Stan wdrażania RODO w podmiotach leczniczych jest wysoko niezadowalający – wynika z kontroli NIK przeprowadzonej w 24 podmiotach leczniczych z terenu sześciu województw: podlaskiego, lubelskiego, lubuskiego, małopolskiego, wielkopolskiego i zachodniopomorskiego.
W każdym z województw do kontroli wytypowano cztery szpitale (dwa miejskie lub powiatowe oraz dwa wojewódzkie) w okresie od 25 maja 2018 r. do 23 kwietnia 2019 r. Taki dobór próby pozwolił na ocenę badanego zagadnienia w różnych regionach kraju oraz w szpitalach o różnej wielkości i statusie właścicielskim.
Brak należytej ochrony
Jak wynika z informacji podanych przez NIK niemal w żadnym ze skontrolowanych podmiotów leczniczych dane osobowe pacjentów nie były prawidłowo chronione i przetwarzane po wejściu w życie przepisów RODO. W konsekwencji kierownicy tych podmiotów i Inspektorzy Ochrony Danych nie zapewnili pacjentom pełnego zabezpieczenia ich danych. Personel medyczny i administracyjny postępował rutynowo, według schematów wypracowanych przed wejściem w życie nowych uregulowań.
Brak należytej dokumentacji
Szesnaście z 24 skontrolowanych podmiotów leczniczych (67%) nie było właściwie przygotowanych do wejścia w życie RODO. Dokumenty i procedury związane z wejściem w życie RODO zostały w nich bowiem wdrożone z opóźnieniem lub do zakończenia kontroli NIK ich nie wprowadzono. W dziewięciu szpitalach analiza ryzyka procesów przetwarzania danych osobowych, która powinna poprzedzić przyjęcie właściwych środków do ochrony danych osobowych, została przeprowadzona po upływie od 35 do 201 dni od dnia wejścia w życie RODO, a w dwóch kolejnych wykonano ją dopiero w trakcie kontroli NIK.
W siedmiu podmiotach leczniczych wewnętrzną dokumentację, opisującą stosowane środki techniczne i organizacyjne związane z zapewnieniem bezpieczeństwa danych osobowych, zaktualizowano po upływie od 37 do 263 dni od wejścia w życie RODO, a w czterech jej nie uaktualniono. W siedmiu szpitalach rejestr czynności przetwarzania założono od 12 do 263 dni od wejścia w życie RODO, a w jednym go nie opracowano.
Jedną z głównych przyczyn wymienionych nieprawidłowości była nieznajomość zagadnień bezpieczeństwa danych osobowych. Tylko w dziewięciu szpitalach szkoleniami w tym zakresie objęto prawie cały personel (co najmniej 95%). W rezultacie w podmiotach tych stwierdzono najmniej istotnych nieprawidłowości dotyczących ochrony danych osobowych pacjentów.
Nieprzestrzeganie zasad
Jedynie w trzech szpitalach (12,5%) przyjęte rozwiązania organizacyjne i techniczne stworzyły odpowiednie warunki do rejestracji na wizyty do lekarza, identyfikacji pacjenta na oddziale i przechowywania jego dokumentacji medycznej. W pozostałych nie zapewniono skutecznej ochrony danych osobowych i medycznych pacjentów przed ujawnieniem osobom postronnym. Nie przestrzegano też ustalonej w RODO zasady ograniczania dostępu do danych osobowych do zakresu niezbędnego do osiągnięcia celu ich przetwarzania.
W rezultacie średnio co 11 pielęgniarka posiadała przyznane w systemie informatycznym uprawnienia do danych medycznych pacjentów leczonych na innych oddziałach szpitala, a byłym pracownikom personelu medycznego 15 podmiotów leczniczych (62,5%) nie odebrano niezwłocznie dostępu do systemów informatycznych. Z kolei 11 szpitali (45,8%) w nieuprawniony sposób przekazało dane osobowe pacjentów podmiotom serwisującym systemy informatyczne.
Prawidłowo natomiast przyznawano dostęp do systemu HIS pracownikom działów administracyjnych. Był on odpowiedni i niezbędny do wykonywania obowiązków służbowych. W 18 szpitalach (75%) nie przestrzegano wymogów dotyczących nadawania właściwych uprawnień do administrowania systemami informatycznymi, ochrony przed złośliwym oprogramowaniem oraz odpowiedniej autoryzacji. W pięciu (20,8%) zaś kopie bezpieczeństwa danych przechowywano w niewłaściwym miejscu. Nie gwarantowało to zabezpieczenia zasobów elektronicznych przed nieuprawnionym dostępem, przejęciem i zniszczeniem.
Wnioski
W związku z ustaleniami kontroli oraz mając na celu właściwą ochronę i przetwarzanie danych osobowych w podmiotach leczniczych, Najwyższa Izba Kontroli formułuje następujące wnioski:
Kierownicy podmiotów leczniczych
- Analizowanie ryzyka dotyczącego ochrony danych osobowych, uwzględniającego aktualny stan wiedzy technicznej, a następnie stosowanie rozwiązań adekwatnych do ustalonych zagrożeń.
- Przeprowadzanie regularnych szkoleń osób uczestniczących w procesach przetwarzania informacji, ze szczególnym uwzględnieniem zagrożeń bezpieczeństwa informacji, skutków naruszenia zasad bezpieczeństwa informacji, odpowiedzialności prawnej oraz stosowania środków zapewniających bezpieczeństwo informacji.
- Nadawanie pracownikom uprawnień w systemach operacyjnych komputerów oraz systemach HIS w stopniu adekwatnym do realizowanych przez nich zadań.
- Wprowadzenie zindywidualizowanej autoryzacji dostępu do posiadanych zasobów informatycznych.
- Przechowywanie kopii bezpieczeństwa posiadanych zasobów informacyjnych w innym miejscu niż dane produkcyjne.
- Zapewnienie zabezpieczeń fizycznych infrastruktury informatycznej, uniemożliwiających dostęp osób nieuprawnionych oraz zapewniających ochronę przed skutkami zdarzeń losowych (np. pożar, powódź, wichura).
- Zapewnienie, aby osoby, które uzyskują dostęp do danych osobowych posiadały stosowne upoważniania ADO w tym zakresie.8. Przekazywanie firmom świadczącym usługi serwisowe jedynie danych osobowych niezbędnych do usunięcia usterek oprogramowania.
Organy założycielskie szpitali
- Objęcie nadzorem w podległych podmiotach leczniczych zagadnień związanych z ochroną danych osobowych pacjentów.
Prezes Urzędu Ochrony Danych Osobowych
- Przeprowadzanie systemowych kontroli przestrzegania zasad ochrony danych osobowych w jednostkach z sektora ochrony zdrowia, z uwagi na przetwarzanie przez te podmioty szczególnych kategorii danych osobowych.
- Niezwłoczne zakończenie działań związanych z przyjęciem Kodeksu postępowania dla sektora ochrony zdrowia oraz wprowadzenie regulacji dotyczących certyfikacji, o której mowa w art. 42 RODO.
Źródło:
https://www.nik.gov.pl/aktualnosci/rodo-w-szpitalu.html
Zapraszamy na szkolenie: RODO w sektorze medycznym
