GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

NIK: ochrona danych osobowych w szpitalach wymaga uzdrowienia

RODO w szpitalach

Prawo dostępu do danych osobowych, a prawo dostępu do dokumentacji medycznej.

Stan wdrażania RODO w podmiotach leczniczych jest wysoko niezadowalający – wynika z kontroli NIK przeprowadzonej w  24  podmiotach leczniczych z terenu sześciu województw: podlaskiego, lubelskiego, lubuskiego, małopolskiego, wielkopolskiego i zachodniopomorskiego.

W każdym z województw do kontroli wytypowano cztery szpitale (dwa miejskie lub powiatowe oraz dwa wojewódzkie) w okresie od 25 maja 2018 r. do 23 kwietnia 2019 r. Taki dobór próby pozwolił na ocenę badanego zagadnienia w różnych regionach kraju oraz w szpitalach o różnej wielkości i statusie właścicielskim.

Brak należytej ochrony

Jak wynika z informacji podanych przez NIK niemal w żadnym ze skontrolowanych podmiotów leczniczych dane osobowe pacjentów nie były prawidłowo chronione i przetwarzane po wejściu w życie przepisów RODO. W  konsekwencji kierownicy tych podmiotów i Inspektorzy Ochrony Danych nie zapewnili pacjentom pełnego zabezpieczenia ich danych. Personel medyczny i administracyjny postępował rutynowo, według schematów wypracowanych przed wejściem w życie nowych uregulowań.

Brak należytej dokumentacji

Szesnaście z 24 skontrolowanych podmiotów leczniczych (67%) nie było właściwie przygotowanych do wejścia w życie RODO. Dokumenty i procedury związane z wejściem w życie RODO zostały w nich bowiem wdrożone z opóźnieniem lub do zakończenia kontroli NIK ich nie wprowadzono.  W dziewięciu szpitalach analiza ryzyka procesów przetwarzania danych osobowych, która powinna poprzedzić przyjęcie właściwych środków do  ochrony danych osobowych, została przeprowadzona po upływie  od  35 do  201 dni od dnia wejścia w życie RODO, a w dwóch kolejnych wykonano ją dopiero w trakcie kontroli NIK.

W siedmiu podmiotach leczniczych wewnętrzną dokumentację, opisującą stosowane środki techniczne i organizacyjne związane z zapewnieniem bezpieczeństwa danych osobowych, zaktualizowano po upływie od 37 do 263 dni od wejścia w życie RODO, a w czterech jej nie uaktualniono. W siedmiu szpitalach rejestr czynności przetwarzania założono od 12 do 263 dni od wejścia w życie RODO, a w jednym go nie opracowano.

Jedną z głównych przyczyn wymienionych nieprawidłowości była nieznajomość zagadnień bezpieczeństwa danych osobowych. Tylko w dziewięciu szpitalach szkoleniami w tym zakresie objęto prawie cały personel (co najmniej 95%). W rezultacie w podmiotach tych stwierdzono najmniej istotnych nieprawidłowości dotyczących ochrony danych osobowych pacjentów.

Nieprzestrzeganie zasad

Jedynie w trzech szpitalach (12,5%) przyjęte rozwiązania organizacyjne i techniczne stworzyły odpowiednie warunki do rejestracji na wizyty do lekarza, identyfikacji pacjenta na oddziale i przechowywania jego dokumentacji medycznej. W pozostałych nie zapewniono skutecznej ochrony danych osobowych i medycznych pacjentów przed ujawnieniem osobom postronnym. Nie przestrzegano też ustalonej w RODO zasady ograniczania dostępu do  danych osobowych do zakresu niezbędnego do osiągnięcia celu ich przetwarzania.

W rezultacie średnio co 11 pielęgniarka posiadała przyznane w systemie informatycznym uprawnienia do danych medycznych pacjentów leczonych na  innych oddziałach szpitala, a byłym pracownikom personelu medycznego 15 podmiotów leczniczych (62,5%) nie odebrano niezwłocznie dostępu do systemów informatycznych. Z kolei 11 szpitali (45,8%) w nieuprawniony sposób przekazało dane osobowe pacjentów podmiotom serwisującym systemy informatyczne.

Prawidłowo natomiast przyznawano dostęp do systemu HIS pracownikom działów administracyjnych. Był on odpowiedni i niezbędny do wykonywania obowiązków służbowych. W 18 szpitalach (75%) nie przestrzegano wymogów dotyczących nadawania właściwych uprawnień do administrowania systemami informatycznymi, ochrony przed złośliwym oprogramowaniem oraz odpowiedniej autoryzacji. W  pięciu (20,8%) zaś kopie bezpieczeństwa danych przechowywano w niewłaściwym miejscu. Nie gwarantowało to zabezpieczenia zasobów elektronicznych przed nieuprawnionym dostępem, przejęciem i zniszczeniem.

Wnioski

W  związku z ustaleniami kontroli oraz mając na celu właściwą ochronę i przetwarzanie danych osobowych w podmiotach leczniczych, Najwyższa Izba Kontroli formułuje następujące wnioski:

Kierownicy podmiotów leczniczych

  1. Analizowanie ryzyka dotyczącego ochrony danych osobowych, uwzględniającego aktualny stan wiedzy technicznej, a następnie stosowanie rozwiązań adekwatnych do ustalonych zagrożeń.
  2. Przeprowadzanie regularnych szkoleń osób uczestniczących w procesach przetwarzania informacji, ze szczególnym uwzględnieniem zagrożeń bezpieczeństwa informacji, skutków naruszenia zasad bezpieczeństwa informacji, odpowiedzialności prawnej oraz stosowania środków zapewniających bezpieczeństwo informacji.
  3. Nadawanie pracownikom uprawnień w systemach operacyjnych komputerów oraz systemach HIS w stopniu adekwatnym do realizowanych przez nich zadań.
  4. Wprowadzenie zindywidualizowanej autoryzacji dostępu do posiadanych zasobów informatycznych.
  5. Przechowywanie kopii bezpieczeństwa posiadanych zasobów informacyjnych w innym miejscu niż dane produkcyjne.
  6. Zapewnienie zabezpieczeń fizycznych infrastruktury informatycznej, uniemożliwiających dostęp osób nieuprawnionych oraz zapewniających ochronę przed skutkami zdarzeń losowych (np. pożar, powódź, wichura).
  7. Zapewnienie, aby osoby, które uzyskują dostęp do danych osobowych posiadały stosowne upoważniania ADO w tym zakresie.8. Przekazywanie firmom świadczącym usługi serwisowe jedynie danych osobowych niezbędnych do usunięcia usterek oprogramowania.

Organy założycielskie szpitali

  1. Objęcie nadzorem w podległych podmiotach leczniczych zagadnień związanych z ochroną danych osobowych pacjentów.

Prezes Urzędu Ochrony Danych Osobowych

  1. Przeprowadzanie systemowych kontroli przestrzegania zasad ochrony danych osobowych w jednostkach z sektora ochrony zdrowia, z uwagi na przetwarzanie przez te podmioty szczególnych kategorii danych osobowych.
  2. Niezwłoczne zakończenie działań związanych z przyjęciem Kodeksu postępowania dla sektora ochrony zdrowia oraz wprowadzenie regulacji dotyczących certyfikacji, o której mowa w art. 42 RODO.

Źródło:

https://www.nik.gov.pl/aktualnosci/rodo-w-szpitalu.html

Zapraszamy na szkolenie: RODO w sektorze medycznym