Az Adatáramlás (dataflow) projekt célja:
Az adatáramlás projekt célja az egészségügyi szolgáltató jelenlegi személyes és egészségügyi adatok áramlásának áttekintése és frissítése mind a betegek, orvosok, dolgozók és alvállalkozók személyekre, előkészítve a rendszeren kenti hatásvizsgálatot. Ez egy követelmény, amit mind teljes IT szolgáltató beépítettük mind informatikai megoldás egészségügyi szolgáltató részére és előfeltétel az időszakos hatásvizsgálatoknak. Az adatáramlás projekt előkészíti a rendszeren kenti szükséges hatásvizsgálatot, illetve előkészíti az egészségügyi szolgáltatót a NIS2 auditot és megfelelőséget, valamint meghatározza a fejlesztési területeket.
- Milyen személyes adatok vannak kezelve,
- Milyen csatornákon érkeznek
- Milyen rendszerekben vannak tárolva
- Hogyan működik az adatok átadása az egyik rendszerből (egészségügyi vagy nem egészségügyi) a másikba
- Milyen harmadik félnek és milyen felhő szolgáltatásban vannak kezelve és feldolgozva a személyes adatok (könyvelés, Microsoft 365, felhő alapú számlázó rendszer, másik rendszer)
- Mikor, milyen módon és hogyan van tárolva időbélyeggel az adat kezelés jóváhagyás
Az első fázisban, az adatáramlás projekt készít egy átfogó analízist, amit a következőket fogja tartalmazni:
A második fázisban az adatáramlás projekt adatminőség és adatintegritás analízist fog készíteni:
- Melyik az egyészségügyi szolgáltatónak a fő adatbázisa, ahol a betegnek az aktuális személyes adatai tárolja (pld a beteg nyilvántartó rendszer vagy a beteg beleegyező rendszer)
- Hogyan tárolja az adatkezelő a személyes adatok változtatását és követését (pld név váltás)
- Milyen automatizált folyamattokkal rendelkezik az egészségügyi szolgáltató (pld meghiúsult vizsgálat adatok törlése – TAJ szám, de e-mail cím megőrzésre, ha a leendő páciens konszentre hozzájárult)
- Milyen egészségügyi szolgáltatón rendszerein kívül kerülnek személyes és kezelési adatok átadásra (EESZT, eProfil, Implant Regiszter amelyik most eProfil, viszont a régi adatvédelmi tájékoztatókban még mindig Implant Regiszter került)
- A dokumentált adat áramlás menyire összhangban van az aktuális adatvédelmi tájékoztatókkal
- Régi adatvédelmi irányelvek/tájékozótok megőrzése illetve olyan nyilvántartás, hogy melyik ügyfél mikor milyen verziójú adatvédelmi tájékoztatót és ASZF-et fogadott el
Adatáramlás egészségügyi szolgáltató részére projekt fő feladatai:
- Egészségügyi rendszerek lista elemzése
- Az adatforrások és célállomások azonosítása
- Adatforrások azonosítása és összegyűjtése
- Adatleképezés
- Adatáramlás dokumentálása
- Egészségügyi rendszerek közötti integrációk elemzése
- Adatbiztonság és adatvédelemi dokumentumok elemzése
- Adattárolás és megőrzési módszerek elemzése
- Adatbázisok titkosítását elemzése
- Kockázatértékelési módszer tervezése
- Hatásvizsgálati sablon előkészítése
Adatáramlás egészségügyi szolgáltató részére projekt hogyan (know-how):
- Álalános workshop és adat áramlás workshop-ot szervezzünk ahol meg adunk minden információt, hogy a felmérés/analízis alapján hogyan fog elkészülni a testreszabott/egyéni adatáramlási tábla amelyik ábrázolja az egészségügyi szolgáltatónak a teljes adatáramlást
- Az egészségügyi szolgáltató meg adja az összes projekt szükséges információt rendszerenként
- Átbeszéljük a rendszeren kenti megadott adatokat és kiegészítjük a rendszeren kenti sablont
- Átbeszéljük, átnézzük és véleményezettjük az automatizált folyamatokat
Adatáramlás egészségügyi szolgáltató részére projekt előfeltételei:
- Erőforrások biztosítása a workshopokban és a konzultáciokban
- Rendszeren kenti adatok megadás/kitöltése, a testreszabott vagy az áltanos sablont kitöltése az egészségügyi szolgáltató rendszer orvos tulajdonos által
- Meglevő adatvédelmi tájékozgató átadása
- Meglevő adatáramlás térkép/ábra megosztása
A technikai jellemzőkről a CSE IT Service informatikai projekt csapat átfogó és részletes tájékoztatásban részesiti valamennyi stakeholdert.
Adathozzáférés-vezérlés és engedélyek:
A hozzáférés-vezérlés és az engedélyek dokumentálása, amelyek szabályozzák, hogy ki férhet hozzá a személyes adatokhoz azok továbbításának különböző szakaszaiban.
Hitelesítési mechanizmusok, engedélyezési szabályok és adatelérési naplók leírása.
Megfelelőségi és szabályozási követelmények:
Annak biztosítása, hogy az adatfolyam-dokumentáció összhangban legyen a vonatkozó jogi és szabályozási követelményekkel (pl. GDPR, HIPAA).
Annak dokumentálása, hogy a személyes adatok továbbítási gyakorlata hogyan felel meg az adatvédelmi törvényeknek és rendeleteknek.
Kockázatértékelés és -csökkentés:
Kockázatértékelés elvégzése a személyes adatokat érintő lehetséges sebezhetőségek vagy fenyegetések azonosítására az átvitel során.
Enyhítő intézkedésekre tesz javaslatot az azonosított kockázatok kezelése és az adatbiztonság javítása érdekében.
Dokumentáció karbantartása és verziókezelés:
Eljárások létrehozása az adatfolyam-dokumentáció karbantartására és frissítésére a rendszerek vagy folyamatok változása esetén.
Verziókövetés megvalósítása a változások nyomon követéséhez és a dokumentáció pontosságának biztosításához az idő múlásával.
Az érdekelt felek kommunikációja és képzése:
Az adatfolyam-dokumentáció eredményeinek és javaslatainak közlése a szervezeten belüli érdekelt felekkel.
Képzés és útmutatás nyújtása a személyes adatok kezelésében részt vevő alkalmazottak számára a dokumentált eljárásoknak való megfelelés biztosítása érdekében.
Ellenőrzés és monitoring:
A személyes adatok továbbítási gyakorlatának rendszeres ellenőrzésére és nyomon követésére szolgáló mechanizmusok létrehozása.
Az incidensekre való reagálás és a jogsértések bejelentésének dokumentálása jogosulatlan adathozzáférés vagy -továbbítás esetén.