Start Aktualności W szpitalach przepisy RODO przegrywają z rutyną

W szpitalach przepisy RODO przegrywają z rutyną

NIK., WPR

DLA LEKARZY DLA PACJENTÓW DLA RATOWNIKÓW | 14 listopada 2019

Fot.: WPR

Nie zawsze i nie wszędzie - tak wynika z kontroli przeprowadzonej przez NIK

Najwyższa Izba Kontroli opublikowała (14 listopada) komunikat o kontroli dotyczącej przestrzegania przepisów RODO, czyli ochrony danych osobowych pacjentów w szpitalach. Wynika z niej, że nie jest dobrze, by nie powiedzieć: jest źle.

NIK uważa, że zmiana w podejściu do ochrony danych osobowych i prywatności pacjentów w szpitalach jest nie tylko konieczna, ale i pilna. Rutyna i utarte schematy działania gubią personel szpitali, zobowiązany do dbałości o bezpieczeństwo danych osobowych i medycznych pacjentów. Tylko pojedyncze ze skontrolowanych szpitali wprowadziły rozwiązania, które stwarzały warunki do odpowiedniego przechowywania papierowej dokumentacji medycznej oraz gwarantowały prawo pacjentów do prywatności w trakcie rejestracji lub na salach szpitalnych. W pozostałych placówkach nie zapewniono skutecznej ochrony danych osobowych i medycznych przed ujawnieniem osobom nieupoważnionym.

W ponad połowie
skontrolowanych szpitali doszło do naruszeń ochrony danych osobowych, z czego w sześciu sytuacja była na tyle poważna, że konieczne było powiadomienie prezesa Urzędu Ochrony Danych Osobowych. Dla przykładu: w 9 z 24 skontrolowanych szpitali papierowa dokumentacja pacjentów na oddziałach szpitalnych przechowywana była w niezamykanych szafkach lub na półkach. Dlaczego? Bo tak robiło się przed wejściem w życie RODO. W siedmiu skontrolowanych szpitalach do przetwarzania danych osobowych, w tym medycznych, upoważnieni byli pracownicy obsługi, np. salowe i sanitariusze. W ocenie NIK osoby te nie udzielają pacjentom świadczeń medycznych i nie powinny mieć dostępu do danych dotyczących np. historii choroby czy przebiegu leczenia pacjenta.

Kontrolerzy Izby
wzięli pod lupę przestrzeganie przepisów prawa do prywatności w trakcie rejestracji. W 9 (tylko czy aż?) z 24 kontrolowanych szpitali tego prawa nie przestrzegano. Z wywoływaniem pacjentów do lekarskiego gabinetu jest zasadniczo OK. To rutyny nie było, nie wołano: pani Anna Kowalska, proszę. We wszystkich objętych kontrolą szpitalach pacjentom umieszczano na nadgarstkach opaski ze znakami identyfikacyjnymi. Zgodnie z obowiązującymi przepisami, umieszczane na opaskach informacje muszą być zapisane w sposób uniemożliwiający identyfikację pacjenta przez osoby postronne. Nie powinny zatem zawierać nr PESEL, imienia, ani nazwiska. Jednak - jak wykazali kontrolerzy NIK - prawie połowa skontrolowanych szpitali (11 z 24) nie stosowała się do tych zasad!

Często praktyką
jest przekazywanie firmom informatycznym w przypadku awarii programów HIS także baz danych. Ich obsługą zajmują się osoby nieuprawnione, a zabezpieczenia (hasła, ochrona antywirusowa itp.) są iluzoryczne. To tylko cząstka niedopatrzeń przedstawionych w raporcie NIK. Izba przedstawiła następujące wnioski pokontrolne:

• do prezesa Urzędu Ochrony Danych Osobowych o:
- przeprowadzanie systemowych kontroli przestrzegania zasad ochrony danych osobowych w jednostkach z sektora ochrony zdrowia oraz
- niezwłoczne zakończenie działań związanych z przyjęciem Kodeksu postępowania dla sektora ochrony zdrowia i wprowadzenie regulacji dotyczących certyfikacji, o której mowa w art. 42 RODO;
• do organów założycielskich szpitali o:
- nadzorowanie zagadnień związanych z ochroną danych osobowych pacjentów w podległych podmiotach leczniczych;
• do kierowników podmiotów leczniczych o:
- analizowanie ryzyka dotyczącego ochrony danych osobowych, zgodnie z aktualną wiedzą techniczną, a następnie stosowanie rozwiązań adekwatnych do ustalonych zagrożeń,
- regularne szkolenie osób uczestniczących w procesach przetwarzania informacji, ze szczególnym uwzględnieniem zagrożeń bezpieczeństwa informacji, skutków naruszenia zasad bezpieczeństwa informacji, odpowiedzialności prawnej oraz stosowania środków zapewniających bezpieczeństwo informacji,
- nadawanie pracownikom uprawnień w systemach operacyjnych komputerów oraz systemach HIS w stopniu adekwatnym do realizowanych przez nich zadań,
- wprowadzenie zindywidualizowanej autoryzacji dostępu do posiadanych zasobów informatycznych,
- przechowywanie kopii bezpieczeństwa posiadanych zasobów informacyjnych w innym miejscu niż dane produkcyjne,
- zapewnienie zabezpieczeń fizycznych infrastruktury informatycznej, uniemożliwiających dostęp osób nieuprawnionych oraz zapewniających ochronę przed skutkami zdarzeń losowych (np. pożar, powódź, wichura),- zapewnienie, aby osoby, które uzyskują dostęp do danych osobowych, posiadały stosowne upoważnienia administratora danych osobowych w tym zakresie,
- przekazywanie firmom świadczącym usługi serwisowe jedynie danych niezbędnych do usunięcia usterek oprogramowania.

 

Pełny tekst podsumowania raportu w załączniku do pobrania.

Wieści

Ostatnie wideo

Podziękowania

Wicemarszałek śląski z życzeniami dla pracujących w WPR

21 października 2019

Dyrekcja SP ZOZ MSWiA z życzeniami dla ratowników

21 października 2019

Od komendanta wojewódzkiego PSP w Katowicach

21 października 2019

Prezydent Zabrza pracownikom WPR

21 października 2019

Dyrektor Śląskiego OW NFZ życzy nam...

21 października 2019

Okolicznościowe życzenia od burmistrz Ogrodzieńca

21 października 2019

Życzenia na DRM od b. dyrektor WPR

21 października 2019