Audyty |
Podmiot leczniczy jako administrator jest zobowiązany spełniać wiele wymogów jakie nakłada na niego RODO. Jednym z nich jest zapewnienie zgodności wdrożonego systemu ochrony danych osobowych z obowiązującymi przepisami prawa. W związku z tym warto regularnie sprawdzać poprawność przetwarzania danych poprzez zlecanie przeprowadzenia audytów.
Ochrona danych medycznych w podmiocie leczniczym powinna być systematycznie weryfikowana. Pozwala to niezwłocznie wychwytywać wszelkie nieprawidłowości i unikać ewentualnych uchybień, a w konsekwencji również kar pieniężnych z tytułu naruszenia RODO.
Świadczymy usługi audytu, w ramach których proponujemy:
- Audyt zgodności administratora z RODO,
- Audyt bezpieczeństwa informacji (norma ISO 27001),
- Ocena i analiza ryzyka.
Audyt zgodności z RODO |
Przeprowadzenie audytu ochrony danych osobowych jest niezbędne, ponieważ aby rozpocząć proces wdrażania RODO i budować dobrze działający system ochrony danych osobowych należy rozpocząć od analizy obecnej sytuacji panującej w podmiocie leczniczym. Świadomość tego, co w placówce należy zmienić i udoskonalić jest pierwszym krokiem do zgodności z RODO, a co za tym idzie do uniknięcia wysokich kar oraz problemów prawnych.
Zgodność z RODO to nieustający proces doskonalenia procedur związanych z ochroną danych osobowych i budowania świadomości personelu w tym zakresie. Dobrze wykonany audyt pokazuje mocne i słabe strony ochrony danych osobowych w placówce i staje się punktem wyjścia do działań naprawczych.
W ramach świadczonej usługi oferujemy następujące działania:
- Audyt zgodności z RODO 1 – zgromadzenie i analiza informacji oraz procedur w zakresie:
- wdrożonych polityk,
- identyfikacji zbiorów danych,
- przetwarzania, udostępniania, archiwizowania, niszczenia,
- bezpieczeństwa fizycznego,
- stanu i zabezpieczeń systemu informatycznego,
- stanu wiedzy personelu.
- Audyt zgodności z RODO 2 – opracowanie protokołu o stanie i zgodności z aktualnie obowiązującymi przepisami w obszarze:
- wdrożonych polityk,
- identyfikacji zbiorów danych,
- przetwarzania, udostępniania, archiwizowania, niszczenia,
- bezpieczeństwa fizycznego,
- stanu i zabezpieczeń systemu informatycznego,
- stanu wiedzy personelu.
oraz przygotowanie sprawozdania wraz z zaleceniami i przekazanie go administratorowi danych osobowych.
W celu wykonania audytu korzystamy z takich narzędzi jak: ankiety, rozmowy z pracownikami, przeprowadzania oględzin kluczowych pomieszczeń, wgląd do nośników danych i do systemów danych informatycznych, wgląd do dokumentacji.
Audyt bezpieczeństwa informacji zgodnie z normą PN-EN ISO/IEC 27001:2017-06 |
Skuteczne wdrożenie systemu gwarantującego bezpieczeństwo danych w sieci, zgodnego z ISO/IEC 27001 znacząco zwiększa bezpieczeństwo informacji w każdej organizacji. W efekcie podnosi się poziom poufności i integralności danych, zaś dostępność zgromadzonych danych jest ściśle kontrolowana.
Obecnie ochrona danych jest niezwykle ważna, a systemy teleinformatyczne narażone są na różnego rodzaju ataki hakerskie. W takiej rzeczywistości weryfikacja systemu zarządzania bezpieczeństwem informacji i audyt IT to okazuje się być koniecznością.
Audyt zgodności z wymogami ISO 27001 obejmuje następujące działania:
- przeprowadzenie inwentaryzacji oraz analizy aktywów,
- zdefiniowanie podejścia do szacowania ryzyka oraz przeprowadzenie analizy i oceny ryzyka w obszarze bezpieczeństwa informacji,
- analizę zarządzania incydentami związanymi z bezpieczeństwem informacji,
- opracowanie planów ciągłości działania,
- określenie ról, odpowiedzialności i uprawnień związanych z bezpieczeństwem informacji,
- identyfikację potencjalnych źródeł wycieku informacji z organizacji,
- przegląd polityk bezpieczeństwa oraz procedur pod kątem ich kompletności oraz zgodności z normami ISO 27000,
- audyt przestrzegania przez pracowników zasad bezpieczeństwa obowiązujących w organizacji.
Podmiot leczniczy (administrator) powinien zapewnić ciągłą poufność, integralność, dostępność i odporność systemów i usług przetwarzania.
Zasada poufności danych polega na zapewnieniu, by dane nie zostały ujawnione osobom niepożądanym, np. włamywaczom lub hakerom. Poufność oznacza zapewnienie, że informacja jest dostępna wyłącznie dla osób uprawionych, posiadających odpowiednie prawa dostępu.
Integralność danych polega na zapewnieniu, by dane nie zostały utracone lub zmodyfikowane w nieautoryzowany sposób. Integralność przejawia się także w posiadaniu kontroli nad systemem, czyli posiadaniu wiedzy w jaki sposób personel przetwarza dane.
Dostępność, czyli zapewnienie aby dane były dostępne na każde żądanie, to kolejny bardzo ważny aspekt bezpieczeństwa. Utrata dostępności jako jednej z cech bezpieczeństwa informacji może prowadzić do utraty ciągłości działania.
Odporność natomiast to zarządzanie podatnościami (słabościami) systemów. Polega ona na ciągłym weryfikowaniu systemów i usług przetwarzania..
Korzyści z audytu zgodności z normą ISO 27001:
- obniżenie ryzyka związanego z naruszeniem zasad poufności, integralności i dostępności informacji,
- identyfikacja niezgodności i ich eliminacja,
- możliwość przystąpienia do certyfikacji wg. ww. normy,
- wzmocnienie odporności organizacji na incydenty,
- nadzór nad procesami przetwarzania informacji,
- wzrost świadomości bezpieczeństwa informacji wśród personelu,
- podniesienie jakości usług i zwiększenie wiarygodności oraz zaufania.
Mając na uwadze rosnącą liczbę zagrożeń dla bezpieczeństwa informacji w podmiotach leczniczych rekomendujemy wykonanie takie audytu. W ramach usługi audytu bezpieczeństwa informacji m. in. ustalimy obszary krytyczne dla funkcjonowania placówki, zweryfikujemy wdrożone systemy informatyczne, sprawdzimy podatność na wycieki informacji oraz przygotujemy sprawozdanie opisujące stwierdzone zagrożenia oraz zawierające rekomendacje odnośnie sugerowanych działań naprawczych i korygujących.
Ocena i analiza ryzyka |
Ryzyko to prawdopodobieństwo wystąpienia zdarzeń (pozytywnych i negatywnych), które mogą mieć wpływ na osiągnięcie celów lub oczekiwanych rezultatów. Związane jest ono z procesem decyzyjnym, gdyż dotyczy braku pewności co do skutków podejmowanych decyzji.
Aby ograniczyć negatywny wpływ ryzyka na funkcjonowanie podmiotu należy dokonać jego analizy. Przeprowadzając analizę ryzyka, określa się wymagania bezpieczeństwa. Wymagania te są realizowane przez zabezpieczenia, które zmniejszają ryzyko, chroniąc przed zidentyfikowanymi zagrożeniami. Podatności organizacji są wykorzystywane przez te zagrożenia do narażania zasobów organizacji na ponoszenie strat. Wynika z tego, że czynnikami zwiększającymi ryzyko są zagrożenia i podatności, które mogą spowodować poniesienie strat. Istotne jest więc monitorowanie tych elementów i wdrażanie działań, które ograniczą ich negatywny wpływ na funkcjonowanie placówki i jakość świadczonych usług.
Analiza ryzyka jest częścią większego procesu, zwanego zarządzaniem ryzykiem. Zarządzanie ryzykiem w podmiocie leczniczym polega na permanentnym monitorowaniu i obniżaniu ryzyka do poziomu akceptowalnego przez właściciela podmiotu.
Do działań realizowanych w ramach usługi zarządzania ryzykiem należą:
- konsultacje w ramach zarządzania ryzykiem,
- określenie kontekstu i obszaru ryzyka,
- definiowanie kryteriów ryzyka,
- szacowanie ryzyka, czyli identyfikacja i analiza zagrożeń oraz ocena ryzyka,
- określenie strategii postępowania z ryzykiem, przygotowanie planów postępowania z ryzykiem,
- przygotowanie dokumentacji procesu zarządzania ryzykiem.