Az egészségügyi intézmények adatvédelmi és adatbiztonsági szabályozása az információs önrendelkezési jogról és az információ szabadságról szóló törvény kapcsán Nagy István Gottsegen György Országos Kardiológiai Intézet Informatikai osztályvezető
Törvényi háttér Polgári törvénykönyv Az 1996 évi XX. Törvény a személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról Az 1997 évi XLVII törvény Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről 1997. évi CLIV. tv. az egészségügyről A 62/1997. (XII.21.) NM rendelet az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezelésének egyes kérdéseiről 63/1997. (XII. 21.) NM rendelet a fertőző betegségek jelentésének rendjéről MSZ ISO/IEC 17799: 2002 az informatikai biztonság menedzselésének eljárásrendje 13/2005. (X. 27.) IHM rendelet a papíralapú dokumentumokról elektronikus úton történő másolat készítésének szabályairól 114/2007. (XII. 29.) GKM rendelet a digitális archiválás szabályairól 2001. évi XXXV. Törvény az elektronikus aláírásról 1997. évi LXXXIII. Törvény a kötelező egészségbiztosítás ellátásairól 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról
Információs önrendelkezési jog Információ szabadsághoz való jog 1992. évi LXIII. törvény a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról 2011. július 11-én az Országgyűlés elfogadta a 2011. évi CXII. törvényt az információs önrendelkezési jogról és az információszabadságról Információs önrendelkezési jog Az egyén „azon joga, hogy alapvetően maga döntsön személyes adatainak kiszolgáltatásáról és felhasználásáról.”15/1991. (IV.13.) AB határozat. Az információs önrendelkezési jog a személyes adatok védelmét biztosítja Információ szabadsághoz való jog Az információszabadság jelentése az, hogy a közérdekű adatok, vagyis az állami, önkormányzati vagy más közfeladatot ellátó szervek birtokában lévő adatok szabadok, hozzáférhetők, nyilvánosak.
2011. évi CXII. törvény „Általános közzétételi lista” „II 2011. évi CXII. törvény „Általános közzétételi lista” „II. Tevékenységre, működésre vonatkozó adatok” 1. A közfeladatot ellátó szerv feladatát, hatáskörét és alaptevékenységét meghatározó, a szervre vonatkozó alapvető jogszabályok, közjogi szervezetszabályozó eszközök, valamint a szervezeti és működési szabályzat vagy ügyrend, az adatvédelmi és adatbiztonsági szabályzat hatályos és teljes szövege A változásokat követően azonnal Az előző állapot 1 évig archívumban tartásával 6. A közfeladatot ellátó szerv által fenntartott adatbázisok, illetve nyilvántartások leíró adatai (név, formátum, az adatkezelés célja, jogalapja, időtartama, az érintettek köre, az adatok forrása, ….
Az államháztartásról szóló törvény végrehajtásáról szóló 368/2011. (XII. 31.) Korm. rendelet 13. (2) bekezdésének h) pontjában foglalt előírás szerint a költségvetési szerv belső szabályzatban rendezi a működéshez, gazdálkodásához kapcsolódó és pénzügyi kihatással bíró, jogszabályban nem szabályozott kérdéseket, így különösen…”a közérdekű adatok megismerésére irányuló kérelmek intézésének, továbbá a kötelezően közzéteendő adatok nyilvánosságra hozatalának rendjét”. A közérdekű adatok megismeréséről az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény tartalmaz előírásokat. A szabályzat célja, hogy meghatározza a közérdekű adatok megismerésére irányuló kérelmek intézésének, továbbá a kötelezően közzéteendő adatok nyilvánosságra hozatalának rendjét.
A változások előtt Néhány szabályzat elégséges volt ! Igyekeztünk minél kevesebb számú egységes szerkezetben tartani az ezzel kapcsolatos szabályzatok!
Adatvédelmi és adatbiztonsági szabályzat (net-re) Melléklet 1: Előzetes tájékoztatás adatkezelésről 1 Társadalombiztosítási Azonosító Jel (TAJ) és az ehhez kapcsolódó személyazonosító adatok nyilvántartása Melléklet 2: Előzetes tájékoztatás adatkezelésről 2 Egészségügyi adatok valamint a gyógykezeléssel kapcsolatos adatok Melléklet 3 Az Intézet 2012. évben a működéssel kapcsolatban fenntartott nyilvántartások és adatbázisok leíró adatai (2011. évi CXII. törvény 1. melléklet a “Tevékenységre, működésre vonatkozó adatok” 6 pontja alapján) Belső adatkezelési és adatvédelmi szabályzat Fogalmak, definíciók, Felelősök, Előírások , Vészhelyzeti adatkezelés Adattovábbítás Ellátó hálózaton belül Ellátó hálózaton kívül Informatikai eszközgazdálkodási szabályzat Várólista szabályzat Az egészségügyi adatok kezelésével kapcsolatos papír alapú előírások Az Intézet területén működő számítógépes rendszerek adatvédelmi és adatmentési előírásai Működésfolytonossági szabályzat Vírusvédelemi szabályzat Üzemeltetési szabályzat Közzétételi szabályzat Nyilvántartás 1, Adattovábbítási nyilvántartás Fekvőbeteg, Járóbeteg, EFI Nyilvántartás 2 Közérdekű adatok megismerése Nyilvántartás 3 közzétételével, helyesbítésével, frissítésével vagy eltávolításával kapcsolatban nyilvántartás
Adatvédelmi és adatbiztonsági szabályzat tartalma -1 (net) 1. SZABÁLYZAT LEÍRÁSA 1. A SZEMÉLYES ADATOK VÉDELME 1.1. Az adatkezelés elvei 1.2. Az adatkezelés jogalapja 1.3. Az adatbiztonság követelménye 1.4. Adattovábbítás külföldre 1.5. Az adatkezelés korlátai 1.6. Adatfeldolgozás 1.7. Automatizált adatfeldolgozással hozott döntés 1.8. Személyes adatok kezelése tudományos kutatás során 1.9. Személyes adatok felhasználása statisztikai célra 1.10. Az érintettek jogai és érvényesítésük 1.11. Az érintett előzetes tájékoztatásának követelménye 1.12. Tiltakozás személyes adat kezelése ellen 1.13. Bírósági jogérvényesítés 1.14. Kártérítés 1.15. Belső adatvédelmi felelős és adatvédelmi szabályzat 1.16. A belső adatvédelmi felelősök konferenciája
Adatvédelmi és adatbiztonsági szabályzat tartalma -2(net) 2. A KÖZÉRDEKŰ ADATOK MEGISMERÉSE ---Közzétételi szabályzat A közérdekű adatok megismerésének általános szabályai A közérdekű adat megismerése iránti igény 3. A KÖZÉRDEKŰ ADATOK KÖZZÉTÉTELE 3.1. A közérdekű adatokra vonatkozó tájékoztatási kötelezettség 3.2. Az elektronikus közzététel kötelezettsége 3.3. A közzétételi listák 3.4. Adatvédelmi nyilvántartás 3.5. Adatkezelés és titoktartás MELLÉKLETEK
Adatvédelmi és adatbiztonsági szabályzat mellékletei 1-2- Adatvédelmi és adatbiztonsági szabályzat mellékletei 1-2-.. Előzetes tájékoztatás (2011. évi CXII. Törvény adatkezelésről 65 §) Az adatkezelés célja pl:a személyek egészségbiztosítási ellátásának igénybevételéhez szükséges Társadalombiztosítási Azonosító Jellel történő azonosítása illetve az ezzel kapcsolatos társadalombiztosítási igény érvényesítése céljából. Az adatkezelés jogalapja 1996. évi XX. törvény (Szaztv.) 23 § 1997. évi LXXX. törvény (Tbj.) 42-43§ Info tv. 65§ (3) Az adatkezelésre és az adatfeldolgozásra jogosult személy 1996. évi XX. törvény (Szaztv.) 3 § Az adatkezelés időtartama 2011. évi CXII. törvény (Info tv.) 5. § (3) szakasza és a 30 § (1)-(2) Az adatok megismerésére jogosultak köre 1997. évi XLVII. törvény 7. § (3)-(4) bekezdés Az érintett adatkezeléssel kapcsolatos jogai Info tv 14-21. § Az érintett adatkezeléssel kapcsolatos jogorvoslati lehetőségei Info tv. 22-23. §, valamint az 52. § Szaztv. -a személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról
A Gottsegen György Országos Kardiológiai Intézetben 2012 A Gottsegen György Országos Kardiológiai Intézetben 2012. évben a működéssel kapcsolatos belső adatvédelmi nyilvántartások leíró adatai (2011. évi CXII. törvény 1. melléklet a “Tevékenységre, működésre vonatkozó adatok” 6 pontja alapján) Sorsz. A nyilvántartás megnevezése, fejlesztője Formátum Célja Jogalapja Üzemelési időszak (tól-ig) Adatkezeléssel érintettek köre Az adatok forrása 1. „Clinicom” klinikai rendszer SIEMENS Elektronikus Cashe adatbázis Betegnyilvántartás, Fekvőbeteg ellátás, Járóbeteg ellátás, Dokumentumkezelés, Szolgáltatás rögzítés, Teljesítmény jelentés, zámlázás, On-line HBCS besorolás OCM kérés és leletezés, Radiológia Egyéb diagnosztikák, Műtéti modul Felnőtt szívsebészeti leíró 1997.évi XLVII. tv. 1997. évi CLIV. tv. 1999.november 17- 2010.január 11. - Orvosok, szakdolgozók, nővérek, dietetikusok, laborosok, diagnosztikai szakdolgozók Informatika, finanszírozási szakemberek 450 fő Az egészségügyi ellátás folyamata (online és offline adatok) …
Átadás-Átvételi dokumentumok - 2010. április 30. Sorszám A nyilvántartás megnevezése Üzemelési időszak (tól-ig) Adatkezeléssel érintettek köre A kezelt adatok mennyisége Külső erőforrás Program funkciója Alkalmazói szoftvereknél rendszergazdai jogokkal rendelkezők Adatbázis adminisztrátori jogok Távoli eléréssel rendelkezők Jogalap Adatok forrása
Belső adatkezelési és adatvédelmi szabályzat tartalma A szabályzat célja Törvényi háttér Értelmező rendelkezések 1. Az adatkezelés célja 2. Az adatvédelemért felelős személyek és feladataik Az igazgató feladatai Az intézeti adatvédelmi felelős Az egységszintű adatvédelmi felelős feladatai Az adatkezelők feladatai 3. A kórház adatkezelési és adatmentési előírásai MELLÉKLETEK Az egészségügyi adatok kezelésével kapcsolatos előírások Az intézet területén működő számítógépes rendszerek adatvédelmi és adatmentési előírásai Várólisták Iratminták
Az egészségügyi adatok kezelésével kapcsolatos előírások 1.A kórházban az egészségügyi és személyazonosító adatok kezelésére jogosultak 2.Adatkezelés gyógykezelés céljából 3.Orvosi titok védelme 4.A gyógykezelés során jelen lévő személyek 5.Adattovábbítás az intézményen belül 5.1.Adatkommunikáció más rendszerekkel 6.Adattovábbítás az intézményen kívülre 6.1.Társadalombiztosítási ellátás és az ellátás finanszírozása 6.2.Elektronikus adattovábbítással kapcsolatos előírások 6.3.Megnevezett hivatalos szervek 6.4.Bűncselekményből eredő sérülés esetén 6.5.Egyéb célokból 7. Tájékoztatás 7.1.A beteg joga a tájékoztatáshoz 7.2.Hozzátartozó és más személy tájékoztatása 7.3.Egészségügyi dokumentáció 7.4.Elhunyt beteg 8. Egészségügyi dokumentáció 9.Adatkezelés közegészségügyi, járványügyi célból 10. Adatkezelés tudományos kutatási, epidemiológiai vizsgálati, statisztikai célból 11.Adatkezelés a kórház eredményes gyógykezelési tevékenységének elősegítése céljából 12.Az adatok biztonságos kezelése 12.1. Adatfelvétel 12.2.Adatmódosítás 12.3.Eljárás az adatok sérülése esetén 12.4.Egészségügyi dokumentáció megőrzése 12.5.Egészségügyi és személyes adatok megsemmisítése 12.6.Diagnosztikai vizsgálatok leletei 13.A közérdekű kérelmekkel, panaszokkal és bejelentésekkel kapcsolatos eljárás
Az intézet területén működő számítógépes rendszerek adatvédelmi és adatmentési előírásai Az adatok előfordulási helye Fizikai biztonság Hálózati elemek védelme Eljárás a kórházi informatikai rendszer üzemzavara esetén Eljárás a kórházi informatikai rendszer üzemzavara, központi elemeinek sérülése vagy megsemmisülése esetén Elektronikus adatkezelés a kórházi informatikai rendszerbe nem integrált önálló vagy rendszerbe kapcsolt számítógépeken Az adatok algoritmikus védelme Felhasználók rendszerhez való hozzáférésének szabályai Új egészségügyi szoftver vásárlása Adatkezelés technikája Számítástechnikai eszközön tárolt adatok védelme Az osztályokon tárolt írott anyagok védelme Az adatkezelőkre vonatkozó szabályok Egyéb számítástechnikai szoftverek adatvédelme és mentése Az üzemeltetés és az adatvédelem és az adatmentés szabályai rendszerenként ….. Az Internet hozzáférés és levelezés mentésének szabályozása
Közzétételi szabályzathoz kapcsolódó szabályzatai Nyilvántartás 1 (2011. évi CXII. Törvény 65 §) pl: Fekvőbeteg, Járóbeteg,EFI, Donor Az adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat. Nyilvántartás 2 (2011. évi CXII. Törvény 30§ (3)) Közérdekű adatok megismerésével kapcsolatos nyilvántartás Nyilvántartás 3 Közzététellel, helyesbítéssel, frissítéssel vagy eltávolításával kapcsolatos nyilvántartás
Adatkezelési és adatvédelmi szabályzat