Protokół audytu ochrony danych osobowych w archiwum zakładowym

Prawo

medyczne

Kategoria

raport

Klucze

archiwum zakładowe, audyt ochrony danych osobowych, dokumentacja medyczna, niszczenie dokumentów, ochrona danych osobowych, procedury ochrony danych, retencja danych osobowych, wartościowanie dokumentacji medycznej, zabezpieczenia archiwum

Protokół audytu ochrony danych osobowych w archiwum zakładowym to dokument sporządzony w celu przeprowadzenia oceny zgodności z przepisami dotyczącymi ochrony danych osobowych w archiwum zakładowym. Audyt skupia się na identyfikacji ewentualnych zagrożeń i ułatwieniu poprawy procedur związanych z przechowywaniem i ochroną danych osobowych. Przeprowadzenie audytu pozwala na zwiększenie świadomości w zakresie odpowiedzialności za przetwarzanie danych osobowych oraz identyfikację obszarów wymagających ulepszeń.

Audyt spełniania obowiązków w zakresie ochrony danych osobowych w archiwum zakładowym podmiotu publicznego ochrony zdrowia

 

 

I. Organizacja archiwum zakładowego

Badany obszar | Pytania kontrolne | Stosowanie | Uwagi i zalecenia

Prowadzenie archiwum zakładowego | Czy Wojewódzki Szpital Specjalistyczny im. dr. W. Biegańskiego w Łodzi posiada w jednostce osobne pomieszczenie przeznaczone na archiwum? | Tak | 

| Czy osoba prowadzącą archiwum ma nadane stosowne upoważnienie do przetwarzania danych? | Tak | 

| Czy Wojewódzki Szpital Specjalistyczny im. dr. W. Biegańskiego w Łodzi zlecił przechowywanie dokumentacji medycznej firmie ArchiMed Sp. z o.o. zewnętrznej w ramach umowy outsourcingu? | Nie | 

| Czy w przypadku elektronicznej dokumentacji medycznej ArchiMed Sp. z o.o. zewnętrzna umożliwia utworzenie elektronicznego archiwum? | Nie dotyczy | 

| Czy ArchiMed Sp. z o.o. zewnętrzna korzysta z rozwiązań chmurowych do elektronicznej archiwizacji danych? | Nie dotyczy | 

| Czy z ArchiMed Sp. z o.o. zewnętrzną zawarto umowę powierzenia danych osobowych? | Nie dotyczy | 

| Czy umowa powierzenia zawiera: zakres danych i sposoby ich zabezpieczeniazasady współpracy w zakresie notyfikacji naruszeńrealizację wniosków podmiotów danychprzeprowadzania audytówdopuszczalność podpowiedzenia danych osobowych | Nie dotyczy | 

| Czy procesor został zweryfikowany pod kątem spełniania przez niego wymogów RODO dot. zapewniania adekwatnej ochrony powierzonych danych? | Nie dotyczy | 

| Czy w przypadku korzystania z usługi chmurowej u procesora przeprowadzono ocenę skutków dla ochrony danych osobowych (lokalizacja serwerów procesora i transfer danych poza EOG) | Nie dotyczy | 

| Czy w przypadku przekazywania danych poza EOG uzupełniono klauzulę informacyjne o taką informację? | Nie dotyczy | 

II. Pomieszczenie archiwum zakładowego

Badany obszar | Pytania kontrolne | Stosowanie | Uwagi i zalecenia

Zabezpieczenia | Fizyczne zabezpieczenia pomieszczenia:drzwi wyposażone w dodatkowy zamekdrzwi antywłamaniowedrzwi ognioodporneczujka ruchukamera monitoringuInstalacja przeciwpożarowaczujniki wilgoci i temperaturysygnalizacja antywłamaniowaokna zabezpieczone kratami lub roletami antywłamaniowymw pomieszczeniu utrzymywana jest odpowiednią temperaturę (20oC, ± 2oC wahania w ciągu 24 godzin) i wilgotność (wilgotność względna 40-60%, ± 5% wahania w ciągu 24 godzin)dokumentacja jest regularnie sprawdzana pod kątem śladów obecności grzybów pleśniowych, owadów lub gryzoni, a także takich czynników jak wilgoć czy kurzsprzątanie pomieszczenia pełniącego rolę archiwum odbywa się w obecności przynajmniej jednej osoby z personelu | Tak | 

Przechowywania dokumentacji papierowej | Czy dokumentacja przechowywana jest:w szafach, szafkachregałachpudłachkartonach stojących bezpośrednio na podłodzeinne | Tak | 

Procedura postępowania w przypadku wystąpienia zagrożenia dla przechowywanej dokumentacji | Czy Administrator wdrożył procedurę w przypadku wystąpienia zagrożenia dla przechowywanej dokumentacji (np. zniszczenie, pożar, zalanie) | Tak | 

III. Retencja danych osobowych

Badany obszar | Pytania kontrolne | Stosowanie | Uwagi i zalecenia

Procedura retencji danych | Czy Wojewódzki Szpital Specjalistyczny im. dr. W. Biegańskiego w Łodzi wdrożył procedurę retencji danych osobowych? | Tak | 

| Czy Wojewódzki Szpital Specjalistyczny im. dr. W. Biegańskiego w Łodzi aktualizuje procedurę retencji danych osobowych zgodnie ze zmieniającymi się przepisami? | Tak | 

| Czy Administrator przy opracowywaniu/aktualizacji procedury współpracuje z Inspektorem Ochrony Danych? | Tak | 

Wartościowanie dokumentacji medycznej | Czy Administrator jest Naczelnym Dyrektorem Archiwów Państwowych, który wymieniony został jako twórca materiałów archiwalnych na podstawie zarządzenia nr 14 Naczelnego Dyrektora Archiwów Państwowych z dnia 22 lipca 2011 r. w sprawie kryteriów wartościowania dokumentacji medycznej w procesie retencji danych? | Nie | 

| Czy w przypadku opisanym powyżej procedura retencji danych uwzględnia etapy wydzielania materiałów archiwalnych oraz kryteria kwalifikowania dokumentacji typowanej do materiałów archiwalnych, zgodnie z ww. zarządzeniem? | Nie dotyczy | 

Okresy przechowywania danych osobowych zgodnie z art. 29 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta | Czy Administrator zachowuje okresy przechowywania danych zgodnie z art. 29 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta? | Tak | 

| Czy wobec dokumentacji archiwowanej papierowo i elektronicznie Administrator stosuje takie same okresy retencji? | Tak | 

| Czy zachowano ustawowe terminy przechowywania dokumentacji medycznej? | 1. 20 lat2. 30 lat przed 1 stycznia 201210 lat liczonych od dnia 1 stycznia 2012 r.3. 20 lat od 1 stycznia 2012 r. do 31 grudnia 2021 r.30 lat, liczonych od dnia 1 stycznia 2022 r.4. 20 lat od 1 stycznia 2002 r.10 lat liczonych od dnia 1 stycznia 2022 r.5. 10 lat6. 20 lat, od końca roku kalendarzowego w którym udzielono świadczenia7. 10 lat od końca roku kalendarzowego, w którym udzielono świadczenia8. 5 lat, jeśli informacja o świadczeniach zdrowotnych została wprowadzona do indywidualnej lub zbiorowej dokumentacji medycznej20 lat, jeśli są jedynym zapisem dotyczącym wykonanych świadczeń zdrowotnych, a tym samym stanowią część dokumentacji medycznej | 

| Czy zachowano ustawowe terminy przechowywania pozostałej dokumentacji medycznej? | 1. Dotyczącej dzieci do ukończenia 2. roku życia - 22 lata2. Dane niezbędne do monitorowania losów krwi i jej składników - 30 lat3. Nastąpienie zgonu pacjenta na skutek uszkodzenia ciała lub zatrucia - 30 lat4. Zdjęcia rentgenowskie przechowywane poza dokumentacją medyczną pacjenta - 10 lat, od końca roku kalendarzowego, w którym wykonano zdjęcie | 

IV. Niszczenie dokumentacji medycznej

Badany obszar | Pytania kontrolne | Stosowanie | Uwagi i zalecenia

Proces niszczenia dokumentacji medycznej | Czy Wojewódzki Szpital Specjalistyczny im. dr. W. Biegańskiego w Łodzi sam niszczy dokumentacje medyczną? | Nie | 

| Czy niszczeniem dokumentacji zajmuje się firma Shred-it zewnętrzny? | Tak | 

| Czy Shred-it zewnętrzny daje gwarancję należytego wykonywania usługi niszczenia nośników danych (dokumenty papierowe, płyty CD i DVD, pendrive'y, dyski twarde) | Tak | 

| Czy z Shred-it zewnętrznym została zawarta umowa powierzenia danych? | Tak | 

| Czy procesor został zweryfikowany pod kątem spełniania przez niego wymogów RODO dot. zapewniania adekwatnej ochrony powierzonych danych? | Tak | 

| Czy Administrator daje możliwość odbioru dokumentacji medycznej przeznaczonej do zniszczenia pacjentowi, przedstawicielowi ustawowemu lub upoważnionej przez pacjenta osobie? | Tak | 

Protokół audytu ochrony danych osobowych w archiwum zakładowym stanowi kompleksową analizę zgodności z obowiązującymi przepisami dotyczącymi ochrony danych osobowych. Wnioski i rekomendacje zawarte w protokole mogą posłużyć do wprowadzenia zmian mających na celu zwiększenie efektywności i bezpieczeństwa procesów przechowywania i przetwarzania danych osobowych w archiwum zakładowym.