„Wszystkie uruchamiane w firmie projekty i inicjatywy weryfikujemy pod kątem bezpieczeństwa – danych jako takich oraz prywatności pacjenta. Od chwili pojawienia się na horyzoncie RODO patrzymy na wszystko pod tymi dwoma różnymi kątami”. O wyzwaniach związanych z bezpieczeństwem informacji w podmiotach leczniczych, zwłaszcza w kontekście zmian wynikających z RODO, rozmawiamy z Moniką Sobczyk, kierownikiem ds. bezpieczeństwa informacji w Medicover.

Czy ostatni rok był najtrudniejszym okresem w Pani karierze, czy też jednak wyzwania związane z RODO nie były większe niż wcześniejsze?

 Był bardzo trudny, ale nie najtrudniejszy. Bezpieczeństwem danych osobowych zajmuję się od 13 lat. W tym czasie wdrażałam wiele zmian wynikających z norm i innych regulacji prawnych. Dzięki tym doświadczeniom RODO nie okazało się takie straszne. Owszem, wymagało mobilizacji całego zespołu, ogromnego wsparcia osób zarządzających, ponieważ projekt był trudny do realizacji z uwagi na pojawiające się różne interpretacje i różne podejścia, mimo jasnych przepisów prawa, z czym walczymy do dziś.

Jakie były zatem największe wyzwania związane z zapewnieniem zgodności z RODO?

Najtrudniejsze były i są kwestie wskazane powyżej oraz budowanie świadomości pracowników, którym należało dokładnie wytłumaczyć, co to jest RODO, jakie zmiany przyniosło w naszej organizacji. Trzeba było przygotować pracowników na to, że zmieni się podejście pacjentów, którzy również są coraz bardziej świadomi. Wszyscy zostali zapoznani z zasadami bezpieczeństwa, ponieważ szkolenia z zasad bezpiecznego przetwarzania danych osobowych prowadzimy od dawna, jednak z uwagi na zmianę podejścia i położenie nacisku na ochronę prywatności osoby, co spowodowało zmianą części procedur, musieliśmy się zmobilizować i przeszkolić wszystkich ponownie. Podczas szkoleń ogromny nacisk kładliśmy na to, by uzmysłowić pracownikom, co to jest naruszenie prywatności osoby, podając konkretne przykłady. Chcemy, by pracownicy zgłaszali każdą czynność, która może się wydawać naruszeniem, nawet jeśli nim nie jest. Chodzi o to, by zagwarantować, że nie przeoczymy naruszenia, które będzie się kwalifikowało do zgłoszenia do PUODO.

Inną trudnością była kwestia współpracy z dostawcami zarówno usług medycznych, jak i niemedycznych. Dużo czasu poświęcamy na weryfikowanie i uzgadnianie niektórych kwestii. Liczymy, że Kodeks Branżowy dla podmiotów leczniczych oraz opracowania Ministerstwa Cyfryzacji ułatwią nam zadanie w interpretowaniu niekiedy oczywistych zagadnień. Jedną z trudniejszych kwestii jest weryfikacja dostawców pod kątem spełnienia wymagań bezpieczeństwa.

Co robić z dostawcami, którzy nie spełniają wymagań bezpieczeństwa?

Wdrożyliśmy kilka poziomów weryfikacji w zależności od rodzaju dostawcy oraz typu świadczonych usług. Inaczej traktujemy dostawcę usług medycznych, gdzie mamy relacje ADO-ADO, a inaczej dostawcę, któremu powierzamy dane. Jeśli dostawca, który jest podmiotem przetwarzającym, nie otrzyma określonej liczby punktów, nie ma ze strony IOD rekomendacji do nawiązania współpracy.

Jedną z trudniejszych kwestii jest weryfikacja dostawców pod kątem spełnienia wymagań bezpieczeństwa. Jeśli dostawca, który jest podmiotem przetwarzającym dane, nie otrzyma określonej liczby punktów, nie ma ze strony IOD rekomendacji do nawiązania współpracy.

Co jeszcze wymagało szczególnej uwagi?

Wyzwaniem było także dostosowanie do nowych wymagań treści klauzul informacyjnych we wszystkich dokumentach, systemach i kanałach kontaktowych. To było pracochłonne i wymagało zaangażowania wielu osób.

Z punktu widzenia zespołu ds. bezpieczeństwa mieliśmy, mamy i będziemy mieć o wiele więcej pracy. Musimy analizować nie tylko większe projekty, ale praktycznie każdą inicjatywę, zanim zapadnie decyzja o realizacji.

Czy wobec tego to nie była rewolucja?

W Medicover mamy wdrożoną normę ISO 27001:2013 System Zarządzania Bezpieczeństwem Informacji, której utrzymanie wymaga mobilizacji i reżimu również w stosowaniu się do przepisów prawa. Ustawa o ochronie danych osobowych z 1997 roku, Ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta oraz inne przepisy prawa regulujące pracę podmiotów leczniczych dawały wskazówki, jak chronić dane i prywatność osoby. Być może dlatego, z naszego punktu widzenia, RODO nie stanowiło rewolucji – była to ewolucja, zmiana podejścia do pewnych zagadnień. Na RODO patrzymy przez pryzmat obowiązujących przepisów prawa. Zmiana podejścia do analizy ryzyka bezpieczeństwa danych osobowych, do której dołożyliśmy ryzyko naruszenia prywatności osoby, pozwoliła nam na otrzymanie odpowiedzi na pytanie, jakie zabezpieczenia i w jaki sposób wdrożyć. Projekt wymagał mobilizacji, żeby realizować, egzekwować zasady i przestrzegać zasad, które właściwie wcześniej już u nas obowiązywały, a teraz musimy być bardziej czujni, by czegoś nie przeoczyć.

Pracownicy współpracują z nami, nie boją się zgłaszać sytuacji, które mogą prowadzić do naruszeń, pytają, czy dane zagadnienie jest naruszeniem. Dzięki temu wiemy, co mamy wzmocnić, co poprawić, by do incydentów nie dochodziło.

Czy cała branża medyczna była przygotowana do RODO lepiej niż inne?

W Medicover od dawna działa zespół ds. bezpieczeństwa informacji, ja zajmuję się tą tematyką kilkanaście lat, a działania w obszarze bezpieczeństwa były podejmowane dużo wcześniej. Wdrożyliśmy zalecenia Ustawy o ochronie danych osobowych, przygotowaliśmy się do działania w zgodzie z przepisami branżowymi, zapisami Ustawy o prawach pacjenta czy działalności leczniczej. Wszystko, co zostało wykonane wcześniej, musieliśmy oczywiście zaktualizować, wiele rzeczy zmienić. Mamy świadomość, że choć zrobiliśmy wszystko, co było w naszej mocy, by poprawnie wdrożyć RODO, to nasza praca nadal trwa.

Czy Medicover współpracował w tym zakresie z innymi przedstawicielami branży?

Medicover bierze czynny udział w tworzeniu Kodeksu branżowego dla podmiotów leczniczych. W ramach tego forum wymienialiśmy się doświadczeniami. Prace nad Kodeksem były prowadzone równolegle do projektów RODO. Wszyscy uczestnicy mogli na bieżąco porównywać różne podejścia i zastanawiać się, jak zastosować je u siebie.

Myślę, że najtrudniejsza dla wszystkich jest analiza ryzyka naruszenia prywatności osoby. Obecnie stosujemy metodologię stworzoną w ramach prac nad Kodeksem branżowym.

Jako firma bierzemy także udział w pracach grupy roboczej ds. ochrony danych osobowych powołanej przez Ministerstwo Cyfryzacji. Wspólnie opracowujemy odpowiedzi na pytania z rynku, jeśli chodzi o stosowanie RODO przez podmioty lecznicze.

Co jeszcze pozostało w Medicover do zrobienia w związku z RODO?

Prace się nie zakończyły. Cały czas działamy na podwyższonych obrotach, weryfikujemy, czy to, co zostało zrobione, jest zrobione dobrze, zgodnie z zasadą PDCA. Sprawdzamy, czy procesy reagowania na żądania pacjentów dobrze działają, czy terminy są wystarczające, czy ścieżki eskalacji są prawidłowe, czy proces informowania poszczególnych osób jest efektywny. Weryfikujemy, czy procedura nawiązywania współpracy z dostawcami – zmodyfikowana w związku z wymaganiami RODO – jest prawidłowa, sprawdzamy, czy mamy wystarczające zasoby, by sprostać zadaniu. Śledzimy na bieżąco, co się dzieje w przepisach prawa, czy zmiany nie wymuszą aktualizacji tego, co już zrobiliśmy. Uczymy się, jak prawidłowo przeprowadzać analizę ryzyka. Aktywności jest bardzo dużo.

Medicover jest szczególnie aktywny w zakresie wykorzystywania nowych technologii. Czy to nie rodzi ciągle nowych wyzwań w sferze bezpieczeństwa?

Tak, ale można sobie z nimi poradzić. Kluczowe jest to, żeby usiąść i porozmawiać, zanim coś zaczniemy robić. Dlatego z kierownikami poszczególnych projektów mamy nieustannie gorącą linię. Zanim uruchomiony zostanie nowy projekt, rozkładamy go na czynniki pierwsze. Czasem rozmawiamy z dostawcami technologii IT, żeby coś nowego wprowadzić w ich systemach. Jest to dla nas ogromne wyzwanie, ponieważ konsekwencje mogą być przykre dla organizacji, jeśli nasze rekomendacje będą nieprawidłowe. Dlatego wspieramy się wiedzą nie tylko naszych prawników, ale także współpracujemy z kancelarią prawną, która wykonuje dla nas dodatkowe analizy.

Weryfikujemy cały czas, czy to co zostało zrobione, jest zrobione dobrze, zgodnie z zasadą PDCA. Sprawdzamy, czy procesy reagowania na żądania pacjentów dobrze działają, czy terminy są wystarczające, czy ścieżki eskalacji są prawidłowe, czy proces informowania poszczególnych osób jest efektywny.

Czy po 25 maja mieli Państwo dużo pracy w zakresie obsługi żądań usunięcia danych?

Zgłoszeń było dużo, ale większość była niezasadna. Pomimo żądań pacjentów nie możemy usunąć dokumentacji medycznej, ponieważ mamy obowiązek przechowywać ją przez czas określony w przepisach prawa. Dlatego w skali całej firmy nie było zbyt wiele zadań do wykonania w związku ze zgłoszeniami.

Jest jednak inny problem: pacjenci dzwoniący do nas boją się podawać swoje dane w celu ich weryfikacji, mimo że nie zbieramy innych danych ponad to, co jest określone w Ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta. Tymczasem bez podania numeru PESEL czy daty urodzenia nie jesteśmy w stanie zweryfikować, kto dzwoni i umówić wizyty dla konkretnej osoby. To pokazuje, że konieczne są działania mające na celu podniesienie poziomu świadomości pacjentów w zakresie praw i obowiązków podmiotów leczniczych, wynikających z przepisów prawa – nie tylko w związku z RODO, ale także ze względu na wpływ na zdrowie i życie. W całym ferworze związanym z RODO nie wolno zapominać, że ochrona prywatności jest priorytetem, ale nie może narażać pacjenta na utratę zdrowia.

A czy popełnili Państwo w czasie realizacji projektów związanych z RODO jakieś błędy, które trzeba było szybko naprawić?

Nie, nie było takich przypadków, niemniej nie wiemy, jaki kształt kodeksu zostanie zatwierdzony, co przyniosą zmiany w przepisach prawa, więc wszystko przed nami.

Co uznaje Pani za swój największy sukces w działaniach na rzecz zapewnienia zgodności z RODO?

Cieszę się, że udało się nam doprowadzić do tego, że pracownicy współpracują z nami, nie boją się zgłaszać sytuacji, które mogą prowadzić do naruszeń, pytają, czy dane zagadnienie jest naruszeniem. Dzięki temu wiemy, co mamy wzmocnić, co poprawić, by do incydentów nie dochodziło. Po szkoleniach pracownicy mają bardzo dużo pytań, wymyślają hipotetyczne sytuacje i pytają, jak powinni wówczas zareagować. Dla niektórych obszarów powstały już poradniki. Jest to zadanie bardzo czasochłonne, ale warte zachodu.

Nieocenione wsparcie dają osoby zarządzające, które mobilizują pracowników, zwracają uwagę na konieczność współpracy z komórką ds. bezpieczeństwa informacji. Świetnie układa się współpraca z zarządem, który poważnie podchodzi do rekomendacji IOD i pyta za każdym razem, kiedy zagadnienie budzi wątpliwość.

Rozmawiał Rafał Jakubowski.

Monika Sobczyk będzie prelegentem podczas konferencji „Med. & Pharma Data Security Summit. Zarządzanie bezpieczeństwem i przetwarzaniem danych w świetle najnowszych regulacji”. (Warszawa, 20 września 2018 – więcej informacji na stronie https://datasecsummit.pl/)