Niedostatki w ochronie danych w szpitalach według NIK

Dodano: 18 listopada 2019
4fd2b760b535389e0f3bff45380bc9a019dabcef-xlarge(2)

Jak wykazała kontrola NIK stosowane w szpitalach rozwiązania w zakresie ochrony danych nie gwarantują bezpieczeństwa przechowywania papierowej dokumentacji medycznej oraz prawa pacjentów do prywatności w trakcie rejestracji lub na salach szpitalnych. Izba zarzuca przede wszystkim rutynę i działanie w ramach utartych schematów. Oto, jakie naruszenia najczęściej stwierdzano.

Nieprawidłowo przechowywana dokumentacja

Co istotne, w ponad połowie szpitali objętych kontrolo stwierdzono naruszenia ochrony danych (w sześciu z nich zawiadamiany był Prezes UODO). Dochodziło m.in. do przypadków, w których jeden z pacjentów omyłkowo zabrał dokumentację medyczną innego pacjenta. Doszło też do kradzieży kartotek pacjentów. Wiele do życzenia pozostawiał sposób przechowywania dokumentacji w 9 szpitalach – przechowywano ją w niezamykanych szafkach lub na półkach.

Błędy w udostępnianiu dokumentacji …

Stwierdzono również nieprawidłowości w zakresie udostępniania dokumentacji medycznej osobom trzecim. Otóż w dwóch szpitalach kopie dokumentacji udostępniono osobom, które nie zostały upoważnione przez pacjenta. W tym również doszło do udostępnienia dokumentacji medycznej za pośrednictwem poczty e-mail na wniosek złożony właśnie w tej formie, bez wglądu w dokument tożsamości.

… i w upoważnieniach do przetwarzania danych

7 szpitali udzieliło upoważnień do dostępu do dokumentacji pracownikom, którzy takie dostępu nie powinni otrzymać np. salowym i sanitariuszom. W jednej placówce część lekarzy i pielęgniarek miała dostęp do danych osobowych pomimo braku uprawnień do ich przetwarzania. Poza tym w 15 skontrolowanych szpitalach osobom odchodzącym z pracy nie cofano uprawnień do dostępu do systemów informatycznych. Dodatkowo w ośmiu szpitalach w systemie IT do obsługi pacjenta części pielęgniarek i położnych przyznano dostęp do danych osobowych oraz medycznych pacjentów z oddziałów szpitala, na których te osoby nie pracowały

Niektóre szpitale na bakier z prawem do prywatności

Co więcej w jednym szpitalu wywieszono listę pacjentów, na której podana była godzina planowanej wizyty oraz pierwsze trzy litery imienia i pierwsze cztery litery nazwiska. Rodziło to ryzyko ujawnienia danych pacjentów. Poza tym 11 z 24 skontrolowanych szpitali umieszczała dane osobowe na opaskach dla pacjentów, co również należy uznać za nieprawidłowość. Zaś w trzech szpitala dane osobowe pacjentów umieszczone były na szpitalnych łóżkach.

W 11 szpitalach przekazywano dane osobowe pacjentów firmom informatycznym serwisującym szpitale systemy IT. Zgłoszenia serwisowe zawierały informacje o pacjencie i jego historii leczenia, mimo że dane te nie były konieczne do usunięcia usterki. Było to niewłaściwe postępowanie z uwagi na duże ryzyko wycieku danych.

Niedostateczna ochrona przed cyberatakiem

Podczas kontroli stwierdzono również, że w 10 szpitalach pracownicy posiadali uprawnienia administratora systemów operacyjnych wykorzystywanych komputerów, mimo że nie byli informatykami. Z kolei w trzech szpitalach część komputerów nie miała zainstalowanego oprogramowania antywirusowego. Poza tym poszczególni pracownicy niektórych szpitali nie otrzymywali zindywidualizowanych danych do autoryzacji w systemach operacyjnych komputerów. W efekcie z tych samych loginów i haseł korzystały grupy pracowników, najczęściej zatrudnionych na tym samym oddziale. Miały miejsce także sytuacje, w których uzyskanie dostępu do komputerach nie wymagało podawania żadnych danych autoryzacyjnych. Natomiast w 7 szpitalach na części komputerów stosowano hasła uwierzytelniające, które nie spełniały przyjętych przez szpital wymogów złożoności (za mało znaków lub brak znaków określonego typu). W 5 szpitalach kopie bezpieczeństwa baz danych przechowywano w niewłaściwy sposób a mianowicie w tym samym miejscu, co dane źródłowe. Zabrakło również właściwych zabezpieczeń dla serwerowni w dwóch szpitalach.

Tylko 13 szpitali przeprowadziło analizę ryzyka

Mimo, że RODO weszło w życie już ponad rok temu, 13 szpitali nie przeprowadziło analizy ryzyka w celu przygotowania się do wejścia w życie rozporządzenia unijnego. Oprócz tego prawie połowa skontrolowanych podmiotów leczniczych nie zaktualizowała wraz z wejściem w życie RODO dokumentacji dotyczącej bezpieczeństwa danych osobowych oraz sposobów ich przetwarzania.

Problemem nieprzeszkolony personel

Jedynie w 9 szpitalach co najmniej 95% personelu zostało przeszkolone w zakresie ochrony danych osobowych. W jednym szpitalu takie szkolenia były rzadkością – przeszkolono tylko co dziesiątego pracownika.

Wnioski NIK

Na podstawie przeprowadzonej kontroli Izba przedstawiła następujące wnioski:

Adresat

Wnioski

Prezes UODO

    • przeprowadzanie systemowych kontroli przestrzegania zasad ochrony danych osobowych w jednostkach z sektora ochrony zdrowia oraz
    • niezwłoczne zakończenie działań związanych z przyjęciem Kodeksu postępowania dla sektora ochrony zdrowia i wprowadzenie regulacji dotyczących certyfikacji, o której mowa w art. 42 RODO.

Organy założycielskie szpitali

  • nadzorowanie zagadnień związanych z ochroną danych osobowych pacjentów w podległych podmiotach leczniczych.

Kierownicy podmiotów leczniczych

    • analizowanie ryzyka dotyczącego ochrony danych osobowych, zgodnie z aktualną wiedzą techniczną, a następnie stosowanie rozwiązań adekwatnych do ustalonych zagrożeń,
    • regularne szkolenie osób uczestniczących w procesach przetwarzania informacji, ze szczególnym uwzględnieniem zagrożeń bezpieczeństwa informacji, skutków naruszenia zasad bezpieczeństwa informacji, odpowiedzialności prawnej oraz stosowania środków zapewniających bezpieczeństwo informacji,
    • nadawanie pracownikom uprawnień w systemach operacyjnych komputerów oraz systemach HIS w stopniu adekwatnym do realizowanych przez nich zadań,
    • wprowadzenie zindywidualizowanej autoryzacji dostępu do posiadanych zasobów informatycznych,
    • przechowywanie kopii bezpieczeństwa posiadanych zasobów informacyjnych w innym miejscu niż dane produkcyjne,
    • zapewnienie zabezpieczeń fizycznych infrastruktury informatycznej, uniemożliwiających dostęp osób nieuprawnionych oraz zapewniających ochronę przed skutkami zdarzeń losowych (np. pożar, powódź, wichura),
    • zapewnienie, aby osoby, które uzyskują dostęp do danych osobowych, posiadały stosowne upoważnienia administratora danych osobowych w tym zakresie,
    • przekazywanie firmom świadczącym usługi serwisowe jedynie danych niezbędnych do usunięcia usterek oprogramowania.
Źródło:

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel