Naczelna Izba Kontroli skontrolowała polskie lecznice pod kątem przestrzegania przepisów RODO. „Zmiany są nie tylko konieczne, ale i pilne” – alarmuje Izba.
„Rutyna i utarte schematy działania gubią personel szpitali, który zobowiązany jest do dbałości o bezpieczeństwo danych osobowych i medycznych pacjentów. Tylko pojedyncze ze skontrolowanych szpitali wprowadziły rozwiązania, które gwarantowały prawo pacjentów do prywatności w trakcie rejestracji lub na salach szpitalnych” – ocenia NIK.
Izba wylicza najbardziej jaskrawe incydenty wyłapane podczas kontroli. W Wojewódzkim Specjalistycznym Szpitalu Dziecięcym im. Św. Ludwika w Krakowie mężczyzna z zaburzeniami psychicznymi ukradł z pomieszczenia rejestracji trzy kartoteki pacjentów – dwóch z nich nie odnaleziono. W 9 z 24 skontrolowanych szpitalach papierowa dokumentacja pacjentów na oddziałach szpitalnych przechowywana była w niezamykanych szafkach lub na półkach.
W Białostockim Centrum Onkologii im. M. Skłodowskiej-Curie w Białymstoku dokumentację medyczną pełnoletniego pacjenta udostępniono na podstawie listu otrzymanego od osoby podającej się za matkę pacjenta. W SP ZOZ w Augustowie, w trzech przypadkach, dokumentacja medyczna została udostępniona osobom, które nie były upoważnione przez pacjentów do jej odbioru
Raport Izby zawiera, prócz najbardziej jaskrawych, także te najczęstsze błędy i niedociągnięcia. Choć prawo tego zabrania, w 46 proc. skontrolowanych lecznic pacjentom umieszczano na nadgarstkach opaski ze znakami identyfikacyjnymi, takimi jak imię, nazwisko, PESEL. Aż w 13 proc. skontrolowanych szpitali imiona i nazwiska umieszczano wprost na wywieszonych na łóżkach tzw. kartach gorączkowych. Dane były zatem dostępne dla każdego, kto zaglądał do sali, np. dla gości odwiedzających innych pacjentów.
NIK miał też zastrzeżenia dotyczące przekazywania danych pacjentów firmom serwisującym szpitalne systemy informatyczne. „Nie mamy zastrzeżeń do samych zabezpieczeń systemów informatycznych, czy nawet potencjalnego dostępu serwisantów do danych wrażliwych pacjentów. Chodziło o to, że zgłoszenia serwisowe zawierały informacje o pacjencie i jego historii leczenia, mimo że dane te nie były konieczne do usunięcia usterki” – czytamy w komunikacie NIK. Izba zauważa, że w związku z zagrożeniem wycieku danych, zgłoszenia serwisowe nie powinny zawierać danych osobowych i medycznych pacjentów szpitali. Przy tego typu zgłoszeniach wystarczy unikalny numer ID pacjenta, jednoznacznie wskazujący osobę, której zgłoszenie dotyczyło.
Poważnym niedopatrzeniem stwierdzonym przez NIK było nie dopełnienie obowiązku odebrania uprawnień dostępu do szpitalnych systemów informatycznych osobom odchodzącym z pracy. Podobne zaniedbanie stwierdzono w 63 proc. skontrolowanych lecznic. „W Samodzielnym Publicznym Wielospecjalistycznym ZOZ w Stargardzie dopiero w trakcie kontroli NIK odebrano dostęp do systemów informatycznych wszystkim 30 byłym pracownikom szpitala, objętych badaniem. Nie zrobiono tego wcześniej, wychodząc z błędnego założenia, że automatyczna blokada konta po 30 dniach jest wystarczającym zabezpieczeniem” – opisuje NIK.
Kolejne częste błędy wychwycone przez NIK to:
- w 7 szpitalach (29 proc.) na części komputerów stosowano hasła uwierzytelniające, które nie spełniały przyjętych przez szpital wymogów złożoności (za mało znaków lub brak znaków określonego typu),
- w 12 podmiotach leczniczych (połowa skontrolowanych placówek) na części komputerów korzystano z systemów operacyjnych, dla których producent zakończył wsparcie techniczne. Nie były zatem publikowane aktualizacje zabezpieczeń tych produktów, poprawki czy też opcje asystenta pomocy technicznej oraz aktualizacje zawartości technicznej online,
- serwerownie dwóch szpitali nie były właściwie zabezpieczone – brakowało systemów antywłamaniowych i przeciwpożarowych, a w serwerowniach trzech innych podmiotów leczniczych przechowywano łatwopalne materiały,
- w 5 szpitalach (21 proc.) kopie bezpieczeństwa baz danych przechowywano w niewłaściwy sposób, tj. w tym samym miejscu, co dane źródłowe.
NIK skierował dwa wnioski do Prezesa Urzędu Ochrony Danych Osobowych. Pierwszy zaleca przeprowadzanie systemowych kontroli przestrzegania zasad ochrony danych osobowych w jednostkach z sektora ochrony zdrowia. Drugi postuluje „niezwłoczne zakończenie działań związanych z przyjęciem Kodeksu postępowania dla sektora ochrony zdrowia” i „wprowadzenie regulacji dotyczących certyfikacji”. NIK skierował także wniosek do organów założycielskich szpitali o nadzorowanie zagadnień związanych z ochroną danych osobowych pacjentów w podległych podmiotach leczniczych.
