Prezes Urzędu Ochrony Danych Osobowych zwrócił się do Ministra Zdrowia z wnioskiem o wprowadzenie zmian legislacyjnych, które umożliwiłyby przyznawanie dodatkowych punktów placówkom medycznym stosującym kodeksy postępowania lub posiadającym certyfikaty zgodności z RODO. Zmiana miałaby obowiązywać przy kontraktowaniu świadczeń zdrowotnych z Narodowym Funduszem Zdrowia.

Zdaniem UODO, premiowanie dodatkowych działań związanych z bezpieczeństwem danych osobowych byłoby korzystne zarówno dla pacjentów, jak i dla personelu medycznego, a także znacząco wzmocniłoby poziom cyberbezpieczeństwa w sektorze ochrony zdrowia. Chodzi o placówki, które formalnie stosują zatwierdzone kodeksy postępowania lub pozytywnie przeszły proces certyfikacji.

Obecne rozporządzenie w sprawie szczegółowych kryteriów wyboru ofert kontraktowych nie uwzględnia jeszcze takich kryteriów. Wprowadzenie dodatkowego punktowania miałoby na celu wyróżnienie i zmotywowanie placówek dbających o ochronę danych i standardy zgodne z przepisami ogólnego rozporządzenia o ochronie danych osobowych (RODO).

Jak podkreśla UODO, placówki medyczne są szczególnie narażone na naruszenia ochrony danych oraz cyberataki. Tylko w ostatnim czasie organ nadzorczy był zmuszony do nałożenia kar na podmioty z sektora zdrowia, które nie wdrożyły odpowiednich zabezpieczeń technicznych i organizacyjnych. Tymczasem kodeksy postępowania oferują wyraźne wskazówki dla administratorów danych oraz dla podmiotów przetwarzających – zarówno w zakresie interpretacji przepisów, jak i w stosowaniu konkretnych rozwiązań.

Kodeksy te pozwalają wypracować spójne standardy w całym sektorze medycznym i zwiększyć zaufanie pacjentów. Z kolei certyfikacja – choć jeszcze formalnie nie rozpoczęta w sektorze ochrony zdrowia – ma potencjał stać się równie ważnym narzędziem weryfikacyjnym i potwierdzeniem zgodności działań z przepisami RODO.

Dotychczas UODO zatwierdził dwa kodeksy postępowania dla sektora medycznego. Pierwszy – dla większych podmiotów wykonujących działalność leczniczą i podmiotów przetwarzających – powstał z inicjatywy Polskiej Federacji Szpitali. Drugi kodeks – dedykowany małym placówkom – opracowało Porozumienie Zielonogórskie. Żaden podmiot nie wystąpił jeszcze o zatwierdzenie kryteriów certyfikacji, choć prace w tym obszarze trwają we współpracy z Polskim Centrum Akredytacji.

Proponowana zmiana ma także wymiar praktyczny – placówki, które już inwestują w bezpieczeństwo danych i spełniają wymogi formalne, mogłyby zyskać realną przewagę przy ubieganiu się o środki z NFZ. Premia punktowa mogłaby również zachęcić kolejne jednostki do wdrażania kodeksów i procesów certyfikacyjnych.

Urząd Ochrony Danych Osobowych deklaruje gotowość do merytorycznego wsparcia w przypadku rozpoczęcia prac legislacyjnych. Szczegółowe informacje na temat kodeksów postępowania i mechanizmów certyfikacji można znaleźć na stronie www.uodo.gov.pl.

Źródło: IP UODO