Szpitale nie chronią danych osobowych - raport NIK

Choć przepisy RODO weszły w życie już ponad półtora roku temu, wiele firm i organizacji wykazuje poważne problemy ze stosowaniem się do ich postanowień. Nie inaczej jest w przypadku placówek medycznych – kontrola NIK wykazała, że ponad połowa przychodni i szpitali nie wdrożyła wystarczających środków ochrony danych osobowych. 

Szpitale nie chronią danych osobowych - raport NIK

Alicja Skibińska

16 grudnia 2019

Brak przygotowania placówek medycznych na wejście w życie RODO

Kontrola Najwyższej Izby Kontroli odbyła się w kwietniu 2019 roku i objęła okres od wprowadzenia ogólnego rozporządzenia o ochronie danych osobowych (RODO), czyli od 25 maja 2018 roku do 23 kwietnia 2019 roku. Inspekcja została przeprowadzona w 24 placówkach medycznych znajdujących się w sześciu województwach: zachodniopomorskim, lubelskim, lubuskim, podlaskim, wielkopolskim i małopolskim. W każdym z nich wyznaczono 4 szpitale (2 miejskie lub powiatowe i 2 wojewódzkie). Niestety zaledwie kilka poddanych kontroli podmiotów leczniczych stosowało wystarczające zabezpieczenia danych osobowych. Reszta nie wdrożyła odpowiednich schematów działania i rozwiązań technologicznych, przez co prawa pacjentów do prywatności nie były w nich respektowane w dostatecznym stopniu.

Wprowadzenie tak poważnych zmian w przepisach wymaga odpowiedniego przygotowania się do ich przestrzegania, m.in. poprzez przeprowadzenie analizy ryzyka procesów przetwarzania danych oraz opracowanie nowych procedur odpowiadających nowym obowiązkom administratorów tego typu informacji. Należy pamiętać, że niestosowanie się do przepisów RODO grozi poważnymi konsekwencjami – ustawodawca przewidział bowiem bardzo dotkliwe kary finansowe za ewentualne nadużycia. 

Ochrona danych osobowych w przychodniach i szpitalach

W dwóch ze skontrolowanych szpitali doszło do udostępnienia kopii dokumentacji medycznej osobom nieupoważnionym. W Białostockim Centrum Onkologii im. Marii Skłodowskiej-Curie przekazano dane pełnoletniego pacjenta kobiecie, która podała się za jego matkę. Z kolei w Samodzielnym Publicznym Zakładzie Opieki Zdrowotnej w Augustowie trzykrotnie udostępniano dokumentację medyczną osobom, które nie zostały do tego upoważnione przez pacjentów, a także przesyłano dokumenty pocztą elektroniczną, mimo że warunkiem ich otrzymania jest okazanie dokumentu tożsamości.

Problemem jest również brak wystarczającej ochrony fizycznych wersji dokumentów. W dziewięciu z dwudziestu czterech podmiotów leczniczych wrażliwe dane przechowywane były na otwartych półkach lub w niezamykanych szafkach. W Szpitalu Specjalistycznym im. Ludwika Rydygiera w Krakowie jeden z pacjentów omyłkowo zabrał dokumentację medyczną innej osoby. Natomiast w Wojewódzkim Specjalistycznym Szpitalu Dziecięcym im. Św. Ludwika w Krakowie mężczyzna cierpiący na zaburzenia psychiczne ukradł trzy kartoteki innych pacjentów (dwie z nich dotąd nie zostały odnalezione).

Oprócz tego w pięciu szpitalach kopie bezpieczeństwa baz danych przechowywane były w tym samym miejscu co oryginały, co nie zabezpieczało ich na okoliczność zdarzeń losowych, takich jak zalanie czy pożar. Gdyby doszło do tego rodzaju sytuacji, kopie zostałyby zniszczone wraz z danymi źródłowymi.

Prawo pacjentów do prywatności powinno być respektowane już od momentu rejestracji. Pomagają w tym takie środki jak odpowiednia odległość między poszczególnymi okienkami, wyznaczenie strefy oddzielającej znajdujące się przy nich osoby od tych, które oczekują w kolejce oraz dyskretne wzywanie do gabinetów (np. poprzez podanie wyłącznie imienia i godziny wizyty lub komunikat taki jak „proszę następną osobę z kolejki”). Uchybienia w tych sferach stwierdzono w dziewięciu z poddanych inspekcji szpitali. W jednej z poradni funkcjonujących w Samodzielnym Publicznym Zakładzie Opieki Zdrowotnej w Radzyniu Podlaskim wywieszano listę zawierającą godzinę umówionej wizyty, pierwsze trzy litery imienia oraz cztery pierwsze litery nazwiska pacjentów. Według NIK osoby o krótkich imionach i nazwiskach były w ten sposób narażane na ujawnienie personaliów.

Według RODO informacje umieszczane na opaskach oraz szpitalnych łóżkach muszą być podane w sposób, który uniemożliwia identyfikację pacjenta przez nieupoważnione osoby. Oznacza to, że nie można w nich wskazać takich danych jak imię i nazwisko czy PESEL chorego. Tymczasem w jedenastu szpitalach nie zachowywano ostrożności podczas umieszczania znaków identyfikacyjnych na opaskach, zaś w trzech podobny problem dotyczył tabliczek przy łóżkach.

Administrowanie danych elektronicznych

W aż siedmiu kontrolowanych placówkach do przetwarzania danych osobowych (m.in. historii choroby czy przebiegu leczenia) były upoważnione osoby nieudzielające świadczeń medycznych, np. sanitariusze i salowi. Z kolei w piętnastu uprawnienia do systemów informatycznych nie były odbierane pracownikom, którzy odchodzili z pracy. W Szpitalu Wojewódzkim im. Mikołaja Kopernika w Koszalinie doszło do logowania się do systemu operacyjnego przez jednego z byłych pracowników. Sytuacja ta prawdopodobnie wynikała z niezamierzonego błędu informatyków, którzy zarzekali się, że jego konto zostało zablokowane od razu po zdaniu przez niego karty obiegowej. Z kolei w Samodzielnym Publicznym Wielospecjalistycznym Zakładzie Opieki Zdrowotnej w Stargardzie trzydzieści niegdyś zatrudnionych w placówce osób straciło uprawnienia dopiero podczas kontroli NIK. Specjalistyczny Psychiatryczny Zakład Opieki Zdrowotnej w Suwałkach odebrał piętnastu osobom możliwość korzystania z systemów informatycznych dopiero po od dziewięciu do dwustu dwudziestu siedmiu dni od zakończenia stosunku pracy.

Dane pacjentów były także przekazywane firmom informatycznym serwisującym systemy podczas zgłaszania usterek oprogramowania. Wśród udostępnionych informacji były m.in. historie leczenia, które nie były potrzebne do usunięcia awarii.

W dziesięciu kontrolowanych szpitalach pracownicy niebędący informatykami mieli uprawnienia administratora systemów operacyjnych, co w praktyce oznaczało, że mogli wyłączać ochronę antywirusową i instalować dowolne oprogramowanie oraz mieli swobodny dostęp do danych zgromadzonych na urządzeniach.

Brak odpowiednich zabezpieczeń systemów elektronicznych

W trzech placówkach część komputerów nie była chroniona programami antywirusowymi, zaś w czterech programy te nie dysponowały aktualną bazą wirusów, co zmniejszało ich skuteczność. Aż połowa szpitali poddanych inspekcji nie udostępniła swoim pracownikom zindywidualizowanych danych do autoryzacji w systemach operacyjnych wykorzystywanych urządzeń, co doprowadziło NIK do wniosku, iż informacje w formie elektronicznej nie były chronione w wystarczającym stopniu. Korzystanie z tych samych loginów i haseł przez kilka różnych osób uniemożliwia zablokowanie konkretnego użytkownika systemu. Oprócz tego w sytuacji wycieku wrażliwych danych nie ma możliwości ustalenia, który z pracowników jest odpowiedzialny za to nadużycie.

Jeszcze większym problemem są przypadki, w których dostęp do systemu operacyjnego nie jest chroniony jakimkolwiek hasłem, co miało miejsce w trzech placówkach medycznych. W siedmiu szpitalach co prawda stosowano to zabezpieczenie, jednak hasła nie spełniały kryteriów złożoności.

Oprócz tego w ośmiu placówkach członkowie personelu medycznego, którzy nie pracowali na danych oddziałach, otrzymali dostęp do dokumentacji leczonych na nich pacjentów.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia
o którym mowa w akrtykule?

Udostępnij:

Popularne tematy

Blogi tematyczne

Prawo konsumenckie 2021
Blog prawny dla firm
Blog prawa e-commerce
Prawo konsumenckie
RODO Magazyn
Poradnik: wszystko o zgodzie RODO i obowiązkach informacyjnych RODO

Newsletter RODO

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych tematach prawnych. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!