Od 1 stycznia 2024 r. obowiązywać będzie nowe rozporządzenie w sprawie systemów teleinformatycznych stosowanych w jednostkach organizacyjnych pomocy społecznej. Warto sprawdzić, wymagania w zakresie struktury, funkcjonalności i aktualizacji takich systemów. Ma to znaczenie nie tylko ze względu na zmianę przepisów, ale również zapewnienie bezpieczeństwa danych przetwarzanych w tychże systemach.
Zapewnianie bezpieczeństwa danych w ramach organizacji jest procesem ciągłym, a ewentualne incydenty stanowią pewne wskazówki, jakie kierunki należy obrać w celu podwyższania poziomu bezpieczeństwa. Dlatego jedną z najistotniejszych kwestii związaną z działaniami związanymi z ewentualnymi cyberatakami jest wyciąganie wniosków z zaistniałych zdarzeń. Po wskazaniu obszarów, które powinny być poprawione, konieczne jest ustalenie czasu, w ramach którego dojdzie do wdrożenia nowych, udoskonalonych rozwiązań w zakresie bezpieczeństwa. Proces ten powinien zakończyć się ewaluacją, tzn. oceną, na ile udało się zrealizować założenia i jak przebiega stosowanie nowych zabezpieczeń.
Inspektorem ochrony danych może być osoba, która posiada kwalifikacje zawodowe, a w szczególności ma odpowiednią wiedzę fachową na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań. Przy czym musi to być poparte praktyką. Ponieważ obecnie w znacznym zakresie dane osobowe przetwarza się w systemach IT, to inspektorowi potrzebna jest znajomość praktyk w zakresie cyberbezpieczeństwa.
Każdy administrator danych osobowych ma obowiązek wdrażania odpowiednich środków bezpieczeństwa przetwarzania danych. Odpowiednich czyli jakich? RODO nie definiuje takich środków, ale przykładowo wskazuje m.in. pseudonimizację. Z kolei anonimizacja to jedna z metod usunięcia danych osobowych. Zarówno pseudonimizacja jak i anonimizacja są więc narzędziami ochrony danych osobowych. Pseudonimizacja i anonimizacja to pojęcie podobnie brzmiące, a mimo tego istotnie różnią się od siebie. Różnice te przedstawiamy w artykule. Dowiesz się z niego także, jakie są metody i techniki pseudonimizacji, jak i anonimizacji danych.
Przepisy dotyczące zabezpieczenia danych mają dość ogólny charakter. Wynika to z konieczności dopasowania przyjętych rozwiązań w zakresie cyberbezpieczeństwa do indywidualnych potrzeb danej organizacji. Można jednak przytoczyć przykładowe działania służące zapewnieniu ochrony przed cyberzagrożeniami.
Niektóre przepisy dotyczące cyberbezpieczeństwa odnoszą się tylko do określonych grup podmiotów, zwłaszcza do podmiotów publicznych. Natomiast ogólne rozporządzenie o ochronie danych (RODO) zobowiązuje do zabezpieczania informacji zarówno podmioty publiczne, jak i prywatne.
Prawną definicję cyberbezpieczeństwa możemy znaleźć w ustawie o krajowym systemie cyberbezpieczeństwa. Zgodnie z nią cyberbezpieczeństwo oznacza odporność systemów informacyjnych na działania naruszające poufność, integralność, dostępność i autentyczność przetwarzanych danych lub związanych z nimi usług oferowanych przez te systemy. Posiadanie właściwego planu w zakresie cyberbezpieczeństwa stanowi konieczny warunek zabezpieczenia danych osobowych przetwarzanych w systemach informacyjnych. Jest to szczególnie istotne w kontekście obowiązków administratorów danych osobowych oraz inspektorów ochrony danych.
Od 1 stycznia 2024 r. obowiązywać będzie nowe rozporządzenie w sprawie systemów teleinformatycznych stosowanych w jednostkach organizacyjnych pomocy społecznej. Warto sprawdzić, dlaczego wydano nowe przepisy oraz spojrzeć na wymogi w zakresie zabezpieczenia takich systemów.
W części 1 artykułu opisującego Wytyczne2/2023 w sprawie zakresu technicznego art. 5 ust. 3 dyrektywy o prywatności i łączności elektronicznej wydane przez Europejską Radę Ochrony Danych (EROD) pisaliśmy o celach samej dyrektywy ePrivacy oraz celach przyjęcia przez EROD wytycznych, a także wyjaśniliśmy, jakie są kluczowe pojęcia z art. 5 ust. 3 dyrektywy i dokonaliśmy analizy kilku z nich.
O wyciek dokumentacji medycznej z placówki nie jest trudno. Co oczywiste, dokumentacja ta zawiera dane osobowe, w tym dane wrażliwe o stanie zdrowia pacjentów. Dlatego kierownictwo placówki medycznej musi wdrożyć rozwiązania mające na celu minimalizację ryzyka wystąpienia tego typu incydentów. Wszak to placówka medyczna jako administrator, niezależnie od odpowiedzialności zawodowej jej personelu, odpowiada za ochronę danych osobowych pacjentów. Duża w tym rola personelu placówki medycznej. Sprawdź, jakie środki bezpieczeństwa wdrożyć względem personelu placówki medycznej, by zabezpieczyć dokumentację medyczną przed wyciekiem.
08.12.2022
© Portal Poradyodo.pl