Mimo, że RODO, czyli unijne rozporządzenie o ochronie danych osobowych, obowiązuje od 25 maja 2018 r., nadal szpitale w Polsce nie zabezpieczają wystarczająco danych osobowych pacjentów i nie chronią w odpowiedni sposób dostępu do nich. 

Kontrola NIK pokazała, że tylko pojedyncze ze skontrolowanych szpitali wprowadziły rozwiązania, które w odpowiedni sposób chroniły papierową dokumentację medyczną oraz gwarantowały prawo pacjentów do prywatności w trakcie rejestracji lub na salach szpitalnych. W pozostałych placówkach nie zapewniono skutecznej ochrony danych osobowych i medycznych przed ujawnieniem osobom nieupoważnionym.

Izba podkreśla, że zmiana w podejściu do ochrony danych osobowych i prywatności pacjentów w szpitalach jest nie tylko konieczna, ale i pilna. W ocenie NIK niewłaściwe zabezpieczenie i przechowywanie dokumentacji medycznej przez personel medyczny wynika z rutyny.

Czytaj w LEX: RODO w ochronie zdrowia - przewodnik po zmianach w zakresie ochrony danych osobowych w placówkach medycznych >

W ponad połowie szpitali doszło do naruszeń

Raport podaje, że w ponad połowie skontrolowanych szpitali doszło do naruszeń ochrony danych osobowych, z czego w sześciu sytuacja była na tyle poważna, że konieczne było powiadomienie Prezesa Urzędu Ochrony Danych Osobowych.

W Szpitalu Specjalistycznym im. Ludwika Rydygiera w Krakowie Sp. z o.o. jeden z pacjentów niechcący zabrał dokumentację medyczną innego pacjenta jednej z poradni, a w Wojewódzkim Specjalistycznym Szpitalu Dziecięcym im. Św. Ludwika w Krakowie mężczyzna z zaburzeniami psychicznymi ukradł z pomieszczenia rejestracji trzy kartoteki pacjentów – dwóch z nich nie odnaleziono.

Nowe zasady dotyczące wystawiania dokumentacji medycznej w wersji elektronicznej i papierowej - czytaj tutaj>>

 


Dokumenty wydane bez upoważnienia

Z dokumentacją medyczną pacjentów związane jest również zagadnienie udostępniania jej innym osobom niż pacjent, np. członkom rodziny. W dwóch skontrolowanych szpitalach kopie dokumentacji zostały udostępnione osobom, których pacjent nie upoważnił.

W Białostockim Centrum Onkologii im. M. Skłodowskiej-Curie dokumentację medyczną pełnoletniego pacjenta udostępniono na podstawie listu otrzymanego przez szpital od osoby podającej się za jego matkę, a w SP ZOZ w Augustowie w trzech przypadkach dokumentacja medyczna została udostępniona osobom, które nie były upoważnione przez pacjentów do odbioru tych dokumentów. W tym też szpitalu dokumentacja medyczna została przesłana pocztą elektroniczną na wniosek złożony tą samą drogą, podczas gdy – zgodnie z obowiązującą w szpitalu procedurą – warunkiem wydania dokumentacji powinno być okazanie dokumentu tożsamości.

Czytaj w LEX: Weryfikacja tożsamości pacjenta i jego uprawnień do pobierania świadczeń  >

Salowa upoważniona do przetwarzania danych

W siedmiu skontrolowanych szpitalach do przetwarzania danych osobowych, w tym medycznych, upoważnieni byli pracownicy obsługi, np. salowe i sanitariusze. W ocenie NIK osoby te nie udzielają pacjentom świadczeń medycznych i nie powinny mieć dostępu do danych dotyczących np. historii choroby czy przebiegu leczenia pacjenta.

Czytaj w LEX: Korzystanie z praw pacjenta w świetle RODO >

Łamane prawo do prywatności

Zabezpieczenie dokumentów zawierających dane medyczne to nie jedyny element ochrony danych osobowych pacjentów. Ważna jest również kwestia prawa pacjenta do zachowania prywatności w newralgicznych momentach pobytu w szpitalu, czyli podczas rejestracji do poradni, oczekiwania na wizytę i wezwania do gabinetu, w trakcie pobytu na oddziale szpitalnym.

Z kontroli NIK wynika, że w 9 z 24 skontrolowanych szpitali pacjentom nie zagwarantowano prawa do prywatności w trakcie rejestracji. Odległość pomiędzy okienkami rejestracji była zbyt mała lub nie wyznaczono strefy oddzielającej pacjentów obsługiwanych od oczekujących w kolejce. W tych sytuacjach osoby postronne mogły usłyszeć treści rozmów pomiędzy pacjentem a personelem szpitala, dotyczących np. stanu zdrowia pacjenta, w tym szczegóły związane z dolegliwościami i procesem leczenia.

Gdy wejdzie RODO, lekarz nie wywoła pacjenta po nazwisku do gabinetu - czytaj tutaj>>

Dyskretniej pod gabinetem

Dużo bardziej dyskretnie wzywano pacjentów do gabinetów lekarskich. Najczęściej posługiwano  się komunikatem: „proszę kolejną osobę” lub podawano imię pacjenta i godzinę wizyty, ewentualnie numer, który pacjent otrzymał podczas rejestracji.

Tylko w jednym szpitalu (SP ZOZ w Radzyniu Podlaskim) w jednej z trzech zbadanych poradni wywieszona była lista pacjentów, na której podana była godzina planowanej wizyty oraz pierwsze trzy litery imienia i pierwsze cztery litery nazwiska. W ocenie NIK stosowanie takiego rozwiązania w przypadku pacjentów o krótkich imionach i nazwiskach może doprowadzić do ujawnienia ich danych.

Czytaj w LEX: Obowiązek informacyjny względem pacjentów  >

Opaski z danymi

We wszystkich objętych kontrolą szpitalach pacjentom umieszczano na nadgarstkach opaski ze znakami identyfikacyjnymi. Zgodnie z obowiązującymi przepisami, umieszczane na opaskach informacje muszą być zapisane w sposób uniemożliwiający identyfikację pacjenta przez osoby postronne. Nie powinny zatem zawierać nr PESEL, imienia, ani nazwiska. Jednak – jak wykazali kontrolerzy NIK - prawie połowa skontrolowanych szpitali (11 z 24) nie stosowała się do tych zasad.

Karty przy łóżkach widoczne dla wszystkich 

W trzech skontrolowanych szpitalach (13 proc.) dane osobowe pacjentów umieszczone były na szpitalnych łóżkach, w sposób widoczny dla osób postronnych, np. odwiedzających innego chorego. Co ciekawe, w tych samych szpitalach, na innych oddziałach, funkcjonowały rozwiązania chroniące dane osobowe pacjentów. Stosowano tam karty przyłóżkowe z ramkami zasłaniającymi personalia.

Czytaj w LEX: Przetwarzanie danych osobowych pacjentów bez ich zgody oraz za ich zgodą  >

Przekazywanie danych firmom serwisującym

W opinii NIK innym niepokojącym zjawiskiem było przekazywanie danych osobowych pacjentów firmom informatycznym serwisującym szpitalne systemy podczas zgłaszania usterek oprogramowania. Taka sytuacja miała miejsce aż w 11 skontrolowanych szpitalach w odniesieniu do danych osobowych 41 pacjentów, w tym danych medycznych 31 z nich.

NIK nie miała zastrzeżeń do samych zabezpieczeń systemów informatycznych, czy nawet potencjalnego dostępu serwisantów do danych wrażliwych pacjentów. Chodziło o to, że zgłoszenia serwisowe zawierały informacje o pacjencie i jego historii leczenia, mimo że dane te nie były konieczne do usunięcia usterki. Takie dane zawierało nieco ponad 3 proc. zgłoszeń serwisowych zbadanych przez NIK.

Czytaj w LEX: Umowy powierzenia danych medycznych >

Duży wyciek w szpitalu w Kole

NIK podaje, że  w 2017 r. głośny był przypadek wycieku danych osobowych oraz medycznych 50 tysięcy pacjentów Samodzielnego Publicznego Zakładu Opieki Medycznej w Kole. Dane przesyłane w zgłoszeniach serwisowych na system helpdesk gromadzone były na serwerze zewnętrznym. W wyniku błędu podczas migracji danych na nowy serwer dane zostały ujawnione i tym samym stały się dostępne dla wszystkich użytkowników internetu.

NIK zauważa, że w związku z zagrożeniem wycieku danych zgłoszenia serwisowe nie powinny zawierać danych osobowych i medycznych pacjentów szpitali. Przy tego typu zgłoszeniach wystarczy unikalny numer ID pacjenta, jednoznacznie wskazujący osobę, której zgłoszenie dotyczyło.

Odchodzą z pracy, a uprawnienia zostają

Zgodnie z przepisami RODO, pracownicy szpitala powinni otrzymać stosowne upoważnienia do przetwarzania danych. Tymczasem kontrolerzy NIK stwierdzili błędy w tym zakresie w 5 szpitalach.

W jednym z nich część lekarzy i pielęgniarek miała dostęp do danych osobowych pomimo braku uprawnień do ich przetwarzania. W trakcie kontroli NIK braki zostały uzupełnione. W innym zaś uprawnienia zostały nadane przez informatyków bez wcześniejszej zgody dyrektora szpitala.

W 15 skontrolowanych szpitalach (63 proc.) osobom odchodzącym z pracy nie odbierano uprawnień do systemów informatycznych. W Samodzielnym Publicznym Wielospecjalistycznym ZOZ w Stargardzie dopiero w trakcie kontroli NIK odebrano dostęp do systemów informatycznych wszystkim 30 byłym pracownikom szpitala, objętych badaniem. Nie zrobiono tego wcześniej, wychodząc z błędnego założenia, że automatyczna blokada konta po 30 dniach jest wystarczającym zabezpieczeniem.

W Specjalistycznym Psychiatrycznym ZOZ w Suwałkach 15 osobom uprawnienia w systemach informatycznych odebrano dopiero po upływie od 9 do 227 dni (czyli po ponad 7 miesiącach). W Szpitalu Wojewódzkim im. Mikołaja Kopernika w Koszalinie stwierdzono przypadek logowania się byłego pracownika do systemu operacyjnego po dniu zakończenia przez niego pracy w szpitalu. Według pracowników służb informatycznych tej jednostki, konto użytkownika zostało zablokowane w dniu, w którym ten pracownik zgłosił się z kartą obiegową i nie potrafili wyjaśnić, dlaczego jego konto było nadal aktywne po tej dacie.

 

Brak ochrony antywirusowej

W ocenie Izby stosowanie odpowiedniej ochrony antywirusowej posiadanych komputerów powinno być podstawowym elementem właściwej ich ochrony. W trzech szpitalach część komputerów nie miała zainstalowanego takiego programu, a w czterech programy antywirusowe nie miały aktualnej bazy sygnatur wirusów, przez co ich skuteczność była ograniczona.

W połowie skontrolowanych szpitali kontrolerzy NIK stwierdzili zaniechania, które w sposób szczególny wpływały na obniżenie bezpieczeństwa danych przechowywanych w formie elektronicznej. Poszczególni pracownicy tych podmiotów leczniczych nie otrzymali zindywidualizowanych danych do autoryzacji w systemach operacyjnych komputerów. W konsekwencji z tych samych loginów i haseł korzystały grupy pracowników, najczęściej zatrudnionych na tym samym oddziale. Takie podejście stanowiło naruszenie obowiązujących norm, a także uniemożliwiało odbieranie uprawnień w systemach operacyjnych komputerów byłym pracownikom. Nie można bowiem odebrać takiego uprawnienia poprzez zablokowanie określonego użytkownika w systemie, gdyż loguje się na niego kilka lub kilkanaście osób.

W tej sytuacji nie można było ustalić, który z pracowników wykonał w systemie określone operacje. Jest to szczególnie istotne w przypadku incydentów związanych z ochroną danych, np. „wycieków” informacji poza szpital.

Mity w RODO, czyli kiedy utajnianie danych może doprowadzić do zgonu - czytaj tutaj>>

Bez loginu i hasła

Szczególnie naganne są w ocenie NIK sytuacje, w których uzyskanie dostępu do systemu operacyjnego komputera nie wymagało podania żadnych danych autoryzacyjnych (loginu i hasła). Takie przypadki miały miejsce w trzech skontrolowanych szpitalach, m.in. w SP ZOZ w Augustowie. W jednym z komputerów w tej jednostce, na dysku lokalnym przechowywano dokumenty z danymi osobowymi pacjentów wraz z historią ich leczenia. Brak konieczności logowania się do komputera sprawiał, że każda przypadkowa osoba mogła uzyskać dostęp do danych znajdujących się na tym komputerze.

Szpitale nie analizują ryzyka

NIK podkreśla, że zgodnie z przepisami RODO, punktem wyjścia do właściwej ochrony danych osobowych powinna być analiza ryzyka procesów przetwarzania danych. Jednak szpitale nie przygotowały się na wejście w życie nowych przepisów. Od wejścia w życie tego unijnego rozporządzenia wymaganą analizę ryzyka przeprowadziło tylko 13 szpitali (nieco więcej niż połowa skontrolowanych). Dziewięć innych podmiotów wywiązało się z tego obowiązku po upływie od ok. miesiąca do ponad pół roku od wejścia w życie przepisów RODO, a w dwóch kolejnych impulsem do wykonania analizy była dopiero kontrola NIK.

Poza tym prawie połowa skontrolowanych podmiotów leczniczych nie zaktualizowała wraz z wejściem w życie RODO podstawowych dokumentów określających bezpieczeństwo danych osobowych oraz sposoby ich przetwarzania. W siedmiu szpitalach wewnętrzną dokumentację zaktualizowano dopiero po upływie od 37 do 263 dni od wejścia w życie nowych uregulowań. W innych czterech podmiotach do zakończenia kontroli NIK nie przeprowadzono aktualizacji dokumentów.

Z pomocą podmiotom leczniczym przyszło Ministerstwo Cyfryzacji, które we współpracy z Ministerstwem Zdrowia przygotowało Przewodnik po RODO dla służby zdrowia. Publikacja ta zawiera przykłady praktycznych rozwiązań, które ułatwiają ochronę danych medycznych pacjentów. Jednak mimo przekazania Przewodnika szpitalom, zagadnienia związane z ochroną danych osobowych pacjentów były w tych jednostkach marginalizowane i jako dodatkowy obowiązek nie znalazły się wśród priorytetów służb medycznych i pracowników administracyjnych.

Zawiódł system szkoleń

Tylko w 9 szpitalach szkoleniami z zakresu ochrony danych osobowych objęto prawie cały personel (co najmniej 95 proc.). Były jednak także takie podmioty lecznicze, w których przeszkolony był niespełna co dziesiąty pracownik (Szpital im. E. Szczeklika w Tarnowie – 6% personelu, Wojewódzki Szpital dla Nerwowo i Psychicznie Chorych „Dziekanka” im. Aleksandra Piotrowskiego w Gnieźnie – 9%).

Izba przypomina, że RODO miało ponad 2-letnie vacatio legis (okres od uchwalenia do wejścia w życie). Ten czas nie został jednak odpowiednio wykorzystany. Nie przeszkolono pracowników, nie zmienił się sposób funkcjonowania szpitali ani podejście personelu do zagadnień związanych z ochroną danych osobowych pacjentów.

Wnioski NIK

NIK wystąpiła:

Do Prezesa Urzędu Ochrony Danych Osobowych o:

  • przeprowadzanie systemowych kontroli przestrzegania zasad ochrony danych osobowych w jednostkach z sektora ochrony zdrowia oraz
  • niezwłoczne zakończenie działań związanych z przyjęciem Kodeksu postępowania dla sektora ochrony zdrowia i wprowadzenie regulacji dotyczących certyfikacji, o której mowa w art. 42 RODO.

Kodeksy RODO dla ochrony zdrowia już prawie gotowe - czytaj tutaj>>


Do organów założycielskich szpitali o nadzorowanie zagadnień związanych z ochroną danych osobowych pacjentów w podległych podmiotach leczniczych.

Do kierowników podmiotów leczniczych o:

  • analizowanie ryzyka dotyczącego ochrony danych osobowych, zgodnie z aktualną wiedzą techniczną, a następnie stosowanie rozwiązań adekwatnych do ustalonych zagrożeń,
  • regularne szkolenie osób uczestniczących w procesach przetwarzania informacji, ze szczególnym uwzględnieniem zagrożeń bezpieczeństwa informacji, skutków naruszenia zasad bezpieczeństwa informacji, odpowiedzialności prawnej oraz stosowania środków zapewniających bezpieczeństwo informacji,
  • nadawanie pracownikom uprawnień w systemach operacyjnych komputerów oraz systemach HIS w stopniu adekwatnym do realizowanych przez nich zadań,
  • wprowadzenie zindywidualizowanej autoryzacji dostępu do posiadanych zasobów informatycznych,
  • przechowywanie kopii bezpieczeństwa posiadanych zasobów informacyjnych w innym miejscu niż dane produkcyjne,
  • zapewnienie zabezpieczeń fizycznych infrastruktury informatycznej, uniemożliwiających dostęp osób nieuprawnionych oraz zapewniających ochronę przed skutkami zdarzeń losowych (np. pożar, powódź, wichura),
  • zapewnienie, aby osoby, które uzyskują dostęp do danych osobowych, posiadały stosowne upoważnienia administratora danych osobowych w tym zakresie,
  • przekazywanie firmom świadczącym usługi serwisowe jedynie danych niezbędnych do usunięcia usterek oprogramowania.