A GDPR és a MedMaxPronet háziorvosi szoftver

A GDPR és a MedmMaxPronet háziorvosi szoftver

Reagálva a tegnapelőtt megjelent cikkre, a MedMaxPronet háziorvosi szoftvert fejlesztő cég, a Dericom Kft. is közzétette álláspontját a GDPR-rel kapcsolatban.

Továbbra is várjuk a háziorvosi szoftverek fejlesztőinek álláspontjait.

Az alább olvasható nyilatkozat a haziorvosinfo.hu -n olvasható először és szó szerinti idézet az ügyvezetőtől.
A benne esetlegesen megtalálható pozitív, vagy negatív vélemény nem a haziorvosinfo.hu véleménye.

A GDPR-megfelelőség Az MMPRONET, a legkorszerűbb Orvosi Szoftver esetén

A DeriCom valamennyi SZOFTVERTERMÉKÉNEK ÜZEMELTETÉSE, köztük a legmodernebb internetes technológiák felhasználásával fejlesztett MedMaxProNet-é is minden tekintetben megfelel az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény rendelkezéseinek, valamint az Európai Unió 2016 /679 (GDPR) irányelvében megfogalmazott elvárásoknak.

Az Európai Unió egészére vonatkozó egységes adatvédelmi rendelet szempontjából a következőket mondhatjuk el: A praxis által kezelt személyes adatok tekintetében az adatkezelő és az adatfeldolgozó maga a felhasználó (jellemzően az orvos és asszisztens), mivel ő végez műveleteket a praxis pacientúrájának adatain (adatgyűjtés, rögzítés, lekérdezés, továbbítás, törlés stb.) A praxis adatainak kezeléséhez a DeriCom által rendelkezésre bocsájtott medikai szoftverek azok az eszközök illetve nyilvántartási rendszerek, melyek segítségével a páciensek személyes adatait kezelik.

A MedMaxProNet-t két alapvető módon használhatják a praxis dolgozói:

1. Intranetes üzemmód: A program és az adatok a praxis épületében, a praxis által üzemeltetett szerveren vannak (hasonlóan az eddigi „hagyományos” orvosi informatikai megoldásokhoz), így az üzembiztonságról, az adatbiztonságról és az adatok védelméről a praxis dolgozóinak vagy az általuk megbízott szakembernek kell gondoskodnia.

2. On-line üzemmód: A program és az adatok a DeriCom által bérelt dedikált szervereken vannak (nem a „felhőben”), amelyek a legmagasabb banki biztonsági szintű szerverteremben üzemelnek, és amelyek védettek mindenféle károk, üzemleállások, illetéktelen behatolások, adatvesztések ellen. Ebben az esetben a felhasználóra nem hárul üzemeltetési feladat.

A MedMaxProNet on-line használata során, akár csak az intranetes használat esetén, a praxisban dolgozó adatkezelőkön kívül más személy vagy cég – az adatkezelő engedélye nélkül – nem fér a pacientúra személyes adataihoz, nem kezeli és nem dolgozza fel azokat.
A szerver-hosting cég, amely a DeriCom által bérelt szerverek elhelyezését biztosítja garantálja, hogy az adatbiztonság és az adatvédelem jogszabályi és technológiai előírásainak maximális megfelel, és biztosítja a felhasználó érdekeit és a GDPR megfelelőséget.

A DeriCom számos intézkedést vezetett be, amelyek a magas szintű adatbiztonságot és adatvédelmet garantálják:

Az adatok tárolása, kezelése un. adatbázis-szerver segítségével történik. Az általunk használt PostgreSQL adatbázis szerver napjaink egyik legmegbízhatóbb adatbázis szervere, számos magyar és nemzetközi bank és pénzügyi szervezet (pl. a Magyar Államkincstár is) alkalmazza ezt a szoftvert.

Az adatbázison belül tárolt személyes adatok, ami alapján az egyén beazonosítható (név, születési név, TAJ szám, születési dátum, születési hely, anyja neve, stb.) az adatbázisban titkosított formában szerepelnek. Maga az adatbázis is jelszóval védett, és az adatbázison belül a páciensekhez tartozó személyes és egészségügyi adatok egymástól teljesen elszeparált módon vannak tárolva. Az adatok közötti kapcsolatokat több szintű ID rendszer valósítja meg.

A felhasználó fiókhoz tartozó jelszavak az adatbázisban vissza nem fejthető kódolt formában vannak eltárolva. Azaz az adott jelszót csak a jelszó létrehozója ismerheti, és csak ő férhet hozzá a jelszóval védett adatokhoz. Amennyiben a felhasználó azt igényli, lehetőség van a rendszerbelépés során a kétszintű authentikációra. Ez azt jelenti, hogy a felhasználó a belépés során megadja felhasználónevét és jelszavát, ezek után a rendszer egy regisztrált mobil számra SMS-t küld, és a belépés csak akkor engedélyezett, ha bizonyos időn belül az SMS-ben küldött kód begépelésre kerül.

Az adatokat tároló szerverek és a szerver-kliens közötti kommunikációs csatorna is több szinten védve van az illetéktelen behatolás ellen. A szerver tanúsítvánnyal védett HTTPS (security protocol) csatornán keresztül kommunikál a kliens gépekkel. Továbbá a szervereket erős tűzfal és egy, a legújabb biztonsági technológiát alkalmazó védelmi rendszer is védi az illetéktelen behatolók ellen.

Intranetes (belső) hálózaton vagy helyi gépen történő használat esetén a hardver és szoftver eszközök, valamint intranetes belső hálózat megfelelőségéről, biztonságáról a felhasználó köteles gondoskodni. Minden ésszerű intézkedést meg kell tennie, hogy kártékony szoftverek, vírusok, kémprogramok, vagy egyébként illetéktelen harmadik felek a rögzített adatokhoz hozzáférjenek, azok egységét, elemeit elérjék, módosítsák, nyilvánosságra hozzák vagy egyébként bármely módon és céllal felhasználják.”