Nem véletlen a hasonlat. Egy adatvédelmi incidens bárhol és bármikor előfordulhat, elég egy véletlen, egy apró vigyázatlanság, és máris felüti a fejét, akár a tűz. És ha nem végzünk azonnal „oltási munkálatokat”, nagy károkat okozhat, hiszen a GDPR súlyos szankciókat helyez kilátásba a nem megfelelően kezelt incidensek esetére.

De mi is az az adatvédelmi incidens?

Ne gondoljunk rögtön egy hekker támadására, ennél sokkal hétköznapibb dolgokról van szó, olyan esetekről, melyek minden orvosi praxisban előfordulhatnak. Például egy nehéz nap végén az asszisztens az egyik beteg leletét véletlenül rossz e-mail-címre küldi. Vagy az orvos elfáradt, és nem jut eszébe, hogy diagnosztikai leleteket csak úgy adhat ki telefonon, hogy előtte a megfelelő azonosítást elvégzi. De az is az incidens kategóriájába sorolható, ha a használt betegnyilvántartó szoftverből véletlen törléssel eltűnnek betegek adatai. Vagy ha elveszik egy mobiltelefon, amelyen egészségügyi adatok szerepelnek. Vagy ha elveszik egy leletekkel teli dosszié.

Az előbb felsorolt esetek mind-mind olyan adatvédelmi incidensek, ahol a betegek személyes adatainak biztonsága veszélybe kerül. Az adatok illetéktelen személyek kezébe kerülhetnek, vagy az adatokhoz ideiglenesen nem lehet hozzáférni, vagy esetleg elvesznek, megsemmisülnek. Ilyen esetekben gyorsan kell cselekedni.

A tűzoltás

Az incidens észlelése esetén 72 órán belül bejelentést kell tenni az adatvédelmi hatóságnak. Ezt gyakorlatilag úgy kell elképzelni, mint a tűzoltás bejelentését. Részletesen számot kell adni nem csak a tűz bekövetkeztéről (az incidensről), hanem arról is, hogy mit tettünk a tűz oltása érdekében, vagyis annak érdekében, hogy a pácienst személyes adatainak sérülése miatt minél kisebb kár érje. Mindemellett a beteget, akinek adatát az incidens érinti, értesíteni kell arról, hogy incidens történt. Az is fontos kötelezettség, hogy az incidensekről pontos és követhető nyilvántartást vezessen az orvos, kötött adattartalommal.

A megelőzés

Biztonságosan működnek az egészségügyi dokumentációt tartalmazó informatikai rendszerei? Kulcsra zárható szekrényben tárolja a betegkartonokat? Sajnos ez még nem elég. Elengedhetetlen az is, hogy olyan további védelmi intézkedéseket tegyen, amellyel védi az adatokat az illetéktelen külső személyektől, ideértve azt is, hogy „házon belül’ is olyan hozzáférési rendszert alakítson ki, hogy csak azok férjenek hozzá az adatokhoz, akiknek konkrét feladatuk van velük. Elsősorban Ön és az asszisztense. Fontos biztosítani azt is, hogy az adatokat tároló informatikai rendszer folyamatosan rendelkezésre álljon, és rendszeres biztonsági mentéseket is végre kell hajtani az adatok elvesztésének megelőzése érdekében.

A cselekvési terv

Fontos azonban belátnunk, hogy az incidenseket nem lehet teljesen kiiktatni az életből, hiszen számos esetben az incidenst egy véletlen, vagy az emberi figyelmetlenség okozza. Ezt a tényezőt gyakorlatilag lehetetlen kizárni. Éppen ezért elengedhetetlen, hogy legyen minden orvosi praxisban egy olyan előzetesen kidolgozott és végrehajtható cselekvési terv, amely iránymutatásul szolgál abban, hogy milyen esetek mínősülnek incidensnek és ilyenkor mi a teendő, kinek kell cselekednie, milyen konkrét feladatok és határidők vannak.

Végül szeretném felhívni a figyelmet arra, hogy az orvosok számára kifejlesztett Adatsólyom Doki szoftver az adatvédelmi tűzoltásban is hatalmas segítséget tud nyújtani. Számos, életből vett példája segíti az orvosi praxisokat a „tűzeset” beazonosításában, kezelésében és oltásában. Az Adatsólyom Doki által adott, praxisra szabott dokumentumok pedig lehetővé teszik az adatvédelmi „tűzesetek” szabályszerű adminisztrálását.