Czy regulamin i zgody zabiegowe mogą skutecznie ochronić Twój gabinet przed reklamacją ze strony pacjenta?

Regulamin gabinetu to nie to samo co RODO

Jacek: Dzień dobry. Ja nazywam się Jacek Piaseczyński, jestem właścicielem firmy Proassist – firmy, która zajmuje się oprogramowaniem medycznym, systemem do zarządzania placówką, a także prowadzimy taką usługę zdalnej rejestracji pacjentów. A w ramach tego cyklu webinarów spotykamy się z ludźmi, którzy pomagają nam w tych biznesach medycznych, są ekspertami w swojej dziedzinie i pomogą nam w różnych aspektach naszego funkcjonowania. 

Dzisiaj jest z nami pani Karolina Kochańska, która jest adwokatem. Dzień dobry. 

Karolina: Dzień dobry.

Jacek: Porozmawiamy o zgodach na zabiegi, o regulaminach, o różnicach między jednym a drugim. Natomiast tak, Karolina ja oddaję Tobie głos, żebyś się przedstawiła, powiedziała czym się zajmujesz, to też będzie ludziom fajnie sobie to jakoś tam ułożyć w głowie. 

Karolina: Dzień dobry Państwu, tak jak kolega mnie już przedstawił, ja się nazywam Karolina Kochańska, jestem adwokatem. Na co dzień zajmuję się sprawami z zakresu prawa cywilnego, jak również zabezpieczam Państwa biznesy, zabezpieczam od strony prawnej, czyli tworzę dla Państwa dokumentację, taką jak zgody na wykonanie zabiegów, jak regulaminy, jak umowy z pracownikami. 

Wszystko to, czego Państwu potrzeba dla tej branży beauty i branży medycyny estetycznej. Reprezentuję też Państwa w sądach, w procesach, w różnych negocjacjach. Przeprowadzam audyty, konsultacje. Także zakres jest spory. 

Jacek: Tak, słuchajcie, jak będziecie chcieli jakieś pytania zadać Karolinie, to dajcie znać na czacie. Będziemy, ja tu będę moderatorem gdzieś tam pod koniec, w którym postaramy się je zadać. Natomiast tak, ja zacznę z takiej jakby grubej rury, znaczy z wyjaśnieniem, że regulamin gabinetu to nie jest RODO i jakbyś mogła rozwinąć, bo to ja już wiem, natomiast dlaczego to nie jest, to już nie wiem. 

Karolina: Regulamin i RODO to są dwie zupełnie różne rzeczy. RODO to jest obowiązek informacyjny, który trzeba spełnić tak, żeby klient czy pacjent wiedział, że jego dane są przetwarzane, w jaki sposób są przetwarzane, komu są przekazywane, czy ma jakieś prawa związane z tymi danymi, to znaczy czy może złożyć sprzeciw, czy może cofnąć tą zgodę. 

Natomiast REGULAMIN to jest, ja zawsze lubię swoim klientom mówić, że to jest swego rodzaju umowa, którą się podpisuje, czy która gdzieś tam wchodzi, bo to też zależy od gabinetu, wchodzi ustnie, bo niektóre gabinety nie podpisują tego, to też o tym potem powiem, jak nie zapomnę, mam nadzieję. 

I w tej umowie po prostu strony określają sobie wzajemne obowiązki, czyli ja jako klient przychodząc do gabinetu muszę wiedzieć, czego mogę od tego gabinetu wymagać i czego wymaga ode mnie gabinet. Czyli muszę wiedzieć, w jaki sposób mogę zarezerwować z wizyty, czy mogę się na nią spóźnić, a jeśli tak, to ile. Muszę wiedzieć, czy mogę ją odwołać, w jaki sposób mogę złożyć reklamację, czy wymagany jest zadatek, 

czy ten zadatek jest w określonej wielkości, czy naliczany jest od na przykład wysokości ceny wizyty. To jest taka stricte umowa. Natomiast jeżeli chodzi o sam ten podpis, to zaczęłam o tym mówić z tego względu, że część gabinetów wychodzi z założenia, że to nie wymaga podpisu, ja swoim klientom rekomenduję te podpisy odbierać. 

Jacek: Mhm, pod regulaminem. A teraz tak, jeżeli chodzi o podpis, no bo mamy w placówce kilka sytuacji, tak? Mogę się umówić do placówki często bardzo przez Internet. Mogę przyjść po prostu do placówki i się umówić. Mogę do placówki zadzwonić i się umówić. I czy ja to dobrze diagnozuje, że jeżeli umawiam się przez Internet, to jesteśmy mu w stanie zrobić po prostu jakiś checkbox do kliknięcia z “zapoznałem się z regulaminem” i to jest ok, nie? 

Karolina: Tak, dokładnie tak jest, jak mówisz. Jeżeli jest rejestracja internetowa wizyty, no to tutaj nie ma problemu, bo po prostu wrzucamy sobie gdzieś tam na platformę ten regulamin i klient przechodząc przez rejestrację wizyty musi się zapoznać z tym regulaminem, odhaczyć checkbox, zapoznałem się, akceptuję i do dalej umawiam wizytę. 

Natomiast w momencie, kiedy mamy taki regulamin zwykły, pisemny i ktoś się umawia na przykład przychodzi do nas na pierwszą wizytę, no to jest potem problem w takiej kwestii dowodowej na etapie sądowym, bym powiedziała. 

Czyli mamy powiedzmy podpisaną przez klienta zgodę na wykonanie zabiegu, no i ona jest zawsze podpisywana. Natomiast jeżeli chcielibyśmy coś wykazać, co znajduje się w regulaminie, no to jeżeli tego podpisu nie ma… no to ciężko nam będzie wykazać, że ten klient faktycznie, czy pacjent, zapoznał się z tym regulaminem, tak? 

Jacek: Czyli na przykład kwestia, że wisi to nam na ścianie i to jest nasz regulamin, nie jest wystarczająca?

Karolina: Nie, tym bardziej, że te regulaminy takie prawidłowo sporządzone, które te wszystkie, wszystkie te aspekty, których mówiłam mają, to są takie regulaminy, które no nie są jednostronne, tylko on zazwyczaj te pięć, sześć stron jednak ma, nie? 

Więc no ciężko byłoby wywiesić gdzieś pewnie na jakiejś tablicy, nie? Może korkowej, magnetycznej. To może być wywieszone oczywiście, tak? Dobrze, żeby to było publikowane gdzieś na stronie internetowej, tak? Żeby do tego był zawsze dostęp albo gdzieś w mediach społecznościowych, w jakichś wyróżnionych relacjach to można zamieścić. To też jakby nie ma problemu. Natomiast no zawsze rekomenduję, żeby ten podpis odbierać i gdzieś tam przy pierwszej wizycie rzeczywiście, żeby no mieć to od pacjenta, no bo to potem jest łatwiej w sądzie przedstawiać i pokazać, że ktoś faktycznie się z tym zapoznał, zaakcpetował.

Czy podpisywanie zgód na tablecie jest legalne?

Jacek: Ok, a sprawa podpisywania tego regulaminu na tablecie w sposób elektroniczny jest ok, dopuszczalna?

Karolina: Tak, jeżeli ktoś z Państwa ma taki jakiś program, jakąś aplikację, którą potem jesteśmy w stanie, nie wiem, jakiś zrzut z tego zrobić, albo wykazać, że ten podpis rzeczywiście był złożony, nie to, że on jest gdzieś złożony w przestrzeni i nie można do niego wrócić, tylko możemy wykazać, pokazać ten podpis, na przykład wydrukować na kartce, pokazać komuś w sądzie i zdiagnozować, że rzeczywiście to jest podpis, który należy do tej osoby, to nie ma problemu. 

Jacek: Ok, tak, no to ja od razu się tu zgłaszam, my w Proassist mamy takie podpisy i na tablecie i przez checkbox, więc zapraszamy w razie czego do Proassist, żeby takie podpisywać. 

Jakie błędy najczęściej popełniają placówki w tworzeniu regulaminów i zgód? 

Jacek: Dobra, czyli tak, wiemy już, że regulamin gabinetu to nie RODO, czyli już mamy przynajmniej te dwa dokumenty, potem mamy tak, najlepiej wziąć ten, mimo wszystko, ten regulamin podpisywać. Tak, i teraz trzecia rzecz, tak żeby może słuchacze mogli sobie wziąć te swoje regulaminy, zobaczyć co oni mają tam napisane i teraz tak, jakie błędy najczęściej są w tych regulaminach?

Karolina: Ja bym powiedziała, że największym błędem to jest kopiowanie regulaminu od konkurencji. Po pierwsze to są, drodzy Państwo, prawa autorskie, które gdzieś tam naruszamy, a po drugie te regulaminy, które są kopiowane, one nie zawsze są sporządzane przez profesjonalistów, nie zawsze mają te postanowienia, takie jak powinny być. 

Po pierwsze to regulamin w ogóle powinien być sporządzony tak, żeby zabezpieczał Państwa interesy, żeby on był, jak to mówię, uszyty na miarę bezpośrednio pod Państwa biznes. Natomiast w tych kopiowanych regulaminach albo gdzieś tam ściąganych z Internetu, często jest tak, że są jakieś postanowienia, które się nazywają klauzulami niedozwolonymi, czyli postanowienia, które w sposób rażący naruszają interesy konsumenta i nie dość, że go nie obowiązują, to jeszcze Państwo się narażacie na jakieś kary. Czyli na przykład przerzucamy na klienta czy na pacjenta odpowiedzialność z tytułu zniszczeń, czyli jeżeli na przykład wykonujemy jakiś zabieg i w trakcie zabiegu maszyna ulegnie popsuciu, to to jest przerzucone jako wina klienta, to coś takiego nie może mieć po prostu miejsca, albo na przykład wskazujemy, że salon nie ponosi odpowiedzialności za działania swoich pracowników, to też jest klauzula niedozwolona. No takich przykładów jest naprawdę bardzo dużo, na przykład chociażby takie dosyć prosty postanowienie, z którym się spotykamy nie tylko w kwestii tutaj medycyny estetycznej gabinetów czy salonów, ale też wszystkich innych działalności, to jest np. takie postanowienie, które mówi, że salon czy gabinet nie odpowiada za okrycia pozostawione w szatni. Czyli, że Państwo nie odpowiadacie za to. 

Jacek: No,to jestem w stanie sobie wyobrazić, że tak bym chciał napisać. 

Karolina: Tak, i tu jest jakby logiczne, że często jest tak, że nie wiem Państwo, np. pracujecie indywidualnie, tak? Tak, na trudno, żeby ktoś cały czas siedział i patrzył na ten wieszak, tak, gdzie te kurtki są, czy są, czy tam ktoś nie wszedł przypadkiem, czegoś nie wyciągnął z tych kurtek. Ale niestety w momencie, kiedy ktoś przychodzi do Państwa na wykonanie zabiegu, no to wiadomo, że tego zabiegu nie wykonamy w okryciu wierzchnim, tak? Więc on z siłą rzeczy musi tam ten płaszcz zostawić w tej szatni. I zawarta jest tak zwana umowa przechowania wtedy na czas wykonania tego zabiegu, więc ja wiem, że Państwu jest trudno coś takiego przełknąć i nie wpisywać tego w regulamin, natomiast to jest klauzula niedozwolona. 

Bardzo często się z tym spotykamy i jest to naprawdę w wielu regulaminach. I takich tego typu postanowień jest naprawdę sporo, które gdzieś tam z jednej strony myślimy sobie, że na spokojnie moglibyśmy zawrzeć, natomiast no są one uznawane za klauzule niedozwolone. 

Jacek: Okej, ale teraz takie pytanie, bo mówiłaś, że właśnie są klauzule niedozwolone. I teraz tak, ja przychodzę, jako pacjent podpisuję, ten regulamin, gdzie są te niedozwolone klauzule i potem w jakiś sposób dochodzi do jakiegoś sporu między mną a placówką, czy w związku z tym nawet jeżeli ten spór nie dotyczy tej kurtki przysłowiowej, bo kurtkę mam, tylko nie wiem, dotyczy całkiem innej rzeczy, tak nie wiem, typu na przykład właśnie, nie wiem, moich odczuć po zabiegu i tak dalej. To ja mogę wtedy w ogóle całkowicie podważyć, że wszystko, co było zapisane w tym regulaminie jest nieważne, w związku z tym, że ten jeden zapis był niedozwolony? 

Karolina: Nie, to raczej chodzi o ten konkretny zapis po prostu. Jeżeli nawet, nie wiem, spór się toczy o coś, co nie dotyczy, tak jak podałeś za przykład teraz o tą przysłowiową kurtkę, tak? Jeżeli spór się nie toczy o tą kurtkę, no to jeżeli pacjent chciałby coś takiego podważyć, to jest jakby zupełnie inna kwestia, druga droga, nie? To jest po prostu jedno jakieś tam postanowienie, które jest nieważne, znaczy nie obowiązuje dla tego konkretnego pacjenta, no i jeżeli ktoś to gdzieś wychwyci, to może być potem problem. 

Jacek: Ok, ok, dobra. Dobra, a przejdźmy teraz do zgody na zabieg, bo to jest… Też taka rzecz, że czasami znowu to jest jakoś połączone trochę z tym regulaminem, że placówki przynajmniej z mojego doświadczenia wiem, że on w ogóle lubią mieć taki jeden wielki dokument, w którym by było wszystko. Mimo wszystko rozumiem, że to skondensowanie może jest dobre, ale nie w tym przypadku lepiej mieć te oddzielne dokumenty?

Karolina: Tak, znaczy skondensowanie jest dobre, ale tak w granicach rozsądku. To znaczy zdarza się rzeczywiście, że gdzieś tam te postanowienia z regulaminów są przenoszone do zgód i odwrotnie. To, co zdarza się dosyć często i też trzeba na to uważać, to jest taka sytuacja, w której ktoś przykładowo ma, nie wiem, powiedzmy mamy zgody, nie mamy regulaminu. Zgłaszamy się do adwokata czy do radcy prawnego o przygotowanie regulaminu i teraz w momencie, jeżeli ja od klienta nie dostanę zgód, które on ma, tak, wzoru zgód, z których korzysta, to może się okazać, że ja w projekcie regulaminu wpiszę jakieś postanowienie, które już zostało uwzględnione w zgodzie i nie wezmę tego pod uwagę, bo w zgodzie tego w ogóle nie powinno być, więc trzeba po prostu uważać na takie sprzeczności pomiędzy właśnie zgodami, a regulaminami, no bo może się okazać, że postanowienia są po prostu dublowane i mają zupełnie inne znaczenie i to jest wtedy problem, taki interpretacyjny w przypadku sporu. 

Jacek: OK, czyli na to zwróćmy uwagę. Natomiast jest tam taka inna rzecz jeszcze ze zgodami, którą ja sobie zapisałem, to też z obserwacji, że czasami widzę, że zgoda to jest w zasadzie jedna linijka, czasami z drugiej strony widzę, że jest jakaś zgoda, taka, na nie wiem, że my się zgadzamy na taki, taki, taki, taki, taki, taki, taki zabieg i w ogóle leczenie u nas placówce i znowu jest ona przeogromna ta zgoda, no jest też sytuacja, gdzie po prostu jest brak zgody. 

Mimo, że placówka wykonuje różnego typu zabiegi, to nawet nie ma zgody na leczenie. I teraz jak byś do tego podeszła? Znaczy, która z tych wersji jest najlepsza albo która, albo wszystkie są niedobre? 

Karolina: Znaczy tak, zgoda nigdy nie będzie bardzo krótka, no bo to nie jest tylko samo oświadczenie o tym, że my wyrażamy zgodę na wykonanie konkretnego zabiegu, ale w prawidłowej zgodzie powinien być opis zabiegu, powinny być zalecenia przed zabiegiem. Pacjent powinien wiedzieć, jakie ma zalecenia po zabiegu, jakie są przeciwwskazania do jego wykonania. Cała ankieta powinna być w takiej zgodzie, jakie są możliwe powikłania, więc to już nam tutaj trochę rozbudowuje tą zgodę, tak? 

Natomiast faktycznie zdarza się jeszcze niestety, że te zgody są albo takie właśnie dwuliniikowe, tak, na zasadzie krótkiego oświadczenia, w którym nie ma nic poza tym. Albo jest jedna taka po prostu ogólna, gdzie można wpisać tylko nazwę zabiegu, a tak naprawdę wszystkie, nie wiem, powikłania czy zalecenia są jedne dla każdego zabiegu, więc to też nie jest dobre i z jednej strony niby ta świadomość gdzieś tam mam wrażenie, że rośnie w ostatnich latach i gdzieś ludzie też szukają tej dokumentacji, żeby można było prawidłowo ją prowadzić i szukają ludzi, którzy w sposób prawidłowy ją napiszą i dostosują do danego gabinetu, natomiast nawet ostatnio miałem taką sytuację, gdzie był dosyć duży podmiot, nie to, że jakiś tam malutki, który dopiero rozkręca się na rynku, gdzie państwo zajmowali się zabiegami chirurgicznymi, czyli dosyć już poważna sprawa. Zatrudniali kilkunastu pracowników, obrót jakby w ciągu dnia, obrót mówię w ilości zabiegów, był, myślę, że kilkanaście, a zgoda była jedna ogólna. I generalnie cała dokumentacja tego… 

Jacek: Po prostu na leczenie, tak, czy po prostu na na zabieg?

Karolina: Nie, na zabieg, na konkretny ten zabieg, znaczy to było dziwne, no po z jednej strony regulamin, wszystkie inne dokumenty były naprawdę perfekcyjnie zrobione, natomiast jeżeli chodzi o samą zgodę, to wyglądała w ten sposób, że po prostu były dane pacjenta, było, była wykropkowane nazwa zabiegu, no i było po prostu takie oświadczenie, że wyrażam zgodę na wykonanie tego zabiegu, zostałem poinformowany o przeciwwskazaniach, o możliwych powikłaniach, wiem jakie są zalecenia pozabiegowe, tylko że tego tam po prostu nie było, więc to jest, to jest za mało i coś takiego nie powinno funkcjonować, no bo potem się z tego po prostu nie wybronimy, bo nie udowodnimy, że wskazaliśmy temu pacjentowi wszystkie te elementy. 

Jacek: Ok, czyli ta zgoda, jak ja Ciebie dobrze rozumiem, połączona w ogóle z tym regulaminem, to jest taka trochę nasza tarcza przed reklamacją, bo wtedy rozumiem, że jeżeli my nie mamy napisane na zgodzie, że w przypadku akurat zgody na zabieg ABC biorę pod uwagę powikłania takie i takie, to potem nam jako placówce ciężko się obronić przed taką reklamacją?

Karolina: Tak, dokładnie. Jeżeli są wymienione powikłania i klient czy pacjent używam zamiennie, bo pewnie i kosmetolodzy i lekarze oglądają, więc tak będę zamiennie używać, jeżeli ktoś się zapoznał z tymi powikłaniami przed rozpoczęciem zabiegu i je zaakceptował, to to jak najbardziej nas chroni jako zabiegowców. 

Natomiast… w momencie, kiedy coś wyniknie jakaś sytuacja z naszej winy, czyli nie dołożymy należytej staranności, zaniechamy jakieś czynności, które powinniśmy wykonać i przeprowadzimy na przykład zabieg niezgodnie ze sztuką, no to nawet taka zgoda nie będzie nas chroniła tak jak powinna, no bo przykładowo, jeżeli nie wiem, lekarz wykonując zabieg nie założy jednorazowych rękawiczek, no to jeżeli wda się infekcja, to nawet jeżeli ta infekcja jest wskazana jako powikłanie w zgodzie, to niestety nam tutaj nie pomoże, no bo to lekarz nie dołożył należytych starań, nie? 

Jacek: Tak, tak, ale w drugą stronę, że lekarz dołożył wszelkie starania, natomiast no, wdało się to powikłanie i teraz my nie mamy na tej zgodzie napisane i wtedy jest to rozumiem, kicha. 

Karolina: Jeżeli nie jest napisane na zgodzie, to tak, to tak.

Jacek: I nawet jeżeli to by się zdawało, takie nazwijmy to logiczne, nie? 

Karolina: Tak, tylko że to jest dla nas logiczne, dla Państwa, którzy te zabiegi przeprowadzacie, natomiast ja na przykład jako pacjent przychodząc, mogę nie wiedzieć, że coś takiego ma miejsce i być może, gdybym wiedziała, że taka infekcja, czy takie powikłanie może mieć miejsce, to ja bym na ten zabieg się nie zgodziła. 

Jakie elementy powinna zawierać zgoda na zabieg, żeby chroniła gabinet przed reklamacjami?

Jacek: Okej, dobra, a jesteśmy w stanie tak, jakoś teraz powiedzieć z głowy, co powinno być w tej zgodzie, bo ja rozumiem, że tak, dane placówki, dane pacjenta, wiadomo, nazwa zabiegu i teraz tak, co my tam jeszcze mamy? 

Karolina: Opis zabiegu, przede wszystkim opis, tak. 

Jacek: Nie sama nazwa, zabieg taki, taki, tylko też opis, tak? 

Karolina: Tak, tak, bo no ja jako pacjent chcę wiedzieć, jak ten zabieg będzie przebiegał, tak, jak on będzie wykonany z użyciem czego, czy tam będzie jakieś znieczulenie, czy to będzie bez znieczulenia. 

Muszą być wymienione zalecenia przedzabiegowe i to, co też rekomenduję Państwu, to jest dobra praktyka, wiele też osób ma, i to jest fajne, żeby dawać pacjentom, dawać klientom zalecenia, na przykład już w momencie zapisu na zabieg, czyli jeżeli ktoś dzwoni, żeby od razu mówić, proszę się przygotować do zabiegu w taki sposób albo wysłać jakkolwiek.

Jacek: Okej, przy rejestracji poinformować o tym, jak się przygotować. Ja od razu tutaj już podnoszę rękę. My akurat mamy też taki ficzer w Proassist, że w momencie zapisu na wizytę automatycznie na maila przychodzi informacja o przygotowaniach do tego zabiegu. W zależności od usługi ta treść może być inna. Czyli do każdego można sobie dopisać inną treść.

Karolina: Super! Okej, no więc potem mamy na przykład w formie tabelki można to zrobić – przeciwwskazania do zabiegu, tak? Czyli wymienić w formie ankiety pytania do pacjenta czy do klienta i zapytać, nie wiem, o ciąże, o laktacje, o choroby. Czy ktoś, nie wiem, choruje na taką, taką, taką chorobę? Czy w ciągu ostatnich pięciu lat przechodził nowotwór albo chemioterapię i tak dalej? 

Jacek: Tak jak ankiety w placówce, tak? 

Karolina: Tak, taka ankieta zdrowotna po prostu, która jednocześnie jest wykluczeniem ewentualnych przeciwskazań, tak? Czyli dzięki temu, że klient czy pacjent nam zaznaczy, nie wiem, że choruje na hemofilię, no to już automatycznie w przypadku danego zabiegu Państwo wiecie, czy taki zabieg można wykonać takiemu pacjentowi, czy nie. Więc od razu przechodzimy sobie jakby przez te wszystkie przeciwwskazania i wykluczamy, w razie czego nie dopuszczamy pacjenta do zabiegu, tak? 

To jest też bardzo ważne, żeby ta zgoda była podpisana przed zabiegiem, a nie po. Żeby się nie okazało, że gdzieś tam na przykład pacjent się chwilę spóźni i Państwo machniecie ręką i powiecie, a dobra, to wypełni nam potem po zabiegu. Proszę tak nie robić, bo naprawdę mogą być z tego konsekwencje takie zdrowotne dla pacjenta konkretne, nie? Więc na to proszę uważać. Oprócz tego, że przeciwskazania to też dobrze jest wskazać, jakie są możliwe powikłania po zabiegu, żeby też pacjenci wiedzieli, z czym się mają liczyć. 

No i na koniec zalecenia pozabiegowe, które też można gdzieś tam przekazać na kartce, to jest też dobra praktyka, żeby ten pacjent wiedział, jak ma tą okolicę poddaną zabiegowi pielęgnować, czyli jeżeli nie wiem, miałem robiony jakiś zabieg na twarzy, to czy jak wyczuł jakieś grudki, to mogę je sobie rozmasowywać, czy mogę przykładać lodem, czy lepiej tego nie robić, czy mogę spożywać ciepłe napoje, smarować maściami i tak dalej. 

Jacek: Ok, dobra, czyli… bo tu też się pojawiają pytania, ale ja to sobie od razu tam skondensuję, czyli mamy tak. Mamy etap zapisu pacjenta, fajnie by było, żeby po zapisie pacjenta, albo w trakcie tego zapisu poinformować go o przygotowaniem na zabieg. W momencie, jak on do nas przychodzi, dajemy mu ankietę, w tej ankiecie zadajemy mu pytania. Na bazie tej ankiety sprawdzamy, czy są jakieś przeciwwskazania do zabiegu. Jak nie ma, to znowu dajemy mu dokument, zgodę do podpisu ze zgodą na zabieg, w której mamy napisane oprócz tych typowych danych placówka i nazwa zabiegu i dane pacjenta. No to oczywiście jeszcze opis zabiegu i ewentualne możliwe powikłania. No i teraz albo rozumiem w zgodzie, ale może też to być po prostu w dokumentacji, to znaczy zalecenia po zabiegu, nie? 

Karolina: Tak, tylko że ja na przykład w tych swoich zgodach, które robię dla gabinetów, tą ankietę robię już jakby w zgodzie na zabieg, czyli ankieta zdrowotna jest podzielona, są po prostu właśnie wymienione różne jednostki chorobowe, różne stany zdrowotne i pacjent wypełniając coś takiego, automatycznie wypełnia nam ten element dotyczący… 

Jacek: I wtedy masz, rozumiem, wiele ankiet placówce, w zależności trochę od zabiegów?

Karolina: W zależności od zabiegu, ankiety się różnią dokładnie, czyli jeżeli jest zgoda na zabieg X, no to ankieta jest dostosowana do zabiegu X, tak? 

Jeżeli, nie wiem, gdzieś tam potrzebujemy informacji, czy pacjent przyjmuje leki, które są światło uczulające, no to wpisujemy do tej ankiety, konkretnie do tej zgodny, tą ankietę.

Jacek: No to może też być w ogóle fajne, bo czasami, jak się przychodzi do placówek, to ta ankieta jest taka duuuga i tam zaczyna się w ogóle “a jak miałeś pięć lat, to czy tam spadłeś z krzesła” i tak dalej, oczywiście tam parafrazuje, ale gdzieś tam, gdzieś tam taka historyczna, i jak patrzysz, boże, tyle tych pytań… 

Karolina: Wiadomo, że one tam te pytania w części się będą powtarzały, tak, no bo jeżeli właśnie są jakieś choroby nowotworowe, czy alergie, uczulenia, no to to wszystko musimy wiedzieć niezależnie od zabiegu, tak? Natomiast jeżeli gdzieś tam w jakimś, możemy jakiś zabieg wykonać przy, na przykład, rozruszniku serca, no to nie ma sensu tego wrzucać do ankiety, tak? Natomiast są zabiegi, w których można, są zabiegi, w których nie można, więc to też jakby tutaj to też się zdaje na Państwa często jako na lekarzy, na kosmetologów. Państwo macie wiedzę taką medyczną, ja mam wiedzę prawną, więc czasami się zdarzy, że na przykład ktoś chce coś dopisać po prostu w tej ankiecie, tak? Że gdzieś tam czegoś Wam brakuje, więc jakby też, no, nigdy nie ma problemu, dopisujemy na bieżąco, tak?

Jacek: Mhm, Mhm. Dobra, a teraz tak, wyobraźmy sobie tą sytuację, którą mówiliśmy, że z chwilą mamy cały ten proces właśnie zrobiony i przychodzi do nas pacjent z reklamacją. I teraz pierwsza sprawa, rozumiem, że to jest już taka trochę nasza tarcza przed tym. Tak, że przynajmniej w tej części formalno prawnej dopełniliśmy wszelkich obowiązków?

Karolina: Tak, tylko też ważne jest, żeby w regulaminie wskazać dany podpunkt dotyczący reklamacji, żeby pacjent wiedział, kiedy on może tą reklamację złożyć, do kogo, w jaki sposób, w jakim terminie, jak ona zostanie rozpoznana, jak on zostanie poinformowany o rozpatrzeniu tej reklamacji. Tak, więc to też jest ważne, żeby w regulaminie uwzględnić kwestie reklamacyjne. 

Jacek: Okej, dobra, czyli w tej części regulaminu, jeszcze, że powinna być część reklamacyjna. A teraz temat taki, ja jestem w stanie w ogóle, jako właściciel placówki, całkowicie oddelegować tą kwestię, napisać, no to w sprawie reklamacji proszę się kontaktować z Panią Karoliną Kochańską i mnie tu pominąć?

Karolina: Wiesz, jeżeli jest, jeżeli tak się umówimy, jeżeli klient będzie wiedział, czy pacjent, że ma do mnie tą reklamację kierować, no to ja nie widzę przeciwskazań, natomiast musiałby tam wtedy uwzględnić w tym regulaminie i wskazać, że to ma iść bezpośrednio do mnie, tak? 

Natomiast, no wiadomo, że w momencie, kiedy to nie ja wykonuję zabieg, tylko Państwo, no to Państwo musicie mi powiedzieć, jak ten zabieg wyglądał i to w gruncie rzeczy Państwo, wtedy rozpatrujecie tą reklamację, tak? To, że ja napiszę odpowiedź taką, żeby ona była spójna prawnie, no to jakby nie ma problemu, tak? Natomiast, no to musi wyjść od Państwa, no bo Państwo jako jedyni wiecie, co tam się zadziało i czy ona jest zasadna, czy niezasadna. 

O co pacjent może zaskarżyć placówkę medyczną?

Jacek: A my jesteśmy w ogóle, znaczy pacjenci są w ogóle, mają możliwość, nazwijmy to zaskarżyć placówkę o takie sprawy, że były niedopełnione sprawy formalno prawne podczas zabiegu? 

Karolina: Może, pewnie, że tak. Wiesz, już pacjenci naprawdę o różne rzeczy pozywają i gdzieś tam zadośćuczynienie, odszkodowań dochodzą bardzo często. Są coraz bardziej roszczeniowi i tych postępowań jest coraz więcej. Natomiast też w momencie, kiedy taka reklamacja przychodzi, no ja bym zalecała spokój przede wszystkim, bo gdzieś tam, no wiadomo, że noga się może każdemu powinąć i trzeba uczciwie tą reklamację rozpatrzyć, tak? Jeżeli rzeczywiście coś się zadziało i Państwo widzicie, że faktycznie może dobrze było zaproponować jakiś kolejny zabieg, albo voucher podarunkowy, takiemu pacjentowi, to proszę to zrobić. Natomiast jeżeli uważacie Państwo, że dopełniliście wszystkich obowiązków i że nie ma tutaj z Państwa strony, no nie zadziało się nic takiego, co, co wskazywałoby na to, że tą reklamację trzeba rozpatrzyć pozytywnie, no to nie ma przeciwwskazania absolutnie, żeby ją też oddalić, nie? Po prostu spojrzeć na to uczciwie i też się nie bać tego, że gdzieś tam za chwilę będzie jakieś wezwanie do zapłaty, czy pozew, no zdarza się tak, tak? Nie unikniemy tego.

Jacek: No tak, no tu jest jeszcze taka sprawa, nazwijmy to, nie wiem, jak ją nazwać, dobra, taka marketingowa też, nie? Bo często pacjenci tam szantażują trochę tą placówkę, typu ja tam gdzieś opiszę temat, gdzieś na jakimś tam, w opiniach napisze o Was źle i tak dalej, nie? 

Karolina: Ale to już jest taka sprawa, nie wiem… Właśnie mam wrażenie, że te opinie są często dla Państwa istotniejsze. Dla Państwa mówię, którzy prowadzicie te gabinety niż wypłacenie jakiejś tam kwoty albo dodatkowy zabieg, zaproponowanie tego dodatkowego zabiegu, no bo to wiadomo, że to też się rozchodzi trochę pocztą pantoflową. No te opinie w Internecie to jest jedno, ale polecenia czy tam, brzydko mówiąc, wieszanie psów na kimś to jest druga sprawa i to też jest coś, z czym można walczyć, tak? To nie jest tak, że tutaj pacjent czy klient jest bezkarny i sobie może publikować jakieś, nie wiem, obraźliwe opinie, bo z tym też Państwo jako placówka też możecie jeździć do sądu, tak? Czy wezwać do zaniechania naruszeń.

Jacek: Ok, czyli tamtej strony też możemy działać. Karolina, ja mam też pytanie do ciebie. Z czym w ogóle można się do ciebie zgłosić, z jakimi ty klientami pracujesz? 

Karolina: No przede wszystkim, jeżeli chodzi o takie tworzenie dokumentacji, tak? Czyli wszystkie właśnie regulaminy, zgody. Jeżeli Państwo macie jakiekolwiek wątpliwości dotyczące czy reklamacji, czy, nie wiem, interpretacji przepisów, to też jak najbardziej zapraszam. Jeżeli Państwo potrzebujecie konsultacji, jeżeli potrzebujecie przygotowania dokumentacji, albo może ktoś z Państwa na przykład otrzymał jakieś wezwanie do zapłaty i nie wie, co z nim zrobić, to też oczywiście jak najbardziej można się zgłosić. 

Jacek: Ok, teraz trudne pytanie. Słuchaj, ten prawnik w placówce medycznej, to są duże koszty? 

Karolina: No właśnie, to jest ciekawa sprawa, bo to jest też takie troszkę błędne koło, zauważyłam u klientów, którzy gdzieś tam obawiają się tych kosztów, nie chcą inwestować w tą dokumentację, bo się boją, że to są nie wiadomo jakie koszty. 

Po pierwsze, no to dobrze jest sobie zrobić taki research, przeanalizować, wysłać oferty do różnych kancelarii, zapytania, tak? Kto ile weźmie, może ktoś bardziej Państwu będzie odpowiadał w sposobie prowadzenia po prostu sprawy w kontakcie, tak? Gdzieś może będzie taniej, trzeba sobie po prostu porównywać te oferty. Natomiast to, co jest też ważne, to to, że w momencie, jeżeli Państwo nie zainwestuje się teraz na tym etapie, kiedy jeszcze się nic nie dzieje, w prawidłowe wykonanie dokumentacji prawnej dla salonu to potem, jeżeli przyjdzie proces sądowy, to ja Państwu gwarantuję, że te koszty będą kilka albo kilkanaście razy większe, jeśli proces będzie przegrany, no bo dojdą nam też koszty procesu, dojdzie nam odszkodowanie, zadośćuczynienie itd. I to jest naprawdę gra nie warta świeczki. Więc proszę się naprawdę z góry nie nastawić, że to są jakieś koszty, którym Państwo nie podołacie, nie wiadomo jakie, tylko po prostu pytać, bo często dostaję od Państwa taki feedback, że łał, kurczę, myślałem, że to jednak będzie nie wiem, kilkanaście tysięcy złotych, jakiś w ogóle kwoty, których nie jestem w stanie udźwignąć.

Jacek: OK. No i co, i my też tak sobie wyobrażam taki proces w placówce, że my powinniśmy wtedy zrobić tak, że jak już mamy tą dokumentację, no ale placówka cały czas żyje, nie? Kupuje sobie nowy sprzęt, nowy laser do jakichś zabiegów, zatrudnia sobie nowych lekarzy, to oprócz tej takiej sprawy organizacyjnej związanej w ogóle, tam w placówce, tak? To i oprócz tych spraw związanych z zatrudnieniem tych lekarzy i też dokumentacją z nimi związanymi, to też powinna wtedy sobie do tej swojej puli dokumentów z zabiegami dopisać na przykład te dwa, trzy, cztery nowe zabiegi, które będzie dokonywała na tym nowym sprzęcie, nie? 

Karolina: No tak, tak, tylko wtedy jeżeli to jest jakiś inny zabieg, na który Państwo nie macie zgody, tak? Zupełnie oderwane od tych, które były wykonywane dotychczas, no to też potrzebne są nowe zgody, tak? 

Jacek: Okej, czyli cały czas ta rzecz, cały czas żyje w tym aspekcie. Dobra, słuchajcie, dziękujemy za spotkanie i zapraszamy na kolejne wydarzenie z serii “Gość Proassist”.

Karolina: Ja również bardzo dziękuję.

Callcenter medyczne – dlaczego warto powierzyć obsługę pacjentów profesjonalistom?

Dzisiejszy świat jest inny niż choćby 10 lat temu. Wiele zmieniło się także na ryku medycznym i pacjenci oczekują szybkiego kontaktu z placówkami medycznymi. Jeśli placówka nie jest w stanie poradzić sobie z odebraniem zbyt dużej ilości połączeń,  call center medyczne staje się niezbędnym rozwiązaniem. To profesjonalne wsparcie, które pozwala placówkom skupić się na świadczeniu wysokiej jakości usług, jednocześnie zapewniając sprawną i zorganizowaną obsługę pacjentów.

Co to jest call center medyczne?

Call center specjalizujące się w branży medycznej, to specjalistyczna usługa, która polega na kompleksowej obsłudze telefonicznej pacjentów w imieniu placówki medycznej. Dotychczasowy numer telefonu do placówki medycznej zostaje przekierowany do zewnętrznej firmy, w której wykwalifikowani specjaliści odbierają telefony przez cały czas. Główne zadania takiego contact center obejmują:

  • rejestrację wizyt,
  • udzielanie informacji o dostępnych usługach,
  • przypominanie o terminach wizyt,
  • obsługę zgłoszeń dotyczących zmian terminów lub pytań pacjentów.

Dzięki profesjonalnemu podejściu, contact center działa jak wizytówka placówki, budując jej wizerunek jako miejsca dbającego o potrzeby pacjentów. Przede wszystkim, czas oczekiwania pacjentów na połączenie jest znacznie krótszy, a pracownicy call center skupiają się na konkretnym i precyzyjnym prowadzeniu rozmów. Nie pozwalają pacjentom zbyt długo blokować linii i rozmawiać o pogodzie i są przygotowani na szybkie reagowanie w każdej sytuacji.

Jeśli pojawią się jakieś nieodebrane połączenia, pracownicy odpowiadają za niezwłoczne oddzwonienie do pacjentów. Usługi call center dotyczą bowiem całkowitej obsługi połączeń telefonicznych. Udzielają informacji, odpowiadają na pytania dotyczące usług oferowanych w placówce medycznej i starają się zaspokoić potrzeby pacjentów, nie zapominając o pozyskaniu klienta dla placówki i umawianiu wizyt.

Dlaczego warto wybrać call center w branży medycznej?

Profesjonalna obsługa pacjentów

Konsultanci medyczni są specjalnie szkoleni, aby rozumieć potrzeby pacjentów i udzielać odpowiednich informacji, co przekłada się na lepszą jakość obsługi i zadowolenie pacjentów. Poprawa jakości obsługi to także zdobycie zaufania pacjentów i wywarcie dobrego pierwszego wrażenia w przypadku pierwszego kontaktu nowych pacjentów.

Odciążenie personelu rejestracji

Dzięki medycznemu call center personel rejestracji pracującej w przychodni może skupić się na innych zadaniach, takich jak obsługa pacjentów na miejscu, przygotowywanie gabinetów do zabiegów, czy inne sprawy organizacyjne. Jeśli wydaje Ci się, że rejestratorka medyczna w gabinecie nie będzie już potrzebna, gdy zdecydujesz się na usługi call center, to się mylisz. W innym artykule opisaliśmy, jak wygląda praca rejestracji w przychodni – przeczytaj i przekonaj się, że nie są to tylko telefony i umawianie wizyt.

Dostępność poza standardowymi godzinami pracy

Medyczne call center działa często w rozszerzonych godzinach, co pozwala pacjentom kontaktować się z placówką w dogodnym dla nich czasie, nawet poza godzinami pracy rejestracji. To bardzo duża korzyść dla gabinetu, ponieważ pacjenci często pracują w podobnych godzinach do godzin pracy rejestracji medycznej i nie mają możliwości wykonania połączeń telefonicznych w tym czasie. Pracownicy call center pracują dłużej i dzięki temu osoby dzwoniące w celu umówienia wizyty po godzinach pracy placówki będą mogły zarezerwować termin.

Na rynku medycznym jest dostępnych wiele możliwości i istnieją też inne kanały komunikacji, takie jak rejestracja online. To świetne rozwiązanie, które umożliwia pacjentom rezerwację wizyt 24/7, ale musimy pamiętać o tym, że wciąż są osoby, które preferują tradycyjne kanały komunikacji i wolą podawać swoja dane przez telefon.

Zwiększenie liczby umówionych wizyt

Usługi call center dla branży medycznej sprawiają, że czas oczekiwania pacjenta na połączenie jest krótszy, a przeprowadzenie rozmowy ukierunkowane jest na odpowiednie udzielenie informacji i umawianie wizyt. Dodatkowo, systematyczne odbieranie połączeń telefonicznych, przypomnienia o wizytach i elastyczność w umawianiu terminów sprawiają, że pacjenci chętniej korzystają z usług lekarzy, polecają je znajomym i sami chętnie wracają na kolejne wizyty.

Jak wybrać odpowiednie call center dla branży medycznej?

Jeśli decydujesz się na skorzystanie z zewnętrznej rejestracji telefonicznej w swoim gabinecie, musisz dobrze wybrać firmę, która będzie Twoim contact center. Przy wyborze zwróć uwagę przede wszystkim na to, jak wygląda wdrożenie usługi odbierania połączeń. Sprawdź, czy contact center posiada swój system medyczny i jak wyglądają kwestie bezpieczeństwa – w końcu pracownicy call center będą przetwarzać dane pacjentów.

Dowiedz się również, na jaki numer będą mogli dzwonić pacjenci. Najlepsze rozwiązanie to takie, w którym numer kontaktowy pozostaje bez zmian i tylko połączenia zostają przekierowane. Wdrożenie zdalnej obsługi rejestracji przebiega wtedy najszybciej, nie musisz wywieszać nigdzie informacji o zmianach i nie stracisz dotychczasowego klienta.

Warto zwrócić też uwagę na to, jaka jest specjalizacja wybranego call center. Istnieje wiele firm, które zajmują się usługami tego typu, ale tylko niektóre z nich specjalizują się w umawianiu wizyt do lekarzy. Pracownicy call center będą musieli w Twoim przypadku nie tylko odebrać połączenie i udzielić informacji, ale także zapisać klienta na wizytę i umieć obsłużyć system medyczny. Ważne jest zatem przeprowadzenie odpowiedniego researchu i upewnienie się, że przekazujesz obsługę telefonów w dobre ręce.

Ostatnim ważnym elementem jest sprawdzenie, jakie usługi oferuje contact center. W gabinetach medycznych, żeby nie stracić klienta i zapełnić grafik, warto jest korzystać z usług dodatkowych, takich jak:

Kto może korzystać z call center medycznego?

Z tej usługi mogą skorzystać zarówno duże przychodnie, wielospecjalistyczne placówki medyczneszpitale, jak i jednoosobowe gabinety lekarskie. Contact center to także świetne rozwiązanei dla gabinetów oferujących inne specjalistyczne usługi medyczne (np. podolog, trycholog, kosmetolog, fizjoterapeuta).

To szczególnie wartościowe rozwiązanie dla miejsc, w których brakuje wystarczającej liczby pracowników rejestracji, aby efektywnie zarządzać telefoniczną obsługą pacjentów i czas oczekiwania na połączenie jest bardzo długi.

Jest to również przydatne dla tych gabinetów, w których nie opłaca się zatrudniać rejestratorki medycznej na etat. Doskonale wiemy o tym, że koszty utrzymania pracownika na umowie o pracę są wysokie, a wiele prywatnych gabinetów (zwłaszcza jednoosobowych) pracuje nieregularnie – np. trzy dni w tygodniu lub tylko w popołudniowych godzinach. Ciężko znaleźć odpowiedzialnego pracownika, który zdecyduje się pracować w tak nieregularnym czasie, a dodatkowo trzeba pamiętać o jego ewentualnych zwolnieniach lekarskich i urlopach.

Odbieranie połączeń samodzielnie jest natomiast trudnym wyzwaniem. Wymaga wielu wyrzeczeń i sprawia, że specjaliści robią to kosztem życia prywatnego. Dlatego właśnie contact center medyczne to idealne rozwiązanie dla wszystkich gabinetów medycznych.

Call center medyczne – jak pozyskiwać pacjentów dzięki sprawnej obsłudze pacjentów

Inwestycja w contact center medyczne to krok w stronę lepszej organizacji pracy i większego zadowolenia pacjentów. Profesjonalna obsługa telefoniczna nie tylko odciąża personel, ale także pozwala na zwiększenie liczby umówionych wizyt i poprawę wizerunku przychodni.

Decydując się na outsourcing rejestracji telefonicznej, warto jednak zwrócić uwagę na:

  • doświadczenie firmy w obsłudze placówek medycznych,
  • poziom zaawansowania technologicznego (integracja z systemami medycznymi),
  • elastyczność w dostosowywaniu usług do potrzeb placówki,
  • kompetencje konsultantów,
  • nastawienie na pozyskiwanie klienta.

Jeśli szukasz wsparcia w obsłudze pacjentów, rozwiązania takie jak zewnętrzna rejestracja telefoniczna Proassist zapewnią Ci kompleksową pomoc – od rejestracji wizyt po system umożliwiający kompletne zarządzanie placówką. Sprawdź, jak możesz usprawnić swoją pracę i zyskać zadowolenie pacjentów!

System dla podologa – 10 najbardziej przydatnych funkcji

Podologowie, podobnie jak inni specjaliści, potrzebują sprawnie działającego systemu, który ułatwi im zarządzanie wizytami, dokumentacją i kontakt z pacjentami. Proassist to oprogramowanie dostosowane do specyficznych potrzeb branży medycznej, w tym podologicznej. Poniżej przedstawiamy 10 najważniejszych funkcji systemu, które wspierają codzienną pracę podologów.

Kalendarz wizyt online do gabinetu podologa

Kalendarz wizyt w Proassist pozwala na intuicyjne i łatwe zarządzanie grafikiem. Każda wizyta jest zapisywana i aktualizowana w czasie rzeczywistym, co umożliwia kontrolowanie obłożenia gabinetu, uniknięcie konfliktów terminów i szybkie wprowadzanie zmian.

System Proassist jest oprogramowaniem chmurowym, co oznacza, że podolodzy mogą mieć dostęp do swojego grafiku z dowolnego urządzenia z dostępem do Internetu.

E-rejestracja do gabinetu podologa

E-rejestracja to funkcja, która pozwala pacjentom samodzielnie zapisać się na wizytę przez Internet. W programie dla podologów Proassist szczególnie istotne jest to, że wtyczkę do rejestracji online można umieścić nie tylko na własnej stronie www, ale także w mediach społecznościowych. Pacjenci mogą zatem umawiać wizyty przez całą dobę i różnymi kanałami. Takie rozwiązanie odciąża linię telefoniczną, która w gabinetach podologicznych bardzo często obsługiwana jest przez samych specjalistów. 

Dla pacjenta umówienie wizyty online jest wygodne i szybkie. Filtrując dane po nazwisku podologa lub nazwie usługi, pacjent może wybrać samodzielnie dogodny dla siebie termin bez potrzeby telefonowania do gabinetu.Nie musi także zakładać żadnego konta – wystarczy, że wprowadzi odpowiednie dane i potwierdzi rezerwację kodem wysłanym w wiadomości SMS. 

Płatności Internetowe za wizyty w gabinecie podologicznym

System Proassist umożliwia wprowadzenie płatności internetowych za wizyty. To nowoczesne rozwiązanie płatnicze jest nie tylko doceniane przez pacjentów, ale także daje gabinetowi pewność, że pacjent pojawi się na wizycie.

Jeśli umożliwisz pacjentom opłacenie wizyty online z góry, to nie musisz martwić się o to, że nowy pacjent zabukuje termin, a następnie nie zjawi się w gabinecie, Mało tego, możesz wprowadzić regulamin, który pozwoli Ci na zachowanie pełnej kwoty wartości wizyty w przypadku odwołania wizyty np. na mniej niż 24h przed planowanym terminem. 

Masz tutaj pełną dowolność w doborze konfiguracji płatności – możesz pełen lub ustalić częściowy zwrot kosztów w przypadku odwołania wizyty i wybrać, czy płatność za wizytę z góry ma być wymagana czy dobrowolna. Jeśli ustawisz płatność wymaganą, ale masz stałych klientów, którzy np. wolą płacić gotówką – żaden problem! Możesz zwolnić daną osobę z opłaty internetowej. Wszystko ustalasz według swoich upodobań!

Dodawanie zdjęć z aplikacji mobilnej Proassist do karty pacjenta

Chociaż podolodzy nie mają obowiązku prowadzenia EDM (Elektronicznej Dokumentacji Medycznej) tak jak lekarze, warto dokumentować postępy leczenia. Zdjęcia stanu paznokci lub skóry można łatwo dodać do karty pacjenta za pomocą aplikacji mobilnej Proassist. To nie tylko ułatwia monitorowanie postępów leczenia, ale także pozwala na stworzenie portfolio, które może być wykorzystane do celów marketingowych lub jako materiał informacyjny dla pacjenta.

Podpisywanie zgód przez pacjentów na tablecie

System Proassist pozwala na podpisywanie formularzy zdrowia, zgód RODO, zgód na zabiegi oraz marketingowych za pomocą podpisu elektronicznego na tablecie. Dzięki temu pacjent może szybko i wygodnie udzielić zgody, a dokumenty te automatycznie zapisują się w jego elektronicznej karcie. Jest to bezpieczny, zgodny z prawem i wygodny sposób na archiwizację zgód, bez potrzeby gromadzenia papierowych dokumentów. 

Podpisywanie dokumentów na tablecie ma dodatkową zaletę, jaką jest możliwość oznaczenia danego pola jako wymagane do wypełnienia. Pozwoli to uniknąć sytuacji, w której pacjent zapomni o uzupełnieniu wszystkich podpisów. System Proassist przypilnuje pacjenta za Ciebie, aby dokumentacja była w pełni kompletna.

Automatyczne przypomnienia SMS o wizytach

Funkcja automatycznych przypomnień SMS pomaga zredukować liczbę nieobecności pacjentów. Przed planowaną wizytą system automatycznie wysyła przypomnienie z możliwością odwołania wizyty za pomocą przepisania kodu podanego w SMS. Możesz sam zaplanować, kiedy wiadomości mają zostać wysłane.

To rozwiązanie jest szczególnie przydatne dla podologów, którzy do tej pory ręcznie wysyłali wiadomości przypominające o nadchodzącej wizycie i poświęcali na to swój prywatny czas. Dzięki automatycznym przypomnieniom SMS zmniejsza się liczba przypadków, w których pacjent zapomniał o umówionym terminie.

SMS-y marketingowe do pacjentów

Podologowie korzystający z programu medycznego Proassit często korzystają także z możliwości wysyłania SMS-ów marketingowych. System umożliwia automatyczne wysyłanie wiadomości o promocjach, nowych usługach lub ofertach sezonowych do pacjentów. 

Zaawansowane ustawienia wysyłania pozwalają na określenie grupy odbiorców i dostosowanie komunikacji do konkretnych potrzeb, co zwiększa efektywność działań marketingowych.

Szybkie generowanie zaleceń pielęgnacyjnych i automatyczna wysyłka na e-mail

Po zakończonej wizycie, podolog może w systemie Proassist szybko wygenerować podsumowanie wizyty i zalecenia pielęgnacyjne, które można od razu wysłać na adres e-mail pacjenta. Dzięki tej funkcji pacjent otrzymuje pełen zestaw wskazówek dotyczących dalszej pielęgnacji w formie elektronicznej. Jest to praktyczne rozwiązanie, które zwiększa zadowolenie pacjenta i oszczędza czas podologa.

Usługa zdalnej rejestracji telefonicznej

System Proassist oferuje usługę zdalnej rejestracji telefonicznej, dzięki której obsługa pacjentów może być realizowana nawet w czasie największego ruchu. Specjalny zespół odpowiada na telefony i zarządza zapisywaniem pacjentów, co pozwala podologowi skupić się na pracy w gabinecie. To idealne rozwiązanie dla gabinetów, które chcą zwiększyć swoją dostępność, nie poświęcając przy tym cennego czasu personelu.

Lista rezerwowa w systemie 

W programie medycznym Proassist podolog może prowadzić listę rezerwową, która pozwoli uniknąć strat finansowych związanych z nagłym odwołaniem wizyty. 

Kiedy pacjent rezygnuje z umówionego terminu, możesz zaproponować to miejsce osobom z listy oczekujących. Odpowiednie oznaczenie preferencji pozwoli na szybkie znalezienie osoby, która będzie chciała skorzystać z szybszego terminu. Takie rozwiązanie pozwala na maksymalne wykorzystanie grafiku i zwiększa rentowność gabinetu.

Podsumowanie – jaki system wybrać do gabinetu podologicznego?

Proassist to kompleksowy system, który dostarcza podologom narzędzi nie tylko do zarządzania wizytami i dokumentacją, ale także do budowania relacji z pacjentami. Dzięki takim funkcjom, jak kalendarz online, e-rejestracja, dokumentacja fotograficzna, zdalna rejestracja i SMS-y marketingowe, podolodzy mogą sprawnie prowadzić gabinet, a pacjenci czuć się obsłużeni profesjonalnie i nowocześnie.

Skorzystaj z darmowej konsultacji, aby dowiedzieć się, jak jeszcze program Proassist może wspierać Twoją praktykę podologiczną i ułatwić codzienną pracę w gabinecie!

Nowości w systemie Proassist: Personalizacja EDM i kreator SMS-ów

Zgodnie z tym założeniem, program Proassist  nieustannie się rozwija, aby ułatwiać codzienną pracę w placówkach medycznych. Dziś dokonaliśmy kolejnej aktualizacji oprogramowania. Tym razem oprócz wielu drobnych zmian i poprawek, wprowadziliśmy dwie nowe funkcjonalności, które z pewnością spodobają się użytkownikom. Są to: możliwość personalizacji okna przeprowadzania wizyty (EDM) oraz kreator SMS-ów. Sprawdź, jak to działa! 

Personalizacja okna EDM – dostosuj system do swoich potrzeb

Nie każda placówka działa tak samo, a tym bardziej nie każdy specjalista ma identyczne potrzeby. Dlatego w systemie Proassist wprowadziliśmy możliwość dostosowania widoku EDM (Elektronicznej Dokumentacji Medycznej). Dzięki tej funkcji, każdy użytkownik może samodzielnie skonfigurować swoje środowisko pracy.

W jaki sposób możesz ustawić pod siebie okno wizyty?

  • Usuwanie i dodawanie sekcji: jeśli nie korzystasz z określonych funkcji, takich jak skierowania, recepty czy wywiady, możesz je po prostu usunąć. Co więcej, w każdej chwili możesz je przywrócić, jeśli jednak zmienisz zdanie.
  • Zmiana układu widoku: masz możliwość zmniejszania i powiększania sekcji, a także ustawienia ich w różnych konfiguracjach, np. na połowę ekranu lub obok siebie.
  • Przenoszenie elementów: możesz łatwo zorganizować moduły, przesuwając je w górę, w dół lub w inne miejsce w widoku.
  • Reset ustawień: jeśli chcesz wrócić do domyślnego układu, wystarczy jedno kliknięcie.

Dzięki personalizacji oszczędzasz czas i tworzysz intuicyjne okno wizyty, dostosowane do Twoich potrzeb. Przykładowo, podolog nie musi widzieć sekcji związanych z wywiadem lekarskim, a fizjoterapeuta może skupić się tylko na formularzach niezbędnych w jego codziennej praktyce.

A jeśli jesteś lekarzem – możesz poustawiać po swojemu wszystkie okna tak, jak jest Ci najwygodniej. Dzięki temu będziesz mógł uzupełniać je po kolei, bez konieczności wracania do jakiejś sekcji. O niczym nie zapomnisz, niczego nie pominiesz, a dokumentacja Twoich pacjentów będzie spójna i estetyczna. Dodatkowo, dostosowany pod Twoje preferencje układ okienek w systemie z pewnością przyspieszy i ułatwi Twoją pracę! 

Kreator SMS-ów w systemie medycznym – szybka i skuteczna komunikacja z pacjentami 

Drugą nowością, którą chcemy się pochwalić, jest kreator SMS-ów. W Proassist zawsze stawiamy na prostotę i funkcjonalność, dlatego stworzyliśmy narzędzie, które pozwala łatwo tworzyć i wysyłać wiadomości do pacjentów.

Najważniejsze funkcje kreatora SMS-ów:

  • Szablony wiadomości: możesz zapisywać najczęściej używane wiadomości i korzystać z nich w dowolnym momencie.
  • Personalizacja treści: dzięki funkcji wprowadzania zmiennych, takich jak imię pacjenta czy data wizyty, każda wiadomość może być indywidualnie dostosowana i wysłana automatycznie. Wprowadzasz raz treść SMS i ustalasz jakie zmienne mają być dodane, a system sam pobierze odpowiednie informacje o pacjentach i wyśle spersonalizowane wiadomości!

Kreator SMS-ów pozwala zaoszczędzić czas zarówno rejestracji, jak i specjalistom. Pacjenci docenią przypomnienia o wizytach i spersonalizowane wiadomości, a Ty możesz skupić się na tym, co najważniejsze – leczeniu i opiece.

Dodatkowo, pamiętaj, że wciąż możesz korzystać z funkcji, które dotychczas był już dostępne w systemie! A mowa tutaj o planowaniu harmonogramu wysyłki, dzięki któremu możesz ustawić wysyłkę SMS-ów na wybrany dzień i godzinę, aby pacjenci otrzymali przypomnienia w odpowiednim czasie oraz funkcji Chat SMS, która działa jak bramka SMS, pozwalając na wgląd w historię wiadomości i odpisywanie na SMSy z poziomu systemu.

Dlaczego warto skorzystać z nowych funkcji?

Zarówno personalizacja EDM, jak i kreator SMS-ów, zostały zaprojektowane z myślą o maksymalnej elastyczności i wygodzie użytkowników. Dzięki tym rozwiązaniom:

  • Zyskujesz więcej czasu na obsługę pacjentów.
  • Skupiasz się na wypełnieniu tylko tych danych, których potrzebujesz.
  • Minimalizujesz ryzyko błędów wynikających z ręcznej wysyłki wiadomości.
  • Poprawiasz komunikację z pacjentami, co wpływa na ich zadowolenie i lojalność.

Proassist to nie tylko system, ale przede wszystkim narzędzie, które rośnie razem z Twoimi potrzebami. Wypróbuj nowe funkcje i przekonaj się, jak mogą odmienić Twoją codzienną pracę!

Co jeszcze w najnowszej aktualizacji?

Tak jak pisaliśmy wyżej, personalizacja okna EDM i kreator SMS’ów to najciekawsze funkcje, na które czekało najwięcej osób. To jednak nie wszystkie nowości i ulepszenia, które wprowadziliśmy w grudniu!  Sprawdźcie, co jeszcze przygotowaliśmy:

Ulepszenie integracji z portalem Znany Lekarz: 

  • Możliwość przywrócenia wizyt z usuniętych do statusu potwierdzony/niepotwierdzony.
  • Kreator wizyt dostępny także dla placówek z wieloma gabinetami w Znanym Lekarzu.

Nowości w tworzeniu kampanii marketing SMS:

  • Nowe informacje na liście kampanii: status, dane odbiorców, czas wysyłki i liczba adresatów.
  • Odwrotne sortowanie kampanii (od najnowszych).
  • Możliwość wysłania smsów do pacjentów, którzy nie odbyli wizyt.

Zmiany w aplikacji mobilnej na urządzenia z systemem iOS:

  • Dodano obsługę ankiet i oświadczeń znaną z wersji Android.
  • Zwiększono szybkość działania widoku kalendarza i list wizyt.

Zmiany w aplikacji mobilnej na urządzenia z systemem Android:

  • Duże przyspieszenie widoku kalendarza i list wizyt.
  • Wprowadzenie powiadomień push dla specjalistów o nowych wizytach.

To dla nas bardzo ważne, żeby na bieżąco aktualizować i usprawniać system dla gabinetów Proassist. Wiemy, że im lepiej działa program medyczny, tym sprawniej przebiega praca w Waszych placówkach. 

Cieszymy się, że tak wielu z Was docenia możliwość zgłaszania własnych pomysłów na zmiany i nowe funkcje w systemie medycznym Proassist. A tych, którzy jeszcze nie głosowali na żadne funkcje, zapraszamy do Mapy Produktu, w której możecie na bieżąco śledzić etapy prac nad nowościami w systemie. 

System do prowadzenia dokumentacji pacjentów dla osteopaty – jak Proassist wspiera Twoją praktykę?

Dlaczego osteopata potrzebuje dedykowanego systemu?

Osteopaci pracują w specyficznych warunkach, gdzie kluczowe znaczenie ma historia pacjenta, dokładne zapisy wizyt i łatwy dostęp do dokumentacji. Ręczne prowadzenie tych procesów zajmuje czas, który mógłby być przeznaczony na pracę z pacjentem. System Proassist nie tylko usprawnia te zadania, ale również zapewnia:

  • Porządek w dokumentacji – wszystkie dane pacjentów są w jednym miejscu, dostępne w kilka kliknięć w systemie chmurowym. Możesz zatem zalogować się do systemu z dowolnego urządzenia mobilnego.
  • Bezpieczeństwo danych – system spełnia wymogi RODO, chroniąc wrażliwe informacje i posiada odpowiednie zabezpieczenia, zwalniając Cię z konieczności robienia backup’ów danych. 
  • Oszczędność czasu – automatyczne funkcje, takie jak głosowe wypełnianie EDM za pomocą aplikacji mobilnej na telefon czy korzystanie z szablonów wizyt, przyspiesza pracę. 

Najważniejsze funkcje systemu Proassist dla osteopaty

Kalendarz wizyt

Zarządzanie grafikiem jest proste dzięki intuicyjnemu kalendarzowi. Możesz planować wizyty samodzielnie w kalendarzu dostępnym na komputerze lub w aplikacji mobilnej oraz udostępnić pacjentom możliwość umawiania wizyt przez Internet. 

E-rejestracja w systemie Proassist jest bezpłatna i możesz umieścić wtyczkę nie tylko na swojej stronie internetowej, ale także w mediach społecznościowych (Facebook, Instagram, TikTok). Ponadto, kalendarz dostępny na Twoim komputerze jest odpowiednio zsynchronizowany i jeśli ktoś umówi się na wizytę przez Internet, rezerwacja od razu wpadnie do Twojego grafiku. Nie musisz tracić czasu na ręczne przepisywanie rezerwacji.

Dokumentacja medyczna

Proassist umożliwia tworzenie szczegółowych kart pacjenta z miejscem na opis dolegliwości, zastosowane techniki oraz planowane działania. Gotowe szablony oszczędzają czas potrzebny na wypełnienie formalności. 

Dodatkowo, dzięki dedykowanej aplikacji mobilnej możesz wypełniać dokumentację bez konieczności siadania przy biurku! Korzystając z telefonu i funkcji przetwarzania mowy na tekst możesz szybko dokonać wpisu w dokumentacji medycznej np. w czasie badania, stojąc przy pacjencie. 

Aplikacja mobilna na telefon pozwala także dodawać zdjęcia i skanować dokumentację medyczną za pomocą smartfona. Pliki od razu trafiają do karty pacjenta i nie zapisują się na Twoim urządzeniu, dzięki czemu nie musisz martwić się, że pomieszają się z Twoimi prywatnymi rzeczami.

Automatyczny SMS z przypomnieniem o wizycie

System pozwala na ustawienie automatycznej wysyłki powiadomień SMS do pacjentów. Funkcja ta minimalizuje liczbę nieodwołanych wizyt i pozwala skupić się na terapii.

To Ty decydujesz, kiedy pacjent otrzyma powiadomienie. Optymalne ustawienie to wiadomość z potwierdzeniem rezerwacji od razu po jej dokonaniu oraz dodatkowe przypomnienie wysłane 24h przed planowaną wizytą. 

Prowadzenie księgowości i analiza danych


Program Proassist służy nie tylko do rezerwacji wizyt i wypełniania EDM, ale również pomaga śledzić statystyki wizyt, obciążenie grafików oraz generować faktury i raporty finansowe. Dzięki temu możesz mieć wszystko w jednym miejscu, bez konieczności korzystania z dodatkowych narzędzi.

Rezerwujesz wizytę, wysyłasz pacjentowi przypomnienie o wizycie, którą następnie realizujesz. Po odbytej wizycie w tym samym systemie wystawiasz fakturę, a na końcu wysyłasz do księgowej automatycznie wygenerowany plik JPK VAT. Możesz też na podstawie raportów z systemu przeanalizować wydatki i podjąć ważne dla gabinetu decyzje.

Jeśli chcesz wiedzieć więcej na temat modułu fiskalnego w Proassist, kliknij TUTAJ.

Korzyści dla osteopatów

  • Indywidualizacja – możliwość dostosowania systemu do specyfiki Twojej praktyki.
  • Zwiększona efektywność – mniej czasu na administrację, więcej na pracę z pacjentami.
  • Budowanie relacji z pacjentem – dostęp do pełnej historii pacjenta pozwala lepiej zrozumieć jego potrzeby i planować skuteczne terapie.

Proassist – Twoje wsparcie na każdym kroku

System Proassist to nie tylko narzędzie do prowadzenia dokumentacji, ale kompleksowe rozwiązanie wspierające zarządzanie całą placówką. Bez względu na to, czy prowadzisz jednoosobową praktykę, czy większą klinikę, Proassist dostosuje się do Twoich potrzeb.

Jeśli chcesz dowiedzieć się więcej o funkcjach systemu i przekonać się, jak może pomóc w Twojej codziennej pracy, skontaktuj się z nami! Razem zorganizujemy Twoją praktykę tak, byś mógł skupić się na tym, co najważniejsze – zdrowiu pacjentów.

System do gabinetu kosmetologa – jakie funkcje programu Proassist doceniają kosmetolodzy?

Kalendarz wizyt online dla branży beauty

Kalendarz wizyt to podstawa sprawnej organizacji gabinetu. Proassist pozwala kosmetologom na dostęp do kalendarza z każdego miejsca dzięki systemowi opartemu na chmurze. Niezależnie od tego, czy pracujesz w gabinecie, czy masz dzień wolny – możesz kontrolować grafik wizyt oraz modyfikować zapisy w dowolnej chwili. Możesz mieć pełen podgląd swojego harmonogramu wizyt z dowolnego urządzenia z dostępem do Internetu. 

Proassist różni się od rozwiązań takich jak Booksy, ponieważ nie pobiera prowizji za umówione wizyty i nie przesyła danych z Twojego kalendarza do Urzędu Skarbowego. To bezpieczne oprogramowanie, które na co dzień stosują również lekarze placówkach medycznych. Dane Twoich klientek są odpowiednio chronione.

E-rejestracja i płatności online – eliminacja problemu nie pojawiających się klientek

Udostępnienie klientkom opcji rezerwacji wizyt online to nie tylko wygoda, ale też sposób na uniknięcie strat wynikających z wizyt nie pojawiających się klientek. 

Z e-rejestracją Proassist Twoje klientki mogą rezerwować wizyty online i dokonywać przedpłat, co stanowi zabezpieczenie Twojego czasu. Sama możesz zdecydować, czy chcesz zwracać koszty wizyty w przypadku jej nagłego odwołania lub określić, w jakiej części zwrot się należy. 

Większość gabinetów decyduje się na zablokowanie możliwości odwołania wizyty na mniej niż 24h przed wizytą. Oznacza to, że jeśli klientka odwoła rezerwację np. trzy dni wcześniej, to dostanie całkowity zwrot pieniędzy. Jeśli jednak Twoja klientka będzie chciała usunąć rezerwację np. 3 godziny przed planowaną wizytą, to nie otrzyma zwrotu. Takie rozwiązanie jest w pełni legalne, a nasz prawnik przygotował do tego odpowiednie regulaminy płatności, które możesz otrzymać bezpłatnie.

Dodatkowo, rejestracja online w Proassist jest możliwa nie tylko na Twojej stronie www, ale również przez media społecznościowe – wygodnie, szybko i bez dodatkowych prowizji, które nakładają inne systemy rezerwacyjne. 

Podpisy na tablecie – zgody RODO, marketingowe i na zabiegi kosmetyczne

W świecie kosmetologii, szczególnie w przypadku bardziej wymagających klientek, ważne jest odpowiednie zabezpieczenie. Dzięki Proassist zgody RODO, zgody marketingowe oraz zgody na zabiegi mogą być podpisywane przez klientki bezpośrednio na tablecie.

Takie cyfrowe zabezpieczenia są niezwykle przydatne, zwłaszcza w sytuacjach, gdy klientka zgłasza zastrzeżenia czy roszczenia. Wszystkie zgody są przechowywane w systemie, co gwarantuje pełne bezpieczeństwo i łatwość dostępu do dokumentacji. 

Jako właścicielka gabinetu zyskujesz przede wszystkim zabezpieczenie w postaci podpisanej przez klientkę zgody. Zgoda z podpisem elektronicznym ma taką samą wartość prawną jak zgoda w wersji papierowej, podpisana w tradycyjny sposób – długopisem. Podpis elektroniczny ma jednak tą przewagę, że nie musisz wytwarzać specjalnie papierowej dokumentacji klientek, którą następnie należy przechowywać zgodnie z procedurami – przez odpowiednią ilość lat i w odpowiednio zabezpieczonej szafie.

Dodawanie zdjęć do dokumentacji – prosta dokumentacja efektów pracy kosmetologa

System Proassist pozwala dodawać zdjęcia do elektronicznej kartoteki klientek, co jest świetnym rozwiązaniem dla kosmetologów, którzy chcą dokumentować efekty swoich usług. Zdjęcia „przed i po” zabiegu umożliwiają łatwe monitorowanie efektów, a także stanowią formę zabezpieczenia w przypadku ewentualnych roszczeń.

Prowadzenie elektronicznej dokumentacji medycznej nie jest obowiązkowe w przypadku kosmetologa, ale warto krótko opisywać przebieg wizyty i dodawać zdjęcia efektów swojej pracy. Dzięki temu zawsze będziesz mogła sprawdzić, czy klientka ma jakieś uczulenia, czy miała już zrobiony dany zabieg albo jak dawno temu. Ludzka pamięć czasem zawodzi, a prowadzenie EDM ułatwi Ci profesjonalną obsługę klienta.

 Zdalna rejestracja telefoniczna – oszczędność kosztów i czasu

Zatrudnienie osoby na stanowisko recepcjonistki to spory wydatek dla gabinetu kosmetologicznego, a z Proassist nie musisz już tego robić. Nasza usługa zdalnej rejestracji telefonicznej to wsparcie w zakresie umawiania wizyt.

Rejestratorki Proassist zajmą się telefonicznymi zapisami, dzięki czemu nie musisz przerywać zabiegów, by odbierać telefon, ani oddzwaniać do klientek po godzinach pracy.

Profesjonalna obsługa będzie odbierać Twój telefon od poniedziałku do piątku od 08:00 do 20:00 oraz w soboty od 08:00 do 16:00. To wygodne, oszczędne i przyjazne dla Twoich klientek rozwiązanie. 

Automatyczne potwierdzanie wizyt za pomocą SMS

W Proassist docenisz również funkcję automatycznego potwierdzania wizyt przez SMS. Wielu kosmetologów korzystających z Proassist mówiło nam, że zanim poznali to rozwiązanie, osobiście wysyłali SMSy do klientek. Dzień wcześniej, ręcznie, poza godzinami pracy gabinetu. 

Jeśli też tak robisz, zobacz jak możesz ułatwić swoją pracę i zyskać czas wolny! Dzięki funkcji automatycznego potwierdzania wizyt w Proassist, Twoje klientki otrzymują przypomnienie o zbliżającym się terminie wizyty w określonym przez Ciebie czasie (np. 3 dni wcześniej, 24h wcześniej). 

W treści SMSa jest informacja o tym, że jeśli klientka chce odwołać wizytę, może zrobić to przepisując kod podany w wiadomości. Takie rozwiązanie nie tylko zmniejsza ryzyko nie pojawienia się na wizycie, ale także zdejmuje z Ciebie obowiązek wykonywania indywidualnych potwierdzeń. Automatyczne SMS-y pozwalają oszczędzić czas i zmniejszyć liczbę luk w grafiku, co przekłada się na Twoje zyski. 

Moduł magazynu – zarządzaj produktami kosmetycznymi bez wysiłku

W gabinetach kosmetologicznych produkty szybko się zużywają, a system Proassist dba o to, by Twoje zapasy były pod kontrolą. Moduł magazynu w systemie pozwala monitorować stan produktów takich jak rękawiczki, kwasy czy preparaty do zabiegów.

W przypadku niskich stanów magazynowych otrzymujesz powiadomienie. Dodatkowo, dzięki magazynowi możesz monitorować zużycie produktów i jeśli zauważysz, że masz większe ilości produktów z krótką datą ważności, możesz odpowiednio zareagować, np. organizując promocję na daną usługę, by uniknąć strat.

Podsumowanie – jaki system do rezerwacji wizyt wybrać do gabinetu kosmetologicznego

Podsumowując, Proassist to system, który nie tylko ułatwia codzienną pracę kosmetologów, ale także zwiększa bezpieczeństwo i efektywność gabinetów. Każda funkcja jest dostosowana do realiów rynku kosmetologicznego, co sprawia, że kosmetolodzy mogą skupić się na tym, co dla nich najważniejsze – zadowoleniu klientek i doskonałej jakości usług.

Proassist w liczbach – Podsumowanie roku 2024

Wizyty pacjentów – imponujące liczby

W 2024 roku przez system Proassist umówiono aż 1 419 413 wizyt!
To wynik, z którego jesteśmy niezwykle dumni, a jeszcze bardziej cieszy nas fakt, że dzięki naszym rozwiązaniom rejestracja wizyt przebiegała sprawnie i efektywnie.

  • 155 699 wizyt umówiły dla Was zdalne rejestratorki medyczne Proassist, które dbają o to, by każde połączenie do placówki zostało odebrane od poniedziałku do piątku w godzinach od 08:00 do 20:00 oraz w soboty od 08:00 do 15:00
  • 262 873 wizyty zarejestrowano przez widżet Proassist do rejestracji online, która działa 24/7, umożliwiając pacjentom zapis w dogodnym dla nich momencie bezpośrednio na stronie internetowej placówki lub na Waszych profilach w social mediach, czy Google Wizytówce.

Przyjmując średni koszt wizyty 250 zł, możemy szybko policzyć, że z wizyt umówionych dzięki usługom oferowanym przez Proassist (outsourcing rejestracji telefonicznej i bezprowizyjna rejestracja online) placówki medyczne wygenerowały ponad 104 miliony !

Podpisywanie dokumentów na tablecie i dodawanie zdjęć z telefonu prosto do karty pacjenta

Dzięki naszej aplikacji mobilnej na telefony i tablety udało się zminimalizować formalności w formie papierowej, co znacznie ułatwia pracę. System Proassist posiada moduł, który pozwala na podpisywanie zgód przez pacjentów na tablecie. Taki podpis elektroniczny jest w pełni zgodny z przepisami i ważny tak samo jak podpis tradycyjny, co potwierdził pisemnie prawnik Ireneusz Zabawa. W 2024 roku w placówkach korzystających z systemu do EDM Proassist:

  • 35 362 zgody na zabieg zostały podpisane elektronicznie przez pacjentów na tabletach,
  • Wypełniono 11 053 ankiety medyczne w aplikacji, która dba o to, by pacjent uzupełnił wszystkie wymagane pola i niczego nie pominął.

To oznacza, że łącznie aż 46 415 dokumentów zostało podpisanych na tablecie, bez konieczności marnowania papieru i tworzenia zbędnej dokumentacji papierowej. Dzięki temu placówki nie muszą martwić się o przechowywanie papierowych kartotek przez 20 lat i odpowiednie archiwizowanie dokumentów.

Dodatkowo, w  systemie Proassist użytkownicy dołączyli do dokumentacji pacjentów aż 264 172 pliki (zdjęcia, skany i inne dokumenty),. Łatwość dodawania dokumentów do elektronicznych kartotek pacjentów z poziomu aplikacji mobilnej sprawia, że dokumentacja prowadzona jest w pełni elektronicznie i nie brakuje w niej żadnych informacji. 

Automatyczne wysyłanie potwierdzeń rezerwacji i przypomnień o wizytach – prawie 2 miliony SMS’ów do pacjentów

Komunikacja z pacjentami to nie tylko podstawa do budowania zaufania i lojalności wobec pacjentów, ale również zabezpieczenie przed stratami finansowymi placówki. Jeśli tuż po umówieniu wizyty wyślesz pacjentowi SMS z informacją o dokonanej rezerwacji, będziesz mieć pewność, że pacjent dobrze usłyszał termin i ma zanotowaną datę i godzinę wizyty. 

Następnie, wysyłając pacjentowi przypomnienie o wizycie 3 dni lub 24h przed planowanym terminem wizyty – gwarantujesz sobie, że pacjent nie zapomni o rezerwacji, a jeśli coś nagle mu wypadnie – będzie mógł szybko powiadomić Cię o rezygnacji. Dzięki temu będziesz mieć czas, by zapełnić wolne miejsce w grafiku i przyjąć innego pacjenta.

Placówki medyczne korzystające z systemu Proassist wiedzą, jak ważne jest wysyłanie takich powiadomień do pacjentów i doceniają możliwość automatyzacji tego zadania. Dodatkowo, wykorzystują również SMSy do przekazywania komunikatów marketingowych. Odnotowaliśmy, że w 2024 roku dzięki automatycznej wysyłce powiadomień SMS, placówki medyczne wysłały do pacjentów aż 1 784 056 wiadomości.

Najlepszy system dla gabinetów w 2024

Każda z tych liczb to dowód na to, że Proassist wspiera placówki medyczne, lekarzy, specjalistówrejestratorki medyczne w lepszej organizacji codziennej pracy. Cieszymy się, że możemy być częścią Waszych sukcesów! 

W 2024 roku zrealizowalismy kilka aktualizacji systemu, o których szerzej możecie poczytać w artykułach znajdująych się w zakładce “Nowości”. Podczas tych aktualizacji wprowadziliśmy wiele ulepszeń, dzięki którym system stał się bardziej wszechstronny i przyjazny użytkownikom.

Jednym z ważnych kroków było uruchomienie dedykowanej przestrzeni na naszej stronie, gdzie użytkownicy mogą śledzić postępy w rozwoju Proassist oraz zgłaszać własne pomysły na nowe funkcje. To narzędzie pozwala nam jeszcze lepiej odpowiadać na potrzeby klientów.

Zwiększyliśmy również możliwości generowania raportów dotyczących rezerwacji wizyt, w tym nowe narzędzie do mierzenia konwersji z e-rejestracji. Teraz placówki mogą analizować, jakie frazy w Google przyciągają pacjentów, co pomaga optymalizować działania marketingowe.

Rozbudowaliśmy system o bardziej zaawansowaną wersję Listy Rezerwowej, która pozwala na efektywne zarządzanie wolnymi terminami i minimalizację pustych okienek w grafikach specjalistów.

Nie zabrakło też innowacji w zakresie elektronicznej dokumentacji medycznej. Personalizacja okna przeprowadzania wizyty pozwala na dostosowanie okienek w systemie do własnych preferencji. Teraz możesz pracować tak, jak jest Ci najwygodniej. 

To tylko niektóre z nowości, które udało nam się wprowadzić w mijającym roku. Dzięki Waszym opiniom i zaangażowaniu stale rozwijamy Proassist, aby jeszcze lepiej odpowiadać na potrzeby placówek medycznych.

Dziękujemy, że jesteście z nami. Razem możemy jeszcze więcej!
Zespół Proassist 💙

System do wypełniania dokumentacji i zarządzania gabinetem dla technika masażysty

Dlaczego prowadzenie dokumentacji jest ważne dla technika masażysty?

Choć obecne przepisy prawa wprost nie nakładają obowiązku prowadzenia dokumentacji z masaży nieleczniczych, technicy masażyści powinni rozważyć wprowadzenie tego elementu do swojej praktyki. Projekt rozporządzenia przewiduje obowiązek prowadzenia i archiwizacji dokumentacji związanej z czynnościami zawodowymi techników masażystów, co oznacza, że w przyszłości takie wymagania mogą zostać formalnie wdrożone.

Jednak dokumentacja nie jest tylko kwestią prawną – jest przede wszystkim narzędziem do ochrony własnego interesu. W obliczu rosnących roszczeń klientów, dokładna dokumentacja pozwala zabezpieczyć się przed potencjalnymi zarzutami oraz udokumentować wszystkie istotne informacje na temat świadczonych usług.

Co powinna zawierać dokumentacja technika masażysty?

Dobra dokumentacja masażysty to nie tylko forma ochrony, ale także sposób na podniesienie jakości świadczonych usług. Powinna zawierać:

  • dane pacjenta (imię, nazwisko, kontakt, wiek, wzrost, waga) z klauzulą RODO,
  • charakterystykę zgłaszanych dolegliwości i obserwacje masażysty,
  • informacje o stanie zdrowia pacjenta (choroby współistniejące, przeciwwskazania),
  • opis zastosowanych technik masażu oraz reakcji pacjenta na zabieg,
  • adnotacje o preferencjach pacjenta (np. dotyczące zapachu czy muzyki),
  • pisemną zgodę pacjenta na wykonanie masażu,
  • regulamin gabinetu określający zasady świadczenia usług.

W przypadku masaży leczniczych sytuacja jest bardziej skomplikowana. Aby respektować Prawa Pacjentów, do których należy między innymi prawo do dokumentacji, Technicy Masażyści powinni prowadzić dokumentację medyczną dla masaży leczniczych. 

Obowiązujące Rozporządzenie Ministra Zdrowia nakazuje prowadzenie dokumentacji w formie elektronicznej, co wymaga odpowiedniego systemu informatycznego. Ze względu na nie do końca sprecyzowane przepisy, zawód Technika Masażysty zostaje często pominięty przez systemy medyczne. Jednak chcąc prowadzić gabinetu masażu zgodnie z prawem, warto zastanowić się nad wyborem odpowiedniego oprogramowania do gabinetu masażysty. 

Jaki system wybrać do prowadzenia gabinetu masażu?

Choć nie wszystkie systemy medyczne zostały dostosowane do specyficznych potrzeb Technika Masażysty, to nie musisz się martwić. Wybierając program Proassist możesz mieć pewność, że Twoja praca związana z wypełnianiem dokumentacji stanie się łatwiejsza. Proassist to nowoczesne oprogramowanie, które idealnie wpisuje się w potrzeby gabinetów masażu, zarówno w zakresie prowadzenia dokumentacji technika masażysty, jak i zarządzania całą działalnością.

Najważniejsze funkcje programu Proassist dla technika masażysty to:

Elektroniczna Dokumentacja Medyczna (EDM) dla technika masażysty 


Proassist umożliwia prowadzenie szczegółowej dokumentacji pacjentów, w formie elektronicznej. Możesz samodzielnie stworzyć szablon wizyty, dzięki któremu dokumentacja będzie spójna i zawsze będzie zawierać najważniejsze informacje, np. opisy dolegliwości, zastosowane techniki masażu i reakcje pacjenta na zabieg. 

Jeśli pobierzesz dedykowaną aplikację Proassist na swój telefon, zyskasz także możliwość głosowego wypełniania dokumentacji medycznej. To znacznie przyspiesza pracę związaną z wypełnianiem formalności – możesz szybko wypełnić dane dotyczące przebiegu wizyty bez konieczności podchodzenia do komputera, wykorzystując funkcję przetwarzania mowy na tekst. 

Aplikacja mobilna na telefon pozwala także na szybkie dodawanie zdjęć z aplikacji bezpośrednio do karty pacjenta. To bardzo przydatne w momencie, gdy pacjent przynosi na wizytę wyniki prześwietlenia czy innych badań w formie papierowej – możes zeskanować dokument telefonem i szybko dołączyć go do dokumentacji. 

https://www.youtube.com/watch?v=tQupQpnX9M0

Kalendarz wizyt z e-rejestracją do gabinetu masażu

System pozwala na wygodne zarządzanie harmonogramem wizyt przez technika masażystę. Z kalendarza można korzystać zarówno logując się do systemu przez przeglądarkę na dowolnym urządzeniu, jak i w aplikacji mobilnej na telefon. Kalendarz jest prosty i intuicyjny. 

Jeśli prowadzisz placówkę, która zatrudnia kilku masażystów, możesz zarządzać w systemie pokojami, dzięki czemu unikniesz sytuacji, w której dwóch masażystów umówi pacjentów na ten sam dzień do tego samego gabinetu. 

Dodatkowo, program Proassist posiada specjalną wtyczkę do rejestracji online, którą możesz umieścić na swojej stronie internetowej, w mediach społecznościowych lub na wizytówce Google. To pozwoli pacjentom na umawianie wizyt przez Internet. Pacjenci będą mogli rezerwować wizyty całodobowo, a Ty oszczędzisz czas i lepiej zorganizujesz pracę w gabinecie.

Podpisy elektroniczne na tablecie

Dzięki tej funkcji można zbierać zgody na zabiegi, dokumenty RODO i inne potwierdzenia zgodnie z wymaganiami prawnymi. Podpisy elektroniczne mają taką samą moc prawną jak tradycyjne, a Ty nie musisz martwić się o konieczność przechowywania danych osobowych w formie papierowej przez 20 lat w pancernej szafie. Wszystkie dokumenty są przechowywane w systemie, eliminując konieczność korzystania z papieru i tworzenia archiwum.

Przypomnienia SMS o wizytach i płatności online jako zabezpieczenie gabinetu masażysty


Automatyczne powiadomienia SMS pomagają zmniejszyć liczbę nieodbytych wizyt, przypominając pacjentom o zbliżających się terminach. To Ty decydujesz, czy i z jakim wyprzedzeniem pacjenci powinni otrzymywać przypomnienia. 

Jeżeli w Twoim gabinecie często zdarzają się sytuacje, że ktoś rezerwuje termin wizyty, a później nie zjawia się na masażu albo odwołuje go w dniu, w którym miał się odbyć, to warto rozważyć również regulamin gabinetu masażu. Odpowiednio sporządzony regulamin może zabezpieczyć Cię przed takimi stratami finansowymi. Możesz np. zastrzec sobie, że w przypadku odwołania wizyty na mniej niż 24 godziny przed planowanym terminem, klient ma obowiązek zapłacić 50% ceny. W Proassist wspólnie z prawnikiem przygotowaliśmy wzory regulaminów płatności, które możesz pobrać za darmo TUTAJ. 

Decydując się na wprowadzenie takiej polityki w gabinecie, warto wprowadzić wtedy również do gabinetu możliwość płatności internetowych. Jeśli pacjent opłaci z góry wizytę, nie tylko będzie miał większą motywację, by zjawić się w gabinecie, ale także zagwarantuje Tobie, że otrzymasz należne wynagrodzenie. 

Prowadzenie księgowości w gabinecie masażu


Program Proassist wspiera użytkowników także w sprawach księgowych. Nie musisz zatem kupować dodatkowego oprogramowania do prowadzenia księgowości i wystawianie faktur. W systemie Proassist możesz rejestrować i wystawiać faktury, prowadzić rozliczenia, generować plik JPK VAT, a nawet prowadzić raporty dotyczące zarobków gabinetu. To szczególnie przydatne w gabinetach masażu, które chcą mieć pełną kontrolę nad finansami.

Podsumowanie – dlaczego warto wybrać Proassist do gabinetu masażu? 

System Proassist to rozwiązanie, które nie tylko spełnia wymogi prawne, ale także usprawnia codzienną pracę masażystów. Umożliwia łatwe prowadzenie dokumentacji, automatyzuje procesy administracyjne i poprawia komunikację z pacjentami. Dzięki temu masażyści mogą skupić się na swojej pracy, mając pewność, że ich gabinet działa sprawnie i zgodnie z przepisami.

Prowadzenie dokumentacji w gabinetach masażu to kwestia zarówno przyszłościowych regulacji prawnych, jak i bezpieczeństwa techników masażystów. Dzięki systemowi Proassist możliwe jest kompleksowe zarządzanie dokumentacją i obsługą pacjentów w sposób nowoczesny i efektywny już teraz.

 Nie czekaj, aż nowe przepisy wejdą w życie i wszystkie programy wywindują ceny dla Techników Masażystów, którzy nagle będą postawieni przed obowiązkiem prowadzenia dokumentacji w formie elektronicznej. Wprowadź dobre praktyki w swoim gabinecie już teraz i prowadź dokumentację swoich pacjentów!

 

Najlepszy system dla gabinetów fizjoterapeutycznych – sprawdź, dlaczego warto zdecydować się na program Proassit

Możliwość głosowego wypełniania EDM

Proassist umożliwia głosowe wypełnianie elektronicznej dokumentacji medycznej, co jest idealnym rozwiązaniem dla fizjoterapeutów, którzy chcą szybko i precyzyjnie sporządzać notatki podczas wizyty. Wystarczy wypowiedzieć notatkę, a system zamieni ją na tekst i umieści w karcie pacjenta. Dzięki temu można skupić się na pacjencie i zapewnić mu maksymalną uwagę, a dokumentację uzupełniać w trakcie terapii – bez konieczności podchodzenia do komputera.

Dokumentację wypełnioną z pomocą funkcji przetwarzania mowy na tekst w każdej chwili można edytować i poprawić w systemie na komputerze. To świetne rozwiązanie dla osób, które nie lubią tracić czasu na żmudne wypełnianie EDM!

Wygodny kalendarz wizyt online dla fizjoterapeuty

Proassist oferuje elastyczny kalendarz wizyt online, w którym można wygodnie zarządzać harmonogramem. Dzięki funkcji wyszukiwania 100 najbliższych wolnych terminów fizjoterapeuta lub jego rejestratorka medyczna  może szybko znaleźć dogodne daty dla pacjentów zgodne z ich preferencjami – np. wyświetlić tylko wizyty popołudniowe albo wolne terminy do konkretnego specjalisty. 

Dodatkowo, funkcja umawiania wizyt cyklicznych ułatwia organizację terapii, które wymagają regularnych spotkań – to idealne rozwiązanie dla ustalania wizyt pacjentów rehabilitacyjnych. Zamiast klikać i rezerwować kilkanaście wizyt po kolei, można zrobić to jednym kliknięciem!

Wysyłanie zaleceń na e-mail pacjenta

Po zakończeniu wizyty oprogramowanie Proassist umożliwia fizjoterapeutom wygenerowanie zaleceń dotyczących dalszej terapii i pielęgnacji oraz automatyczne wysłanie ich na e-mail pacjenta. 

To nowoczesne rozwiązanie, które sprawia, że pacjenci  nie zgubią papierowe informacji i będą mogli w każdej chwili wrócić do zaleceń. Oszczędzasz papier i materiały eksploatacyjne, a dodatkowo masz pewność, że pacjent otrzymał podsumowanie wizyty!

E-rejestracja i płatności online w gabinecie fizjoterapeuty

E-rejestracja w Proassist to rozwiązanie, które pozwala Twoim pacjentom samodzielnie zapisać się na wizytę przez Internet. Okienko do rezerwacji wizyt możesz umieścić na swojej stronie Internetowej oraz na profilach w mediach społecznościowych (Facebook, TikTok, Instaram). 

 System pozwala również na wprowadzenie opcji płatności online, dzięki czemu pacjenci mogą opłacić wizytę z wyprzedzeniem. To znacznie ułatwia organizację przyjęć w gabinecie i pozwala na większą elastyczność, jednocześnie zmniejszając obciążenie rejestracji.

Dodatkowo, rejestracja internetowa w Proassist jest zsynchronizowana z portalem Znany Lekarz, co oznacza, że jeśli gabinet prowadzi zapisy również przez ten marketplace, to nie trzeba przepisywać ich ręcznie do kalendarza. Niezależnie od tego, czy wizyta zostanie umówiona przez telefon, e-rejestrację, czy przez Znanego Lekarza, od razu pojawi się ona w kalendarzu wizyt. Dzięki temu unikniesz podwójnych rezerwacji i błędów w harmonogramach.

Lista rezerwowa dla pacjentów oczekujących na zabiegi fizjo

Nieobecności i nagle odwołane wizyty pacjentów mogą być wyzwaniem dla fizjoterapeutów, którzy prowadzą napięty grafik. Funkcja listy rezerwowej pozwala uniknąć pustych okienek i luk w grafiku.

Gdy ktoś odwoła wizytę, możesz zaproponować ten termin osobom z listy oczekujących, co pozwala na optymalne wykorzystanie dostępnych godzin. Prowadzenie takiej listy dodatkowo poprawia opinie o Twojej placówce, ponieważ każdy pacjent, który otrzyma możliwość szybszego skorzystania z usług fizjoterapeuty, będzie zadowolony i usatysfakcjonowany. 

Zewnętrzna rejestracja telefoniczna

Proassist oferuje także usługę zdalnej rejestracji telefonicznej, dzięki czemu nawet podczas najbardziej obłożonych dni linia telefoniczna nie jest zajęta, a pacjenci mogą wygodnie zapisać się na wizytę. To duże wsparcie dla fizjoterapeutów, którzy chcą zapewnić najwyższą jakość obsługi, jednocześnie koncentrując się na pracy z pacjentami.

Dodawanie zdjęć do dokumentacji i szybkie skanowanie dokumentów

Dzięki aplikacji mobilnej pobieranej na telefon fizjoterapeuci mogą dodawać zdjęcia automatycznie do dokumentacji pacjentów, co jest szczególnie przydatne w przypadku śledzenia postępów w rehabilitacji, zmian postawy, itp. 

Ta sama funkcja umożliwia również szybkie skanowanie dokumentów za pomocą telefonu i dodawanie ich bezpośrednio do elektronicznej karty pacjenta. Pozwala to na sprawne uzupełnianie EDM o dokumenty dostarczone przez pacjentów w wersji papierowej, bez konieczności kupowania skanera czy tworzenia kopii i przechowywania jej w papierowej teczce. Szybko, wygodnie i w pełni elektronicznie!

Podpisywanie zgód na zabiegi na tablecie

Kolejna nowoczesna funkcja w programie medycznym Proassist, to możliwość podpisywania zgód przez pacjentów na tablecie. Pacjent może szybko udzielić zgody na zabieg lub wyrazić zgodę marketingową w aplikacji, a wszystkie dokumenty są automatycznie zapisywane w jego elektronicznej karcie. 

Fizjoterapeuci mają wszystkie zgody dostępne w jednym miejscu, co ułatwia ich późniejsze szukanie. Dodatkowo, podpisy na tablecie eliminują konieczność wytwarzania papierowych zgód, które następnie należałoby przechowywać w odpowiednich warunkach przez 20 lat. Podpisy elektroniczne są zgodne z prawem i pozwalają zachować całość dokumentacji w formie EDM.

Automatyczne SMS-y przypominające pacjentom o wizytach

Automatyczne przypomnienia SMS to funkcja, która pozwala fizjoterapeutom na zmniejszenie liczby nieobecności pacjentów. System Proassist automatycznie wysyła SMS-a przypominającego o nadchodzącej wizycie, dzięki czemu pacjenci nie zapominają o wizytach.

Pacjent może szybko odwołać wizytę, przepisując kod przesłany w wiadomości. Powstałą lukę w grafiku można szybko zapełnić, nie ponosząc przy tym strat finansowych. Jeśli pacjent nie otrzymałby przypomnienia i nie zjawił się na wizycie bez poinformowania o tym gabinetu, to fizjoterapeuta byłby stratny. Dlatego warto wprowadzić automatyczne przypomnienia o wizytach do każdego gabinetu!

Limity ilościowe i godzinowe do konkretnych usług 

W Proassist można ustawić limity na liczbę oraz godziny dostępności określonych usług, co pozwala fizjoterapeutom na lepsze zarządzanie swoim czasem i dostępnością. Na przykład, fizjoterapeuta może ustalić, że treningi personalne wykonuje wyłącznie rano, a zabiegi terapeutyczne prowadzi popołudniami. 

Dodatkowo możliwe jest ograniczenie ilości danych zabiegów w ciągu dnia – dzięki czemu łatwiej uniknąć przepracowania czy zbyt intensywnego dnia zabiegowego. Takie ustawienia pomagają planować pracę zgodnie z indywidualnymi preferencjami fizjoterapeuty i specyfiką oferowanych usług, co przekłada się na bardziej zrównoważony harmonogram pracy.

Przypisanie odpowiedniego pokoju do usługi

Funkcja przypisania pokoju do konkretnej usługi jest szczególnie przydatna w przypadku zabiegów wymagających specjalistycznego sprzętu, takiego jak krioterapia czy laseroterapia. 

Jeżeli w placówce jest tylko jedno urządzenie do wykonywania danego zabiegu, ale przyjmuje kilku specjalistów, to dzięki przypisaniu odpowiedniego pokoju do usługi można łatwo “podzielić się” sprzętem i uniknąć konfliktu interesów. Na przykład, jeśli w danym dniu dwóch fizjoterapeutów przyjmuje pacjentów i jeden z nich zarezerwuje godzinę na zabieg z użyciem lasera, to drugi fizjoterapeuta automatycznie nie będzie mógł zarezerwować tej samej usługi w tej godzinie. System sprawdzi dostępność pokoju i sprzętu, blokując możliwość podwójnej rezerwacji. 

Dzięki temu fizjoterapeuci nie muszą każdorazowo przeglądać kalendarza drugiej osoby, by uniknąć konfliktów w rezerwacjach – Proassist robi to automatycznie, co pozwala na płynniejszą i bardziej uporządkowaną organizację dnia.

Dlaczego fizjoterapeuci wybierają Proassist?

Proassist to kompleksowe narzędzie, które odpowiada na potrzeby fizjoterapeutów. Dzięki funkcjom, takim jak głosowe wypełnianie EDM, kalendarz wizyt, e-rejestracja i automatyczne przypomnienia o wizytach, codzienna praca staje się bardziej zorganizowana i efektywna.

Program dla fizjoterapeutów Proassist pomaga nie tylko w zarządzaniu wizytami i dokumentacją, ale również w budowaniu relacji z pacjentami i dbaniu o najwyższą jakość obsługi. Jeśli chcesz sprawdzić, co jeszcze możemy Ci zaoferować – skontaktuj się z nami!

Zapobieganie wyciekowi danych pacjentów – poradnik dla właścicieli placówek medycznych

Cyberbezpieczeństwo w placówce medycznej  – jak chronić dane pacjentów?

Jacek: Dzień dobry, witam w kolejnym cyklu spotkań Gość Proassist. Ja nazywam się Jacek Piaseczyński, reprezentuję Proassist, czyli firmę, która dostarcza oprogramowanie medyczne, system medyczny do placówek medyczny. 

Dodatkowo zajmujemy się jeszcze rejestracją pacjentów. Dzisiaj jest z nami Paweł i Irek. Od mojej lewej – Paweł jest z firmy Telkonet, która zajmuje się sieciami, dostępami, sprzętem i wszystkim, co jest, nazwijmy to IT w placówkach medycznych. 

I jest z nami również Irek. Irek posiada z kolei kancelarię, jest radcą prawnym, zajmuje się pomocą prawną dla placówek medycznych, ale również pomocą w zakresie bezpieczeństwa ochrony danych osobowych RODO, więc tutaj też jest również Inspektorem Danych Osobowych. 

My dzisiaj się spotkaliśmy w trójkę, bo cyberbezpieczeństwo to jest temat, który fajnie by było obgadać w trójkę. To znaczy mamy kwestię bezpieczeństwa danych i mamy tak – po jednej stronie tą część prawną, czyli po prostu dokumentację to jak powinno być to zarządzane zgodnie z prawem. Po drugiej stronie mamy sprawy takie sieciowe, komputerowe, dostępowe ewentualnie jakieś serwery w placówkach medycznych, centrale, wszystko to, gdzie też trzeba jakby zaimplementować to co jest wcześniej wdrożone w dokumentach, w sieci, w placówkach.

No i na koniec jest jeszcze system medyczny, w którym również się przechowuje te dane osobowe, więc musi być dostosowany do tej polityki, ochrony bezpieczeństwa danych w placówkach. No ale teraz co? Ja oddaję gościom głos. Może bym zaczął od Irka. Irek, jakbyś powiedział, kim jesteś, czym się zajmujesz, w czym możesz pomóc naszym klientom czy ogólnie osobom, które są u nas na spotkaniu?

Irek: Ogólnie już zarysowałeś czym się zajmuje. Radca prawny, oczywiście problematyka prawna. Jeśli chodzi o temat naszego dzisiejszego spotkania i specjalizację, no to ochrona danych osobowych. Jestem Inspektorem Ochrony Danych w wielu podmiotach, w tym niektórych właśnie, z branży medycznej, gdzie ta zagadnienia ochrony danych osobowych, w tym danych szczególnych kategorii, czyli potocznie zwanych danymi wrażliwymi, jest w obszarze szczególnego zainteresowania. 

Częste pytania, czy powinny podmioty z branży medycznej ustanawiać Inspektora Ochrony Danych Osobowych, czy nie powinny. Zwykle powinniśmy dać tutaj pozytywną odpowiedź, że jednak tak, o czym miarę wyraźnie stanowi rozporządzenie RODO, ale o tym jakoś nie będziemy dzisiaj szerzej mówili. 

No i w praktyce zawodowej, właśnie, Inspektor Ochrony Danych, przygotowywanie szerokiej dokumentacji związanej z ochroną danych osobowych, jak również wykonywanie audytów prawidłowości przestrzegania postanowień RODO, jakieś zazębiania się tej tematyki z systemami informatycznymi, bo to nasze dzisiejsze spotkanie właśnie między innymi jest o tym, czyli jak te wszystkie trzy gałęzie pogodzić ze sobą. 

Więc tutaj jestem jakby zmuszony, często współpracować właśnie z osobami zajmującymi się z systemami informatycznymi i zazębić to jakoś z ochroną danych osobowych, z właściwą dokumentacją, właściwym przestrzeganiem tych regulacji, które w branży medycznej są bardzo istotne, z czego wynikają też również coroczne raporty prezesa Urzędu Ochrony Danych Osobowych, że ta branża, branża medyczna jest na szczególnie cenzurowanym i dużo naruszeń również ochrony danych osobowych w tym, w tej działalności występuje. Więc w tym zakresie jestem w stanie zawsze pomóc, zresztą z Jackiem współpracujemy już od dawna z niektórymi klientami z polecenia Jacka, więc gdyby byli Państwo zainteresowani po naszym dzisiejszym spotkaniu czy w bliższej i dalszej przyszłości, jestem do dyspozycji. 

Jacek: Dokładnie tak, dzięki za głos. Paweł, czy mógłbyś teraz Ty opowiedzieć o sobie? 

Paweł Oczywiście. Ja jestem założycielem firmy Telkonet. My zajmujemy się obsługą informatyczną, z sieciami komputerowymi, w tym przewodowymi, bezprzewodowymi i bezpieczeństwem.. To są takie trzy główne obszary i jedną z naszych głównych grup klientów są placówki medyczne, w dużej mierze prywatne i to, co my robimy, to pomagamy naszym klientom na co dzień z bieżączkami, typu komputer, serwer, sieć, żeby to gdzieś wszystko funkcjonowało, ale też pełnimy rolę takiego administratora i firmy, która doradza. 

Doradza, dobiera, no tak się też gdzieś poznaliśmy, Jacek, z Wami, że szukaliśmy, tak, bo ciągle gdzieś szukamy. Bo tak jak gdzieś tutaj już to padło, że ważne jest, żebyśmy, tak jak my jesteśmy, nawet tutaj we trójkę właśnie, gdzieś współpracowali, no bo też szukamy systemów, które spełniają nasze oczekiwania, normy. Tych norm i regulacji jest coraz więcej, branża medyczna jest tak, jak Irek powiedział, na cenzurowanym i tutaj dużo też znamy kwestii, czy innych systemów medycznych, czy kwestii jakichś integracji. Jest tego naprawdę, naprawdę sporo i miejsc, gdzie ewentualnie coś może się wydarzyć. Także tak z naszej strony to wygląda. 

Jacek: Tak, dokładnie tak. Mi się zdaje właśnie, że dobrze jest to robić w trójkę, bo wtedy jest taki, ja to sobie nazwałem modelowy przykład współpracy, to znaczy wtedy ja sobie to tak wyobrażam: Placówka rozpoczyna od tych spraw formalno-prawnych, założenia podmiotu medycznego, zrobienia całej dokumentacji związanych z ochroną danych osobowych, a potem przychodzi do Pawła, a potem Paweł przychodzi do nas i w ten sposób jest to wszystko zabezpieczone, jak powinno być. 

Natomiast właśnie ja bym chciał się spytać o ten taki modelowy przykład współpracy. Rozumiem, że Ty Irek zajmujesz się tą częścią dokumentacji i jak w tej części dokumentacji już, nie wiem, zrobić taką zasadę minimalizacji dostępu? 

Jak Ty to sobie wyobrażasz ze swojej strony? Kto powinien mieć dostęp do czego i dlaczego? W sensie Ty to rozumiem w jakiś sposób, konsultujesz z klientem, ale też ewentualnie właśnie rozumiem z kimś takim, jak Paweł, tak? 

Irek: No tak to powinno wyglądać w teorii, wiadomo, że w praktyce różnie wygląda, bo chyba dosyć powszechną praktyką jest niestety, to że ten dostęp do danych, czy nazwiemy to danymi medycznymi, czy danymi osobowymi, chociaż to są różne pojęcia, ale one się w pewnym sensie pokrywają, jeśli chodzi o tę branżę, jest często tak, że kto jest w zasadzie zatrudniony i ma do czynienia z danymi pacjentów, ma zwykle w placówce medycznej dostęp do wszystkiego, do danych wszystkich pacjentów, do podglądu wszystkiego, co dotyczy dokumentacji medycznej i danych osobowych w niej zawartych. A oczywiście to nie jest prawidłowe i należy taką praktykę zawsze możliwie ograniczać i wyeliminować. 

Ja wiem, że to często nie jest możliwe, albo jest trudne. Natomiast trzeba na to zwracać uwagę, żeby no nie wyglądało to w ten sposób, że zarówno ktoś, kto przyjmuje zapisy pacjentów, zarówno ktoś, kto zajmuje się potem obsługą pacjentów, już przyjmując i udzielając świadczeń medycznych, wszyscy mają dostęp do wszystkich danych osobowych, jakie w danej placówce pojawiają się, funkcjonują. No i tutaj, jeżeli chcielibyśmy zacząć projektowanie takiego systemu, no w teorii powinno to wyglądać w ten sposób, że dowiaduje się, kto do czego, kto jest zatrudniony, kto, czym się zajmuje, jaka działka danych osobowych może do danej osoby trafić i powinna do danej osoby trafić. 

Wiadomo, czym innym powinna zajmować się – to są może banały, ale niekoniecznie, często niekoniecznie w  świadomości funkcjonują – niekoniecznie osoba w sekretariacie powinna mieć ten sam dostęp, do tych samych danych osobowych, co lekarz i inne osoby, które się świadczeniami medycznymi zajmują, a często jest tak, że ten dostęp jest identyczny. 

Więc ja tutaj przygotowując taką politykę ochrony danych, przeprowadzając szkolenia z tego zakresu, udzielając upoważnień do przetwarzania danych osobowych, bo to też jest bardzo ważne. O czym rzadko się pamięta, żeby każda osoba, która u nas ma dostęp do danych medycznych, do danych osobowych, posiadała stosowne upoważnienie. Ono nie musi mieć formy pisemnej, ale w jakiś sposób powinno być utrwalone i powinno być tam wskazane, do jakich danych dostęp ma dana osoba, ze względu na obowiązki służbowe, które jej powierzono. Potem ma to odzwierciedlenie w polityce ochrony danych, ma to odzwierciedlenie w rejestrze upoważnień. 

Powinniśmy pilnować tego, żeby upoważnienia cofać, upoważnienia nowe udzielać w ramach tego, gdy ktoś nowy do nas przychodzi, ograniczać je albo rozszerzyć w zależności od tego, jakie obowiązki służbowe ma dana osoba. 

Od tego zaczynamy. To jest podstawą i potem łatwo jest prześledzić, skąd ewentualnie mogą pochodzić naruszenia ochrony danych i kto jest za to odpowiedzialny. Oczywiście ma to wiele wspólnego również z tym, czym zajmuje się Paweł, czyli kto powinien mieć dostęp do jakich części systemu informatycznego. 

No ale to znajduje odzwierciedlenie w papierach, mówiąc w brzydko, które ja przygotowuję. I powinno być też potem efektem tego, co się dzieje w systemie informatycznym i to, do czego ma potem dostęp. Ewentualnie jaki dostęp się danej osobie odbiera, gdy odchodzi z pracy. 

Jacek: No właśnie, Paweł, mi się zdaje, że – czy ja dobrze diagnozuje, że oczywiście modelowy, to jest modelowy przykład, ale najlepiej dla Ciebie jest tak, jak klient ustala te sprawy uprawnień, zbierze aktualną dokumentację i idzie do ciebie i mówi, zaimplementuj mi to w placówce, tak? 

Paweł: Byłoby super, naprawdę byłoby super. No a praktyka wygląda tak, że często, nie wiem, nawet otwierając nową jakąś placówkę, nie raz otwieraliśmy z klientami, którzy otwierali nowe gdzieś tam oddziały, zaczynamy gdzieś od sieci, internetu, no my już mamy z tyłu głowy kwestie bezpieczeństwa, już dobieramy takich dostawców, te rozwiązania, które będą spełniać te normy, jesteśmy w stanie zarządzać nimi, czyli tymi dostępami i tak dalej, bo nie wszystkie systemy urządzenia to spełniają. No a w praktyce to właśnie tak wygląda, że o dokumentacji to my się czasem troszkę upominamy, bo to, że my mamy z naszych doświadczeń i wdrażamy, to znaczy dobieramy jakichś partnerów, bo na pewno właśnie zależy jeżeli chodzi np. o system, o sieć, o nawet o dostawców, jeżeli chodzi o internet. Byłoby super mieć to spisane i to, do czego my dążymy, to jest kwestia, tego prawa to jest droga i taki proces, kwestia wdrażania polityki bezpieczeństwa. 

My mamy taką przykładową, przez nas stworzoną, nie jest to dokument taki pewnie jak z pod ręki Irka by wyszedł, ale natomiast to jest takie best practice, takie najważniejsze rzeczy zebrane z naszych doświadczeń, więc to powinno być i podejrzewam, że byśmy się tu z wieloma rzeczami zgodzili. 

Dla mnie byłoby super, jak to byłoby spisane i wiadomo, wtedy sprawa audytu, weryfikacji tego, co mamy, czy w tych systemach da się to zrobić, żeby to później nie było tak, bo ja widziałem już takie systemy, że usunięcie konta użytkownika naprawdę zajmowało trochę czasu. Mieliśmy zdublowane konta użytkowników, usunięcie zdublowanego konta naprawdę, było w zadaniu informatycznym, takie naprawdę, i kwestia z tego, żebyśmy mieli te rozwiązania właściwie. Jeżeli ich nie mamy, takie jakbyśmy oczekiwali, to kwestia wdrożenia. 

Jak wdrożenia, to jest kwestia jakiegoś procesu, w czasie, finansów i zaczyna się robić trochę to wyzwanie, dlatego mówię, że właśnie to jest taki proces i droga, żeby gdzieś do tego dotrzeć. Ale super byłoby mieć to spisane, do czego dążymy i punkt po punkcie, gdzieś sobie go tam czasem odhaczać, bo jak byśmy chcieli zrobić to naraz, to też jestem przedsiębiorcą to wiem, że to może skillować biznes, tak, to też nie o to chodzi. Ale fajnie, jakbyśmy mieli dokument i sobie konsekwentnie do niego dążymy, aktualizujemy te zmiany, też podejrzewam, że nie byłyby jakieś takie krytyczne i gwałtowne, ale byśmy sobie do tego dążyli. 

I to, co mówi Irek, ja też mówię o tej polityce bezpieczeństwa, to można wykorzystać przy okazji wielu, dostosowania do wielu norm, czy to kwestii RODO, NIS2 czy ISO, bo tam wiele tych punktów się powiela. Naprawdę bardzo wiele się powiela, także taka kwestia polityki czy dokumentacji, jakbyśmy ją mieli odpowiednio wcześniej, tak, że naprawdę wiele, wiele rzeczy nam jest łatwo później dostosować. 

Powiem Wam taki przykład, że mamy klienta, z którym jeden oddział otworzyliśmy i tam mam to poukładane, jest spoko, naprawdę rozwiązania, które mamy, jeżeli chodzi teraz o zupełnie zrobienie dokumentacji, to naprawdę niewiele trzeba zrobić. A są takie oddziały, które były gdzieś tam wcześniej, infrastruktura jest już jaka jest, no i tam jest naszej roboty naprawdę sporo. Na to kwestia, mówię zawsze, jest jakichś budżetów, terminów odpowiednich, no i zaczyna nam się to wszystko gdzieś tam rozwlekać w czasie, także planowanie tego, a mieć to spisane w ogóle, no to jest super. 

Jacek: Ja ze swojej strony mogę powiedzieć, że potem też jest fajnie w takim modelowym przykładzie, że w związku z tym, że my w Proassist mamy bardzo dużą personalizację uprawnień użytkownika, to można naprawdę mocno to dostosować to, co chcemy udostępnić, to, co mówił Irek i to, co mówi Paweł, do tego, co konkretnie ma być potem w systemie. 

Przykładowo, że ta osoba ma dostęp do danych osobowych, nie ma do danych medycznych, ta osoba ma dostęp do danych medycznych, ale nie do ich wypełniania, tylko do oglądnięcia i tak dalej, i tak dalej. Więc można te zapisy wdrożyć, zaimplementować placówkę przez Pawła, a potem ostatecznie przez system medyczny u nas. 

Tu pojawiają się pytania, zaraz je zadamy. Natomiast ja sobie zapisałem, słuchajcie, kazus prawny. Specjalnie Wam, o nim nie mówiłem wcześniej, bo mówię, Was zaskoczę. Słuchajcie, taka sytuacja, i to powiem Wam, że ona jest bardzo częsta i praktyczna, to znaczy mamy placówkę medyczną. Znaczy placówkę medyczną – mamy lokal pomieszczenia, w którym jest wielu lekarzy, na przykład 3, 4, 5, którzy po prostu przyjmują pacjentów w ramach swojej prywatnej praktyki, a mają zatrudnioną jedną Panią do rejestracji, która rejestruje tych pacjentów do nich wszystkich. 

I teraz jak myślicie, jak to powinno być zorganizowane od strony prawnej i od strony takiej systemowej, technicznej, żeby to, po pierwsze, jak najbardziej zapobiec wyciekowi danych, gdzie tak naprawdę wyciekiem danych, by było to, że jeden lekarz ma dostęp do pacjentów drugiego lekarza. 

Irek: Jak to zorganizować od strony prawnej, to też częste stwierdzenie prawników: to zależy. Bo jeżeli mamy sytuację, w której tych 3, 4, 5 lekarzy ma oddzielne praktyki swoje indywidualne, to oczywiście każdy z nich jest oddzielnym administratorem danych osobowych. I każdy z nich powinien mieć oddzielną politykę, oddzielne zasady przetwarzania danych. Nie powinno absolutnie być tak, do czego nawiązałeś, że pozostali lekarze, którzy są w tej, nazwijmy to umownie jakiejś wspólnocie gabinetowej, prawda, bo wynajmują razem jakieś pomieszczenia, żeby pozostali lekarze mieli dostęp do danych osobowych tych innych osób, które z nimi wynajmują taką nieruchomość. 

Są oddzielnymi administratorami, ale inaczej byłoby, gdyby to była jakaś spółka, gdzie w ramach jednej spółki ci wszyscy lekarze różnych specjalności, świadczą usługi medyczne, które potem sumują się w ramach przychodów, w ramach kosztów, przy działalności tej spółki. Wtedy spółka jest administratorem i oczywiście zupełnie inaczej podchodziliśmy do zasad ochrony danych osobowych, chociaż też moglibyśmy się zastanawiać i raczej byłaby tutaj odpowiedź negatywna, czy ci pozostali lekarze, każdy o swojej specjalności powinni mieć wgląd do danych osobowych swoich kolegów. 

Nie powinni mieć, bo nie jest im to do niczego potrzebne i byłoby to nadmiarowe przetwarzanie danych osobowych w takim przypadku. Więc oddzielne praktyki medyczne, każdy będzie oddzielnym administratorem. 

Wspólna spółka, jeden administrator, ale też musimy zwracać uwagę, czy przypadkiem osoby, o czym mówiliśmy, nie mają nadmiernych upoważnień do przetwarzania danych osobowych, które nie są im potrzebne przy wykonywaniu i standardowych zamów. 

Jacek: A w tym pierwszym przypadku, my możemy podpisać, znaczy ta Pani na tej rejestracji, może mieć sześć umów z tymi sześcioma praktykami, tak? 

Irek: Tak, oczywiście. I mamy jakiś cel przetwarzania, jesteśmy w stanie wykazać, że ta osoba, która zapewnia obsługę sekretarską, czy jako recepcjonistka danego lekarza, ma w jakimś celu przetwarzać te dane osobowe. 

Jest to usprawiedliwione, że umawia wizyty, odwołuje wizyty, prowadzi jakąś administrację czy podstawową księgowość. Natomiast nie powinno być tak, że pozostali lekarze, mają do danych osobowych pacjentów innych lekarzy dostęp. A pewnie w praktyce zdarzyłoby się, że i tak mają. 

Jacek: Tak. A Paweł i co, i Ty wtedy tworzyłbyś konta na komputerze, na systemie operacyjnym dla każdego lekarza z osobna, tak książkowo? 

Paweł: Tak, zawsze dążymy do tego, żeby każdy, kto się rejestruje w jakimś systemie, czy na komputerze, no, miał mailem, czy by miał każdy indywidualne swoje konto imienne, gdzie jesteśmy w stanie go zidentyfikować. 

No to, co opowiedziałeś właśnie a’propos systemu, że musi być tutaj podejście takie indywidualne właśnie, i no, bo są takie systemy, gdzie nawet nie da się tego podzielić, nie? I to, Irek nam da zalecenie  – super, a my mamy system, gdzie tego się nie da zrobić. Zaczyna się kombinowanie, szukanie po prostu rozwiązania, tak? Co się kończy na tym, że trzeba wdrożyć inne rozwiązanie. Dlatego tak, my najchętniej, jeżeli mamy taką informację, tylko to musi być ustalane, bo my też mieliśmy takie już zagwozdki, że na jednej rejestracji mamy kilka podmiotów, co z tym zrobić, ale to radca musi, tak? 

My jesteśmy od tego, żeby to wdrożyć, to w systemach informatycznych, jeżeli dają taką możliwość, czy infrastrukturze tej sieciowej, tej serwerowej, no to my to możemy sobie podzielić, bo dobieramy, mówię, o tyle takie fajne rozwiązanie, że jesteśmy w stanie to zrobić, ale to taka osoba jak Irek nam musi to powiedzieć, jak to ma być podzielone, kto do czego ma mieć dostęp, a do czego nie.

No, generalnie jest taka zasada, żeby ograniczać ten dostęp dla danej jednostki, dla danej osoby maksymalnie, jak się da, żeby jak najmniejszy wgląd miała to tych rzeczy, których nie używa i nie potrzebuje, no i zgodnie z przepisami. 

Jak zabezpieczyć gabinet medyczny przed wyciekiem, utratą i kradzieżą danych pacjentów

Jacek: Tak, no ja tu powiem wam od strony użytkowej, jaki jest problem. To znaczy od strony użytkowej jest taki problem, że ta Pani na rejestracji chciałaby mieć bardzo prosty i nazwijmy to jeden widok wszystkich pacjentów dzisiejszych, jutrzejszych i na pojutrze, bo pod ten numer telefonu będą dzwonić pacjenci jednego i drugiego i trzeciego lekarza, a ona by się nie chciała przelogowywać z systemu na system. A znowu lekarz musi mieć dostęp, tak jak Irek powiedział, tylko do swoich. Da się to zrobić pewnymi zarządzaniem tymi uprawnieniami użytkownika, akurat w systemie Proassist, natomiast mówię, że to jest taki ciekawy przykład, który chciałem powiedzieć. 

Natomiast tak, też jestem ciekaw jakby tej dalszej pracy. No bo powiedzieliśmy o tym modelowym przykładzie startu tej placówki. Właściciel przyszedł do Pawła, przyszedł do Irka, ten menadżer placówki wszystko poustalał, kupił Proassist i ma wszystko dobrze, ale ta placówka żyje, zatrudnia lekarzy, zwalnia rejestratorki, zatrudnia menedżerów, coś tam się cały czas dzieje, tak? 

No i jak to powinno być potem, albo jakie tam macie najlepsze praktyki w tym dalszym etapie życia tej placówki? Co się powinno dziać w przypadku takich właśnie zmian kadrowych? 

Irek: No, akurat tutaj łatwo przewidzieć odpowiedź, prawda? No, musimy cały czas nad tym czuwać i tutaj absolutnie już nie wrzucałbym konieczności bieżącego korzystania z obsługi prawnej, jeśli chodzi o moją branżę. Powinniśmy się tego jakoś nauczyć na początku, wiedzieć, rozumieć zasady ochrony danych osobowych, wiedzieć, kto jest administratorem, za co odpowiada, czym jest minimalizacja przetwarzania danych osobowych. O tym Paweł, może nawet nie wiedząc, że mówi o zasadzie minimalizacji ochrony danych osobowych, przetwarzania danych osobowych, słusznie powiedział, że oni przy tworzeniu systemów informatycznych dążą do minimalizacji przyznawania dostępu użytkownikom systemu, a to jest właśnie minimalizacja przetwarzania danych wynikająca z rozporządzenia RODO. 

Czyli udzielamy tylko te dostępy, te upoważnienia do przetwarzania danych, które są niezbędne do wykonywania naszych obowiązków służbowych albo innych czynności związanych z przetwarzaniem danych. Więc jeżeli placówka żyje, zmienia się, to niestety musimy cały czas nad tym czuwać, jeżeli chcemy postępować zgodnie z przepisami, zgodnie z RODO. 

Przychodzi nam nowy lekarz, a mówiliśmy, że jest to spółka. Przyznajemy mu upoważnienia do przetwarzania odpowiednich kategorii danych. Odchodzi, cofamy te upoważnienia w systemie informatycznym, jak się łatwo domyślić. Czyścimy konto takiego użytkownika, a na pewno może nie czyścimy, to pewnie Paweł już o tym może bardziej powiedzieć. Przynajmniej zabieramy te uprawnienia, te hasła dostępu takiej osobie albo zmieniamy je. To akurat bardzo często się zdarza, że nie robi się takich rzeczy i nawet biorąc pod uwagę doświadczenia związane z postępowaniami przed Prezesem Urzędu Ochrony Danych Osobowych, nieraz zdarzały się przypadki naruszenia ochrony danych właśnie w związku z tym, że ktoś przez długi czas po odejściu z danej firmy, z danego gabinetu jeszcze miał dostęp do danych osobowych, do których nie powinien mieć dostępu. No więc cały czas musimy nad tym czuwać. 

Nie tylko aktualizować dokumentację, związane z przetwarzaniem danych osobowych, a też się może coś zdarzyć, że dochodzą tak zwane nowe czynności przetwarzania. Już nie będę może wkładał jakichś nowych, skomplikowanych pojęć, ale musimy je uwzględnić w rejestrze czynności przetwarzania, ale przynajmniej pamiętajmy o tym, o tych upoważnieniach. Zwracajmy na to uwagę, nauczmy się czym jest przetwarzanie, co to są dane osobowe, kto powinien być upoważniony, komu mamy zabierać te upoważnienia. No i na bieżąco nad tym czuwajmy. 

Jacek: OK. A Paweł, co zrobić, żeby właśnie zapobiec wyciekowi danych pacjentów podczas życia tej placówki, czyli jakichś tam wiesz, przyjść, odejść ludzi, zmian lokalizacji, itd.?

Paweł: No kwestia, ja bym powiedział, że już trochę w HR’owe też rzeczy wchodzimy, czyli taki właściwie, no jak w firmach jest onboarding i offboarding, tak? No mamy jakiś taki plan przyjęcia, co robimy na tydzień, na dzień, ostatniego dnia i tak samo jest offboarding, tak? Co robimy właśnie gdzieś na końcu, jeden z tych gdzieś ogniw, tam jest kwestia dostępu do systemów. No ważne jest to, żebyśmy my mieli takie konta administracyjne, gdzie coś takiego możemy zrobić. No tak, wcześniej padło, że to musi być właściwa osoba, firma jednostka, która się o tym zajmuje. 

No i przede wszystkim trzeba unikać, żeby nie mieć, bo to różnie też widziałem, że na przykład korzystamy z maili nie w domenie placówki, z kont jakichś użytkowników prywatnych, telefonu czyjegoś prywatnego, bo nie mamy nad tym kontroli. Po prostu pracownik odchodzi, tam jest jego numer, tam jest jego mail. My nic nie zrobimy, nic. To wszystko musi być, właśnie już na początku musi korzystać z maila takiego firmowego, jeżeli korzysta z telefonu też firmowego, żeby nie prywatnego, no bo ja już z czymś tak nie spotkałem, że ktoś gdzieś ze swoich urządzeń, swoich dostępów korzystał, tutaj mówię głównie ten e-maiil, telefon. 

Później z tym – nie mamy praw do tego żadnych, bo jeżeli to nie jest kupione przez spółkę, przez firmę, no to nic z tym nie zrobimy. No i tutaj faktycznie tak jak mówię, no jeżeli mamy to, no i właściwa komunikacja, bym powiedział, bo dla nas to jest żaden problem, jeżeli mamy, mówię, ten system odpowiednio przygotowany, wchodzimy do Proassist, tu klik: tak, off, jakiś system do, nie wiem, dostępu do komputera, i tak dalej, użytkownika, no to klikamy i tak dalej.

No bo też to, co Irek powiedziałaś, właśnie, że nie chcemy od razu wszystkiego usuwać, tak, no bo tam się wytworzył jakiś materiał, na przykład, z pocztą, no to nie chcemy, żeby to znikło, tak, tylko na przykład zatrudnimy, nie wiem, nowego pracowniku albo ta korespondencja, która przychodzi, no to jest osoba, która zastępuje albo chcemy, na menadżera gdzieś przekierować, żeby ta korespondencja gdzieś tam wracała, żeby nam to nie uciekało, nie znikało. Tylko to, no to ja mówię, wracam do tego, żebyśmy odpowiednie mieli do tego narzędzia, bo jak narzędzia mamy wybrane różne, no i które nie dają takich uprawnień, to później nic z tym nie zrobimy. 

Jacek: A Paweł, a wy w ramach swoich usług, robicie taką czeklistę klientowi, że słuchaj, drogi kliencie, jak przychodzi nowa osoba i jest to tam nie wiem, lekarz, to mu robisz to, to, to lub mówisz nam, żebyśmy my to zrobili, tak? 

Paweł: Znaczy tak, my często dążymy do czegoś takiego. Takiej standaryzacji stanowiska, stanowiska w rozumieniu takiego fizycznego, komputerowego, tak, że stanowisko to jest komputer, klawiatura, myszka, a podłączenie do internetu, nie wiem, kabel, czy wifi i na przykład, że ma być system taki, drukarka podłączone i tak dalej, nie? 

I mamy wytyczone, że jak nie wiem, otwieramy nową lokalizację, otwieramy nowy gabinet, że standardem jest to i to jest dla nas super, tak? I dla mnie w ogóle, z punktu widzenia zarządzającego firmą, to jest super, no bo nie muszę za każdym razem pytać, dopytywać, a co tam ma być, a jak ma być, tylko wiesz, mamy checkklistę i do tego dążymy. 

Mamy jakiś tam standard, no wiadomo, że to się gdzieś tam różni, no ale no to kwestia, że system medyczny inaczej nazywa, albo nie wiem, drukarka jest innej firmy, tyle, tak? 

I do tego dążymy, ale też do tego, żeby mieć taki standard dla użytkownika, no bo też jest tak, że przychodzi nowy użytkownik, tak? I do czego on ma mieć dostęp? Do jakiego systemu, na jakich prawach, co może mieć, co może robić, usuwać, nie wiem, dodawać, skanować, tylko to musimy mieć te wytyczne, no i cały czas się kręcimy wokół tej dokumentacji, którą dziś dobrze jest mieć wcześniej przemyślaną, bo jak to robimy ad hocowo, to na zasadzie pytamy managera, no dobra, to, to, a jeszcze to, a za tydzień nam się przypomina tamto, a tak samo później będzie na offboardingu, tak – a jeszcze przecież miał dostęp do systemu, do tego i tam, do jednego i drugiego systemu, do poczty, a jeszcze do czegoś miał, dlatego trzeba to standaryzować.

I wtedy jak mamy jasną taką komunikację i żeby to docierało też do nas na czas, no bo to też wynikło, że tam dowiadujemy się, że ktoś przyszedł, a już tydzień temu jest, tak, i nie miał jak pracować, to pracuje na mailu czyimś, bo takie też widziałem rzeczy, no to, żebyśmy to pewnie wiedzieli. Tak samo przy tym wyjściu, tak, kogoś, kogoś systemu, tym offboardingu, no to jak mamy checklisty, no to odhaczamy, wyłączamy, zmieniamy uprawnienia, czy wyłączamy i ja bym tu zastrzegł jeszcze jedną ważną rzecz, dostępy zdalne. Z takim wykrzyknikiem powiedział, bo o ile mamy coś w placówce, tak? To żeby ktoś miał do systemu, no to fizycznie musi przyjść, podejść do komputera. To jest już taka fizyczna trochę ochronna, no bo jeżeli pojawi się lekarz, który nie powinien na recepcji coś go zobaczymy, już fizycznie mamy taką barierę pewną, nie? 

A jeżeli ktoś miał dostęp zdalny, bo to był pracownik, może nie lekarz, ale ktoś gdzieś administracyjny, nie wiem, marketingu ktoś, bo mamy rozbudowane to, no to tutaj szczególnie trzeba uważać, ale jeżeli mamy to skonfigurowane takim VPN-ami, gdzie sobie to zarządzamy, no to jednym kliknięciem, po prostu go tam odcinamy od systemu, no ale tu jest szczególnie, szczególnie to ważne, no bo tu nie mamy tej fizyczności, tak, nie widzimy kogoś, nie wiem w którym momencie, a tutaj no fizycznie musi podejść, do któregoś komputera, gdzie się musi zalogować i tak dalej. Dlatego to szczególne uwaga na te, na te VPN-y.

Jacek: Ja za swojej strony powiem znowu dwie praktyki, to są dwie skrajne praktyki. Jedna praktyka jest taka, że klient robi jedno konto tam dla rejestratorki czy dla administratora i wszyscy się na to konto logują, nie wiem, po czym gdzieś tam, bo my to też staramy się gdzieś tam analizować, że no patrzymy, duża placówka ma jedno konto. Mówimy może tu trzeba więcej kont, właściciel dowiaduje się, że my nie pobieramy opłaty za konta rejestratorki czy administratora, niezależnie od ilości, tylko pobieramy za lekarza czy specjalistów, fizjoterapeutów, czyli za tym, na czym placówka zarabia po prostu, no i wtedy się zaczynają mnożyć te konta, mnożyć, mnożyć, mnożyć, mnożyć i wtedy znowu dochodziło do sytuacji, że tych kont jest bardzo dużo, bo ci ludzie przychodzą, odchodzą, te konta zostają. No ja nie wiem czy tam zmieniają te hasła czy nie, być może tak, być może nie, natomiast znowu mamy drugą praktykę, gdzie konto dostępowe zostaje, być może ze zmienionym hasłem, ale w zasadzie również po co to konto ma zostać, w tym przypadku? 

Także mamy dwie takie praktyki z jednej i drugiej strony, jakieś takie mniej odpowiedzialne, ale w ramach tego już jakby co klienci, bo tak trochę przeszedłem płynnie do klientów, to Wy ze swojej strony może jesteście w stanie powiedzieć, o co klienci jakby boją się najbardziej w tym wycieku danych? 

Zdaję sobie sprawę, że przychodzą do Was w tym celu, żeby do tego wycieku nie doszło, albo jakby doszło to żebym był zabezpieczony. I co, Irek, do Ciebie przychodzą klienci mówiąc…? 

Irek: Boją się kar od Prezesa Urzędu Ochrony Danych. Często jest trochę wyolbrzymiane, chyba nawet to jest ta zaleta rozporządzenia RODO, gdzie te kary maksymalne bardzo działają na wyobraźnię, no bo tam mamy 4% rocznego światowego, jak to się tam ładnie nazywa przychodu, czyli łącznego przychodu, jakie osiągamy, albo maksymalnie 20 milionów euro. I bierze się wtedy pod uwagę ewentualną, maksymalną wyższą karę. To, co byłoby wyższe, to się powinno nakładać. W rzeczywistości te kary przejmują przez polski organ nadzorczy nakładane nie są aż tak wysokie, tutaj bym uspokoił. 

No i tego się obawiają, a jak temu zapobiegać z mojej strony? No to musimy przyjrzeć się najpierw klientowi, zobaczyć w branży medycznej akurat jest to standardowe. Znaczy w każdej branży jest to standardowe, wiemy z czym mamy do czynienia, jakiego rodzaju dane osobowe są przetwarzane i pod to przygotowujemy odpowiednie dokumenty. 

Ale dokumenty, jak to dokumenty. Pewnie Państwo, którzy nas dzisiaj oglądają, Wy panowie też, Jacek i Paweł, mieliście z tym do czynienia, że ten wielki boom na RODO był w 2018 roku i tam jeszcze w kolejnych miesiącach, po maju 2018 roku, gdzie wszyscy przygotowali jakieś tam dokumenty, które im prawnicy wówczas przygotowali, czy specjaliści od RODO, no nagle wtedy wszyscy stali się specjalistami od RODO. 

I te dokumenty, czy lepsze czy gorsze, ale leżą sobie od tamtego czasu, nie są przeglądane, nie są aktualizowane, a przede wszystkim w bardzo wielu przypadkach, nie tylko w branży medycznej, ale we wszystkich innych branżach, nigdy nie zostały w praktyce wdrożone i stosowane, a przede wszystkim może nawet zrozumiane przez pracowników.

Więc co trzeba zrobić? Czego obawiają się klienci, jeżeli chcą uniknąć tych kar? Trzeba przede wszystkim prześwietlić potrzeby danego klienta, wdrożyć mu stosowne dokumenty. Oczywiście, bo klienci też chcą mieć coś namacalnego, jak przyszedł prawnik, wziął pieniądze za swoją usługę, to niech zostawi jakieś dokumenty. Przygotowuje się te dokumenty, ale o tym moglibyśmy długo rozmawiać. Nie chcę nikogo zanudzać, ale na przykład w rozporządzeniu RODO są w zasadzie dwa wynikające z rozporządzenia dokumenty obowiązkowe do przygotowania. 

A potem, jak przychodzi specjalista od RODO i przygotowuje te dokumenty, to jednak się okazuje, że jest ich kilkanaście. A to wcale nie wynika z rozporządzenia RODO, ale wynika z tego, że dobrze by było mieć te dokumenty, żeby pracownicy i współpracownicy mieli się do czego odnieść, zapoznając się z zasadami ochrony danych, które obowiązują w danym podmiocie, ale co jest najważniejsze, zrozumieć, jakie są zasady ochrony danych. Trzeba przeszkolić tych ludzi, którzy u nas przetwarzają dane osobowe, upewnić się, czy rozumieją to, do czego są zobowiązani, przygotować te dokumenty zrozumiałym językiem, a bardzo często dokumenty dotyczące ochrn danych osobowych są niezrozumiałym językiem przygotowane. 

I dopiero wtedy możemy powiedzieć, że mamy właściwie wdrożone RODO i jeżeli zdarzy nam się jakieś nieszczęście, czyli nastąpi ten wyciek, albo zdarzy się jakiś inny przypadek, no bo wyciek może być zarówno czy z czynników zewnętrznych, czyli jakiś atak hakerski, prawda, jakichś czynników wewnętrznych, czy jakiegoś błędu i to jest najczęstsze, błędu pracowniczego, błędu osób, które przetwarzają dane osobowe. Jeżeli wykażemy w trakcie kontroli czy danego incydentu, gdy będzie to już prześwietlane przez UODO, że mamy całą dokumentację, szkoliliśmy pracowników, stosowaliśmy to zasady w praktyce, ale zdarzyło się nieszczęście, może się skończy tylko na upomnieniu, może skończy się tylko na zaleceniach i w wielu przypadkach tak jest. 

Natomiast jeżeli okaże się, że były dokumenty dotyczące RODO, ale nikt ich w praktyce nie stosował i to w zasadzie były martwe dokumenty, życie sobie, a dokumenty sobie, będą kary, więc ja zawsze, jeżeli ktoś chce w praktyce dostosować, kładę nacisk na praktykę, na to, czy ludzie to zrozumieli, czy przeszkoliliśmy każdego nowego pracownika, czy on rozumie swoje obowiązki, czy mamy praktykę działania firmy dostosowaną do tego.

Jacek: Ok, a Paweł u Ciebie, czego klienci najbardziej się obawiają w sprawie tego wycieku danych osobowych, że co, że ktoś przyjdzie i weźmie komputer i co wtedy? 

Paweł: Znaczy ja się też śmieję trochę do siebie, bo o karach też słyszałem i one gdzieś tam działają faktycznie na wyobraźnię, ale to dobrze, bo może to pobudza nas także do działania. Najwięcej obaw to widzę wynoszenia tych danych, bo się boimy, że ktoś wyśle mailem, pendrive wyniesie i coś z tym zrobi, zabierze.

Ja widziałem takie, bym powiedział ekstremalne, to przypadki, że jest robiona w placówce taka strefa biała, która nie ma absolutnie dostępu do Internetu, jest tylko kwestia dostępu jakiegoś tam wewnętrznego do systemu i tyle, żeby się zabezpieczyć przed zaszyfrowaniem i tak dalej, to, że ktoś coś przypadkowo kliknie i ściągnie zaszyfruje nam wszystko. To też widziałem takie przypadki, ale to też gdzieś trzeba, mówię, siły na zamiary gdzieś mierzyć i myślę, że tym, czego się tam wszyscy boją, to są te dane pacjentów, gdzie najczęściej to, co Irek powiedział, to my jesteśmy tym najsłabszym ogniwem, czyli ludzie, że możemy coś wysłać, skopiować, przesłać. 

No tutaj mówię… Możemy sobie to też tak naprawdę zabezpieczyć, naprawdę na wiele sposobów, czy, bo właśnie tak ja mówię o tym pendrive, czy możemy przetwarzać te dane na serwerze i w odpowiedni sposób to mieć tam gdzieś dostępny, ale prawda jest taka, że ktoś tak naprawdę mając swój prywatny telefon gdzieś w kieszeni, z aparatem, może zrobić zdjęcie po prostu systemu danych i w takim, bym powiedział, trochę pół analogowy sposób po prostu wyciągnąć te dane i jak byśmy tego nie robili, nie wiem, my wyobrażamy sobie, dobra, może monitoring, może analizy o zachowanie, może, no ale to dochodzimy gdzieś do jakiegoś trochę absolutu. 

Jacek: Za daleko już wtedy. 

Paweł: No, to też kwestia jest taka, że no to się już robi jakiś absolut, te koszty zaczynają rozsądzać już tak nieliniowo i to się robi gdzieś problematyczne, tak że myślę, że to jest kwestia tych danych zabezpieczenia. Ważne, żeby nie stracić tych danych, tak, że w razie, czy gdyby coś to mamy jakieś zdjęcia, na których nam zależy. Pacjent z jakiegoś leczenia, tak, czy jakieś badania, które są dość istotne, ważne, które zajmowały dużo czasu, kosztowały sporo tak, żeby je zrobić, wykonać przez lata, żeby zobaczyć, jaki sposób, jakie są zmiany. No i wtedy jest kwestia zabezpieczenia tych danych. 

No to tu możemy zacząć mówić o backupach, o sprawdzaniu tych backupów, o polityce, czy weryfikacji, jak szybko możemy to przywrócić w jakimś środowisku, tu mogę takim pojęciem gdzieś, czy posłużyć disaster recovery, czyli jak takiego środowiska, jak szybko jesteśmy w stanie to przywrócić do działania, bo to jest tak, że mamy serwer, mamy jakiś system, mamy jakieś tam dane. Padło, nie ma i mamy tylko backup i w postaci tam plików i danych, tak, no i chcemy to otworzyć, no ale serwer trzeba kupić, przywieźć, nie wiem, przyjdzie on za parę dni, za parę tygodni może, bo nie ma dostępności, a my musimy w międzyczasie pracować, tak, i tutaj na przykład NIS2 o tym wspomina, że jak szybko jesteśmy w stanie wrócić do działania i to jest też istotne, tak, że te dane zabezpieczanie, ale wracanie też po jakiejś awarii, czy po jakiejś utracie do tego działania. 

Jacek: A słuchaj Paweł, a tutaj też są takie pytania, ja tak trochę w ramach tych pytań też, a Ty jesteś w stanie zabezpieczyć placówkę przed takim hardware’owym, że wsadzam swojego pendrive’a i wyjmuję rzeczy z komputera? 

Paweł: Tak, są takie fajne nawet pendrive’y, można tak zaszyfrować, że przykładowo masz pendrive’a, na którego możesz na przykład wrzucić dane, z kodowanego na przykład komputera, ale jak chcesz odtworzyć, to możesz tylko do komputera, z którym powiedzmy, że on jest powiązany i tam jest taki klucz szyfrujący na przykład, nie? 

Jacek: Tak, nawet mówię o drugiej sytuacji, że ja jako pracownik placówki wsadzam swojego pendrive’a do komputera i ściągam dane, które właściwie nie chciałbym żebyś ściągnął, jest jakaś możliwość blokady tych portów?

Paweł: Pewnie, jest dużo nawet sposobów, tak że ja specjalnie nie mówię nazwami, ale jest takich rozwiązań antywirusowych, czyli tego środowiska operacyjnego. Na kilka sposobów można to zrobić, zabezpieczyć, żeby nie dało się tego zrobić. 

No albo tak jak mówię, że mamy takie pendrive’y, ja generalnie jestem przeciwnik tego unikania, tak, że jakiś tam pendrive’ów, żeby one chodziły gdzieś goniły, no bo nawet jak sobie zabezpieczymy w ten sposób, że można tam wgrywać dane, a mogę wyciągać tylko i odczytywać na danej stacji roboczej, na danym komputerze, nie mogę sobie ich w domu odtworzyć, i nie złamię tego po prostu, to jest z jednej strony okej, natomiast jak ja tam mogę coś zgrać, to równie dobrze ja tam w domu mogę coś zgrać i z wirusem przyjść, tak, że generalnie unikamy tego, tak. Ja jestem zwolennikiem środowisk serwerowych zarządzanych. 

Poza tym, jeżeli coś nosimy na pendrive’ie, zakładam, że te dane mogą być dla nas ważne, tak, że nie wiem, z jakiegoś aparatu, zgrywam jakieś zdjęcia, coś przychodzimy z komputera do komputera, jest to jakieś istotne ważne zdjęcie, no i ono tam zostaje, ktoś sobie zapomni, je zgrać czy coś, albo zostaje na komputerze, nie wiem, w komputerze pada dysk, nie ma. Tak, a zdjęcia tam ileś kosztowało, nie wiem, trzeba je powtarzać, pacjenta wzywać i jeszcze raz mu to robić, a jak jest w procesie jakiegoś leczenia, no to czy, no to nie odtworzymy tego stanu, który tam był kiedyś w jakiejś etapie leczenia. 

Ja jestem zwolennikiem tego, żeby te kluczowe, krytyczne dane były na serwerze, w środowisku serwerowym, czy to mówimy o takich serwerach plikowych, typu NASA, czy takich serwerach z prawdziwego zdarzenia. No mamy to wtedy, backupujemy, zabezpieczamy, nawet jak ktoś coś usunie, coś zrobi, no to jeżeli mamy odpowiednią procedurę i środowisko, to do odtwarzania backupu zrobione. 

No mieliśmy takie przypadki, no prosty case Wam powiem, skany, tak. Skany, no gdzieś tam dostęp do tych folderów, my to na przykład staramy się też dzielić, tak, że są różne foldery skanów, że nie wiem, zarząd ma swoje, marketing ma swoje, lekarz ma swoje, no żeby nie było, że zarząd sobie coś tam zeskanuje, a ktoś tam inny na przykład widzi, nie? 

Jacek:No to wiecie, z tymi backupami jest w ogóle śmiesznie, bo to jest tak, że im lepsze i im więcej rozwiązań backupowych, czyli inaczej mówiąc rozwiązań, na utratę danych, tym coraz większa możliwość wycieku tych danych. Bo jest więcej miejsc, z których można je ukraść. 

Czy w pracownicy w placówce medycznej mogą korzystać z pendrive na komputerze służbowym? 

Irek: Do tych spend drive’ów ja chciałbym nawiązać. 

Jacek: No właśnie, ja chciałem się… Ja chciałem Irek się Ciebie zapytać, bo tu są dwie rzeczy. Pierwsze, czy trochę Pawła przepytaliśmy w sprawie tych pendrive’ów, a teraz taka sprawa dokumentacyjna. To znaczy, po pierwsze, czy możemy korzystać z prywatnych nośników typu pendrive, nasi pracownicy mogą korzystać, a po drugie, w drugą stronę, czy my możemy jakoś po prostu zabronić pracownikom korzystania z takich urządzeń?

Irek: To jest akurat fajny temat, bo dużo przypadków, które trafiały do prezesa Urzędu Ochrony Danych, właśnie dotyczy takiego wynoszenia danych na pendrive’ach i zaginięcia po tym tych pendrivve’ów. Mamy jakieś dane osobowe na pendrive’ach, pendrive zaginął no i mamy naruszenie ochrony danych, prawda? 

I powinniśmy to zgłosić prezesowi UODO, bo mieliśmy, czyjeś dane osobowe zaginęły nam, ktoś jest ich dysponentem, mamy naruszenie, zgłaszamy, jesteśmy zobowiązani w ciągu 72 godzin zgłosić to prezesowi UODO i wtedy prezes się nami zajmuje i zaczyna prześwietlać, jaka tam u nas polityka była właśnie wynoszenia tych danych na pendrive’ach. 

No i w ten sposób można sobie niezłych kłopotów narobić, nie samym tym, że pozwolono wynosić dane na pendrive’ach, bo zadałeś pytanie, czy można pozwolić pracownikom wynosić na prywatnych pendrive’ach. 

Oczywiście, że można. Czy można zabronić? Oczywiście, że można zabronić. Przede wszystkim powinniśmy to zrobić, a gdyby dochodziło do jakiegoś incydentu, no to prezes UODO będzie właśnie sprawdzał: Czy mieliśmy jakiekolwiek ustanowione zasady korzystania z pendrive’ów w celu przenoszenia danych osobowych na takich nośnikach danych? Jeżeli nie mieliśmy, to już mamy problem. Zawsze jakimś dodatkowym bonusem jest to, jeżeli te dane były zaszyfrowane na pendrive’ach, no bo wtedy mamy tak zwaną niską, niskie prawdopodobieństwo naruszenia praw osób, których dane dotyczą. 

No i możemy się jakoś obronić, że to prawda zaginął nam pendrive, ale były dane zaszyfrowane. Tutaj no, gdybyśmy mieli więcej czasu, to można było naprawdę kilka takich kazusów omówić z życia, gdzie wyciekły te dane na pendrive’ach. 

Moje ulubione są dwa, kuratorowi sądowemu, to akurat nie branża medyczna. Bodajże to było w Pabianicach, albo gdzieś w okolicach Łodzi. Kuratorowi sądowemu zaginął pendrive’ z setkami danych swoich, jego podopiecznych, czyli osób, nad którymi on kuratele sprawuje, więc dosyć wrażliwe dane, prawda? Właśnie jakieś sprawy rodzinne, sprawy karne, miały miejsce i zaginął. Wyszło, że potem w sądzie nie było żadnej, przepraszam, w tym wypadku akurat była polityka szyfrowania tych danych, a w tym wypadku oczywiście danych nie zaszyfrowano. No i prezes UODO nałożył karę, ale w związku z tym, że tutaj mamy ograniczenie, ta kara była stosunkowa, bo jednostki sektora finansów publicznych na nie można maksymalnie 100 tysięcy złotych kary nałożyć. No i tutaj ta kara nie była zbyt wysoka.

Inny mój ulubiony przypadek i często w różnych szkoleniach zakresu ochrony danych go omawiam, to z tego roku, z kwietnia, też nie branża medyczna, ale pendrive, proszę Państwa, w branży gastronomicznej zaginął z danymi osobowymi jednego pracownika. I on zaginął na terenie restauracji, która była prowadzona przez ten podmiot, ale nigdy się nie odnalazł. Ktoś był dosyć mocno nadgorliwy i zgłosił to naruszenie. Pewnie był IODO, który kazał zgłosić. Prezes Urzędu Ochrony Danych pochylił się nad tym przypadkiem. Okazało się, że nie było żadnej polityki wynoszenia danych na pendrive’ach. Nikt nie miał nad tym kontroli. Można było to robić na prywatnych pendrive’ach. 

No i spółka z Kolbuszowej, bodajże, na Podkarpciu, dostała 250 tysięcy złotych kary. Zatem jeden przypadek, gdzie były dane osobowe jednego pracownika, jakiś numer PESEL, jego dane zamieszkania, chyba numer dowodu, lub paszportu, jeśli pamiętam w tym momencie, no i ja byłem tak początkowo przerażony, że jak to tak duża kara, no ale okazało się, że ta spółka to był duży operator McDonald’ów na podkarpaciu i w małopolsce, która miała naprawdę duże przychody. No i ta kara 250 tysięcy złotych w stosunku do przychodów, a tak powinniśmy oceniać tę karę, tak powinna być kara nakładana w stosunku do przychodów, wcale nie była taka duża. 

No ale to jest właśnie odpowiedź na pendrive’y. Więc możemy zabronić, to może być wpisane w regulaminie pracy, to może być wpisane w umowie o pracę, w części w regulaminie pracy, a przede wszystkim, jeśli mówimy o danych osobowych, w jakiejś polityce ochrony danych, która u nas obowiązuje, wyraźnie wskazujemy czego wolno, czego nie wolno, czy Paweł w instrukcji zarządzania systemem informatycznym, można i było coś takiego wrzucić. Dlaczego nie? Czy w polityce bezpieczeństwa informatycznego.

Jacek: Ok, a słuchajcie, pewnie mieliście już takie sytuacje w swojej karierze. Ja przynajmniej miałem, to znaczy no, dzwoni do Was klient, że doszło u niego do wycieku, tak? Tak jak mówił Irek, no nie, pendrive znalazł i tak dalej. No ja miałem sytuacje takie, że klienci tam do nas dzwonili, że po prostu inny użytkownik, systemu, któremu oni nadali dostęp, no gdzieś w jakiś sposób, nie wiem, dzwoni do tych pacjentów, że ma własną placówkę medyczną, czy swój własny gabinet i tak dalej, czyli że dochodzi do wycieku, tak? No i teraz, co Wy mówicie klientowi? Co Ty masz robić w takiej sytuacji? 

Irek: No to tu niestety chyba głównie do mnie by to trafiło w pierwszym rzędzie. 

Paweł: Tak, ja bym odesłał. 

Irek: Tak, tak, pewnie myślę, tak by się to skończyło. No mamy bezwzględnie wtedy do czynienia z naruszeniem ochrony danych, czyli osoba nieuprawniona zyskała dostęp albo dysponuje tymi danymi nie w tym celu, w którym zostały one zgromadzone, czyli to też jest naruszenie ochrony danych. 

To akurat w miarę częste przypadki tego właśnie dzwonienia do potencjalnych klientów, czyli pacjentów, może w branży medycznej aż tak strasznie się to często nie zdarzało, ale na przykład gabinety kosmetyczne, prawda? 

To jest akurat branża medyczna, ale stomatologia, bo tu akurat mamy dużo konkurencji na rynku. To się zdarza i z tymi takimi przypadkami miałem do czynienia, co powinniśmy zrobić. Mówiłem już kilka chwil temu, jest szybki termin, 72 godziny na zgłoszenie takiego incydentu prezesowi Urzędu Ochrony Danych, ale możemy tego uniknąć, jeżeli ocenimy, że mamy niskie prawdopodobieństwa naruszenia praw osób, których dane dotyczą, czyli tych osób, których dane osobowe zostały naruszone, w niektórych przypadkach rzeczywiście moglibyśmy się obronić.

Szczególnie jeżeli te dane byłyby zaszyfrowane przy zaginięciu pendrive, ale jeżeli mówimy już o wykorzystaniu danych w celu pozyskiwania klientów, no to nie, no tutaj już mamy dane osobowe, którymi ktoś dysponuje, doszło do naruszenia praw tych osób, powinniśmy to zgłosić do prezesa Urzędu Ochrony Danych, no i on będzie wtedy nas prześwietlał, bo przecież rzeczywiście wszelkie zasady Ochrony Danych były u nas właściwie wdrożone. Innym, inną kwestią jest ewentualne postępowanie karne wobec tej osoby, która wykradła te dane i w ten sposób się nim posługuje, bo tutaj można było pomyśleć ewentualnie o już odpowiedzialności karnej, jest to możliwe. 

A z mojego punktu widzenia ja zalecam, niestety, musicie zgłosić, czekajcie co zrobi prezes Urzędu Ochrony Danych, i jeżeli nie macie wdrożonego właściwie RODO u siebie, to czym prędzej to róbcie, bo pewnie jakaś kara finansowa Was spotka.

Jacek: Paweł, a Ty jesteś w stanie wtedy pomóc klientowi na takiej zasadzie, żeby powiedzieć: dobra, to, mogę Panu sprawdzić, on się logował od 18 do 19, tam dokonał takiego, nie wiem, eksportu, na właśnie na jakiś pendrive, coś.

Paweł: Tak, no kwestia jest systemu znowu. Jak mamy odpowiedni system do monitorowania, zarządzania, to tak, jesteśmy w stanie wyciągnąć logii, informacje, co zostało zrobione, co zostało wyciągnięte. Tylko tutaj mamy, no tu dużo, dużo, dużo bardziej trudna jest ta prewencja i przygotowanie. No bo ja miałem taki case, że jakieś dane gdzieś były zapisane, one nie były zapisane w środowisku serwerowym, tylko gdzieś na zewnątrz i to choćbym jak się starał i tłumaczył i przygotował infrastrukturę, jeżeli ona jest używana tak, a nie zabronie wszystkim korzystać. 

No bo, no wiem, słyszałem takie przypadki, że zabraniamy w ogóle, nie ma dostępu do Internetu. Jak ktoś buduje jakąś bazę danych, w ogóle nie w środowisku swoim, tak? Tylko ktoś, nie wiem, na jakiś tam arkuszach swoich tam gdzieś, prywatnie założonych na jakimś mailu. No to, sorry, to co możemy zrobić? No, nic, nie. 

A jeżeli jeszcze inni pracownicy tam też na tym pracowali, dokładali, bo nikt na to nie zrobił uwagi, no to już w ogóle, nie? No to wtedy nic z tym nie zrobimy, dlatego tak ważne jest to, żeby to wszystko, co mamy, kupujemy, to było normalnie na podmiot nasz, kupowane, żebyśmy mieli do tego prawa, do zarządzania, administrowania tym, bo jak tego nie mamy, no to później  nic z tym nie zrobimy, tak? No ale tak jak już dojdzie do czegoś takiego, no to kwestie zgłoszeń, to co Irek powiedział, tak? No to już trzeba zgłaszać, ja też jestem zwolennikiem tego, no bo to też jest tak, że nie zgłaszajmy, bo może się uda, nie?

Irek: I to, o czym pamiętajmy, jeżeli już naprawdę mamy taką działalność, gdzie boimy się tych incydentów, tego, że ktoś nam może wykraść, czy nasz pracownik, czy jakiś czynnik zewnętrzny, no to zacznijmy od tego, że wdrażamy to RODO, zwróćmy się do kogoś, kto się na tym zna, trudno, trzeba będzie ponieść jakieś koszty, ale być może będą jednorazowe albo niewielkie w przyszłości, przygotujmy tą dokumentację przeszkolimy ludzi, upewnijmy się, że rozumieją, co im wolno, a czego im nie wolno. No i potem w razie ewentualnego incydentu negatywnego dla nas, no przynajmniej tą całą podkładkę, te wymagania, do których byliśmy zobowiązani, będziemy w stanie wykazać, że to zrobiliśmy. 

Błędy ludzkie, tego nie jesteśmy w stanie wyeliminować, ale jeżeli byśmy patrzyli na przepisy RODO, to tam jest zawsze, w tych przepisach jest szeroko omówiony, że kara pieniężna, jeżeli jest przez prezesa UODO nakładana, powinna być rozpatrywana indywidualnie, według właśnie indywidualnego przypadku, stopnia zawinienia, umyślności, nieumyślności, zachowania podmiotu już po tym incydencie, czyli co zrobiono, żeby zapobiec incydentom w przyszłości, co zrobiono, żeby powiadomić te osoby, których dane zostały naruszone, co zrobiono, żeby zgłosić ten incydent, który zostawił Urzędu Ochrony Danych, czy współpracowano z Urzędem Ochrony Danych. To wszystko się liczy, jeśli chodzi o późniejszy wymiar kary nakładany przez prezesa.

Jacek: No ja nawet pamiętam kiedyś w taką sytuację, że tam właśnie klientka poprosiła o takie logi systemu, żeby jej pokazać, że oni najpierw zmienili to hasło jakiegoś dnia, potem usunęli to konto, w momencie w którym się skończyła ta umowa z tym pracownikiem, ale ten pracownik po prostu tak jak Paweł mówi, przepisywał sobie tych klientów gdzieś na jakąś kartkę. 

Irek: No tak, no i temu nie zapobiegniemy nigdy. Tak, tak, ale… Było to wtedy, że przeszkoliliśmy, mamy dokumenty, no ale ktoś się zachował tak, jak się zachował. 

Jacek: No ja rozumiem, że oni te logi potrzebowali w ramach właśnie jakiejś takiej obrony przed tym, że proszę zobaczyć zgodnie z tym, on skończył z nami umowę, pracę u nas i w tym momencie od razu mu wyłączyliśmy dostępy, czyli zrobiliśmy tak, jak powinno być.

Irek: Niektórych rzeczy nie da się zapobiec. Na pewno słyszeliście o Medily i wycieku danych u nich, jak przetrzymywali dane osobowe powierzone im przez klientów, kilka lat po zakończeniu obowiązywania umowy, prawda? I potem sobie do jakiegoś środowiska testowego, testowania nowego oprogramowania, wrzucali dane osobowe powierzone im przez klientów kilka lat temu, które powinni usunąć. No i nastąpił jakiś atak hakerski i wykradziono im te dane. 

Jacek: Oni tam nawet mieli dane klientów, z którymi już nie współpracowali. 

Irek: Właśnie o tym mówię, zakończyła się umowa, powinni usunąć te dane, pewnie takie były wymogii w umowie. Zresztą nawet bez tych wymogów RODO wskazuje, że jeżeli nie są dane osobowe do czegoś potrzebne, no to powinniśmy je usunąć, przestać je przetwarzać. 

Oni się do tego nie zastosowali i to jest jeszcze ciekawe, bo na razie jeszcze żadnych kar nie mamy, tylko że UODO powoli czasem wyjaśnia niektóre incydenty i tu nawet po kilku latach dopiero nakłada kary. 

Tutaj jestem ciekawy, jak to będzie wyglądało, bo wina jest oczywista. 

Jacek: Tutaj tak, natomiast z drugiej strony to jest ciekawe, bo tu pacjent mimo wszystko, jeśli ma kogoś obwiniać, to rozumiem placówkę, bo co go interesuje, z jakiego systemu ta placówka korzysta? 

Irek: Zawsze odpowiedzialny będzie administrator. Tutaj też było pytanie na naszym czacie na samym początku o tych słabych i silnych oddziałach, że w jakiejś części firmy, może właśnie w jakiejś placówce mamy dobrą ochronę danych, w drugiej gorzej to funkcjonuje, ale zawsze będzie odpowiedzialny administrator za to i on będzie musiał wykazać potem w razie jakiegoś postępowania wyjaśniającego, że wszystko było w porządku albo że przynajmniej zrobiono, co można. Ale nigdy nie będzie odpowiedzialny jakiś inny podmiot, chociaż może być też podmiot przetwarzający, ale w tym incydencie, o którym umówiliśmy, jeżeli nastąpił wyciek danych osobowych powierzonych przez klientów Medily, no to administrator, czyli ci klienci najpierw odpowiadają i oni ewentualnie potem mogą się odpowiedzieć, że zrobili co mogli – czyli na przykład w umowie był zapis, że firma, której powierzaliśmy dane osobowe, ma je usunąć czy natychmiast, czy nie wiem, w ciągu dwóch, trzech miesięcy od zakończenia obowiązywania umowy. No i dobrze by było, żebyśmy potem jeszcze odebrali takie oświadczenie o usunięciu i wtedy naprawdę wykazujemy, że zrobiliśmy, co mogliśmy. Jeżeli tego nie zrobiliśmy, no to już mamy problem. 

Jacek:< Paweł, a właśnie a propos jeszcze tego usuwania tych rzeczy, Wy też macie jakąś taką procedurę związaną z wymianą komputera i w ogóle takich nośników danych, w sensie, żeby je jakoś utylizować i tak dalej?

Paweł: Znaczy, my na to zwracamy szczególną uwagę, czy procedurę – powiedzmy, że dobre praktyki nasze, postępowanie jak z tymi rzeczami, bo tam komputer to jest sprzęt, to jest elektronika utylizacja, ale te nośniki, bo dążymy do tego, żeby te najważniejsze dane były na serwerze, serwer backupujemy, natomiast unikamy tego, żeby jakieś ważne dane były na jakimś nośniku, tylko bym powiedział, takie piki tymczasowe, to jakieś tam bieżącej pracy, a tak wszystkie ważne dane, ważne, tak jak czy system, czy to jest właśnie, czy w chmurze, czy gdzieś lokalnie, to jest jakaś baza daneych, czy jakieś tam SQL, czy coś takiego, no to żeby to było tam zapisywane. Takie nasze dobre praktyki mamy, no i to jest dość wrażliwy temat, bo też jest tak, że ktoś nam mówi, a tam nic ważnego nie ma i mieliśmy nawet taką sytuację, że trzeba się teraz upewnić, już wprowadziliśmy tak, może nie procedura formalną, ale już zostało zapowiedziane, zapowiedziane u nas wewnętrznie, żeby to weryfikować i fordmalnie potwierdzać, tak, żeby ktoś nam to sprawdził te dane.

Bo ludzie nawet sobie nie zdają sprawy tak naprawdę, tak? Jakie dane mamy tam przechowywane i tak dalej i no to trzeba niestety dwa czy dwa razy sprawdzać, potwierdzić no fajnym takim casem jest, jak dajemy, nie wiem, nawet telefon do serwisu, żeby nam wymienić, nie wiem, folię na ekranie cokolwiek, tak już trochę przerysowuję, no to tam jest informacja, że czy zgadza się na to, że twoje dane zostaną odwracane i tak dalej, no i tutaj też no w to stronę idziemy, 

No bo możemy coś utracić bezpowrotnie, no i to w szczególny sposób mówię, powinniśmy weryfikować, formatować, niszczyć, trwale, żeby nie było tych danych. Albo jeżeli mamy to nawet zostawiamy te nośniki, żeby, my szczerze my nie chcemy, bo my tam nawet nie wiemy do końca co jest i nagle się okazuje, że przetwarzamy dane osobowe, dam dość istotne, ważne, a my tylko wzięliśmy komputer do utylizacji. 

Jacek: OK. Słuchajcie, będziemy powoli do końca, bo umówiliśmy się na godzinę, że Was nie będę dłużej trzymał, ale Irek, może jeszcze pewnie jesteś w temacie, a to zawsze są smaczki, jakieś głośne afery oprócz tego Aurero, Medily, to co jeszcze było w medycynie?

Irek: Każdy słyszał, o alabie, prawda? Tak. I tutaj też jeszcze mamy tą sytuację, że nie wiemy, z jakimi konsekwencjami się to spotka, przynajmniej jeśli chodzi o prezesa UODO, bo ten incydent, no to taka jest delikatna nazwa w porównaniu do tego, co się stało, bo tam chyba kilkadziesiąt tysięcy, czy nawet nie, jakieś dwieście tysięcy osób… w każdym razie ogromny wyciek danych z jednej z największych sieci diagnostycznych w Polsce, jeśli nie największej. Szantaż oczywiście, jeśli chodzi o tą firmę, nie wiem czy ktokolwiek się decyduje w takich sytuacjach na zapłacenie okupu hakerom. No o tym nigdy nie wiemy, bo takich danych się nie podaje, ale to nam pokazuje, że chociaż nie znamy jeszcze w tym momencie szczegółów. To pewnie dopiero się okaże, gdy prezes UODO wyda jakąś decyzję, nałoży karę na ten podmiot, to wtedy w tej decyzji mamy całą tą sytuację i przyczyny ładnie, dokładnie opisane. 

Tak było chociażby w najsłynniejszej sprawie, jeśli chodzi o naruszenie ochrony danych osobowych, ale to nie z branży medycznej, tylko morele.net, prawda? To w zasadzie osoby, które nawet niewiele mają do czynienia z branżą prawną i z ochroną danych osobowych i słyszały o tym wycieku, bo to był pierwszy, duży w Polsce wyciek po wejściu w życie rozporządzenia RODO, gdzie prezes Urzędu Ochrony Danych nałożył ponad 3 miliony złotych kary i potem cały czas walka sądowa. 

No ale jak czytamy potem tą decyzję, to widzimy, co się działo, gdzie były błędy po stronie administratora. Tutaj, jeśli chodzi o Alab, nie wiemy tego, to na razie są tylko przypuszczenia, ale ogromny wyciek danych, listopad ubiegłego roku, część tych danych została przez hakerów wrzucona do sieci. Potem instytucje rządowe już uruchomiły wyszukiwarkę, gdzie po wpisaniu numeru PESEL wiedzieliśmy, czy nasze dane osobowe zostały wykradzione, czy też nie, no, ale jeśli chodzi o konsekwencje, to dopiero się okaże po postępowanie wyjaśniające prezesa UODO zawsze ładnych kilka miesięcy trwa.

Jacek: OK, to co? Bardzo Wam dziękuję. Słuchajcie, do klientów się zgłaszam i do no w ogóle widzów, nie tylko klientów Proassist, bo pewnie są dzisiaj z nami. Jeżeli będziecie mieli jakieś sprawy prawne związane z placówką medyczną, czy z ochroną danych osobowych, to zapraszamy do Irka. Jeżeli są jakieś sprawy związane z sprzętem, sieciami, zapraszamy do Pawła. 

Logo PROASSIST z zielonym łukiem przy literze P i niebieskim trójkątem jako literą A.

Zamów bezpłatne
połączenie w 5 minut!

Jesteśmy gotowi, aby odpowiedzieć na wszystkie Twoje pytania.

Dział sprzedaży dostępny jest od poniedziałku do piątku w godzinach od 08:00 do 16:00.

Wysyłając formularz, wyrażasz zgodę na przetwarzanie danych osobowych zgodnie z Polityką Prywatności Proassist.