+36 1 599 9740, +36 70 339 3693 info@dericom.hu

GDPR felkészülés

BEVEZETÉS

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról szóló AZ EURÓPAI PARLAMENT ÉS A TANÁCS (EU) 2016/679 RENDELETE (GDPR) 2018 május 25-től minden olyan szervezetre vonatkozik, amely személyes adatokat kezel, és komoly büntetésekkel fenyegeti a szabályozás megsértőit. A GDPR megfelelésre történő felkészülés minden szervezet esetében alapvetően két részből áll: jogi felkészülés: a rendelet által előírt dokumentumok, szerződések, szabályzatok, leltárok elkészítése és azok alkalmazása a szervezet mindennapjaiban a munkatársak és a partnerek felé informatikai felkészülés: a kezelt személyes adatok biztonságával és adatvédelmével kapcsolatos minden olyan teendő megtétele, ami a szervezettől elvárható, és ami az adatkezeléssel kapcsolatos adat incidens kockázatát minimalizálja Ehhez kívánunk segítséget nyújtani azzal, hogy összefoglaljuk milyen dokumentumokkal kell rendelkezni és azoknak mit kell tartalmaznia, illetve milyen informatikai megoldásokkal segítjük Önt, és mi az amit Önnek kell megtenni. Fontos azonban, hogy a dokumentumokat mindenki a saját tevékenységére és ügymenetére szabva készítse el, és technikai intézkedéseket is az informatikai intézkedéseket is a saját technikai hátterére szabva hozza meg!

GDPR ALAPFOGALMAK

A felsorolt alapfogalmak segítenek a rendelet megértésében és értelmezésében: „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; „adatkezelés”: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés; „adatvédelmi incidens”: a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi; „nyilvántartási rendszer”: a személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető; „adatkezelő”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja; „adatfeldolgozó”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel; „harmadik fél”: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely nem azonos az érintettel, az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére felhatalmazást kaptak.;

JOGI FELKÉSZÜLÉS

Jogi felkészülést akkor tekinthetjük sikeresnek, ha egy spontán ellenőrzés vagy egy adat-incidens bejelentése során a NAIH szakemberei ellenőrzik a szervezet GDPR-re vonatkozó felkészültségét, és minden jogi vonatkozást rendben találnak.Ennek alapfeltétele, hogy minden, a rendeletben előírt dokumentum, szabályzat, stb. a megfelelő formában és tartalommal rendelkezésre álljon és a szervezet működésével összhangban legyen. Mi, mint informatikai cég nem tudjuk vállalni az Önök jogi felkészítését, mivel nem ez a szakmánk és a GDPR túl összetett komplex jogi rendszer. Mi néhány az általunk fontosnak tartott dokumentumot foglaljuk itt össze segítségül az Önök felkészüléséhez, de a teljes felkészítéshez jogi hátteret ajánlunk. Körlevelünkben már jeleztük Önöknek az általunk tesztelt és javasolt tanácsadó céget. Az általunk legfontosabbnak tartott dokumentumok a következők:

Adatkezelési Tájékoztató

Az adatkezelési tájékoztató a partnerek, ügyfelek és Önök esetében a páciensek felé egy olyan tájékoztató, amiben összefoglalják a személyes (és páciensek esetében az  egészségügyi) adataik kezelésével kapcsolatos tudnivalókat. A tájékoztatót ki kell függeszteniük a váróterem jól látható részére és minimum a következőket kell tartalmaznia: Adatkezelő megnevezése GDPR vonatkozásban adatkezelő a praxis vezetője, aki rendelkezik a pacientúra adatainak kezeléséről, annak módjáról, céljáról, és határozza meg az adatfeldolgozás eszközét. Adatfeldolgozók igénybevétele Az adatfeldolgozó az adatkezelő megbízásából tevékenykedik, és biztosítja az adatkezelő által meghatározott eszközt (jelen esetben orvosi szoftvert) a pacientúra adatainak kezeléséhez. Jelen esetben a Ön által megbízott adatfeldolgozó a Dericom Kft.  Ehhez megadjuk a DeriCom Kft adatait: Cégnév:                    DeriCom Kft Székhely:                 1095 Budapest, Ipar utca 2/B. 2. em. 13. Cégjegyzékszám:     01-09-687394 Adószám:                 12461828-2-43 E-mail cím:               info@dericom.hu; Honlap:                     www.dericom.hu Ebben a pontban kell feltüntetni a könyvelési és bérszámfejtési feladatokkal megbízott külső vállalkozás, a kamerarendszer (ha van) üzemeltetésével megbízott külső vállalkozás, weboldal üzemeltető (amennyiben a weboldal regisztrációra vagy kapcsolat felvételre alkalmas menüt is tartalmaz) külső vállalkozás, hírlevél küldéséhez igénybe vett külső vállalkozás adatait is. A kezelt adatok kategorizálása

  • munkaviszonnyal kapcsolatos adatkezelések
  • szerződéshez kapcsolódó adatkezelések
  • látogatói adatkezelés a weboldalon (ha rendelkezik weboldallal)
  • az egyéb úton (pl. e-mail) közölt személyes adatok kezelése
  • jogi kötelezettségen alapuló adatkezelések
  • kamera rendszer működtetéshez kapcsolódó adatkezelések (ha rendelkezik ilyennel)
  • hírlevél szolgáltatáshoz kapcsolódó adatkezelés (ha rendelkezik ilyennel)

Az egyes kategóriákon belül meg kell adni:

  • az adatkezeléssel érinettetek körét
  • a kezelt adatok körét (pl.: név, cím, adóazonosító jel, stb.)
  • az adatkezelés jogalapján (pl.: önkéntes hozzájárulás, törvényi kötelezettség, adatkezelő jogos érdekén alapuló, stb.)
  • az adatkezelés célját (pl.: munkaviszony létesítése, szerződéses kötelezettség teljesítése, stb.)
  • az adatkezelés címzettjeit (kik ismerhetik meg azokat)
  • az adatok megőrzésének tervezett idejét

Az adatkezelés technikai információi Itt szükséges felsorolni azokat a műszaki, szervezési és szervezeti intézkedéseket, melyek az adatkezelés biztonságának védelméről hivatottak gondoskodni azáltal, hogy megakadályozzák az adatokhoz való jogosulatlan hozzáférést, megváltoztatást, továbbítást, nyilvánosságra hozatalt, törlést vagy megsemmisítést, valamint a véletlen megsemmisülést. Tájékoztatás az érintett jogairól

  • Előzetes tájékozódáshoz való jog (Rendelet 13-14. cikk)
  • Az érintett hozzáférési joga (Rendelet 15. cikk).
  • A helyesbítéshez való jog (Rendelet 16. cikk).
  • A törléshez való jog („az elfeledtetéshez való jog”) (Rendelet 17. cikk)
  • Az adatkezelés korlátozásához való jog (Rendelet 18. cikk)
  • A személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség (Rendelet 19. cikk)
  • Az adathordozhatósághoz való jog (Rendelet 20. cikk)
  • A tiltakozáshoz való jog (Rendelet 21. cikk)
  • Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást (Rendelet 22. cikk)
  • Korlátozások (Rendelet 23. cikk)
  • Az érintett tájékoztatása az adatvédelmi incidensről (Rendelet 34. cikk)
  • A felügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog) (Rendelet 77. cikk)
  • A felügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog (Rendelet 78. cikk)
  • Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog (Rendelet 79. cikk)

Az érintett kérelmének előterjesztése, intézkedések Itt kell tájékoztatást adni arról, hogy  az érintett a kérelmét milyen csatornán keresztül nyújthatja be, és az adatkezelő ezt hogyan kezeli. Az adatkezelési tájékoztatót az éritettetek számára megismerhetővé kell tenni (kifüggesztés, weboldalon való megjelentetés, stb.).

Adatkezelési nyilvántartás

Az adatkezelőknek rendelkezniük kell egy úgynevezett adatkezelési nyilvántartással is, mely az adatkezelési tájékoztatóra építve már viszonylag könnyen elkészíthető. Ennek legalább a következő a következőket kell tartalmaznia:

  • a vállalkozás/szervezet neve,
  • az adatkezelés céljai,
  • az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése,
  • címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják,
  • az adatbiztonság érdekében alkalmazott intézkedések általános leírása.
Adatkezelési Hozzájáruló Nyilatkozat

Amennyiben az adatkezelés jogalapja az érintett önkéntes hozzájárulása, akkor az erről az érintettnek nyilatkoznia kell. Ez történhet egy weboldalon történő regisztrációval, vagy egy dokumentum aláírásával is. Az érintett nyilatkozatának tartalmaznia kell az adatkezelő és az érintett azonosítására alkalmas információkat, továbbá hogy az érintett hozzájárulását a személyes adatainak a kezeléshez az adatkezelési tájékoztató ismeretének birtokában adja.

Adatfeldolgozói Megállapodás

A Rendelet 28. cikk (3) bekezdése alapján az adatkezelő és az adatfeldolgozó köteles szerződést kötni, amely szerződés alapján az adatfeldolgozó

  • az adatokat kizárólag az adatkezelő utasításai szerint kezeli
  • titoktartási kötelezettséget vállal
  • az lehető legteljesebb adatbiztonság érdekében meghozza a szükséges intézkedéseket
  • segíti az adatkezelőt a hatóság iránti kötelezettségeinek a teljesítésében
  • az adatkezeléssel járó szolgáltatást követően az adatkezelő rendelkezése alapján vagy törli az adatokat, vagy visszajuttatja azokat a kezelőhöz, és törli a másolatokat.
Informatikai Biztonsági Szabályzat

Mivel a praxis több ezer páciensének személyes és egészségügyi adatait az adatkezelő informatikai eszközzel kezeli, ezért szükséges egy informatikai szabályzat kidolgozása is. Ennek tartalmaznia kell többek között:

  • Adatkezelési eljárásrend
  • Jogosultságkezelés
  • Adatmentés, adatarchiválás
  • Biztonsági helyzet- és eseménykezelés
  • Adatkezelési kérés- és panaszkezelés

A GDPR a jogi megfelelés mellett az informatikával szemben is komoly elvárásokat támaszt.

INFORMATIKAI FELKÉSZÜLÉS

Az informatikai felkészülés azon informatikai intézkedések összességét jelenti, amelyek célja a kezelt adatok adatbiztonságának(adatvesztés és adatsérülés elkerülése) és adatvédelmének (az adatok védelme illetéktelenek elől) növelése, azaz GDPR szempontból az adatvédelmi incidens kockázatának a minimalizálása. Lokális informatikai rendszer védelme Amennyiben Ön a pacientúra adatait elektronikus formában tartja nyilván a helyben működő számítástechnikai eszközein (rendelőben működő szerveren, asztali gépen, notebook-on, stb.- PraxisPro, MedMaxPro és MedMaxProNet-intranet esetén), úgy az e célra igénybe vett eszköz biztonságos működéséről, valamint a pacientúra adatainak adatbiztonságáról és adatvédelmérőlaz Ön felelőssége gondoskodni. Ezért Önnek minden ésszerű intézkedést meg kell tennie az ellen, hogy a kártékony szoftverek, vírusok, kémprogramok, vagy egyébként illetéktelen harmadik felek a rögzített adatokhoz hozzáférjenek, azok egységét, elemeit elérjék, módosítsák, nyilvánosságra hozzák vagy egyébként bármely módon és céllal felhasználják. Továbbá Önnek kell biztosítania a biztonságos informatikai eszközt, annak karbantartását és ezzel együtt az adatok biztonsági mentését és archiválását, oly módon, hogy ne történjen adatvesztés, vagy adatsérülés. Ezért a következő intézkedések javasoltak:

  • Számítógép betörés / lopás elleni védelme (elektronikus és mechanikai betörés elleni védelmi rendszerek a rendelőben,
  • adathordozás (notebookon, USB pendrive-on) elkerülése lehetséges lopás / elvesztés elkerülése érdekében
  • Számítógép védelme illetéktelenek hozzáférése ellen (pl. USB titkosító kulcs / ujjlenyomat védelem)
  • Operációs rendszer szintű védelem (erős jelszó alkalmazása a Windows belépésnél)
  • Orvosi szoftver védelme (erős jelszó – nem azonos az op. rendszerével – alkalmazása a szoftver belépésnél)
  • Tűzfal alkalmazása
  • Vírusirtó szoftver alkalmazása
  • Internet használatának korlátozása (rendelői gépen csak a hivatalos eü. oldalak megnyitása)
  • Levelezés ellenőrzése, SPAM szűrők alkalmazása
  • Biztonsági mentés eszközének tárolása kulccsal zárt helyen

Amennyiben a rendelőben betörés történik (és a betörő hozzáférhetett az adatokat tartalmazó számítógéphez), vagy eltünik egy biztonsági mentést tartalmazó eszköz, esetleg ellopják az autóból a notebookot, ami a körzet adatait tartalmazta, akkor az adatvédelmi incidensnek számit, amit 72 órán belül az adatkezelő köteles jelenteni a NAIH felé, amely adatvédelmi vizsgálatot von maga után.   On-line (MedMaxProNet) rendszer használata On-line (MedMaxProNet) rendszer használata On-line (MedMaxProNet) rendszer használata On-line (MedMaxProNet) rendszer használata Amennyiben Ön a MedMaxProNet (on-line) rendszert használja, akkor a kliens (felhasználói) gépeken semmilyen adat, és program nem tárolódik, nincs jelen. Csak a böngészőn, mint egy kapun keresztül éri el a távoli szerveren lévő beteg adatokat. Ebben az esetben az Ön praxisának beteg adatai a DeriCom távoli szerverein vannak, amelyek adatvédelmét és adatbiztonságát a Dericom szavatolja, a következő intézkedésekkel:

  1. Banki biztonságot nyújtó szerverterem használata. (Magyarország legbiztonságosabb szerverterme). A szerver-hosting cég, amely a DeriCom által bérelt szerverek elhelyezését biztosítja, garantálja, hogy az adatbiztonság és az adatvédelem jogszabályi és technológiai előírásainak maximális megfelel, és biztosítja a felhasználó érdekeit és a GDPR megfelelőséget.

 

  1. Az adatok tárolása, kezelése un. adatbázis-szerver segítségével történik. Az általunk használt PostgreSQL adatbázis szerver napjaink egyik legmegbízhatóbb adatbázis szervere, számos magyar és nemzetközi bank és pénzügyi szervezet (pl. a Magyar Államkincstár is) alkalmazza ezt a szoftvert.
  1. Pszeudo-minimalizálási adatvédelmet építettünk ki, ami azt jelenti, hogy az adatbázison belül tárolt személyes adatok, ami alapján az egyén beazonosítható (név, születési név, TAJ szám, születési dátum, születési hely, anyja neve, stb.) az adatbázisban titkosított formában Maga az adatbázis is jelszóval védett, és az adatbázison belül a páciensekhez tartozó személyes és egészségügyi adatok egymástól teljesen elszeparált módon vannak tárolva. Az adatok közötti kapcsolatokat több szintű ID rendszer valósítja meg.
  1. A felhasználó fiókhoz tartozó jelszavak az adatbázisban vissza nem fejthető kódolt formában vannak eltárolva. Azaz az adott jelszót csak a jelszó létrehozója ismerheti, és csak ő férhet hozzá a jelszóval védett adatokhoz. Amennyiben a felhasználó azt igényli, lehetőség van a rendszerbelépés során a kétszintű authentikációra. Ez azt jelenti, hogy a felhasználó a belépés során megadja felhasználónevét és jelszavát, ezek után a rendszer egy regisztrált mobil számra SMS-t küld, és a belépés csak akkor engedélyezett, ha bizonyos időn belül az SMS-ben küldött kód begépelésre kerül.
  1. Az adatokat tároló szerverek és a szerver-kliens közötti kommunikációs csatorna is több szinten védve van az illetéktelen behatolás ellen. A szerver tanúsítvánnyal védett HTTPS (security protocol) csatornán keresztül kommunikál a kliens gépekkel. Továbbá a szervereket erős tűzfal és egy, a legújabb biztonsági technológiát alkalmazó proxy alapú behatolás-védelemi rendszer is védi az illetéktelen behatolók ellen.
  1. Automatikus, napi, titkosított mentéseket építettünk a rendszerünkbe, melyek 3 különböző adattárolóra mentik az adatokat, melyek egymástól elszeparáltan 2 hosting szolgáltatónál vannak elhelyezve.

Amennyiben Ön az adatokat elektronikus formában tartja nyilván a helyben működő számítástechnikai eszközén, úgy az e célra igénybe vett eszköz biztonságos működéséről az Ön felelőssége gondoskodni. Ezért Önnek minden ésszerű intézkedést meg kell tennie, hogy a kártékony szoftverek, a vírusok, a kémprogramok, vagy egyébként illetéktelen harmadik felek a rögzített adatokhoz hozzáférjenek, azok egységét, elemeit elérjék, módosítsák, nyilvánosságra hozzák vagy egyébként bármely módon és céllal felhasználják! Amennyiben Ön a MedMaxProNet (on-line) rendszert használja, akkor a kliens (felhasználói) gépeken semmilyen adat, és program nem tárolódik, nincs jelen. Csak a böngészőn, mint egy kapun keresztül éri el a távoli szerveren lévő beteg adatokat. Ebben az esetben az Ön praxisának beteg adatai a DeriCom távoli szerverein vannak, amelyek adatvédelmét és adatbiztonságát a Dericom szavatolja, a következő intézkedésekkel:

  1. Banki biztonságot nyújtó szerverterem használata. (Magyarország legbiztonságosabb szerverterme). A szerver-hosting cég, amely a DeriCom által bérelt szerverek elhelyezését biztosítja garantálja, hogy az adatbiztonság és az adatvédelem jogszabályi és technológiai előírásainak maximális megfelel, és biztosítja a felhasználó érdekeit és a GDPR megfelelőséget.
  2. Az adatok tárolása, kezelése un. adatbázis-szerver segítségével történik. Az általunk használt PostgreSQL adatbázis szerver napjaink egyik legmegbízhatóbb adatbázis szervere, számos magyar és nemzetközi bank és pénzügyi szervezet (pl. a Magyar Államkincstár is) alkalmazza ezt a szoftvert.
  3. Pszeudo-minimalizálási adatvédelmet építettünk ki, ami azt jelenti, hogy az adatbázison belül tárolt személyes adatok, ami alapján az egyén beazonosítható (név, születési név, TAJ szám, születési dátum, születési hely, anyja neve, stb.) az adatbázisban titkosított formában Maga az adatbázis is jelszóval védett, és az adatbázison belül a páciensekhez tartozó személyes és egészségügyi adatok egymástól teljesen elszeparált módon vannak tárolva. Az adatok közötti kapcsolatokat több szintű ID rendszer valósítja meg.
  4. A felhasználó fiókhoz tartozó jelszavak az adatbázisban vissza nem fejthető kódolt formában vannak eltárolva. Azaz az adott jelszót csak a jelszó létrehozója ismerheti, és csak ő férhet hozzá a jelszóval védett adatokhoz. Amennyiben a felhasználó azt igényli, lehetőség van a rendszerbelépés során a kétszintű authentikációra. Ez azt jelenti, hogy a felhasználó a belépés során megadja felhasználónevét és jelszavát, ezek után a rendszer egy regisztrált mobil számra SMS-t küld, és a belépés csak akkor engedélyezett, ha bizonyos időn belül az SMS-ben küldött kód begépelésre kerül.
  5. Az adatokat tároló szerverek és a szerver-kliens közötti kommunikációs csatorna is több szinten védve van az illetéktelen behatolás ellen. A szerver tanúsítvánnyal védett HTTPS (security protocol) csatornán keresztül kommunikál a kliens gépekkel. Továbbá a szervereket erős tűzfal és egy, a legújabb biztonsági technológiát alkalmazó CloudFlare proxy alapú behatolás-védelemi rendszer is védi az illetéktelen behatolók ellen.
  6. Automatikus, napi, titkosított mentéseket építettünk a rendszerünkbe, melyek 3 különböző adattárolóra mentik az adatokat, melyek egymástólé elszeparáltan 2 hosting szolgáltatónál vannak elhelyezve.