Szpital w Kole poważnie naruszył zasady ochrony danych osobowych

GIODO przeprowadził kontrolę w Samodzielnym Publicznym Zakładzie Opieki Zdrowotnej w Kole. Urząd zajął się tą sprawą po doniesieniach serwisu Zaufana Trzecia Strona, który poinformował, że w sieci publicznie dostępne są dane osobowe oraz medyczne 50 tysięcy pacjentów oraz pracowników tej jednostki, w tym ich imiona, nazwiska, numery PESEL, adresy zamieszkania i numery ubezpieczenia oraz numery kont bankowych.

W trakcie kontroli inspektorzy GIODO ustalili, że szpital niewłaściwie i niewystarczająco szybko zareagował na informację o dostępności danych pacjentów i pracowników w sieci. Jak podkreśla GIODO, wobec tak poważnego wycieku danych natychmiastowa reakcja osób odpowiedzialnych z zarządzanie placówką jest niezbędna. Niestety, jak wynika z ustaleń inspektorów GIODO, administrator bezpieczeństwa informacji oraz dyrektor szpitala zostali poinformowani o incydencie dopiero 7 dni po tym, jak informacja ta dotarła do pracownika szpitala. GIODO zażądał w związku z tym wszczęcia postępowania dyscyplinarnego wobec osoby winnej tego opóźnienia, które uniemożliwiło szybką reakcję na wyciek. Można było bowiem dużo wcześniej podjąć działania naprawcze.

Z ustaleń kontrolerów GIODO wynikało również, że wdrożony w serwerowni szpitala system firewall okazał się niewystarczający, by zapobiec nieuprawnionemu dostępowi do szpitalnych danych. GIODO zalecił więc wprowadzenie w krótkim czasie środków technicznych, które zapewnią dodatkową ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń, co w przyszłości powinno uniemożliwić podobny wyciek.

Kontrola GIODO wykazała też zaniedbania w dokumentacji związanej z przetwarzaniem danych osobowych. Braki stwierdzono np. w polityce bezpieczeństwa szpitala, która m.in. w sposób zbyt ogólny opisywała obszar przetwarzania danych, nie zawierała wyszczególnienia wszystkich zbiorów danych oraz wskazania systemów informatycznych służących do ich przetwarzania, brak też było informacji o sposobie przepływu danych między poszczególnymi systemami. Ponadto stwierdzono, że w trzech przypadkach z firmami, z którymi podpisano umowy na wykonywanie świadczeń zdrowotnych (obejmujących przeprowadzanie badań radiologicznych, tomografii komputerowej, diagnostyki laboratoryjnej i badań patomorfologicznych), nie zawarto umów powierzenia przetwarzania danych osobowych. Także instrukcja zarządzania systemem informatycznym nie zawierała wszystkich niezbędnych elementów.

Dodatkowo GIODO zwrócił uwagę na fakt, że wprawdzie dopiero od 25 maja 2018 r., gdy zacznie być stosowane ogólne rozporządzenie o ochronie danych osobowych (RODO), obowiązkiem administratora danych będzie informowanie o wycieku osób, których dane osobowe zostały naruszone i może to rodzić dla nich istotne zagrożenia, niemniej wskazał, że – biorąc ten fakt pod uwagę – zasadne byłoby podjęcie działań prowadzących do przyjęcia odpowiednich procedur w tym zakresie.

Między innymi w wyniku kontroli GIODO szpital podjął liczne działania naprawcze, które mają nie dopuścić do podobnej sytuacji w przyszłości. Szpital zobowiązał się m.in. do przeprowadzenia audytu systemów informatycznych pod kątem ochrony danych osobowych oraz bezpieczeństwa sieci przez podmiot zewnętrzny. Dodatkowo szpital ma poprawić zabezpieczenia serwera, na którym przetwarzane są dane osobowe pacjentów oraz pracowników szpitala – zostaną zmienione wszystkie hasła użytkowników systemów informatycznych, część interfejsów sieciowych oraz usługi poczty elektronicznej zostaną wyłączone. Co więcej, usługa ta przeniesiona została na inny serwer.

Szpital zobowiązał się ponadto do zmian kadrowych w dziale informatyki szpitala i powołania administratora systemów informatycznych. Ma także podjąć współpracę dotyczącą sprawowania nadzoru nad prawidłowym funkcjonowaniem i zabezpieczeniem sieci IT z podmiotem zewnętrznym.

Dodatkowo podmiot zewnętrzny przeprowadzi w szpitalu szkolenia z zakresu ochrony danych osobowych, zostanie opracowana procedura reagowania na naruszenie danych osobowych, a także zostaną zawarte umowy powierzenia przetwarzania danych osobowych z podmiotami, z którymi podpisano umowy na wykonywanie świadczeń zdrowotnych.