W połowie listopada Najwyższa Izba Kontroli opublikowała raport dotyczący ochrony danych osobowych w szpitalach. Kontroli podlegał okres od momentu wejścia w życie przepisów o RODO – tj. od 25 maja 2018 r., do 23 kwietnia 2019 r. Badaniem zostały objęte 24 placówki lecznicze z sześciu województw: podlaskiego, lubelskiego, lubuskiego, małopolskiego, wielkopolskiego i zachodniopomorskiego. Wnioski pokontrolne ukazują szeroki katalog naruszeń.
Podsumowanie
- Liczba oraz katalog naruszeń dotyczących ochrony danych osobowych w placówkach służby zdrowia jest ogromna – wymaga niezwłocznego ukończenia prac związanych z opracowaniem i wdrożeniem Kodeksu postępowania dla sektora ochrony zdrowia.
- Niezbędne są sektorowe kontrole w jednostkach ochrony zdrowia a także szeroko zakrojone szkolenia lub kampanie informacyjne nastawione na wyeliminowanie rutyny oraz braku świadomości personelu odpowiedzialnego za przetwarzanie danych osobowych w placówkach medycznych.
Przedmiotem analizy NIK było ustalenie stanu faktycznego związanego z wdrożeniem przepisów dotyczących przetwarzania danych osobowych w różnych częściach kraju i w placówkach o różnym statusie właścicielskim. Co ustalili kontrolerzy? W raporcie czytamy, że personel działa rutynowo, schematycznie – jakby nic w obszarze ochrony danych osobowych się nie zmieniło. Tylko nieliczne szpitale wprowadziły rozwiązania, które określają zasady przechowywania dokumentacji papierowej czy dostępu do niej oraz procedury w obszarze cyfrowym.
Kategorie naruszeń dotyczących ochrony danych osobowych w placówkach służby zdrowia
Kilka poniższych przykładów obrazuje kategorie naruszeń.
- Niemal w żadnym ze skontrolowanych podmiotów leczniczych dane osobowe nie był prawidłowo zabezpieczane po wejściu w życiu przepisów RODO.
- 16 spośród 24 kontrolowanych placówek nie było przygotowanych do stosowania regulacji RODO, tj. nie wdrożono stosownych procedur i dokumentów lub wdrożono je z opóźnieniem.
- Istotny czynnik generujący ryzyko to brak świadomości i wiedzy. NIK potwierdził, że jedynie 9 z 24 placówek objęło szkoleniami cały personel.
- Jedynie 3 kontrolowane szpitale przyjęły zabezpieczenia, które stworzyły odpowiednie warunki ochrony danych osobowych przy rejestracji wizyty pacjenta, jego identyfikacji i przechowania dokumentacji medycznej.
- Istotne naruszenia dotyczą ograniczania dostępu do danych osobowych. NIK wskazuje, że co 11 pielęgniarka miała dostęp do danych medycznych pacjentów leczonych na innych oddziałach danego szpitala. W 15 placówkach stwierdzono, że byłym pracownikom personelu medycznego nie odbiera się niezwłocznie uprawnień do pracy i wglądu w systemy informatyczne. Aż w 11 szpitalach w nieuprawniony sposób przekazywano dane osobowe pacjentów podmiotom serwisującym oprogramowanie.
- W 18 szpitalach nie przestrzegano wymogów dotyczących nadawania właściwych uprawnień do administrowania systemami informatycznymi, ochrony przed złośliwym oprogramowaniem oraz odpowiedniej autoryzacji. Co oznacza, że pracownicy mogli samowolnie i bez kontroli instalować oprogramowanie lub wyłączać aktywną ochronę antywirusową.
Dla potrzeb lepszej ilustracji problemu, uwagi pokontrolne NIK zostały pogrupowane w poniższej tabeli w odrębne kategorie. Odnoszą się do obszarów: informatycznego, organizacyjnego (dot. poprawności regulacji wewnętrznych i dokumentacji), technicznego (dot. głównie fizycznych zabezpieczeń) oraz bezpośredniej obsługi pacjenta.
Zaniechania lub błędy wspomniane w tabeli spowodowały, że w ponad połowie z badanych placówek doszło do naruszeń ochrony danych osobowych, a w przypadku szczęściu incydentów konieczne było powiadomienie Prezesa Urzędu Ochrony Danych Osobowych. Szczególnie uderzające są naruszenia dotyczące obszaru IT (np. wspólne hasała i loginy), czy też obszaru technicznego zabezpieczenia danych (np. przechowanie dokumentacji medycznej w niezamykanych szafach). W szeroko pojętym sektorze prywatnym są to zachowania niemal całkowicie wyeliminowane, nawet w małych organizacjach.
Przykłady naruszeń ochrony danych osobowych, sygnalizowane w raporcie NIK
Poniżej przegląd konkretnych przykładów wybranych naruszeń ochrony danych osobowych, które szczegółowo opisano w raporcie NIK. Pośród nich warto zwrócić uwagę zwłaszcza na naruszenia wynikające z rutyny lub braku świadomości personelu odpowiedzialnego za przetwarzanie danych osobowych.
- W Samodzielnym Publicznym Szpitalu dla Nerwowo i Psychicznie Chorych w Międzyrzeczu nie zawarto dwóch umów powierzenia przetwarzania danych, w których szpital powinien wystąpić jako administrator danych. W obu przypadkach podmioty przetwarzające odmówiły podpisania umów: jeden uzasadniał to tym, że jako sieć ogólnopolska przygotuje własny wzór umowy powierzenia przetwarzania danych, z drugim podmiotem szpital podejmie dalsze kroki w celu zawarcia umowy.
- W Szpitalu im. E. Szczeklika w Tarnowie szkoleniami objęto jedynie 6% personelu. Argumentowano to specyfiką działalności podmiotu leczniczego, co znacząco utrudnia przeszkolenie całej kadry w jednym ustalonym terminie i proces ten wymaga realizacji etapami.
- W Szpitalu Wojewódzkim im. Mikołaja Kopernika w Koszalinie stwierdzono przypadek logowania się byłego pracownika do systemu operacyjnego po dniu zakończenia przez niego pracy w szpitalu. Zakończenie zatrudnienia nastąpiło 30 września 2018 r., a logowanie miało miejsce 4 października 2018 r. Według pracowników służb informatycznych, konto użytkownika blokowane jest w dniu, w którym ten pracownik zgłasza się z kartą obiegową, lecz nie potrafili wyjaśnić przyczyny aktywności konta po dacie rozwiązania umowy o pracę tego pracownika.
- Za szczególnie niepokojącą należy uznać sytuację stwierdzoną w jednym ze szpitali, w którym rejestratorka opuściła pomieszczenie, pozostawiając niezamknięte drzwi i włączony komputer, niezabezpieczony przed dostępem do systemu operacyjnego osób nieupoważnionych.
- W Powiatowym Centrum Zdrowia w Drezdenku – z powodu niedopatrzenia – przy żadnym okienku rejestracji pacjentów ani w ogólnodostępnym dla nich miejscu nie umieszczono klauzul informacyjnych RODO. W trakcie kontroli NIK w budynku szpitala klauzule informacyjne RODO zamieszczono na tablicach informacyjnych, w głównej rejestracji i w izbie przyjęć.
- W Szpitalu Specjalistycznym im. Ludwika Rydygiera w Krakowie doszło do nieumyślnego zabrania dokumentacji medycznej pacjenta przez innego pacjenta jednej z poradni. Przyczyną zdarzenia było naruszenie „zasady czystego biurka” przez personel medyczny.
- W Białostockim Centrum Onkologii im. M. Skłodowskiej-Curie dokumentację medyczną pełnoletniego pacjenta udostępniono na podstawie listu otrzymanego przez szpital od osoby podającej się za matkę pacjenta, która nie przedstawiła stosownego upoważnienia w tym zakresie.
Newsletter "Alerty RODO" - nie daj się zaskoczyć!
Wnioski z raportu NIK
Z raportu wynika, że zaniechania personelu spowodowały, iż w ponad połowie z badanych szpitali doszło do naruszeń ochrony danych osobowych, a w przypadku sześciu incydentów konieczne było powiadomienie Prezesa Urzędu Ochrony Danych Osobowych.
Wnioski końcowe NIK, które w części skierowano do Prezesa UODO, jednoznacznie wskazują na potrzebę przeprowadzenia kontroli sektorowych w jednostkach ochrony zdrowia, a także niezwłocznego ukończenia prac związanych z opracowaniem i wdrożeniem Kodeksu postępowania dla sektora ochrony zdrowia. Kompletny raport NIK wraz z prezentacją graficzną jest dostępny na stronie internetowej NIK.