W połowie listopada Najwyższa Izba Kontroli opublikowała raport dotyczący ochrony danych osobowych w szpitalach. Kontroli podlegał okres od momentu wejścia w życie przepisów o RODO – tj. od 25 maja 2018 r., do 23 kwietnia 2019 r. Badaniem zostały objęte 24 placówki lecznicze z sześciu województw: podlaskiego, lubelskiego, lubuskiego, małopolskiego, wielkopolskiego i zachodniopomorskiego. Wnioski pokontrolne ukazują szeroki katalog naruszeń.

Przedmiotem analizy NIK było ustalenie stanu faktycznego związanego z wdrożeniem przepisów dotyczących przetwarzania danych osobowych w różnych częściach kraju i w placówkach o różnym statusie właścicielskim. Co ustalili kontrolerzy? W raporcie czytamy, że personel działa rutynowo, schematycznie – jakby nic w obszarze ochrony danych osobowych się nie zmieniło. Tylko nieliczne szpitale wprowadziły rozwiązania, które określają zasady przechowywania dokumentacji papierowej czy dostępu do niej oraz procedury w obszarze cyfrowym.

Kategorie naruszeń dotyczących ochrony danych osobowych w placówkach służby zdrowia

Kilka poniższych przykładów obrazuje kategorie naruszeń.

  • Niemal w żadnym ze skontrolowanych podmiotów leczniczych dane osobowe nie był prawidłowo zabezpieczane po wejściu w życiu przepisów RODO.
  • 16 spośród 24 kontrolowanych placówek nie było przygotowanych do stosowania regulacji RODO, tj. nie wdrożono stosownych procedur i dokumentów lub wdrożono je z opóźnieniem.
  • Istotny czynnik generujący ryzyko to brak świadomości i wiedzy. NIK potwierdził, że jedynie 9 z 24 placówek objęło szkoleniami cały personel.
  • Jedynie 3 kontrolowane szpitale przyjęły zabezpieczenia, które stworzyły odpowiednie warunki ochrony danych osobowych przy rejestracji wizyty pacjenta, jego identyfikacji i przechowania dokumentacji medycznej.
  • Istotne naruszenia dotyczą ograniczania dostępu do danych osobowych. NIK wskazuje, że co 11 pielęgniarka miała dostęp do danych medycznych pacjentów leczonych na innych oddziałach danego szpitala. W 15 placówkach stwierdzono, że byłym pracownikom personelu medycznego nie odbiera się niezwłocznie uprawnień do pracy i wglądu w systemy informatyczne. Aż w 11 szpitalach w nieuprawniony sposób przekazywano dane osobowe pacjentów podmiotom serwisującym oprogramowanie.
  • W 18 szpitalach nie przestrzegano wymogów dotyczących nadawania właściwych uprawnień do administrowania systemami informatycznymi, ochrony przed złośliwym oprogramowaniem oraz odpowiedniej autoryzacji. Co oznacza, że pracownicy mogli samowolnie i bez kontroli instalować oprogramowanie lub wyłączać aktywną ochronę antywirusową.

Dla potrzeb lepszej ilustracji problemu, uwagi pokontrolne NIK zostały pogrupowane w poniższej tabeli w odrębne kategorie. Odnoszą się do obszarów: informatycznego, organizacyjnego (dot. poprawności regulacji wewnętrznych i dokumentacji), technicznego (dot. głównie fizycznych zabezpieczeń) oraz bezpośredniej obsługi pacjenta.

Obszar informatyczny Obszar organizacyjny Obszar techniczny Obszar bezpośredniej obsługi pacjenta
Nieodbieranie dostępów do pracy w systemach informatycznych zwolnionemu personelowi – działanie nie było realizowane natychmiastowo (62,5%[1]). Brak możliwości zachowania prywatności w trakcie rejestracji pacjentów, identyfikacji pacjenta na oddziale, jak i przechowania dokumentacji danego pacjenta (87,5%). Przechowanie dokumentacji medycznej w niezamykanych szafkach ulokowanych w niemal ogólnodostępnych pomieszczeniach (37%). Niezapewnienie dostępu do klauzuli informacyjnej, o której mowa w art. 13 RODO (12,5%).
Nadawanie zbyt szerokich uprawnień do pracy w systemach informatycznych personelowi medycznemu (nadawanie uprawnień administratora pozwalających m.in. na samodzielne instalowanie oprogramowania (42%) i/lub zbyt szeroki dostęp do danych pacjentów, którzy byli leczeni na innych oddziałach (33,3%). Braki lub nieterminowe zrealizowanie oceny ryzyka procesów przetwarzania danych osobowych, wynikającego z przypadkowego lub niezgodnego z prawem ich zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do takich danych przesyłanych, przechowywanych albo w inny sposób przetwarzanych (46%).

Analogiczne braki dotyczyły także oceny skutków dla ochrony danych, tj. tzw. DPIA (50%).

Brak odpowiednich środków technicznych zabezpieczających dane osobowe przetwarzane w formie elektronicznej (75%). Rejestrowanie pacjentów z naruszeniem prawa do prywatności (37,5%).
Niewłaściwe zabezpieczenie przechowywanych kopii zapasowych (21%). Utrzymywanie nieaktualnej dokumentacji z zakresu ochrony danych osobowych, która odnosiła się do uchylonej ustawy z roku 1997 i przewidzianych dla niej aktów wykonawczych (45,8%). Niedostateczne zabezpieczenie fizycznego dostępu do serwerowni (8%). Nieprawidłowe udostępnienie kopii dokumentacji medycznej lub udostępnienie dokumentacji osobie nieupoważnionej (17%).
Ujawnianie danych osobowych pacjentów w zgłoszeniach serwisowych dotyczących systemów IT w sytuacji, gdy nie było to konieczne (46%). Nieterminowe opracowanie lub nierzetelne prowadzenie rejestru czynności przetwarzania (25%). Umieszczenie danych osobowych, w sposób ogólnodostępny, na łóżkach szpitalnych (13%).
Brak oprogramowania antywirusowego w części komputerów (12,5%). Brak umów powierzenia danych osobowych do przetwarzania w sytuacji gdy były one niezbędne lub wadliwa konstrukcja w/w umów (21%).
Możliwość uruchomienia komputera bez uwierzytelnienia (12,5%). Brak szkoleń dla personelu przetwarzającego dane osobowe (62,5%).
Brak indywidualnych loginów i haseł przydzielonych pracownikom pracującym w systemach informatycznych (50%). Nadanie upoważnień do przetwarzania danych osobowych personelowi, który nie musiał dokonywać przetwarzania – np. sanitariusze (29,2)
Stosowanie haseł dostępowych, które nie spełniały wewnętrznie ustalonych kryteriów (29,2%).

 

[1] W nawiasach podano procent liczby badanych placówek, których dotyczy dane naruszenie.

Zaniechania lub błędy wspomniane w tabeli spowodowały, że w ponad połowie z badanych placówek doszło do naruszeń ochrony danych osobowych, a w przypadku szczęściu incydentów konieczne było powiadomienie Prezesa Urzędu Ochrony Danych Osobowych. Szczególnie uderzające są naruszenia dotyczące obszaru IT (np. wspólne hasała i loginy), czy też obszaru technicznego zabezpieczenia danych (np. przechowanie dokumentacji medycznej w niezamykanych szafach). W szeroko pojętym sektorze prywatnym są to zachowania niemal całkowicie wyeliminowane, nawet w małych organizacjach.

Przykłady naruszeń ochrony danych osobowych, sygnalizowane w raporcie NIK

Poniżej przegląd konkretnych przykładów wybranych naruszeń ochrony danych osobowych, które szczegółowo opisano w raporcie NIK. Pośród nich warto zwrócić uwagę zwłaszcza na naruszenia wynikające z rutyny lub braku świadomości personelu odpowiedzialnego za przetwarzanie danych osobowych.

  • W Samodzielnym Publicznym Szpitalu dla Nerwowo i Psychicznie Chorych w Międzyrzeczu nie zawarto dwóch umów powierzenia przetwarzania danych, w których szpital powinien wystąpić jako administrator danych. W obu przypadkach podmioty przetwarzające odmówiły podpisania umów: jeden uzasadniał to tym, że jako sieć ogólnopolska przygotuje własny wzór umowy powierzenia przetwarzania danych, z drugim podmiotem szpital podejmie dalsze kroki w celu zawarcia umowy.
  • W Szpitalu im. E. Szczeklika w Tarnowie szkoleniami objęto jedynie 6% personelu. Argumentowano to specyfiką działalności podmiotu leczniczego, co znacząco utrudnia przeszkolenie całej kadry w jednym ustalonym terminie i proces ten wymaga realizacji etapami.
  • W Szpitalu Wojewódzkim im. Mikołaja Kopernika w Koszalinie stwierdzono przypadek logowania się byłego pracownika do systemu operacyjnego po dniu zakończenia przez niego pracy w szpitalu. Zakończenie zatrudnienia nastąpiło 30 września 2018 r., a logowanie miało miejsce 4 października 2018 r. Według pracowników służb informatycznych, konto użytkownika blokowane jest w dniu, w którym ten pracownik zgłasza się z kartą obiegową, lecz nie potrafili wyjaśnić przyczyny aktywności konta po dacie rozwiązania umowy o pracę tego pracownika.
  • Za szczególnie niepokojącą należy uznać sytuację stwierdzoną w jednym ze szpitali, w którym rejestratorka opuściła pomieszczenie, pozostawiając niezamknięte drzwi i włączony komputer, niezabezpieczony przed dostępem do systemu operacyjnego osób nieupoważnionych.
  • W Powiatowym Centrum Zdrowia w Drezdenku – z powodu niedopatrzenia – przy żadnym okienku rejestracji pacjentów ani w ogólnodostępnym dla nich miejscu nie umieszczono klauzul informacyjnych RODO. W trakcie kontroli NIK w budynku szpitala klauzule informacyjne RODO zamieszczono na tablicach informacyjnych, w głównej rejestracji i w izbie przyjęć.
  • W Szpitalu Specjalistycznym im. Ludwika Rydygiera w Krakowie doszło do nieumyślnego zabrania dokumentacji medycznej pacjenta przez innego pacjenta jednej z poradni. Przyczyną zdarzenia było naruszenie „zasady czystego biurka” przez personel medyczny.
  • W Białostockim Centrum Onkologii im. M. Skłodowskiej-Curie dokumentację medyczną pełnoletniego pacjenta udostępniono na podstawie listu otrzymanego przez szpital od osoby podającej się za matkę pacjenta, która nie przedstawiła stosownego upoważnienia w tym zakresie.

Newsletter "Alerty RODO" - nie daj się zaskoczyć!

Wnioski z raportu NIK

Z raportu wynika, że zaniechania personelu spowodowały, iż w ponad połowie z badanych szpitali doszło do naruszeń ochrony danych osobowych, a w przypadku sześciu incydentów konieczne było powiadomienie Prezesa Urzędu Ochrony Danych Osobowych.

Wnioski końcowe NIK, które w części skierowano do Prezesa UODO, jednoznacznie wskazują na potrzebę przeprowadzenia kontroli sektorowych w jednostkach ochrony zdrowia, a także niezwłocznego ukończenia prac związanych z opracowaniem i wdrożeniem Kodeksu postępowania dla sektora ochrony zdrowia. Kompletny raport NIK wraz z prezentacją graficzną jest dostępny na stronie internetowej NIK.

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie RODO w placówkach służby zdrowia

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Pole zawiera niedozwolone znaki

Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.