Agenda Med & Pharma Data Security Summit 2018

8.00 - 8.30

Rejestracja uczestników i poranna kawa

8.30 - 8.40

Powitanie uczestników i rozpoczęcie konferencji

Łukasz Suchenek

Content manager, Evention

8.40 - 9.10

Po wejściu RODO – gdzie jesteśmy jako branża farmaceutyczna, jakie pierwsze wnioski możemy wyciągnąć?

Do czego nam potrzebne te rozporządzenie? Absurdy RODO. Jak nad tym wszystkim zapanować? Reakcja partnerów zewnętrznych. Reakcja podmiotów danych (realizacja praw osób). Zdrowy balans pomiędzy wymaganiami RODO, a potrzebami biznesowymi. Dotarcie do świadomości pracowników. Interpretacje wewnętrzne. Systemy wspomagające RODO. Co dalej?

Piotr Stecz

Kierownik Działu Bezpieczeństwa Informacji, Inspektor Ochrony Danych, Adamed

9.10 - 9.40

Ochrona zdrowia osób fizycznych vs. ochrona danych osobowych...

Celem prezentacji jest zwrócenie uwagi na cel ochrony (człowiek) i środki, jakie powinny być stosowane w sektorze ochrony zdrowia. Bez względu na wielkość podmiotu leczniczego, bez względu na jego rodzaj (szpital dzienny, całodobowy, gabinet lekarski). Powszechnie widoczne jest skupianie się administratorów na ochronie danych osobowych, a nie na ochronie osób fizycznych, co często godzi w interes tych ludzi. Środkiem ochrony osób fizycznych w związku z przetwarzaniem danych musi być odpowiednie, adekwatne do sytuacji zarządzanie relacjami między danymi, informacjami opisującymi te dane i osobami, których dane te dotyczą.

Kajetan Wojsyk

Pełnomocnik Ministra Zdrowia ds. otwartości danych publicznych, Centrum Systemów Informacyjnych Ochrony Zdrowia

9.40 - 10.00

Adaptacyjna architektura bezpieczeństwa skuteczną metodą ochrony organizacji przed cyberzagrożeniami

Jak skuteczniej chronić organizacje  w świecie ciągle zmieniających się cyberzagrożeń i reagować na nowe wymagania regulacyjne ? Jak podejść do cyberbezpieczeństwa w przypadku ograniczonych budżetów i zasobów ludzkich?

Jacek Skolasiński

Chief Executive Officer, Aivena

10.00 - 10.30

Polityka Bezpieczeństwa Informacji – fundament efektywnego zarządzania informacjami w organizacji

Efektywne wdrożenie Polityki Bezpieczeństwa Informacji wymaga przede wszystkim dokładnej analizy potrzeb konkretnej Organizacji. Bez inwentaryzacji aktywów informacyjnych, ustalenia odpowiedzialności za poszczególne obszary nie da się właściwie opracować optymalnych zasad ich ochrony. Dobrze działający system bezpieczeństwa informacji powinien wyprzedzać i neutralizować zagrożenia w oparciu o przeprowadzoną analizę ryzyk, która jest podstawą pro aktywnego systemu. Prezentacja poruszać będzie najważniejsze zasady, które powinny towarzyszyć przy opracowywaniu i implementacji Polityki Bezpieczeństwa Informacji.

Patryk Kuchta

Starszy Specjalista ds. Bezpieczeństwa Informacji, Medicover

10.30 - 10.45

Dane osobowe szczególnej kategorii, zasady ich ochrony

Jak należy rozumieć pojęcie „kategorie danych osobowych”? Na jakiej podstawie należy przetwarzać dane szczególnej kategorii? Jak zabezpieczać dane szczególnej kategorii? Opis kategorii danych osobowych, który należy zawrzeć w rejestrze czynności przetwarzania danych osobowych prowadzonym zgodnie z RODO. Rejestr czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania, o których mowa w art. 30 RODO. W jakiej formie trzeba prowadzić rejestr czynności i kategorii czynności?

Tomasz Soczyński

Dyrektor Zespołu Informatyki, Urząd Ochrony Danych Osobowych

10.45 - 11.05

Przerwa kawowa

11.05 - 11.55

Dyskusja panelowa: RODO i cyberbezpieczeństwo – jak wytyczne mogą pomóc placówkom medycznym w dostosowaniu się do nowego otoczenia prawnego?

W trakcie panelu zostaną omówione wybrane zagadnienia dotyczące RODO oraz nowe przepisy dotyczące cyberbezpieczeństwa, które dotyczą placówek medycznych. Paneliści omówią najważniejsze wyzwania związane z nowymi regulacjami i dyskutować będą nad rolą różnych wytycznych, dobrych praktyk, kodeksu branżowego w ograniczaniu ryzyk prawnych i zwiększeniu bezpieczeństwa pacjentów.

Moderator:

Piotr Najbuk

Senior Associate, Domański Zakrzewski Palinka

Paneliści:

Katarzyna Korulczyk

Inspektor Ochrony Danych, Grupa LUX MED

Monika Sobczyk

Kierownik ds. bezpieczeństwa informacji, Medicover

Ligia Kornowska

Dyrektor Zarządzająca, Polska Federacja Szpitali

11.55 - 12.15

Gdzie czyhają największe zagrożenia wycieku danych i informacji chronionych w sektorze zdrowia i farmacji i jak się przed tym zabezpieczyć?

Czy wiesz, jakie dane, informacje i dokumenty przechowywane są w Twojej organizacji? Czy wiesz, gdzie są przechowywane – i jak chronione?

Paweł Markiewicz

CEO at M3Mcom, Executive Advisor, DPO, GRDP, M3Mcom

12.15 - 12.45

Ochrona dokumentów, informacji medycznych i danych osobowych przed kradzieżą przez pracowników oraz atakami z zewnątrz – najlepsze praktyki w zakresie kontroli dostępu do dokumentacji cyfrowej i papierowej

Niegotowość polskich ustaw regulujących działalność podmiotów leczniczych względem RODO powoduje, że podmioty lecznicze często stoją przed wyzwaniem, jak w sposób zgodny z RODO realizować swoje obowiązki względem pacjentów. Na każdym z etapów obsługi pacjenta -począwszy od rejestracji, przez proces diagnozy, leczenia czy przechowywania dokumentacji medycznej – pojawiają się dane osobowe. Prowadzący odpowie na najczęściej stawiane pytania oraz wątpliwości związane z zapewnieniem poufności danych oraz przyjętą na rynku praktyką w tym zakresie.

Katarzyna Korulczyk

Inspektor Ochrony Danych, Grupa LUX MED

12.45 - 13.00

Jak zabezpieczyć dostęp do wrażliwych danych o pacjentach w systemach elektronicznych i repozytoriach - Identity Governance and Administration

W dobie globalnej cyfryzacji dane wrażliwe przechowywane są w wielu hybrydowych środowiskach informatycznych oraz współdzielone wieloma kanałami informacyjnymi. Aby właściwie zabezpieczyć do nich dostęp, należy zidentyfikować ich typy i wszystkie obszary występowania oraz wdrożyć efektywne metody automatycznej kontroli ryzyka, zgodności z Politykami bezpieczeństwa i centralnego zarządzania. Prezentacja pozwoli przybliżyć uczestnikom kluczowe zagrożenia oraz sposoby ich właściwej mitygacji.

Maciej Bukowski

Engagement Manager, SailPoint

13.00 - 13.20

Przerwa kawowa

13.20 - 13.50

Jak zneutralizować słabe punkty w bezpieczeństwie systemów medycznych

Systemy medyczne są atrakcyjnym celem dla cyberprzestępców. Stosowane przez nich zaawansowane metody wymagają kompleksowego dostosowania architektury przetwarzania danych, aby nie dopuścić do ich nieuprawnionego pozyskania lub zablokowania do nich dostępu. Ataki takie jak ransomware, cryptomining mogą używać wielu wektorów działania, które wymagają neutralizacji, krytyczne jest też jak najszybsze przerywanie dróg rozprzestrzeniania się w ramach infrastruktury organizacji.

Robert Dąbrowski

SE Manager, Fortinet

14.40 - 14.55

Kody kreskowe na rzecz RODO - ochrona danych i bezpieczeństwo pacjenta

Ochrona danych osobowych pacjenta ma szczególne znaczenie z punktu widzenia RODO. Zastosowanie kodów kreskowych do identyfikacji pacjenta pozwala nie tylko w skuteczny sposób realizować wymogi prawne, ale również poprawia bezpieczeństwo pacjenta w zakresie farmakoterapii. Zastosowanie kodów kreskowych przy wsparciu urządzeń mobilnych i infrastruktury teleinformatycznej szpitala pozwala świadczyć usługi medyczne w sposób efektywny i z poszanowaniem praw pacjenta w zakresie ochrony danych osobowych i medycznych.

Anna Gawrońska

Adiunkt, Ekspert ds. standardów GS1 w ochronie zdrowia, Instytut Logistyki i Magazynowania

14.10 - 14.40

W jaki sposób prowadzić wykaz czynności przetwarzania danych osobowych – możliwe narzędzia i metody?

Proces budowania i aktualizacji wykazu; Osoby odpowiedzialne; Sposób rejestrowania informacji, w tym możliwość pre-definiowania opcji rejestrowanych informacji.

Marta Siemaszko

Head Data Privacy Poland and Baltics, Novartis

13.50 - 14.10

Monitoring w placówkach medycznych a ochrona danych osobowych

Ochrona danych osobowych (RODO) a monitoring wizyjny w placówkach służby zdrowia. Warunki jakie musi spełniać monitoring wizyjny w zakładzie pracy (usytuowanie kamer, nagrania z monitoringu, cel prowadzenia monitoringu). Funkcjonowanie monitoringu a obowiązek informacyjny wynikający z RODO. Aspekty prawne i wytyczne UODO w odniesieniu do monitoringu wizyjnego.

Grzegorz Paderewski

Inspektor Ochrony Danych, Instytut „Pomnik-Centrum Zdrowia Dziecka”

14.55 - 15.35

Obiad

Dyskusje roundtables

Równoległe dyskusje roundtables to element konferencji angażujący wszystkich uczestników. Ta sesja ma kilka celów. Po pierwsze, bezpośrednią wymianę opinii i doświadczeń w ramach konkretnego zagadnienia, interesującego daną grupę uczestników. Po drugie, możliwość spotkania i rozmowy z prowadzącym dane roundtable – zaprosiliśmy do ich prowadzenia osoby o dużej wiedzy i doświadczeniu. Sesja roundtables to szerokie spektrum tematów i bogate grono prowadzących – tak, aby każdy uczestnik konferencji mógł znaleźć interesującą go najbardziej dyskusję i poznać w ten sposób innych uczestników zainteresowanych tą samą tematyką.

Odbędą się dwie rundy dyskusji – każda po 40 minut

15.35 - 16.15

Pierwsza runda roundtables

1. Kto de facto odpowiada za bezpieczeństwo informacji i jak to zorganizować

Z czego wynika odpowiedzialność za bezpieczeństwo? Kto jest odpowiedzialny za budowanie hierarchii odpowiedzialności za bezpieczeństwo informacji? Jak wygląda proces budowania świadomości bezpieczeństwa danych i informacji?

Prowadzenie:

Monika Sobczyk

Kierownik ds. bezpieczeństwa informacji, Medicover

2. Obowiązki podmiotów z sektora ochrony zdrowia dotyczące bezpieczeństwa systemów informatycznych w kontekście nowej ustawy o Krajowym Systemie Cyberbezpieczeństwa (Dyrektywa NIS)

Czy cyberbezpieczeństwo ma wpływ na zdrowie pacjenta? Kogo dotyczy ustawa o cyberbezpieczeństwie / dyrektywa NIS? Jakie są wymagania ustawy wobec podmiotów? Co grozi za niewdrożenie wymagań NIS? Czy najwyższe kierownictwo jest świadome odpowiedzialności? Czy zaplanowany jest budżet i plan wdrożenia zgodnie z terminami wdrożenia zgodności opisanymi w ustawie?

Prowadzenie:

Grzegorz Ciechomski

Ekspert ds. Bezpieczeństwa, IMMUSEC

3. Ustalanie tożsamości pacjenta

Jaki zakres danych pobierać od pacjenta przy rejestracji? Na podstawie jakich dokumentów ustalać tożsamość? Czy podmiot leczniczy powinien zbierać zgody na przetwarzanie danych? Jak zapraszać pacjenta do gabinetu lekarskiego? Jaka powinna być treść upoważnienia do dostępu do dokumentacji medycznej? Prowadzący postara się rozwiać te wątpliwości i odpowiedzieć na inne pytania uczestników dotyczące weryfikacji tożsamości pacjenta.

Katarzyna Korulczyk

Inspektor Ochrony Danych, Grupa LUX MED

4. Metody zabezpieczenia informacji chronionych i ich relacji z danymi oraz transmisji danych

Czy i jaka jest relacja miedzy informacją a danymi? Co oznacza bezpieczna transmisja i na co należy zwracać uwagę przy doborze środków ochrony transmisji danych?

Prowadzenie:

Adam Danieluk

Dyrektor ds. Cyberbezpieczeństwa, Grupa LUX MED

5. Outsourcing nowej generacji Inspektorów Danych Osobowych

Jakie warunki musi spełniać osoba powołana na stanowisko (art. 38 RODO)? Kiedy podmiot ma obowiązek powołania IOD? Jakie zadania musi wykonywać Inspektor ochrony danych? Czy zgodnie z RODO główny specjalista ds. BHP może pełnić funkcję Inspektora Ochrony Danych? Czy nie będzie to uznane za powodujące konflikt interesów? Czy inspektor ochrony danych może nadawać upoważnienia do przetwarzania danych osobowych?

Prowadzenie:

Paweł Markiewicz

CEO at M3Mcom, Executive Advisor, DPO, GRDP, M3Mcom

16.20 - 17.00

Druga runda roundtables

1. Rozmowy o warsztacie pracy Inspektora Ochrony Danych

Jak ocenić kompletność i poprawność dokumentacji procesu ochrony danych osobowych? Czy IOD ma przeprowadzać audyty, kontrole czy sprawdzenia? Jak szkolić operatorów danych? Czy IOD musi obsługiwać punkt kontaktowy? Dlaczego zaleca się rozszerzyć zakres obowiązków IOD? Zbudujmy Zespół IOD, uwzględniając wiedzę, umiejętności i doświadczenia niezbędne dla funkcji Inspektora.

Prowadzenie:

Maciej Kołodziej

Wiceprezes, SABI - Stowarzyszenie Inspektorów Ochrony Danych

2. Odpowiedzialność administratora kanałów social media w zakresie przetwarzania danych osobowych osób odwiedzających kanał z perspektywy firmy farmaceutycznej

Jak realizować obowiązki związane z zapewnieniem właściwych podstaw prawnych, w tym aspekty etyczne dot. przetwarzania danych wrażliwych? Jakie są obowiązki informacyjne? Na co zwracać uwagę zlecając obsługę fanpage podmiotom zewnętrznym?

Marta Siemaszko

Head Data Privacy Poland and Baltics, Novartis

3. Zmiany w e-dokumentacji, które wchodzą w życie od 1 stycznia 2019

Jakie dokumenty stanowią elektroniczną dokumentację medyczną? Jakie są zasady udostępniania EDM? EDM a SIM – od kiedy EDM ma być udostępniana w SIM, jakie są zasady udostępniania?

Michał Chodorek

Adwokat, KRK Kieszkowska Rutkowska Kolasiński

4. Wnioski dla sektora zdrowia po czterech miesiącach od wejścia RODO

Pierwsze doświadczenia z RODO. Największe trudności we wdrożeniu.

Prowadzenie:

Wojciech Zawalski

Właściciel, Wojciech Zawalski Medicine

17.00 -

Zakończenie konferencji

Łukasz Suchenek

Content manager, Evention