Ochrona danych osobowych w szpitalach – typowe błędy
Ochrona danych osobowych w szpitalach wymaga pilnej poprawy – tak wynika z najnowszego raportu Najwyższej Izby Kontroli,
w którym NIK opisuje wyniki kontroli
przeprowadzonej w 24 szpitalach na terenie Polski (https://www.nik.gov.pl/aktualnosci/rodo-w-szpitalu.html). Okazuje się, że głównym problemem w systemie ochrony danych jest człowiek – personel boryka się z rutyną i utartymi schematami, co skutkuje niewłaściwym zabezpieczeniem
i przechowywaniem dokumentacji medycznej, która często umieszczana jest w niezamykanych szafach lub na półkach.
Niewłaściwe podejście personelu do ochrony danych prowadzi też do naruszeń ochrony danych osobowych, skutkujących przede wszystkim ujawnieniem danych osobom nieupoważnionym – NIK wymienia sytuacje, w których jeden z pacjentów przypadkowo zabrał dokumentację medyczną innego pacjenta jednej z poradni, a mężczyzna z zaburzeniami psychicznymi ukradł z pomieszczenia rejestracji trzy kartoteki pacjentów, przy czym dwu z nich nie odnaleziono. Zdarzały się też przypadki, gdy kopie dokumentacji medycznej udostępnione zostały osobom nieupoważnionym przez osoby, których ta dokumentacja dotyczyła; w innych przypadkach dokumentacja wydana została bez uprzedniej weryfikacji, czy osoba ją otrzymująca rzeczywiście była do tego upoważniona.
Problemem jest także organizacja właściwego procesu nadawania upoważnień do przetwarzania danych osobowych – zdarzały się sytuacje, w których upoważnienia były nadawane zbyt szerokiej grupie osób, tj. pracownikom obsługi, takim jak sanitariusz czy salowa. Zdarzało się również nienadanie upoważnień osobom, które takie upoważnienia powinny mieć – np. lekarze czy pielęgniarki. Błędy polegały też na nadaniu uprawnień dostępowych do systemu informatycznego przetwarzającego dane osobowe przez IT bez uprzedniej zgody dyrektora szpitala lub na braku odbierania uprawnień do systemów informatycznych osobom odchodzącym z pracy.
Niezgodności wykazały również, że część pracowników posiadała uprawnienia administratora systemów informatycznych przetwarzających dane osobowe, mimo iż z zakresu ich obowiązków nie wynikała taka rola. Zwiększało to ryzyko instalacji złośliwego oprogramowania na wykorzystywanych przez nich komputerach – niezależnie od faktu, że NIK wykazał również przypadki, w których system antywirusowy w ogóle nie był w szpitalach stosowany lub miał nieaktualną bazę wirusów.
Kolejnym problemem jest niewykorzystywanie żadnych danych autoryzacyjnych do dostępu w systemach operacyjnych komputerów lub wykorzystywanie tych samych danych – NIK wykazał, że grupy pracowników korzystały z tych samych loginów
i haseł, co skutkowało niemożnością ustalenia, który konkretnie pracownik wykonywał określone operacje w systemie (w tym np. doprowadził do naruszenia ochrony danych osobowych), jak również uniemożliwiało np. odbieranie uprawnień dostępowych byłym pracownikom.
Problem z ochroną danych osobowych widoczny jest również w przypadku serwisu oprogramowania używanego przez szpitale –
w zgłoszeniach serwisowych dochodziło do przekazywania informacji o pacjencie i jego historii leczenia, co nie było niezbędne
do przeprowadzenia serwisu oprogramowania; NIK zwrócił uwagę, że w tego typu zgłoszeniach nie ma konieczności przekazywana tak szerokich zakresów danych, natomiast w zupełności wystarczyłby identyfikujący pacjenta numer ID.
Kontrolerzy NIK wykazali także niezgodności dotyczące stosowanych zabezpieczeń lub problemy w stosowaniu zabezpieczeń określonych w wewnętrznych regulacjach:
- Nieodpowiednia siła haseł (np. zbyt mała ilość znaków),
- Brak zmiany hasła po 30 dniach zgodnie z wewnętrznie przyjętymi wymogami oraz brak blokady systemu w przypadku kilkukrotnego wprowadzenia błędnego hasła,
- Korzystanie z systemów operacyjnych nieobjętych wsparciem technicznym producenta,
- Nieodpowiednie zabezpieczenie serwerowni,
- Przechowywanie kopii bezpieczeństwa w tym samym miejscu, co dane źródłowe,
- Zbyt szerokie dostępy do danych w systemach informatycznych służących do obsługi pacjentów.
Szpitale stosują także opaski identyfikacyjne, które umieszczane są na nadgarstkach pacjentów; okazuje się, że w prawie połowie skontrolowanych szpitali na opaskach tych zamieszczono imiona, nazwiska czy numer PESEL pacjenta, co pozwalało na identyfikację pacjenta przez osoby postronne. W kilku przypadkach dane pacjentów umieszczano na łóżkach szpitalnych w taki sposób, że inne osoby mogły się z nimi zapoznać.
Kontrola przeprowadzona przez NIK uwidoczniła również problem z realizacją jednego z podstawowych praw pacjenta,
tj. prawa do prywatności. Okazało się, że odległość pomiędzy okienkami jest zbyt mała lub nie została wyznaczona strefa oddzielająca osoby obsługiwane od tych, które oczekują w kolejce; prowadzić to może do poznania przez osoby oczekujące informacji np. o stanie zdrowia osoby obsługiwanej.
NIK ustalił, że szpitale nie przygotowały się do rozpoczęcia stosowania przepisów RODO – w szczególności część z nich
nie zaktualizowała dokumentacji dotyczącej bezpieczeństwa danych osobowych i sposobów ich przetwarzania, jak również część
nie przeprowadziła wymaganej analizy ryzyka naruszenia praw lub wolności osób, których dane dotyczą, w istniejących w działalności szpitali procesach lub przeprowadziła ją z dużym opóźnieniem (np. w wyniku prowadzonej kontroli NIK). Kolejnym brakiem było nieprzeprowadzenie szkoleń z zakresu ochrony danych osobowych dla personelu, przez co podejście pracowników
do systemu ochrony danych nie uległo zmianie.
W związku z dostrzeżonymi niezgodnościami NIK zalecił usunięcie wykazanych nieprawidłowości oraz większy nadzór ze strony organów założycielskich szpitali. Najwyższa Izba Kontroli wystosowała także zalecenie dla Prezesa Urzędu Ochrony Danych Osobowych, dotyczące przeprowadzania systemowych kontroli przestrzegania zasad ochrony danych osobowych w jednostkach
z sektora ochrony zdrowia oraz niezwłocznego zakończenia działań związanych z przyjęciem Kodeksu postępowania dla sektora ochrony zdrowia i wprowadzenia regulacji dotyczących certyfikacji, o której mowa w art. 42 RODO.
Przygotowała: Radca Prawny Małgorzata Topyła
Ochrona danych osobowych w szpitalach wymaga pilnej poprawy – tak wynika z najnowszego raportu Najwyższej Izby Kontroli,
w którym NIK opisuje wyniki kontroli
przeprowadzonej w 24 szpitalach na terenie Polski (https://www.nik.gov.pl/aktualnosci/rodo-w-szpitalu.html). Okazuje się, że głównym problemem w systemie ochrony danych jest człowiek – personel boryka się z rutyną i utartymi schematami, co skutkuje niewłaściwym zabezpieczeniem
i przechowywaniem dokumentacji medycznej, która często umieszczana jest w niezamykanych szafach lub na półkach.
Niewłaściwe podejście personelu do ochrony danych prowadzi też do naruszeń ochrony danych osobowych, skutkujących przede wszystkim ujawnieniem danych osobom nieupoważnionym – NIK wymienia sytuacje, w których jeden z pacjentów przypadkowo zabrał dokumentację medyczną innego pacjenta jednej z poradni, a mężczyzna z zaburzeniami psychicznymi ukradł z pomieszczenia rejestracji trzy kartoteki pacjentów, przy czym dwu z nich nie odnaleziono. Zdarzały się też przypadki, gdy kopie dokumentacji medycznej udostępnione zostały osobom nieupoważnionym przez osoby, których ta dokumentacja dotyczyła; w innych przypadkach dokumentacja wydana została bez uprzedniej weryfikacji, czy osoba ją otrzymująca rzeczywiście była do tego upoważniona.
Problemem jest także organizacja właściwego procesu nadawania upoważnień do przetwarzania danych osobowych – zdarzały się sytuacje, w których upoważnienia były nadawane zbyt szerokiej grupie osób, tj. pracownikom obsługi, takim jak sanitariusz czy salowa. Zdarzało się również nienadanie upoważnień osobom, które takie upoważnienia powinny mieć – np. lekarze czy pielęgniarki. Błędy polegały też na nadaniu uprawnień dostępowych do systemu informatycznego przetwarzającego dane osobowe przez IT bez uprzedniej zgody dyrektora szpitala lub na braku odbierania uprawnień do systemów informatycznych osobom odchodzącym z pracy.
Niezgodności wykazały również, że część pracowników posiadała uprawnienia administratora systemów informatycznych przetwarzających dane osobowe, mimo iż z zakresu ich obowiązków nie wynikała taka rola. Zwiększało to ryzyko instalacji złośliwego oprogramowania na wykorzystywanych przez nich komputerach – niezależnie od faktu, że NIK wykazał również przypadki, w których system antywirusowy w ogóle nie był w szpitalach stosowany lub miał nieaktualną bazę wirusów.
Kolejnym problemem jest niewykorzystywanie żadnych danych autoryzacyjnych do dostępu w systemach operacyjnych komputerów lub wykorzystywanie tych samych danych – NIK wykazał, że grupy pracowników korzystały z tych samych loginów
i haseł, co skutkowało niemożnością ustalenia, który konkretnie pracownik wykonywał określone operacje w systemie (w tym np. doprowadził do naruszenia ochrony danych osobowych), jak również uniemożliwiało np. odbieranie uprawnień dostępowych byłym pracownikom.
Problem z ochroną danych osobowych widoczny jest również w przypadku serwisu oprogramowania używanego przez szpitale –
w zgłoszeniach serwisowych dochodziło do przekazywania informacji o pacjencie i jego historii leczenia, co nie było niezbędne
do przeprowadzenia serwisu oprogramowania; NIK zwrócił uwagę, że w tego typu zgłoszeniach nie ma konieczności przekazywana tak szerokich zakresów danych, natomiast w zupełności wystarczyłby identyfikujący pacjenta numer ID.
Kontrolerzy NIK wykazali także niezgodności dotyczące stosowanych zabezpieczeń lub problemy w stosowaniu zabezpieczeń określonych w wewnętrznych regulacjach:
- Nieodpowiednia siła haseł (np. zbyt mała ilość znaków),
- Brak zmiany hasła po 30 dniach zgodnie z wewnętrznie przyjętymi wymogami oraz brak blokady systemu w przypadku kilkukrotnego wprowadzenia błędnego hasła,
- Korzystanie z systemów operacyjnych nieobjętych wsparciem technicznym producenta,
- Nieodpowiednie zabezpieczenie serwerowni,
- Przechowywanie kopii bezpieczeństwa w tym samym miejscu, co dane źródłowe,
- Zbyt szerokie dostępy do danych w systemach informatycznych służących do obsługi pacjentów.
Szpitale stosują także opaski identyfikacyjne, które umieszczane są na nadgarstkach pacjentów; okazuje się, że w prawie połowie skontrolowanych szpitali na opaskach tych zamieszczono imiona, nazwiska czy numer PESEL pacjenta, co pozwalało na identyfikację pacjenta przez osoby postronne. W kilku przypadkach dane pacjentów umieszczano na łóżkach szpitalnych w taki sposób, że inne osoby mogły się z nimi zapoznać.
Kontrola przeprowadzona przez NIK uwidoczniła również problem z realizacją jednego z podstawowych praw pacjenta,
tj. prawa do prywatności. Okazało się, że odległość pomiędzy okienkami jest zbyt mała lub nie została wyznaczona strefa oddzielająca osoby obsługiwane od tych, które oczekują w kolejce; prowadzić to może do poznania przez osoby oczekujące informacji np. o stanie zdrowia osoby obsługiwanej.
NIK ustalił, że szpitale nie przygotowały się do rozpoczęcia stosowania przepisów RODO – w szczególności część z nich
nie zaktualizowała dokumentacji dotyczącej bezpieczeństwa danych osobowych i sposobów ich przetwarzania, jak również część
nie przeprowadziła wymaganej analizy ryzyka naruszenia praw lub wolności osób, których dane dotyczą, w istniejących w działalności szpitali procesach lub przeprowadziła ją z dużym opóźnieniem (np. w wyniku prowadzonej kontroli NIK). Kolejnym brakiem było nieprzeprowadzenie szkoleń z zakresu ochrony danych osobowych dla personelu, przez co podejście pracowników
do systemu ochrony danych nie uległo zmianie.
W związku z dostrzeżonymi niezgodnościami NIK zalecił usunięcie wykazanych nieprawidłowości oraz większy nadzór ze strony organów założycielskich szpitali. Najwyższa Izba Kontroli wystosowała także zalecenie dla Prezesa Urzędu Ochrony Danych Osobowych, dotyczące przeprowadzania systemowych kontroli przestrzegania zasad ochrony danych osobowych w jednostkach
z sektora ochrony zdrowia oraz niezwłocznego zakończenia działań związanych z przyjęciem Kodeksu postępowania dla sektora ochrony zdrowia i wprowadzenia regulacji dotyczących certyfikacji, o której mowa w art. 42 RODO.
Przygotowała: Radca Prawny Małgorzata Topyła