Алкор Софт вече успешно верифицира лекарства в пилотна аптека.

Алкор Софт ЕООД премина успешно процедурата по сертифициране на аптечната програма Pharma Pro и складовата информационна система Market ERP за верифициране на лекарствата.

Съгласно Директива 2011/62/ЕС и Делегиран Регламент (ЕС) 2016/161, които влизат в сила от 9 февруари 2019 г., аптеките и търговците на едро с лекарствени продукти ще трябва да верифицират лекарствата по лекарско предписание. Повече информация можете да намерите ТУК

Алкор Софт разработи специализирано приложение за извършване на верификацията на лекарствата. Преминхме  успешно и през процедурата по сертифициране от Българската Организация по Верификация на Лекарствата и Solidsoft Reply. 

Бяха извършени всички тестовe и беше извършена верификация (проверка на истинността на опаковката) в реална продуктова среда в открити пилотни аптеки, ползващи специализираната аптечна програма на Алкор Софт

Клиентитекоито ползват аптечната програма Pharma Pro, могат спокойно да посрещнат процесите по верификация на лекарствата.

Алкор Софт ЕООД

 

Технически мерки във връзка с Общия регламент за защита на личните данни

Във връзка с въвеждането на Общия Регламент за защита на личните данни (GDPR), който влиза в сила от 25.05.2018 г. на всички клиенти на Алкор Софт беше направена актуализация на специализираните информационни системи, които ползват, като бяха взети следните технически мерки:

1.       Защитено съхранение:

1.1. Криптиране на личните данни на Контрагентите в Базата данни - Име, ЕГН, Адрес, Телефон, Е-мейл;

1.2. Защитена мрежова комуникация;

1.3. Антивирусни програми и други приложения за защита от зловредни приложения.

2.       Защитен достъп:

2.1. Оторизиран достъпът до информационните системи, в които се обработват и съхраняват лични данни. Влизане в системите с Име на Потребителя по лична карта, и парола с висока сложност.

2.2. Задължително въвеждане на длъжност с цел определяне кои длъжности имат права на достъп до системата.

2.3.  Достъп до Администрирането на правата на другите потребители има само оторизиран потребител.

3.       Защита на приложенията:

3.1. Използване на последни версии на приложенията;

3.2. Регулярни ъпдейти и одити.

4.         Защита на информацията от загуба:

4.1. Създаване на автоматичен архив на базата данни и съхраняването му на сървъра в криптиран вид.

4.2. Автоматично изтриване на архивите  от сървърите, които са по стари от 5+1 година, законоустановен срок,  за да не се съхраняват излишно лични данни.

5.         Проследимост и отчетност:

5.1. Записване на всички действия на Потребителите на системата, свързани с обработката на личните данни или т.нар. „Одитни следи“ и възможност за проследяване на действията по специализирани филтри (за вид дейност; за период от време; за потребител).                            

6.       Осигуряване на правата на субектите:

6.1. Право да бъде забравен - Възможност за изтриване на Контрагент, който е изразил изрично желание да не се съхраняват данните му. Изтриването е възможно само след изтичане на законовия срок за съхранение на данните.

6.2. Право на достъп до собствените лични данни и коригирането им – Възможност за предоставяне на информацията, събирана за всеки субект в печатен вид.

6.3. Преносимост на данните - Възможност за прехвърляне на личните данни на контрагент в машинно-четим вид ( .txt или .csv файл).

 

Алкор Софт ЕООД

КОИ СА ОСНОВНИТЕ МЕРКИ, КОИТО ТРЯБВА ДА БЪДАТ ВЗЕТИ ПРИ СЪБИРАНЕТО И СЪХРАНЯВАНЕТО НА ЛД С ВЛИЗАНЕТО В СИЛА НА GDPR?

Мерките, които трябва да бъдат взети, за да отговаряте на новите изисквания на GDPR са два основни типа – административни и технически.

I.                    Административни мерки:

1.       Прозрачност при събирането на личните данни:

a.       Всеки АЛД трябва да даде точна и ясна информация на субектите за целите на събиране на ЛД, както и да гарантира, че има строги правила за достъпа до тях, съхранението, обработването и унищожаването им. Задължително условие е получаването на съгласие от субекта за събирането и обработването на ЛД, ако за това не съществува друго основание. Въвеждат се изисквания за текстовете, свързани с искането на съгласие - да са ясни, кратки, лесноразбираеми (да не се ползват неразбираеми термини от правния жаргон); - да се различават от други теми/въпроси; - да са достъпни за целите на обработката. 
Ще трябва да се гарантира, че оттеглянето на съгласието се извършва толкова лесно, колкото и предоставянето му.

 

b.      Всеки субект има право да поиска и да получи информация от АЛД какви данни се съхраняват за него.  GDPR предоставя правото на субекта на данните да получава потвърждение, относно:
- целта на обработването; 
- категорията на данните; 
- получателите на данните;
- срока или критериите за определяне на срока за съхранение; 
- правото на възражение срещу обработката; 
- съществуването на автоматизирано вземане на решения, включително профилиране.

 

Всеки субект има правото на:
- искане за коригиране или изтриване на лични данни или ограничаване на обработването им;

- предявяване на жалба до надзорен орган;

- узнаване на източниците на данни, когато същите не са получени от субекта; 
- правото да му бъдат предоставени всички тези данни в машинно четим вид.

 

c.       „Правото да бъда забравен“ - всеки субект има право да поиска да „бъде забравен“, т.е. да бъдат изтрити данните за него и да бъде спряно по-нататъшното им разпространяване.  Условието за заличаване, включва данните, които вече не са от значение за предвидената обработка или е постъпило искане за оттегляне.  Това правило може да бъде изпълнено само ако не противоречи на законов акт, на основата на който трябва да се съхраняват ЛД на субекта или няма да бъде засегнат общественият интерес по отношение на наличието на такива данни.

 

2.       Разработване на точни Вътрешни правила, които да определят :

а. Какви видове Регистри на ЛД има Администратора, къде и как се съхраняват те. Във всеки от регистрите трябва да посочите :

1.  За каква цел се изготвя;

2.  На базата на какво основание се събират данни в него;

3.  На какви носители се съхранява;

4.  Кои са отговорните лица, които имат достъп до него;

5.  Какъв е срока на съхранение на данните в този регистър.

 

b. Кой има достъп до личните данни.

Трябва да бъде направен анализ и да бъдат разработени:

1.    Декларации за поверителност и неразпространение на информацията за всички служители, които имат достъп до ЛД;

2.    Трябва да бъде упоменато в договорите с контрагенти, че давате достъп до личните данни на клиентите си с определена цел (напр. в договора си за счетоводни услуги);

 

3.    Разработване на процедура по уведомяване на КЗЛД в случай на пробив и изтичане на лични данни.

Трябва да бъде разработена процедура, в резултат на която  в случай на пробив и изтичане на лични данни, трябва да уведомите КЗЛД без излишно забавяне до 72 часа след узнаването

4.    Разработване на процедура за Вътрешен одит и Анализ на риска.

Вътрешният одит се извършва максимум на 2 години от назначена комисия от поне двама отговорни служители  на дружеството. При него се следи къде са слабите места при съхранението на личните данни, спазват ли се всички разписани правила и процедури. Одитът следи дали има промени в бизнес процесите в организацията и трябва ли да се променят правилата и процедурите.

Анализът на риска определя до каква степен може да настъпри увреждане за субектите, чиито лични данни съхранявате и да потвърди адекватността на мерките, които са взети на база на риска от увреждане, който може да настъпи.

II.                  Технически мерки:

Техническите мерки, които новия регламент GDPR поставя към защитата на личните данни са:

1.       Данните за Контрагентите в Базата да са криптирани;

2.       Възможност за изтриване на Контрагент, който е изразил изрично желание да не се съхраняват данните му. Изтриването е възможно само след изтичане на законовия срок за съхранение на данните;

3.       Оторизиране на достъпа до системата, която обработва личните данни – изисква се задължително влизане с Име на Потребителя по лична карта и въвеждане на длъжност;

4.       Възможност за печат и прехвърляне на информацията за даден контрагент в машинно-четим вид ;

5.       „Одитни следи“ – това е справка, в която се записват всички действия на Потребителите на системата, свързани с обработката на личните данни. В нея може да се търси по определени критерии, за да можете да отговорите в случай на проверка от КЗЛД какви действия са били извършвани с дадени лични данни.

6.       Автоматично изтриване на архивите  от сървърите, които са по стари от 5+1 година, законоустановен срок,  за да не се съхраняват излишно чувствителни данни.

 

III.                Инструменти за демонстриране на изпълнението на GDPR.

 

АЛД ще могат да използват одобрени кодекси за поведение или сертифициране, за да осигурят доверие в предоставяните услуги, съобразено със спецификата и потребностите на даден бранш.  Браншовите организации се очаква да се свържат с КЗЛД и да дискутират тези добри практики за конкретния отрасъл.  Тези инструменти се очаква да осигурят подходящи гаранции при предаването на данни между публични органи и определени структури.

Повече информация за изискванията на новия Регламент, можете да видите ТУК

КАКВО Е GDPR И КАКВО ОТРАЖЕНИЕ ИМА ВЪРХУ ЕЖЕДНЕВНАТА ВИ ДЕЙНОСТ

КАКВО E GDPR или ОРЗД?

GDPR (GENERAL DATA PROTECTION REGLAMENT) или преведено на български език ОРЗД (Общ регламент за защита на даните), представлява Регламент на ЕС 2016/679

Този регламент е приет на 27 април 2016 г. и влиза в сила на 25 май 2018 г. след 2 годишен преходен период. Целта на Регламента е да запази личните данни на гражданите на ЕС, при съвременните, значително  променени от технологична гледна точка условия на живот.

Регламентът ще се прилага директно и в България, независимо от това дали ще има промени в ЗЗЛД или в Наредба 1, която регламентира основните мерки, които трябва да се спазват при обработването и съхранението на личните данни. Промените в ЗЗЛД предстои да бъдат публикувани за обществено обсъждане.

Какво са лични данни и кой е АЛД?

Лични данни са всички данни или комбинация от данни на физическо лице, въз основа на които то може да бъде идентифицирано. Напр. име, ЕГН, адрес, пол, възраст, телефон, е-мейл,  снимка, IP адрес и т.н.

Чувствителни лични данни - Това са една допълнителна категория от лични данни, които касаят чувствителна информация по отношение на лицето. Напр. здравен статус, етническа и расова принадлежност, сексуална ориентация, политическа принадлежност и др.

Личните данни на физическите лица (субектите) са предоставенни временно на дадено юридическо лице за определени цели, те не му принадлежат. По тази причина юридическото лице в качеството си на администратор на лични данни (АЛД) трабва да спазва определени правила при събирането, обработването, съхранението трансферирането и унищожаването на личните данни. Именно тези правила са подробно описани в Регламента на ЕС.

Администратор на лични данни (АЛД) е всяко физическо или юридическо лице, което събира и обработва лични данни за целите на своята дейност.

Обработващ личните данни е всяко физическо или юридическо лице, което обработва личните данни от името на администратора на лични данни и за неговите цели.

Регламентът обхваща целия ЕС и страните извън ЕС, които обработват лични данни на граждани на ЕС.

КАКВО Е НОВОТО В РЕГЛАМЕНТА СПРЯМО СЕГА ДЕЙСТВАЩИЯ НОРМАТИВ:

1.       Увеличаване на размера на санкциите;

2.       Изрично съгласие за предоставяне и оттегляне на личните данни;

3.       Правото да бъдеш забравен;

4.       Профилиране и Псевдонимизация;

5.       Преносимост на личните данни;

6.       Длъжностно лице (DPO), което да отговаря за процесите и правилата;

7.       Уведомяване в случай на пробив на сигурността.

Ще разгледаме всеки един от тези моменти малко по-обширно:

1.       САНКЦИИ ПРИ НЕСПАЗВАНЕ НА ОРЗД

Контролиращият орган по Регламента е КЗЛД.

Санкциите налагани от КЗЛД до момента са между 1000лв и 100 000лв.

Като някои от тях са:

6000 лв за отказано съдействие при проверка на Комисията;

10 500 лв за неправомерно разпространение на лични данни;

10 000 лв за събиране на лични данни повече отколкото е необходимо за целта на обработването им.

Според Регламента санкциите, които могат да бъдат налагани след 25.05.2018 г. са до 20 мил.евро или 4% от общия годишен световен оборот на организацията.

2.       ИЗРИЧНО СЪГЛАСИЕ ЗА ПРЕДОСТАВЯНЕ НА ДАННИТЕ

В нормативните документи преди GDPR,  мълчаливото съгласие на субекта за събиране и съхраняване на данни се смяташе за достатъчно основание за това.

Според GDPR това вече не трябва да бъде така. За да бъдат събирани лични данни на субектите трябва да има едно от следните основания:

                А. Законово основание;

                Б. Договорно основание;

                В. Съгласие на субекта – в случай , че няма законново или договорно основание, АЛД трябва да има изрично, недвусмислено, ясно изразено съгласие за предоставяне на данните. Това съгласие трябва да бъде за една или няколко точно упоменати цели, за които се извършва събирането на данните.

3. ПРАВОТО ДА БЪДЕШ ЗАБРАВЕН

Това е изцяло нов момент в Регламента, който не е съществувал до сега, според който всеки субект има „право да бъде забравен“. Това означава, че ако субектът поиска от АЛД да изтрие личните му данни, Администраторът трябва да го направи и то да изтрие личните му данни от всички места където те се съхраняват. Това правило може да НЕ бъде спазено, само ако има законово основание, на база на което данните на субекта трябва да бъдат съхранявани от АЛД.

4.       ПРОФИЛИРАНЕ И ПСЕВДОНИМИЗАЦИЯ

Това също е нов момент в Регламента. Обработването на личните данни на субектите за целите на профилирането и маркетинга трябва да се случва само след изрично ясно изразено съгласие от тяхна страна за това.

Ако АЛД няма такова изрично съгласие може да ползва Псевдонимизация за целите на маркетинга.

5.       ПРЕНОСИМОСТ НА ДАННИТЕ

Според новия Регламент всяко лице има право, ако пожелае да получи данните си в машинно-читаем вид, за да може да ги предостави на друг АЛД.  Машинно-читаеми данни са - .scv, .txt, .xml и др.

6.       ДЛЪЖНОСТНО ЛИЦЕ (DPO)

Длъжностното лице по защита на данните  е лицето, което трябва да отговаря за спазването на Регламента при АЛД. То трябва да е запознато с нормативната уредба в България и ЕС. То може да е физическо или юридическо лице и може да е външно или вътрешно за дружеството.

Назначаването на DPO според новия Регламент е задължително, когато е изпълнено поне едно от следните условия:

-          публична организация;

-          броя на служителите е по-голям от  250 човека;

-          обработвате личните данни на повече от 10 000 лица.

В останалите случаи назначаването му е по преценка на мениджмънта на компанията.

Задълженията на Длъжностното лице са:

-          Консултативни функции в областта на защитата на личните данни

-          Следи и се информира за новости в нормативната уредба, законодателството и практиката в сферата на защитата на личните данни;

-          Информира и съветва администратора на лични данни за промени свързани със защитата;

-          Следи за спазването на Вътрешните правила;

-          Извършва обучение на служителите;

-          Извършва оценка на въздействието върху защитата на данните и подпомага при извършване на вътрешения одит на максимум 2 години;

-          Действа като точка за контакт с КЗЛД.

 

7.       УВЕДОМЯВАНЕ В СЛУЧАЙ НА ПРОБИВ НА СИГУРНОСТТА

АДЛ е длъжен да уведоми КЗЛД в срок от 72 часа, в случай на пробив и изтичане на лични данни от организацията му.

 

ПОВЕЧЕ ЗА GDPR можете да научите ТУК

АЛКОР СОФТ ВЗЕ УЧАСТИЕ В РАБОТНА СРЕЩА С БОВЛ И СОЛИДСОФТ, СВЪРЗАНА СЪС ЗАПОЧВАНЕТО НА ПИЛОТНАТА ФАЗА ПО ВЪВЕЖДАНЕ НА СИСТЕМАТА ЗА ВЕРИФИКАЦИЯ НА ЛЕКАРСТВАТА

На 20 февруари 2018 г. в гр. София се проведе среща на Българската организация за верификация на лекарствата (БОВЛ), представители на Солидсофт и всички участници в пилотната фаза по въвеждане на системата за верификация на лекарствата – производители, ПРУ, търговци на едро с лекарствени средства, аптеки и болници.

Бяха обсъдени конкретните срокове на пилотната фаза по въвеждането на системата. Бяха обсъдени проблеми свързани с конкретната реализация по внедряването на процеса на верифициране на лекарствените продукти в аптечните програми и фармацевтичните складови софтуери.

Бяха обсъдени конкретни продукти на производители и пилотни търговци на едро, аптеки и болници, които ще се включат в първата фаза по внедряването.

Алкор Софт се включи активно в дискусията и участва в първата пилотна фаза по процеса на внедряване с аптечна програма Фарма Про и фармацевтична складова система Маркет Про ЕРП, заедно с пилотни аптеки и търговци на едро.

По-подробна информация свързана с проекта по верификация на лекарствата можете да намерите ТУК

 

Повече информация за срещата можете да намерите ТУК

АПТЕЧЕН СОФТУЕР

Компанията е специализирана в създаването на фармацевтичен и медицински софтуер. Дългогодишният ни опит в създаването на специализирани системи ни даде възможност да създадем удобен, интуитивен и лесен за работа софтуер.

ПРОФИЛ НА КУПУВАЧА

Предлагаме на Възложителите на обществени поръчки (ОП) специализирано софтуерно приложение, което позволява лесно и бързо управление и публикуване на информацията в „Профила на купувача”

ERP СИСТЕМИ

Предлагаме ЕРП системи за управление на фармацевтични и медицински складове и производства.

ЕЛЕКТРОННИ МАГАЗИНИ

Разработваме специализирани електронни магазини и е-дрогерии. Вземете своята е-дрогерия или изградете свой магазин в мрежата.