GrantThornton - regiony

W połowie listopada Najwyższa Izba Kontroli opublikowała raport dotyczący ochrony danych osobowych w szpitalach. Kontroli podlegał okres od momentu wejścia w życie przepisów o RODO – tj. od 25 maja 2018 r., do 23 kwietnia 2019 r. Badaniem zostały objęte 24 placówki lecznicze z sześciu województw: podlaskiego, lubelskiego, lubuskiego, małopolskiego, wielkopolskiego i zachodniopomorskiego. Wnioski pokontrolne ukazują szeroki katalog naruszeń.

Przedmiotem analizy NIK było ustalenie stanu faktycznego związanego z wdrożeniem przepisów dotyczących przetwarzania danych osobowych w różnych częściach kraju i w placówkach o różnym statusie właścicielskim. Co ustalili kontrolerzy? W raporcie czytamy, że personel działa rutynowo, schematycznie – jakby nic w obszarze ochrony danych osobowych się nie zmieniło. Tylko nieliczne szpitale wprowadziły rozwiązania, które określają zasady przechowywania dokumentacji papierowej czy dostępu do niej oraz procedury w obszarze cyfrowym.

Kategorie naruszeń dotyczących ochrony danych osobowych w placówkach służby zdrowia

Kilka poniższych przykładów obrazuje kategorie naruszeń.

  • Niemal w żadnym ze skontrolowanych podmiotów leczniczych dane osobowe nie był prawidłowo zabezpieczane po wejściu w życiu przepisów RODO.
  • 16 spośród 24 kontrolowanych placówek nie było przygotowanych do stosowania regulacji RODO, tj. nie wdrożono stosownych procedur i dokumentów lub wdrożono je z opóźnieniem.
  • Istotny czynnik generujący ryzyko to brak świadomości i wiedzy. NIK potwierdził, że jedynie 9 z 24 placówek objęło szkoleniami cały personel.
  • Jedynie 3 kontrolowane szpitale przyjęły zabezpieczenia, które stworzyły odpowiednie warunki ochrony danych osobowych przy rejestracji wizyty pacjenta, jego identyfikacji i przechowania dokumentacji medycznej.
  • Istotne naruszenia dotyczą ograniczania dostępu do danych osobowych. NIK wskazuje, że co 11 pielęgniarka miała dostęp do danych medycznych pacjentów leczonych na innych oddziałach danego szpitala. W 15 placówkach stwierdzono, że byłym pracownikom personelu medycznego nie odbiera się niezwłocznie uprawnień do pracy i wglądu w systemy informatyczne. Aż w 11 szpitalach w nieuprawniony sposób przekazywano dane osobowe pacjentów podmiotom serwisującym oprogramowanie.
  • W 18 szpitalach nie przestrzegano wymogów dotyczących nadawania właściwych uprawnień do administrowania systemami informatycznymi, ochrony przed złośliwym oprogramowaniem oraz odpowiedniej autoryzacji. Co oznacza, że pracownicy mogli samowolnie i bez kontroli instalować oprogramowanie lub wyłączać aktywną ochronę antywirusową.

Dla potrzeb lepszej ilustracji problemu, uwagi pokontrolne NIK zostały pogrupowane w poniższej tabeli w odrębne kategorie. Odnoszą się do obszarów: informatycznego, organizacyjnego (dot. poprawności regulacji wewnętrznych i dokumentacji), technicznego (dot. głównie fizycznych zabezpieczeń) oraz bezpośredniej obsługi pacjenta.

Zaniechania lub błędy wspomniane w tabeli spowodowały, że w ponad połowie z badanych placówek doszło do naruszeń ochrony danych osobowych, a w przypadku szczęściu incydentów konieczne było powiadomienie Prezesa Urzędu Ochrony Danych Osobowych. Szczególnie uderzające są naruszenia dotyczące obszaru IT (np. wspólne hasała i loginy), czy też obszaru technicznego zabezpieczenia danych (np. przechowanie dokumentacji medycznej w niezamykanych szafach). W szeroko pojętym sektorze prywatnym są to zachowania niemal całkowicie wyeliminowane, nawet w małych organizacjach.

Przykłady naruszeń ochrony danych osobowych, sygnalizowane w raporcie NIK

Poniżej przegląd konkretnych przykładów wybranych naruszeń ochrony danych osobowych, które szczegółowo opisano w raporcie NIK. Pośród nich warto zwrócić uwagę zwłaszcza na naruszenia wynikające z rutyny lub braku świadomości personelu odpowiedzialnego za przetwarzanie danych osobowych.

  • W Samodzielnym Publicznym Szpitalu dla Nerwowo i Psychicznie Chorych w Międzyrzeczu nie zawarto dwóch umów powierzenia przetwarzania danych, w których szpital powinien wystąpić jako administrator danych. W obu przypadkach podmioty przetwarzające odmówiły podpisania umów: jeden uzasadniał to tym, że jako sieć ogólnopolska przygotuje własny wzór umowy powierzenia przetwarzania danych, z drugim podmiotem szpital podejmie dalsze kroki w celu zawarcia umowy.
  • W Szpitalu im. E. Szczeklika w Tarnowie szkoleniami objęto jedynie 6% personelu. Argumentowano to specyfiką działalności podmiotu leczniczego, co znacząco utrudnia przeszkolenie całej kadry w jednym ustalonym terminie i proces ten wymaga realizacji etapami.
  • W Szpitalu Wojewódzkim im. Mikołaja Kopernika w Koszalinie stwierdzono przypadek logowania się byłego pracownika do systemu operacyjnego po dniu zakończenia przez niego pracy w szpitalu. Zakończenie zatrudnienia nastąpiło 30 września 2018 r., a logowanie miało miejsce 4 października 2018 r. Według pracowników służb informatycznych, konto użytkownika blokowane jest w dniu, w którym ten pracownik zgłasza się z kartą obiegową, lecz nie potrafili wyjaśnić przyczyny aktywności konta po dacie rozwiązania umowy o pracę tego pracownika.
  • Za szczególnie niepokojącą należy uznać sytuację stwierdzoną w jednym ze szpitali, w którym rejestratorka opuściła pomieszczenie, pozostawiając niezamknięte drzwi i włączony komputer, niezabezpieczony przed dostępem do systemu operacyjnego osób nieupoważnionych.
  • W Powiatowym Centrum Zdrowia w Drezdenku – z powodu niedopatrzenia – przy żadnym okienku rejestracji pacjentów ani w ogólnodostępnym dla nich miejscu nie umieszczono klauzul informacyjnych RODO. W trakcie kontroli NIK w budynku szpitala klauzule informacyjne RODO zamieszczono na tablicach informacyjnych, w głównej rejestracji i w izbie przyjęć.
  • W Szpitalu Specjalistycznym im. Ludwika Rydygiera w Krakowie doszło do nieumyślnego zabrania dokumentacji medycznej pacjenta przez innego pacjenta jednej z poradni. Przyczyną zdarzenia było naruszenie „zasady czystego biurka” przez personel medyczny.
  • W Białostockim Centrum Onkologii im. M. Skłodowskiej-Curie dokumentację medyczną pełnoletniego pacjenta udostępniono na podstawie listu otrzymanego przez szpital od osoby podającej się za matkę pacjenta, która nie przedstawiła stosownego upoważnienia w tym zakresie.

Newsletter "Alerty RODO" - nie daj się zaskoczyć!

Wnioski z raportu NIK

Z raportu wynika, że zaniechania personelu spowodowały, iż w ponad połowie z badanych szpitali doszło do naruszeń ochrony danych osobowych, a w przypadku sześciu incydentów konieczne było powiadomienie Prezesa Urzędu Ochrony Danych Osobowych.

Wnioski końcowe NIK, które w części skierowano do Prezesa UODO, jednoznacznie wskazują na potrzebę przeprowadzenia kontroli sektorowych w jednostkach ochrony zdrowia, a także niezwłocznego ukończenia prac związanych z opracowaniem i wdrożeniem Kodeksu postępowania dla sektora ochrony zdrowia. Kompletny raport NIK wraz z prezentacją graficzną jest dostępny na stronie internetowej NIK.

Porozmawiajmy o Twoich wyzwaniach

Świadczymy usługi w zakresie RODO w placówkach służby zdrowia

Skontaktujemy się z Tobą w najbliższym dniu roboczym aby porozmawiać o Twoich potrzebach i dopasować do nich naszą ofertę.

Pole zawiera niedozwolone znaki

Nieprawidłowy format. Wprowadź twojadres@twojadomena.pl lub nr telefonu: XXXXXXXXX.

Poproś o kontakt

Niniejsza publikacja została sporządzona z najwyższą starannością, jednak niektóre informacje zostały podane w formie skróconej. W związku z tym artykuły i komentarze zawarte w „Newsletterze” mają charakter poglądowy, a zawarte w nich informacje nie powinny zastąpić szczegółowej analizy zagadnienia. Wobec powyższego Grant Thornton nie ponosi odpowiedzialności za jakiekolwiek straty powstałe w wyniku czynności podjętych lub zaniechanych na podstawie niniejszej publikacji. Jeżeli są Państwo zainteresowani dokładniejszym omówieniem niektórych kwestii poruszonych w bieżącym numerze „Newslettera”, zachęcamy do kontaktu i nawiązania współpracy. Wszelkie uwagi i sugestie prosimy kierować na adres jacek.kowalczyk@pl.gt.com.
Informacja o ciasteczkach

1. W ramach witryny Administrator stosuje pliki Cookies w celu świadczenia usług na najwyższym poziomie, w tym w sposób dostosowany do indywidualnych potrzeb.

2. Korzystanie z witryny bez zmiany ustawień dotyczących Cookies oznacza, że będą one zapisywane na Twoim urządzeniu końcowym. Możesz w każdym czasie dokonać zmiany ustawień dotyczących Cookies w swojej przeglądarce internetowej.

3. Administrator używa technologii Cookies w celu identyfikacji odwiedzających witrynę, w celu prowadzenia statystyk na potrzeby marketingowe, a także w celu poprawnego realizowania innych, oferowanych przez serwis usług.

4. Pliki Cookies, a w tym Cookies sesyjne mogą również dostarczyć informacji na temat Twojego urządzenia końcowego, jak i wersji przeglądarki, której używasz. Zadania te są realizowane dla prawidłowego wyświetlania treści w ramach witryny Administratora.

3. Cookies to krótkie pliki tekstowe. Cookies w żadnym wypadku nie umożliwiają personalnej identyfikacji osoby odwiedzającej witrynę i nie są w nim zapisywane żadne informacje mogące taką identyfikację umożliwić.

Aby zobaczyć pełną listę wykorzystywanych przez nas ciasteczek i dowiedzieć się więcej o ich celach, odwiedź naszą Politykę Prywatności.