Adatkezelési terv és tájékoztató
a Semmelweis Egyetem Egészségügyi Közszolgálati Kar Egészségügyi Menedzserképző Központ NEVES Jelentési Rendszerhez
1. Az Adatkezelési Terv célja
A Semmelweis Egyetem Egészségügyi Közszolgálati Kar Egészségügyi Menedzserképző Központ (a továbbiakban: SE EMK) mint adatkezelő és üzemeltető NEVES Jelentési Rendszerben végzett adatkezelési tevékenységének szabályozása.2. Az adatkezelés elvei
Az SE EMK az adatkezelési tevékenységét a GDPR 5. cikk (1) bekezdésében megfogalmazott alapelvek, a jogszerűség, tisztességes eljárás és átláthatóság elve, a célhoz kötöttség, az adattakarékosság és a korlátozott tárolhatóság elve, a pontosság elve és az integritás és bizalmas jelleg biztosításának elve alapján végzi.Az SE EMK – a GDPR 25. cikkében foglalt beépített és alapértelmezett adatvédelem elvével összhangban – megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása céljából, hogy a SE EMK adatkezelése a vonatkozó szabályokkal összhangban történjen.
Az SE EMK a FAIR (Findable, Accessible, Interoperable, Reusable – Megtalálható, Hozzáférhető, Szabványos, Újrafelhasználható) alapelvek figyelembevételével szabályozza az adatkezelést.
3. A NEVES Jelentési Rendszer
Magyarországon az utóbbi években egyre nagyobb figyelem fordul a betegbiztonság és a nem várt események csökkentése felé. Az SE EMK egyik fő irányvonala a betegbiztonsággal, minőségüggyel, egészségügyi ellátórendszer minőségfejlesztésével kapcsolatos kutató, oktató és fejlesztő tevékenység. Ennek keretében a NEVES Egyesülettel együttműködésben hazai és nemzetközi szakmai partnerek bevonásával átfogó betegbiztonsági programot indított útjára „NEVES Betegbiztonsági program” néven. A NEVES (NEVES = NEm Várt ESemények) program főbb céljai:A program elemei:
A NEVES az egészségügyi ellátás során előforduló nem várt események mögöttes tényezőinek feltárását segítő, az adatok szervezett gyűjtését, elemzését végző jelentési rendszer. A rendszer használata önkéntes, az adatok beküldése anonim módon történik.
4. Az adatkezelés célja
a) A regisztráció során megadott személyes adatok esetén a regisztráció és kapcsolattartás,b) A 3. pont szerinti program végrehajtása keretében adatok gyűjtése, kutatások végzése, kutatási, oktatási tevékenység.
5. A program keretében kezelendő (személyes) adatok köre és azok forrása
a) Regisztrációhoz szükséges személyes adatok: név, e-mail , valamint intézmény és postai cím.b) Anonim módon elküldött jelentések alábbi adatai:
a jelentett nemkívánatos esemény körülményeire vonatkozó adatok, amelyek sem a beteg, sem a jelentő személy azonosítására nem alkalmasak (így különösen az esemény időpontja, helyszíne az oki kutatáshoz szükséges, de az anonimitást nem sértő pontossággal, az eseményhez vezető körülmények, szervezeti tényezők, a beteg olyan, személyazonosításra nem alkalmas állapotjellemzői, amelyek az esemény bekövetkezését és kimenetét befolyásolhatják, valamint az esemény következményei).
6. Felelősök meghatározása
Az adatkezelésért felelős az EMK vezetője, informatikai szakértője valamint az EMK részéről a NEVES megbízott vezetője.Az adatokhoz hozzáféréssel rendelkeznek az SE EMK NEVES működtetésében részvevő munkatársai.
Az 5. b) pont szerinti anonimizált adatok aggregált formában átadásra kerülnek a NEVES Egyesület erre felhatalmazott kutatói és szakértői részére az anonim eredmények alapján történő oki kutatási támogatás, szakmai publikáció és az adatlapok időszakos frissítése (beleértve: a jelenthető események körének bővítése, szűkítése) érdekében.
7. A program lépései és a személyes adatok kezelésének folyamata
A NEVES felületre a regisztráció online módon történik. A regisztrációt követően jelenthetőek be nemkívánatos esemény körülményeire vonatkozó adatok, amelyek sem a beteg, sem a jelentő személy azonosítására nem alkalmasak.A SE EMK az 5.a) pont szerinti személyes adatokat elkülönítve, az 5. b) pont szerinti jelentésekkel össze nem kapcsolható módon kezeli és tárolja.
Az adatok tárolása az SE EMK telephelyén, intézményi szerveren történik.
Az SE EMK és a NEVES Egyesület közösen vállalják a rendszer szakmai fejlesztését és a kapcsolódó tevékenységeket.
A kapcsolattartás az alábbi elérhetőségeken történik:
NEVES Egyesület
8. Az érintett jogai gyakorlati érvényesíthetőségének biztosítékai
Ld. adatkezelési tájékoztató a személyes adatok kezeléséhez9. Az adatvédelmet biztosító technikai és szervezési intézkedések leírása
SE EMK az adatok védelme érdekében megteszi mindazon a technikai és szervezési intézkedéseket, figyelembe véve a tudomány és technológia állását, az adatfeldolgozás végrehajtási költségeit, jellegét, terjedelmét, összefüggéseit és céljait, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázatokat, különös tekintettel a személyes adatok kezelése jelentette olyan kockázatokra, mint például a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés. Ennek keretében:a) SE EMK a hozzáférés ellenőrzése érdekében épületeit az épületek biztonsági besorolása alapján, meghatározott beléptető rendszerrel védi. Biztonsági besorolástól függően az ingatlanok, épületek, illetve konkrét területek biztonságáról további intézkedésekkel is gondoskodik. Ilyen intézkedések például a különleges hozzáférési profilok, a személyi azonosító kódok (PIN) bevitelére szolgáló billentyűzetek, hardverkulcsok, a külön belépési kódok, a video-kamerás megfigyelőrendszerek és az élőerős őrzés. Mindenki egyedileg kap hozzáférési jogosultságot, meghatározott feltételek alapján.
b) SE EMK adatkezelő rendszereihez kizárólag azok a hitelesített felhasználók férhetnek hozzá, akik a feladatkörük alapján erre felhatalmazást kaptak, a következő intézkedések mellett: az adatok titkosítása, egyéni jelszó hozzárendelése, inaktivitás esetére jelszóval védett képernyővédők, behatolásjelző rendszerek és behatolásmegelőző rendszerek, rendszeresen frissített vírusvédők és kémprogramszűrők a hálózaton, valamint az egyes számítógépeken és mobileszközökön.
c) SE EMK az adatokhoz hozzáférési jogosultságot feladatkörök szerinti engedélyezési rendszer szerint ad. Olyan felhasználókezelő rendszert állít fel, amely a felhasználói adatbázishoz hozzárendeli a megfelelő jogosultságokat.
d) SE EKK úgy biztosítja a rendszerek rendelkezésre állását és ellenálló képességét, hogy a kulcsfontosságú informatikai és hálózati elemeket elszigeteli, gondoskodik megfelelő biztonsági mentésről és rendszeresen tesztelik a rendszereket és szolgáltatásokat. A tesztrendszereket teljesen elkülönítik az éles rendszerektől.
e) SE EMK a kockázatkezelésen alapuló ellenőrzési eljárásokat alkalmaz, amelyek szerint az adatkezelés biztonsága érdekében a technikai és szervezési intézkedések hatékonyságát rendszeresen felül kell vizsgálni, fel kell mérni és értékelni kell.
f) SE EMK írásbeli utasításokat ad ki és rendszeres képzésben részesíti az adatokhoz hozzáférő munkavállalókat, annak érdekében, hogy az adatok kezelése kizárólag a jogszabályok, és a belső szabályzatok előírásai szerint valósuljon meg.
g) SE EMK biztosítja, hogy az adatok kezelésére feljogosított személyek titoktartási kötelezettséget vállalnak, vagy jogszabályon alapuló megfelelő titoktartási kötelezettség alatt állnak és ezt igazolni tudja.
h) SE EMK biztosítja, hogy a program végrehajtásához szükséges berendezések, programok, nyilvántartások rendelkeznek mindazon biztonsági feltételekkel, melyekkel az adatok megfelelő védelme biztosítható.
10. Adatok tárolása
Az adatok a SE EMK telephelyen tárolódnak (1125, Budapest, Kútvölgyi u. 2.), elzárt, belső informatikai kapacitáson (tárolószerver). A szerverekhez és az azon tárolt adatokhoz hozzáféréssel (fizikai, adminisztratív, logikai) a 6. pont alatt meghatározott személyek rendelkeznek.11. Az adatok formátuma
Az adatok táblázatos és szöveges formában kerülnek tárolásra, kezelésre és megosztásra.12. Szellemi tulajdon és adattulajdon
Az SE EMK rendelkezik az adatok tulajdonjogával s felhasználási jogot biztosít ezekhez a NEVES Egyesületnek.13. Adatvédelmi incidensek kezelése
Az adatvédelmi incidensről annak észlelését követően késedelem nélkül tájékoztatni kell a belső adatvédelmi felelőst, aki incidens felmerülés esetén tájékoztatja az SE adatvédelmi tisztviselőt. Az SE EMK az adatvédelmi tisztviselő bevonásával értékeli az incidens kockázatait, és az adatvédelmi tisztviselő véleményét is tartalmazó javaslatot tesz a Nemzeti Adatvédelmi és Információszabadság Hatóság és az érintett tájékoztatására vagy a tájékoztatás mellőzésére.14. Adatok életútja, adatok megsemmisítése
A NEVES Jelentési Rendszer időtartama alatt biztosítani kell a bizalmasság, sértetlenség, rendelkezésre állás elvének megfelelően az adatok hozzáférhetőségét az arra felhatalmazással bíró személyek részére.Budapest, 2024. szeptember 20.
Jóváhagyta:
Dr. Szócska Miklós dékán