123RF

(Nie)ochrona danych osobowych

Udostępnij:
Dane pacjentów wciąż nie są odpowiednio chronione. Potwierdza to kontrola NIK. Wynika z niej, że w ponad połowie skontrolowanych szpitali doszło do naruszeń ochrony danych osobowych, w sześciu sytuacja była na tyle poważna, że konieczne było powiadomienie Urzędu Ochrony Danych Osobowych. Przykłady? W jednej z placówek pacjent niechcący zabrał dokumentację medyczną innego, w drugiej chory psychicznie ukradł trzy kartoteki.
Kontrola objęła czas od wejścia w życie przepisów RODO (25 maja 2018 r.) do 23 kwietnia 2019 r., to jest do zakończenia czynności kontrolnych w ostatnim ze szpitali. Przeprowadzono ją w 24 podmiotach leczniczych z sześciu województw: podlaskiego, lubelskiego, lubuskiego, małopolskiego, wielkopolskiego i zachodniopomorskiego. W każdym do kontroli wytypowano cztery szpitale (dwa miejskie lub powiatowe oraz dwa wojewódzkie). Taki dobór próby pozwolił na ocenę badanego zagadnienia w różnych regionach kraju oraz w szpitalach o różnej wielkości i statusie właścicielskim.

Co ustalono? Między innymi, że...
Niemal w żadnym ze skontrolowanych podmiotów leczniczych dane osobowe pacjentów nie były prawidłowo chronione i przetwarzane po wejściu w życie przepisów RODO. W konsekwencji kierownicy tych podmiotów i Inspektorzy Ochrony Danych nie zapewnili pacjentom pełnego zabezpieczenia ich danych. Personel medyczny i administracyjny postępował rutynowo, według schematów wypracowanych przed wejściem w życie nowych uregulowań.

Szesnaście z 24 skontrolowanych podmiotów leczniczych (67 proc.) nie było właściwie przygotowanych do wejścia w życie RODO. Dokumenty i procedury związane z wejściem w życie RODO zostały w nich bowiem wdrożone z opóźnieniem lub do zakończenia kontroli NIK ich nie wprowadzono:
– w dziewięciu szpitalach analiza ryzyka procesów przetwarzania danych osobowych, która powinna poprzedzić przyjęcie właściwych środków do ochrony danych osobowych, została przeprowadzona po upływie od 35 do 201 dni od dnia wejścia w życie RODO, a w dwóch kolejnych wykonano ją dopiero w trakcie kontroli NIK,
– w siedmiu podmiotach leczniczych wewnętrzną dokumentację, opisującą stosowane środki techniczne i organizacyjne związane z zapewnieniem bezpieczeństwa danych osobowych, zaktualizowano po upływie od 37 do 263 dni od wejścia w życie RODO, a w czterech jej nie uaktualniono,
– w siedmiu szpitalach rejestr czynności przetwarzania założono od 12 do 263 dni od wejścia w życie RODO, a w jednym go nie opracowano.

Jedną z głównych przyczyn wymienionych nieprawidłowości była nieznajomość zagadnień bezpieczeństwa danych osobowych. Tylko w dziewięciu szpitalach szkoleniami w tym zakresie objęto prawie cały personel (co najmniej 95 proc.). W rezultacie w podmiotach tych stwierdzono najmniej istotnych nieprawidłowości dotyczących ochrony danych osobowych pacjentów.

Jedynie w trzech szpitalach (12,5 proc.) przyjęte rozwiązania organizacyjne i techniczne stworzyły odpowiednie warunki do rejestracji na wizyty do lekarza, identyfikacji pacjenta na oddziale i przechowywania jego dokumentacji medycznej. W pozostałych nie zapewniono skutecznej ochrony danych osobowych i medycznych pacjentów przed ujawnieniem osobom postronnym.

Nie przestrzegano też ustalonej w RODO zasady ograniczania dostępu do danych osobowych do zakresu niezbędnego do osiągnięcia celu ich przetwarzania. W rezultacie średnio co 11 pielęgniarka posiadała przyznane w systemie informatycznym uprawnienia do danych medycznych pacjentów leczonych na innych oddziałach szpitala, a byłym pracownikom personelu medycznego 15 podmiotów leczniczych (62,5 proc.) nie odebrano niezwłocznie dostępu do systemów informatycznych. Z kolei 11 szpitali (45,8 proc.) w nieuprawniony sposób przekazało dane osobowe pacjentów podmiotom serwisującym systemy informatyczne. Prawidłowo natomiast przyznawano dostęp do systemu HIS pracownikom działów administracyjnych. Był on odpowiedni i niezbędny do wykonywania obowiązków służbowych.

W 18 szpitalach (75 proc.) nie przestrzegano wymogów dotyczących nadawania właściwych uprawnień do administrowania systemami informatycznymi, ochrony przed złośliwym oprogramowaniem oraz odpowiedniej autoryzacji. W pięciu (20,8 proc.) zaś kopie bezpieczeństwa danych przechowywano w niewłaściwym miejscu. Nie gwarantowało to zabezpieczenia zasobów elektronicznych przed nieuprawnionym dostępem, przejęciem i zniszczeniem.

Tylko w trzech skontrolowanych szpitalach (12,5 proc.) stwierdzono właściwe rozwiązania organizacyjne i techniczne, stwarzające odpowiednie warunki rejestracji na wizyty do lekarza, identyfikacji pacjenta na oddziale i przechowywania jego papierowej dokumentacji medycznej.

We wszystkich 24 skontrolowanych szpitalach wywiązano się z obowiązku powołania IOD, przy czym w 13 z nich funkcję tę powierzono dotychczasowym ABI. Pięciu ADO poinformowało o tym fakcie Prezesa Urzędu z opóźnieniem, wynoszącym od 14 do 109 dni. Z kolei na stronach internetowych trzech podmiotów leczniczych nie zamieszczono danych IOD oraz sposobu i formy kontaktu z nim, mimo że obowiązek taki wynikał z przepisów RODO.

Kierownicy niemal wszystkich skontrolowanych podmiotów leczniczych podjęli działania umożliwiające IOD wykonywanie obowiązków w sposób niezależny, wynikający z art. 38 ust. 3 RODO. Konflikt interesów stwierdzono w jednym szpitalu, w którym IOD był jednocześnie kierownikiem Działu Informatyki, a zatem brał udziału w określaniu celów i sposobów przetwarzania danych osobowych.

Do 25 maja 2018 r. (daty bezpośredniego zastosowania RODO w porządku krajowym) jedynie w 13 skontrolowanych szpitalach (54 proc.) przeprowadzono analizę ryzyka procesów przetwarzana danych osobowych, wynikającego z przypadkowego lub niezgodnego z prawem ich zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do takich danych przesyłanych, przechowywanych albo w inny sposób przetwarzanych. W kolejnych dziewięciu podmiotach leczniczych wykonano ją do końca 2018 r., a w dwóch pozostałych – dopiero w trakcie kontroli NIK.

W jedenastu skontrolowanych podmiotach leczniczych (45,8 proc.) nie zaktualizowano wraz z wejściem w życie RODO podstawowych dokumentów opisujących bezpieczeństwo danych osobowych oraz sposoby ich przetwarzania. Chociaż posiadana dokumentacja nie zawierała niezbędnych uregulowań dotyczących m.in. powołania IOD w miejsce ABI, prawa do sprostowania danych, prawa do usunięcia danych, prawa do ograniczenia przetwarzania, czy też obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu oraz prowadzenia oceny skutków dla ochrony danych osobowych, jej aktualizację w siedmiu szpitalach przeprowadzono dopiero po upływie od 37 do 263 dni od wejścia w życie nowych uregulowań. W kolejnych zaś czterech podmiotach nie zaktualizowano jej do zakończenia kontroli NIK.

Podmioty lecznicze były obowiązane do zawierania pisemnych umów powierzenia przetwarzania danych, gdy udostępniają takie dane podmiotom zewnętrznym. W pięciu ze skontrolowanych szpitali (21 proc.) stwierdzono błędy w tym zakresie. Polegały one głównie na: niepodpisaniu niektórych z umów powierzenia przetwarzania danych, nieprzestrzeganiu uregulowań wewnętrznych podmiotów leczniczych dotyczących wymogów formalnych wobec umów oraz konieczności prowadzenia ich ewidencji, wskazaniu w umowie niewłaściwego zakresu danych osobowych, jakiego powierzenie dotyczyło.

W dziewięciu skontrolowanych szpitalach (37,5 proc.) organizacja procesu rejestracji pacjentów do poradni nie gwarantowała zachowania ich prawa do prywatności. Wystąpiły bowiem przypadki niezapewnienia odpowiednich odległości pomiędzy oknami rejestracji lub niewyznaczenia (w sześciu z tych jednostek) stref oddzielających pacjentów obsługiwanych przy okienkach od osób oczekujących w kolejce. W trzech kolejnych zaś, mimo zapewnienia odpowiedniego usytuowania okien rejestracji, nie wprowadzono środków gwarantujących zachowanie odległości pomiędzy osobami rejestrującymi się i oczekującymi w kolejce. Wszystkie te rozwiązania wskazane zostały w przewodniku po RODO, jako sposoby na wdrożenie w praktyce rozwiązań wymaganych przez to rozporządzenie

W 23 skontrolowanych szpitalach (96 proc.) wdrożono rozwiązania, dzięki którym nie posługiwano się imionami i nazwiskami pacjentów podczas wywoływania ich na wizytę do gabinetów poradni specjalistycznych. Wzywano ich np. poprzez podawanie imienia i godziny wizyty, numeru ustalonego przy rejestracji, bezosobowo lub przy użyciu komunikatu: „proszę kolejną osobę”. W jednym z podmiotów leczniczych wywieszano zaś listy pacjentów, na których przy planowanej godzinie wizyty widniały pierwsze trzy litery imienia oraz cztery litery nazwiska pacjenta. Stosowanie takiego rozwiązania w odniesieniu do pacjentów o krótkich imionach i nazwiskach mogło nie zagwarantować ochrony danych osobowych.

W dziewięciu szpitalach (37,5 proc.) nie zapewniono odpowiedniego sposobu przechowywania papierowej wersji dokumentacji medycznej pacjentów w pokojach dyżurek pielęgniarskich. Znajdowała się ona bowiem w niezamykanych szafkach usytuowanych w otwartych pomieszczeniach. Podobna sytuacja miała miejsce w dyżurkach lekarzy na oddziałach. Naruszało to przepisy art. 23 ust. 2 u.o.p.p. oraz przyjęte w niektórych podmiotach leczniczych regulacje wewnętrzne związane z ochroną dokumentacji papierowej. Za szczególnie niepokojącą należy uznać sytuację stwierdzoną w jednym ze szpitali, w którym rejestratorka opuściła pomieszczenie, pozostawiając niezamknięte drzwi i włączony komputer, niezabezpieczony przed dostępem do systemu operacyjnego osób nieupoważnionych.

W osiemnastu skontrolowanych szpitalach (75 proc.) nie zastosowano odpowiednich środków technicznych do zabezpieczenia danych osobowych przechowywanych w postaci elektronicznej. Poszczególne elementy wpływające na bezpieczeństwo zostały niewłaściwie zaplanowane bądź były w nieodpowiedni sposób użytkowane. Stanowiło to naruszenie art. 5 ust. 1 lit. f RODO, zobowiązującego do przetwarzania danych osobowych w sposób zapewniający ich bezpieczeństwo (w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem), za pomocą odpowiednich środków technicznych lub organizacyjnych.

W siedmiu szpitalach (29,2 proc.) stosowano hasła dostępu do systemów operacyjnych komputerów, które nie spełniały wewnętrznie ustalonych wymogów złożoności. Sytuacja taka w znaczny sposób obniżała skuteczność ochrony dostępu do sytemu operacyjnego i podnosiła ryzyko wystąpienia incydentów związanych z zapewnieniem ochrony danych osobowych.

W dwunastu skontrolowanych podmiotach leczniczych (50 proc.) do przetwarzania danych osobowych wykorzystywano systemy operacyjne, dla których producent zakończył wsparcie techniczne. Nie były zatem publikowane aktualizacje zabezpieczeń tych produktów, poprawki czy też opcje asystowanej pomocy technicznej oraz aktualizacje zawartości technicznej online. Może to mieć znaczący wpływ na podatność tych systemów na wystąpienie różnego rodzaju działań niepożądanych.

W większości szpitali pomieszczenia serwerowni były właściwie zabezpieczone. Zastosowano w nich m.in. drzwi przeciwpożarowe, podłogę techniczną, czujniki dymu, czujniki alarmowe, wyposażone je w klimatyzację, gaśnice, system monitoringu. W dwóch skontrolowanych podmiotach leczniczych (8 proc.) stwierdzono natomiast niedostateczne zabezpieczenie serwerowni, polegające m.in. na braku systemów antywłamaniowych i przeciwpożarowych. W kolejnych trzech (12,5 proc.) stwierdzono zaś przypadki przechowywania materiałów łatwopalnych w tych pomieszczeniach.

Wnioski
W związku z ustaleniami kontroli oraz mając na celu właściwą ochronę przetwarzanie danych osobowych w podmiotach leczniczych, Najwyższa Izba Kontroli formułuje wnioski, konieczne jest:
- analizowanie ryzyka dotyczącego ochrony danych osobowych, uwzględniającego aktualny stan wiedzy technicznej, a następnie stosowanie rozwiązań adekwatnych do ustalonych zagrożeń,
- przeprowadzanie regularnych szkoleń osób uczestniczących w procesach przetwarzania informacji, ze szczególnym uwzględnieniem zagrożeń bezpieczeństwa informacji, skutków naruszenia zasad bezpieczeństwa informacji, odpowiedzialności prawnej oraz stosowania środków zapewniających bezpieczeństwo informacji,
- nadawanie pracownikom uprawnień w systemach operacyjnych komputerów oraz systemach HIS w stopniu adekwatnym do realizowanych przez nich zadań,
- wprowadzenie zindywidualizowanej autoryzacji dostępu do posiadanych zasobów informatycznych,
- przechowywanie kopii bezpieczeństwa posiadanych zasobów informacyjnych w innym miejscu niż dane produkcyjne,
- zapewnienie zabezpieczeń fizycznych infrastruktury informatycznej, uniemożliwiających dostęp osób nieuprawnionych oraz zapewniających ochronę przed skutkami zdarzeń losowych (np. pożar, powódź, wichura),
- zapewnienie, aby osoby, które uzyskują dostęp do danych osobowych posiadały stosowne upoważniania ADO w tym zakresie,
- przekazywanie firmom świadczącym usługi serwisowe jedynie danych osobowych niezbędnych do usunięcia usterek oprogramowania,
- objęcie nadzorem w podległych podmiotach leczniczych zagadnień związanych z ochroną danych osobowych pacjentów,
- przeprowadzanie systemowych kontroli przestrzegania zasad ochrony danych osobowych w jednostkach z sektora ochrony zdrowia, z uwagi na przetwarzanie przez te podmioty szczególnych kategorii danych osobowych,
- niezwłoczne zakończenie działań związanych z przyjęciem Kodeksu postępowania dla sektora ochrony zdrowia oraz wprowadzenie regulacji dotyczących certyfikacji, o której mowa w art. 42 RODO.

Jeśli chcesz ściągnąć raport, kliknij w: „Wdrożenie przez podmioty lecznicze regulacji dotyczących ochrony danych osobowych”.

Zachęcamy do polubienia profilu „Menedżera Zdrowia” na Facebooku: www.facebook.com/MenedzerZdrowia i obserwowania kont na Twitterze i LinkedInie: www.twitter.com/MenedzerZdrowia i www.linkedin.com/MenedzerZdrowia.
 
© 2024 Termedia Sp. z o.o. All rights reserved.
Developed by Bentus.