabezpieczenie przed dostępem osób nieuprawnionych;

4) identyfikację osoby udzielającej świadczeń zdrowotnych i rejestrowanych przez nią zmian,

w szczególności dla odpowiednich rodzajów dokumentacji przyporządkowanie cech informacyjnych, zgodnie z wymaganiami w tym zakresie.

 

Rozdział VII

Postępowanie w sytuacji naruszenia ochrony danych

§ 21.

Postępowanie w sytuacji naruszenia ochrony danych osobowych określa szczegółowo Polityka bezpieczeństwa w Samodzielnym Publicznym Zakładzie Opieki Zdrowotnej w Choszcznie

§ 22.

Opis zdarzeń naruszających ochronę danych osobowych:

1. Przypadki zakwalifikowane jako naruszenie lub uzasadnione podejrzenie naruszenia zabezpieczenia systemu informatycznego, w którym przetwarzane są dane osobowe:

1) sytuacje losowe lub nieprzewidziane oddziaływanie czynników zewnętrznych na zasoby systemu, jak np.: wybuch gazu, pożar, zalanie pomieszczeń, katastrofa budowlana, napad, działania terrorystyczne, niepożądana ingerencja ekipy remontowej, itp.;

2) niewłaściwe parametry środowiska, jak np. nadmierna wilgotność lub wysoka temperatura, oddziaływanie silnego pola elektromagnetycznego, wstrząsy lub wibracje pochodzące od urządzeń przemysłowych;

3) awaria sprzętu lub oprogramowania, które wyraźnie wskazują na umyślne działanie w kierunku naruszenia ochrony danych lub wręcz sabotaż, a także niewłaściwe działanie serwisu, a w tym fakt pozostawienia serwisantów bez nadzoru;

4) pojawienie się odpowiedniego komunikatu alarmowego od tej części systemu, która zapewnia ochronę zasobów lub inny komunikat o podobnym znaczeniu;

5) pogorszenie się jakości danych w systemie lub inne odstępstwo od stanu oczekiwanego wskazujące na zakłócenie systemu lub inną nadzwyczajną i niepożądaną modyfikację w systemie;

6) wystąpienie naruszenia lub próby naruszenia integralności systemu lub bazy danych w tym systemie;

7) stwierdzenie próby lub modyfikacji danych lub zmiany w strukturze danych bez odpowiedniego upoważnienia (autoryzacji);

8) wystąpienie niedopuszczalnej manipulacji danymi osobowymi w systemie;

9) ujawnienie osobom nieupoważnionym danych osobowych lub objętych tajemnicą procedury ochrony przetwarzania albo innych strzeżonych elementów systemu zabezpieczeń, np. login użytkownika i jego hasło;

10) wykrycie pracy w systemie lub jego sieci komputerowej wykazującej nieprzypadkowe odstępstwa od założonego rytmu pracy wskazujące na przełamanie lub zaniechanie ochrony danych osobowych - np. praca przy komputerze lub w sieci osoby, która nie jest formalnie dopuszczona do jego obsługi, sygnał o uporczywym nieautoryzowanym logowaniu, itp.;

11) ujawnienie istnienia nieautoryzowanych kont dostępu do danych lub tzw. „bocznej furtki", itp.;

12) podmiana, lub zniszczenie nośników z danymi osobowymi bez odpowiedniego upoważnienia lub w inny niedozwolony sposób skasowanie lub skopiowanie danych osobowych;

13) rażące naruszenie dyscypliny pracy w zakresie przestrzegania procedur bezpieczeństwa informacji (nie wylogowanie się przed opuszczeniem stanowiska pracy, pozostawienie danych osobowych w drukarce, na ksero, nie zamknięcie pomieszczenia z komputerem, prace na danych osobowych w celach prywatnych, itp.).

2. Za naruszenie ochrony uważa się również stwierdzone nieprawidłowości w zakresie bezpieczeństwa miejsc przechowywania danych osobowych (otwarte szafy, biurka, regały, urządzenia archiwalne i inne) na nośnikach tradycyjnych, tj. na papierze (wydrukach), kliszy, folii, zdjęciach, dyskietkach w formie niezabezpieczonej, itp.

 

§ 23.

Sposób naruszenia bezpieczeństwa to:

1. osłabienie odporności systemu zabezpieczeń, a w szczególności tworzenie potencjalnych zagrożeń dla systemu (np. niezamykanie pomieszczeń i/lub sejfów, pozostawianie dokumentacji i/lub dostępu do aplikacji na opuszczonym stanowisku pracy albo wynoszenie dokumentacji poza chronioną strefę, samowolna instalacja niedozwolonych programów i/lub sprzętu na lokalnych stanowiskach pracy, itp.);

2. nieuprawnione „przeglądanie", sporządzanie notatek, wyciągów, raportów, kopii, itp.;

3. zmiana zawartości zgromadzonych danych naruszająca ich integralność i/lub wiarygodność;

4. usunięcie części danych lub ich uszkodzenie;

5. fizycznie zniszczenie zasobów, kradzież sprzętu i/lub oprogramowania;

6. przekazywanie zgromadzonych danych osobom nieuprawnionym do ich posiadania.

 

§ 24.

W przypadku stwierdzenia naruszenia każda osoba zatrudniona przy przetwarzaniu danych osobowych jest obowiązana niezwłocznie powiadomić o tym fakcie bezpośredniego przełożonego i Administratora Bezpieczeństwa Informacji.

 

§ 25.

Tryb postępowania w sytuacji naruszenia ochrony danych (sposób postępowania w sytuacjach krytycznych):

1) niezwłocznie podjąć czynności niezbędne do powstrzymania niepożądanych skutków zaistniałego naruszenia, o ile istnieje taka możliwość, a następnie uwzględnić w działaniu również ustalenie przyczyn i sprawców;

2) rozważyć wstrzymanie bieżącej pracy na komputerze lub pracy biurowej w celu zabezpieczenia miejsca zdarzenia;

3) zaniechać - o ile to możliwe - dalszych planowanych przedsięwzięć, które wiążą się z zaistniałym naruszeniem i mogą utrudnić udokumentowanie i analizę;

4) podjąć inne działania przewidziane i określone w instrukcjach technicznych i technologicznych stosownie do objawów i komunikatów towarzyszących naruszeniu;

5) podjąć stosowne działania, jeśli zaistniały przypadek jest określony w dokumentacji systemu, dokumentacji bazy danych lub aplikacji użytkowej;

6) zastosować się do innych instrukcji i regulaminów, jeśli odnoszą się one do zaistniałego przypadku;

7) udokumentować wstępnie zaistniałe naruszenie (np. poprzez sporządzenie notatki służbowej);

8) nie opuszczać bez uzasadnionej potrzeby miejsca zdarzenia do czasu przybycia Bezpośredniego przełożonego, Administratora Bezpieczeństwa Informacji (jeżeli zachodzi uzasadniona konieczność).

 

Rozdział VIII

Postanowienia końcowe

§ 26.

 

1. W sprawach nieuregulowanych niniejszą Instrukcją stosuje się powszechnie obowiązujące przepisy prawa.

2. Instrukcja wchodzi w życie z dniem 14.10.2015 r.