Wczoraj mieliśmy spotkanie on-line (webinar) związany z szacowaniem i oceną ryzyka. W 1,5 godziny dyskutowaliśmy o tym, jak wykonać poprawnie szacowanie i ocenę ryzyka, która na dziś zaczyna nazywać się popularnie (acz nie do końca prawidłowo) analizą ryzyka.
Dlaczego?
Skutek zdarzenia, jaki się nie wydarzył możemy SZACOWAĆ. Jeszcze go nie ma, więc nie bardzo jest co analizować.
Wyślij mi jakiś szablon z opisami…
Często to słyszę lub czytam. I… zastanawiam się czy w takim przypadku po drugiej stronie jest naprawdę osoba, która rozumie ducha #RODO. Otóż jak wskazuje przepis art 32 ważnym elementem podejścia opartego o ryzyko jest KONTEKST przetwarzania. Słowo ostatnio dość modne, bo i w normach ISO kontekst już zagościł. Ale jak rozumieć KONTEKST w #RODO? Słowo wytrych, które jednak potrafi sprawić wiele problemów. Definicję i wykładnię słownikową zostawię specjalistom z zakresu języka polskiego oraz oczywiście specjalistom PRAWA ochrony danych osobowych, sam wrócę do ochrony danych osobowych w praktyce. A jako, że przykłady działają najlepiej to poniżej przykład z naszego wczorajszego spotkania on-line.
Dane osobowe w służbie zdrowia
Dana z jednej z kategorii danych szczególnych kategorii (art 9 RODO), konkretnie z kategorii danych o orientacji seksualnej. Informacja o tym, że osoba leżąca na oddziale jest orientacji homoseksualnej. Dla lepszego zrozumienia mężczyzna. Nie wiem dlaczego, ale w naszej kulturze kobiety homoseksualne są jakoś inaczej traktowane… Tak, to też KONTEKST.
Jak myślicie szanowni #RODOmaniacy? Czy tak samo będzie ta osoba odbierana w szpitalach w dużych ośrodkach, np. Warszawa, czy np. Wrocław co w mniejszych… albo nie. W tych słynących z nieprzychylnych obszarów wszelkim mniejszościom, np. Białystok?
A więc czy w przypadku Warszawy, czy Wrocławia ujawnienie informacji o orientacji homoseksualnej będzie skutkować tym samym (skutek) i tak samo możliwe jest wystąpienie (prawdopodobieństwo) co np. w Białymstoku?
Ryzyko
Delikatnie rzecz ujmując, chyba nie. Najpierw skutki jakie mogą zaistnieć (opisowo):
- Naruszenie prawa do leczenia. Przyczyna 1 (w naszym spotkaniu jest to skutek pierwszego poziomu, wynikający z ujawnienia orientacji seksualnej): osoba wykonująca czynności medyczne może obawiać się, że pacjent jest nosicielem chorób lub odmawia z przyczyn “religijnych”.
- Naruszenie prawa do godności, zdrowia i życia. Przyczyna 2: osoba doznaje naruszenia praw np. godności osobistej. Np. ostentacyjne milczenie, wskazywanie palcem (skutek średni), znieważenia (skutek wysoki), pobicie do śmierci włącznie (skutek katastrofalny).
Prawdopodobieństwo:
Wrocław, Warszawa,
- Niewielkie do średniego ryzyko skutku 1.
- Średnie dla praw i wolności dla skutku 2.
Białystok
- Średnie do prawie pewnego dla skutku 1
- Średnie do wysokiego dla skutku 2.
A teraz ryzyko:
Warszawa, Wrocław:
- Skutek 1 jest mało prawdopodobny do średniego. A więc ryzyko (kombinacja skutku i prawdopodobieństwa) z ujawnienia danych o orientacji seksualnej jest małe do średniego.
- Skutek 2 jest prawdopodobny, więc ryzyko jest średnie.
Łącznie: Ryzyko naruszenia praw i wolności (tak, też mi zgrzyta jak to piszę) w Warszawie jest małe do średniego.
Białystok:
- Skutek 1. Moim zdanie jest wysoce prawdopodobne, że osobie odmówi się prawa do leczenia. A więc ryzyko wysokie. Skutek 2, prawdopodobieństwo jest wysokie do prawie pewnego.
Łącznie: Ryzyko naruszenia praw i wolności w Białymstoku jest wysokie do krytycznego.
A więc da się skopiować czy nie?
Jak widać nawet ten sam sektor, jeśli weźmiemy pod uwagę kontekst przetwarzania i miejsce w którym do niego dochodzi, ryzyko (kombinacja skutku i prawdopodobieństwa) mogą być zgoła inne dla tej samej kategorii osób i tych samych danych osobowych.
KONTEKST – wyższa szkoła bezpieczeństwa?
Nie. Problem w tym, że w wielu przypadkach znów w naszym kraju zaczęto wymyślać koło. Kontekst w podejściu opartym o ryzyko znany jest od pierwszego wydania normy ISO 31000 (2009 rok), czyli tej która dotyczy zarządzania ryzykiem. Kontekst organizacji, w rozumieniu czynników społecznych (a takie były rozpatrywane w tym artykule) to analiza PEST, która została omówiona w The Orange Book (dostępny też po polsku) – standardzie zarządzania ryzykiem w administracji rządowej Wielkiej Brytanii czy standardzie zarządzania ryzykiem w jednostkach publicznych (też darmowy) wydanym przez Ministerstwo Finansów i firmę Bentley Jennison.
DATY!!!
Czy wiecie, kiedy zostały wydane te standardy? The Orange Book to 2004 rok. Ten drugi to 2007. Ciekawe prawda? ISO 31000 to 2009 rok.
Podsumowanie
Oba standardy zostaną odesłane uczestnikom spotkań on-line poświęconym zarządzaniu ryzykiem. Bo o tym mówiłem. Natomiast na pewno w październiku przygotujemy dwa techniczne webinary, na których omówimy oba standardy i wskażą sposoby i metody ich zastosowania. Ponieważ w przypadku różnego rodzaju kontroli, organy nadzorcze “nieco z dystansem”* podchodzą do rozwiązań o charakterze eksperckim. Czyli takie, które sobie opracowaliśmy.
*nieco z dystansem – to potężny eufemizm.
