EESZT-t érintő adatvédelmi incidensek kezelése

Az Országos Kórház Főigazgatóság (OKFŐ), mint az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) üzemeltetője eljárásrendet bocsátott ki az EESZT-hez csatlakozott egészségügyi szolgáltatók részére. Az eljárásrendben az EESZT-t érintő adatvédelmi incidensek kezelésének szabályait fektette le. Az eljárásrend legfontosabb rendelkezéseit az alábbiakban foglaljuk össze.

1. Adatvédelmi incidens fogalma és jelentősége

Az általános adatvédelmi rendelet (GDPR) alapján adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.

Az adatok téves rögzítéséből fakadó jogosulatlan adat megismerés kizárólag akkor minősül adatvédelmi incidensnek, ha az adatokat megismerő személy olyan adatokat ismer meg, amely adatok alapján más személyt azonosítani tud. Például, amikor az ellátáson részt nem vett személy egy olyan beutalót, vagy eReceptet lát a felületén, amelyen –tévesen – a saját adatai szerepelnek, emellett azonban pusztán olyan információk is találhatóak, mint egy gyógyszer neve, vagy az intézmény neve, ahová a beutaló szól, akkor az eset egyértelműen nem fog adatvédelmi incidensnek minősülni, mivel nem tudja azonosítani, hogy a gyógyszer kinek lett felírva, ki lett beutalva az adott intézménybe. Hasonló eset, ha tévesen egy olyan EHR dokumentum lett feltöltve, amely az ellátás adatait tartalmazza; a panaszokat, diagnózist, alkalmazott kezelést – ilyen esetben sem tudja megállapítani a személy, hogy kinek a panaszait, kinek a diagnózisát, kinek a részére előírt kezelésre vonatkozó adatait látja.

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek, többek között a személyes adataik feletti rendelkezés elvesztését vagy a jogaik korlátozását, a hátrányos megkülönböztetést, a személyazonosság-lopást vagy a személyazonossággal való visszaélést, a pénzügyi veszteséget, az álnevesítés engedély nélküli feloldását, a jó hírnév sérelmét, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülését, illetve a szóban forgó természetes személyeket sújtó egyéb jelentős gazdasági vagy szociális hátrányt.

2. Adatkezelők és felelősségük

Az Országos Kórházi Főigazgatóság (OKFŐ), mint az EESZT működtetője, az online térben tárolt adatok vonatkozásában, az egészségügyi szolgáltató pedig a nála keletkezett adatok tekintetében minősül önálló adatkezelőnek.

Mivel az EESZT-be kerülő adatok a csatlakozott egészségügyi szolgáltatók informatikai rendszeréből kerülnek továbbításra az EESZT-be, az adatvédelmi incidensek kivizsgálása elsődlegesen az adatot feltöltő egészségügyi szolgáltató feladata. Gyakran előfordul, hogy az adatok feltöltését végző egészségügyi intézmény EESZT kompatibilis medikai programjában tévesen rögzítenek adatot, például a beteg TAJ-számának elütése miatt. Ilyen esetben a szolgáltatónak ki kell vizsgálnia a teljes ellátási eseményt, hogy kiderüljön, a téves rögzítésből fakadóan az ellátásban ténylegesen részt vett személy megismer-e olyan adatokat, amelyek nem rá vonatkoznak, azaz bekövetkezik-e adatvédelmi incidens. Az EESZT a rendszerbe hibásan felvett adatok törlése és módosítása esetén csak átirányítani képes a hibát az egészségügyi szolgáltatókhoz, a hibát az EESZT sem törölni, sem módosítani nem jogosult.

Ha a vizsgálat eredményeként az egészségügyi szolgáltató alappal feltételezi az EESZT hibás működéséből fakadó adatvédelmi incidens megtörténtét, az erre utaló körülmények részletes leírásával haladéktalanul értesíteni köteles az EESZT üzemeltetést, amelyet követően az OKFŐ, mint adatkezelő megteszi a GDPR által előírt szükséges lépéseket. Az OKFŐ tehát csak abban az esetben végzi el az adatvédelmi incidens kivizsgálását, amennyiben az az EESZT rendszer működése kapcsán keletkezett hibából fakad.

3. Az incidens észlelése, vezető értesítése

Az adatvédelmi incidens kezeléséhez szükséges első lépés az incidens vagy incidens gyanú észlelése. Ezt követően az egészségügyi szolgáltató minden esetben köteles megvizsgálni, hogy az adatvédelmi incidens saját, vagy az OKFŐ érdekkörében (felelősségi körében) merült-e fel.

Az incidens észlelése után azonnal értesíteni kell a megfelelő vezetési szinten lévő személyt (például kórházak esetében az intézmény vezetőjét, magánszolgáltatók esetében a vezető tisztségviselőt, valamint az adatvédelmi tisztviselőt), hogy az incidenst kezelni és szükség szerint jelenteni lehessen a

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), illetve az érintettek részére.

4. Adatvédelmi incidens kivizsgálása

Az egészségügyi szolgáltatónak ki kell vizsgálnia az incidens körülményeit. Ha azt észleli, hogy az adatvédelmi incidens az általa használt medikai rendszer hibájából fakad, haladéktalanul értesíti a medikai rendszer szállítóját, amely kivizsgálja az esetet. Ha az adatvédelmi incidens nem az egészségügyi szolgáltatónál és nem is a medikai rendszer miatt keletkezett, hanem az EESZT nem üzemszerű működéséből fakad, az erre utaló körülmények részletes leírásával haladéktalanul értesíti OKFŐ-t az adatvedelem.eeszt@okfo.gov.hu e-mail címen keresztül. Ebben az esetben az eljárás az OKFŐ általi kivizsgálással folytatódik.

Amikor megállapítást nyert, hogy az incidens az egészségügyi szolgáltató érdekkörében keletkezett, az egészségügyi szolgáltatónak, mint adatkezelőnek meg kell bizonyosodnia arról, hogy az összes megfelelő technológiai védelmi és szervezési intézkedés végrehajtásra került-e, egyrészt az adatvédelmi incidens haladéktalan megállapítása, másrészt a felügyeleti hatóságnak történő bejelentés, valamint szükség esetén az érintett sürgős értesítése érdekében.

Az incidens megállapítását követően fel kell mérni az incidens következtében az egyéneket érintő kockázatokat és egyúttal tájékoztatni kell a szervezet érintett részlegeit. Az értékelés során érdemes megvizsgálni az incidens jellegét, a személyes adatok jellegét, érzékenységét és mennyiségét, az egyének könnyű azonosíthatóságát, az egyéneket érintő következmények súlyosságát, az egyén sajátosságait, adatkezelő sajátosságait, érintett egyének számát, általános szempontokat.

5. Tájékoztatás

A kockázat felmérés eredményeként az adatkezelő meg tudja állapítani, hogy az incidens valószínűsíthetően kockázattal jár-e az egyének jogaira és szabadságaira nézve. Ilyen esetben a Hatóság részére jelenteni kell az incidenst. Az érintettek incidensről való tájékoztatása pedig akkor válik szükségessé, ha az incidens valószínűsíthetően magas kockázattal jár az egyének jogaira és szabadságaira nézve, például, ha az incidens fizikai, vagyoni vagy nem vagyoni károkat okozhat azoknak az érintetteknek, akiknek adatait az incidens érinti. Ha az incidens különleges adatokra, többek között genetikai adatokra, egészségügyi adatokra is kiterjed, akkor az ilyen károk valószínűleg bekövetkeznek.

Az Érintettek tájékoztatása közvetlenül, vagy nyilvánosan közzétett (például honlapon keresztül közzétett) információk útján valósulhat meg. A tájékoztatásban világosan és közérthetően

  • ismertetni kell az adatvédelmi incidens jellegét, és
  • közölni kell legalább az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket,
  • ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket

 

Nem kell tájékoztatni az érintetteket, ha

  • az adatkezelő az incidens bekövetkezése előtt megfelelő technikai és szervezési intézkedéseket alkalmazott személyes adatok védelme érdekében, például a személyes adatokhoz való hozzáférésre fel nem jogosított személyek számára értelmezhetetlenné teszik az adatokat.
  • Adatkezelő rögtön az incidenst követően intézkedéseket tett annak biztosítása érdekében, hogy az egyének jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően ne valósuljon meg. Például azonnal azonosította azt az egyént, aki még azelőtt hozzáfért a személyes adatokhoz, mielőtt bármit lehetett volna velük kezdeni, és intézkedéseket hozhatott vele szemben.
  • Az egyénekkel való kapcsolatfelvétel aránytalan erőfeszítést tenne szükségessé, talán azért, mert elérhetőségi adataik az incidens következtében elvesztek, vagy eleve nem is voltak ismertek. Például egy dokumentumok tárolására szolgáló raktárat elönt az árvíz, és a személyes adatokat tartalmazó dokumentumokat kizárólag papíralapon tárolták. Az adatkezelőnek ilyenkor nyilvánosan közzétett információk útján kell tájékoztatnia az egyéneket, vagy olyan hasonló intézkedést kell hoznia, amely biztosítja a hasonlóan hatékony tájékoztatásukat.

6. Az incidens elhárítása

Az adatkezelőnek gondoskodnia kell az incidens elhárításáról, majd a normál működés helyreállításról. Mindig az adott incidens sajátosságainak megfelelően kell eljárni.

7. Az adatvédelmi incidens nyilvántartása

Az incidens alakulásáról az egészségügyi szolgáltató, mint adatkezelő nyilvántartást vezet, melynek célja, hogy a felügyeleti hatóság ellenőrizze az adatvédelmi követelményeknek való megfelelést. Az adatvédelmi incidens nyilvántartásban fel kell tüntetni:

  • az adatvédelmi incidenshez kapcsolódó tényeket,
  • annak hatásait és
  • az orvoslására tett intézkedéseket.

8. Incidens bejelentése a Hatóságnak

A bejelentést akkor kell megtenni a NAIH részére, ha az adatvédelmi incidens valószínűsíthetően kockázattal jár a természetes személyek jogaira és szabadságaira nézve, amelyet az egészségügyi szolgáltató a kockázat felmérése körében ismertetett tényezők alapján mérlegelt. Ebben az esetben az incidensről történő tudomásszerzéstől számított 72 órán belül bejelentést kell tenni a NAIH részére. Az incidens akkor jutott az adatkezelő tudomására, amikor az adatkezelő észszerű bizonyossággal meggyőződött arról, hogy olyan biztonsági incidens történt, amelynek következtében a személyes adatok veszélybe kerültek.

Hatóságnak történő bejelentésben:

  • ismertetni kell az adatvédelmi incidens jellegét, beleértve – ha lehetséges – az érintettek kategóriáit és hozzávetőleges számát, valamint az incidenssel érintett adatok kategóriáit és hozzávetőleges számát;
  • közölni kell az adatvédelmi tisztviselő vagy a további tájékoztatást nyújtó egyéb kapcsolattartó nevét és elérhetőségeit;
  • ismertetni kell az adatvédelmi incidensből eredő, valószínűsíthető következményeket;
  • ismertetni kell az adatkezelő által az adatvédelmi incidens orvoslására tett vagy tervezett intézkedéseket, beleértve adott esetben az adatvédelmi incidensből eredő esetleges hátrányos következmények enyhítését célzó intézkedéseket.

 

A bejelentést a NAIH honlapján található Adatvédelmi Incidensbejelentő Rendszeren keresztül az adatkezelő bármikor megteheti.

 

Amennyiben a szolgáltatásaimmal a segítségére lehet, kérem forduljon hozzám bizalommal.

Honlapunk cookie-kat használ. További információ

A süti beállítások ennél a honlapnál engedélyezett a legjobb felhasználói élmény érdekében. Amennyiben a beállítás változtatása nélkül kerül sor a honlap használatára, vagy az "Elfogadás" gombra történik kattintás, azzal a felhasználó elfogadja a sütik használatát.

Bezárás