W połowie listopada Najwyższa Izba Kontroli opublikowała raport dotyczący ochrony danych osobowych w szpitalach. Kontroli podlegał okres od momentu wejścia w życie przepisów o RODO – tj. od 25 maja 2018 r., do 23 kwietnia 2019 r. Badaniem zostały objęte 24 placówki lecznicze z sześciu województw: podlaskiego, lubelskiego, lubuskiego, małopolskiego, wielkopolskiego i zachodniopomorskiego. Wnioski pokontrolne ukazują szeroki katalog naruszeń.
Podsumowanie
- Liczba oraz katalog naruszeń dotyczących ochrony danych osobowych w placówkach służby zdrowia jest ogromna – wymaga niezwłocznego ukończenia prac związanych z opracowaniem i wdrożeniem Kodeksu postępowania dla sektora ochrony zdrowia.
- Niezbędne są sektorowe kontrole w jednostkach ochrony zdrowia a także szeroko zakrojone szkolenia lub kampanie informacyjne nastawione na wyeliminowanie rutyny oraz braku świadomości personelu odpowiedzialnego za przetwarzanie danych osobowych w placówkach medycznych.
Przedmiotem analizy NIK było ustalenie stanu faktycznego związanego z wdrożeniem przepisów dotyczących przetwarzania danych osobowych w różnych częściach kraju i w placówkach o różnym statusie właścicielskim. Co ustalili kontrolerzy? W raporcie czytamy, że personel działa rutynowo, schematycznie – jakby nic w obszarze ochrony danych osobowych się nie zmieniło. Tylko nieliczne szpitale wprowadziły rozwiązania, które określają zasady przechowywania dokumentacji papierowej czy dostępu do niej oraz procedury w obszarze cyfrowym.
Kategorie naruszeń dotyczących ochrony danych osobowych w placówkach służby zdrowia
Kilka poniższych przykładów obrazuje kategorie naruszeń.
- Niemal w żadnym ze skontrolowanych podmiotów leczniczych dane osobowe nie był prawidłowo zabezpieczane po wejściu w życiu przepisów RODO.
- 16 spośród 24 kontrolowanych placówek nie było przygotowanych do stosowania regulacji RODO, tj. nie wdrożono stosownych procedur i dokumentów lub wdrożono je z opóźnieniem.
- Istotny czynnik generujący ryzyko to brak świadomości i wiedzy. NIK potwierdził, że jedynie 9 z 24 placówek objęło szkoleniami cały personel.
- Jedynie 3 kontrolowane szpitale przyjęły zabezpieczenia, które stworzyły odpowiednie warunki ochrony danych osobowych przy rejestracji wizyty pacjenta, jego identyfikacji i przechowania dokumentacji medycznej.
- Istotne naruszenia dotyczą ograniczania dostępu do danych osobowych. NIK wskazuje, że co 11 pielęgniarka miała dostęp do danych medycznych pacjentów leczonych na innych oddziałach danego szpitala. W 15 placówkach stwierdzono, że byłym pracownikom personelu medycznego nie odbiera się niezwłocznie uprawnień do pracy i wglądu w systemy informatyczne. Aż w 11 szpitalach w nieuprawniony sposób przekazywano dane osobowe pacjentów podmiotom serwisującym oprogramowanie.
- W 18 szpitalach nie przestrzegano wymogów dotyczących nadawania właściwych uprawnień do administrowania systemami informatycznymi, ochrony przed złośliwym oprogramowaniem oraz odpowiedniej autoryzacji. Co oznacza, że pracownicy mogli samowolnie i bez kontroli instalować oprogramowanie lub wyłączać aktywną ochronę antywirusową.
Dla potrzeb lepszej ilustracji problemu, uwagi pokontrolne NIK zostały pogrupowane w poniższej tabeli w odrębne kategorie. Odnoszą się do obszarów: informatycznego, organizacyjnego (dot. poprawności regulacji wewnętrznych i dokumentacji), technicznego (dot. głównie fizycznych zabezpieczeń) oraz bezpośredniej obsługi pacjenta.
Obszar informatyczny | Obszar organizacyjny | Obszar techniczny | Obszar bezpośredniej obsługi pacjenta |
Nieodbieranie dostępów do pracy w systemach informatycznych zwolnionemu personelowi – działanie nie było realizowane natychmiastowo (62,5%[1]). | Brak możliwości zachowania prywatności w trakcie rejestracji pacjentów, identyfikacji pacjenta na oddziale, jak i przechowania dokumentacji danego pacjenta (87,5%). | Przechowanie dokumentacji medycznej w niezamykanych szafkach ulokowanych w niemal ogólnodostępnych pomieszczeniach (37%). | Niezapewnienie dostępu do klauzuli informacyjnej, o której mowa w art. 13 RODO (12,5%). |
Nadawanie zbyt szerokich uprawnień do pracy w systemach informatycznych personelowi medycznemu (nadawanie uprawnień administratora pozwalających m.in. na samodzielne instalowanie oprogramowania (42%) i/lub zbyt szeroki dostęp do danych pacjentów, którzy byli leczeni na innych oddziałach (33,3%). | Braki lub nieterminowe zrealizowanie oceny ryzyka procesów przetwarzania danych osobowych, wynikającego z przypadkowego lub niezgodnego z prawem ich zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do takich danych przesyłanych, przechowywanych albo w inny sposób przetwarzanych (46%).
Analogiczne braki dotyczyły także oceny skutków dla ochrony danych, tj. tzw. DPIA (50%). |
Brak odpowiednich środków technicznych zabezpieczających dane osobowe przetwarzane w formie elektronicznej (75%). | Rejestrowanie pacjentów z naruszeniem prawa do prywatności (37,5%). |
Niewłaściwe zabezpieczenie przechowywanych kopii zapasowych (21%). | Utrzymywanie nieaktualnej dokumentacji z zakresu ochrony danych osobowych, która odnosiła się do uchylonej ustawy z roku 1997 i przewidzianych dla niej aktów wykonawczych (45,8%). | Niedostateczne zabezpieczenie fizycznego dostępu do serwerowni (8%). | Nieprawidłowe udostępnienie kopii dokumentacji medycznej lub udostępnienie dokumentacji osobie nieupoważnionej (17%). |
Ujawnianie danych osobowych pacjentów w zgłoszeniach serwisowych dotyczących systemów IT w sytuacji, gdy nie było to konieczne (46%). | Nieterminowe opracowanie lub nierzetelne prowadzenie rejestru czynności przetwarzania (25%). | Umieszczenie danych osobowych, w sposób ogólnodostępny, na łóżkach szpitalnych (13%). | |
Brak oprogramowania antywirusowego w części komputerów (12,5%). | Brak umów powierzenia danych osobowych do przetwarzania w sytuacji gdy były one niezbędne lub wadliwa konstrukcja w/w umów (21%). | ||
Możliwość uruchomienia komputera bez uwierzytelnienia (12,5%). | Brak szkoleń dla personelu przetwarzającego dane osobowe (62,5%). | ||
Brak indywidualnych loginów i haseł przydzielonych pracownikom pracującym w systemach informatycznych (50%). | Nadanie upoważnień do przetwarzania danych osobowych personelowi, który nie musiał dokonywać przetwarzania – np. sanitariusze (29,2) | ||
Stosowanie haseł dostępowych, które nie spełniały wewnętrznie ustalonych kryteriów (29,2%). |
[1] W nawiasach podano procent liczby badanych placówek, których dotyczy dane naruszenie.
Zaniechania lub błędy wspomniane w tabeli spowodowały, że w ponad połowie z badanych placówek doszło do naruszeń ochrony danych osobowych, a w przypadku szczęściu incydentów konieczne było powiadomienie Prezesa Urzędu Ochrony Danych Osobowych. Szczególnie uderzające są naruszenia dotyczące obszaru IT (np. wspólne hasała i loginy), czy też obszaru technicznego zabezpieczenia danych (np. przechowanie dokumentacji medycznej w niezamykanych szafach). W szeroko pojętym sektorze prywatnym są to zachowania niemal całkowicie wyeliminowane, nawet w małych organizacjach.
Przykłady naruszeń ochrony danych osobowych, sygnalizowane w raporcie NIK
Poniżej przegląd konkretnych przykładów wybranych naruszeń ochrony danych osobowych, które szczegółowo opisano w raporcie NIK. Pośród nich warto zwrócić uwagę zwłaszcza na naruszenia wynikające z rutyny lub braku świadomości personelu odpowiedzialnego za przetwarzanie danych osobowych.
- W Samodzielnym Publicznym Szpitalu dla Nerwowo i Psychicznie Chorych w Międzyrzeczu nie zawarto dwóch umów powierzenia przetwarzania danych, w których szpital powinien wystąpić jako administrator danych. W obu przypadkach podmioty przetwarzające odmówiły podpisania umów: jeden uzasadniał to tym, że jako sieć ogólnopolska przygotuje własny wzór umowy powierzenia przetwarzania danych, z drugim podmiotem szpital podejmie dalsze kroki w celu zawarcia umowy.
- W Szpitalu im. E. Szczeklika w Tarnowie szkoleniami objęto jedynie 6% personelu. Argumentowano to specyfiką działalności podmiotu leczniczego, co znacząco utrudnia przeszkolenie całej kadry w jednym ustalonym terminie i proces ten wymaga realizacji etapami.
- W Szpitalu Wojewódzkim im. Mikołaja Kopernika w Koszalinie stwierdzono przypadek logowania się byłego pracownika do systemu operacyjnego po dniu zakończenia przez niego pracy w szpitalu. Zakończenie zatrudnienia nastąpiło 30 września 2018 r., a logowanie miało miejsce 4 października 2018 r. Według pracowników służb informatycznych, konto użytkownika blokowane jest w dniu, w którym ten pracownik zgłasza się z kartą obiegową, lecz nie potrafili wyjaśnić przyczyny aktywności konta po dacie rozwiązania umowy o pracę tego pracownika.
- Za szczególnie niepokojącą należy uznać sytuację stwierdzoną w jednym ze szpitali, w którym rejestratorka opuściła pomieszczenie, pozostawiając niezamknięte drzwi i włączony komputer, niezabezpieczony przed dostępem do systemu operacyjnego osób nieupoważnionych.
- W Powiatowym Centrum Zdrowia w Drezdenku – z powodu niedopatrzenia – przy żadnym okienku rejestracji pacjentów ani w ogólnodostępnym dla nich miejscu nie umieszczono klauzul informacyjnych RODO. W trakcie kontroli NIK w budynku szpitala klauzule informacyjne RODO zamieszczono na tablicach informacyjnych, w głównej rejestracji i w izbie przyjęć.
- W Szpitalu Specjalistycznym im. Ludwika Rydygiera w Krakowie doszło do nieumyślnego zabrania dokumentacji medycznej pacjenta przez innego pacjenta jednej z poradni. Przyczyną zdarzenia było naruszenie „zasady czystego biurka” przez personel medyczny.
- W Białostockim Centrum Onkologii im. M. Skłodowskiej-Curie dokumentację medyczną pełnoletniego pacjenta udostępniono na podstawie listu otrzymanego przez szpital od osoby podającej się za matkę pacjenta, która nie przedstawiła stosownego upoważnienia w tym zakresie.
Newsletter "Alerty RODO" - nie daj się zaskoczyć!
Wnioski z raportu NIK
Z raportu wynika, że zaniechania personelu spowodowały, iż w ponad połowie z badanych szpitali doszło do naruszeń ochrony danych osobowych, a w przypadku sześciu incydentów konieczne było powiadomienie Prezesa Urzędu Ochrony Danych Osobowych.
Wnioski końcowe NIK, które w części skierowano do Prezesa UODO, jednoznacznie wskazują na potrzebę przeprowadzenia kontroli sektorowych w jednostkach ochrony zdrowia, a także niezwłocznego ukończenia prac związanych z opracowaniem i wdrożeniem Kodeksu postępowania dla sektora ochrony zdrowia. Kompletny raport NIK wraz z prezentacją graficzną jest dostępny na stronie internetowej NIK.