NIK: Szpitale nie chronią odpowiednio danych osobowych pacjentów

KM
opublikowano: 15-11-2019, 17:45

Zmiana w podejściu do ochrony danych osobowych i prywatności pacjentów w szpitalach jest nie tylko konieczna, ale też pilna – oceniła w opublikowanej w 14 listopada informacji NIK. Izba wykazała, że większość placówek nie przestrzega przepisów RODO.

Ten artykuł czytasz w ramach płatnej subskrypcji. Twoja prenumerata jest aktywna

Ile szpitali skontrolowała NIK

Większość szpitali nie zapewnia skutecznej ochrony danych osobowych i medycznych przed ujawnieniem ich osobom nieupoważnionym - wynika z kontroli NIK.
Zobacz więcej

Większość szpitali nie zapewnia skutecznej ochrony danych osobowych i medycznych przed ujawnieniem ich osobom nieupoważnionym - wynika z kontroli NIK. iStock

Kontrola objęła okres od wejścia w życie przepisów RODO (25 maja 2018 r.) do 23 kwietnia 2019 r. NIK przeprowadziła ją w 24 podmiotach leczniczych w sześciu województwach: podlaskim, lubelskim, lubuskim, małopolskim, wielkopolskim i zachodniopomorskim. W każdym z województw do kontroli wytypowano cztery szpitale: dwa miejskie lub powiatowe oraz dwa wojewódzkie.

Najwyższa Izba Kontroli stwierdziła, że tylko pojedyncze ze skontrolowanych szpitali wprowadziły rozwiązania stwarzające warunki do odpowiedniego przechowywania papierowej dokumentacji medycznej i gwarantujące prawo pacjentów do prywatności w trakcie rejestracji lub na salach szpitalnych. W pozostałych placówkach nie zapewniono skutecznej ochrony danych osobowych i medycznych przed ujawnieniem ich osobom nieupoważnionym.

NIK podała, że w ponad połowie skontrolowanych szpitali doszło do naruszeń ochrony danych osobowych, z czego w sześciu sytuacja była na tyle poważna, że konieczne było powiadomienie prezesa Urzędu Ochrony Danych Osobowych. W Szpitalu Specjalistycznym im. Ludwika Rydygiera w Krakowie jeden z pacjentów niechcący zabrał dokumentację medyczną innego pacjenta jednej z poradni, a w Wojewódzkim Specjalistycznym Szpitalu Dziecięcym im. Św. Ludwika w Krakowie mężczyzna z zaburzeniami psychicznymi ukradł z pomieszczenia rejestracji trzy kartoteki pacjentów – dwóch z nich nie odnaleziono. W 9 z 24 skontrolowanych szpitali papierowa dokumentacja pacjentów na oddziałach szpitalnych przechowywana była w niezamykanych szafkach lub na półkach.

Udostępnianie danych pacjentów osobom nieuprawnionym

W dwóch skontrolowanych szpitalach kopie dokumentacji zostały udostępnione osobom, których pacjent nie upoważnił. W Białostockim Centrum Onkologii im. M. Skłodowskiej-Curie w Białymstoku dokumentację medyczną pełnoletniego pacjenta udostępniono na podstawie listu otrzymanego przez szpital od osoby podającej się za matkę pacjenta, a w SP ZOZ w Augustowie w trzech przypadkach dokumentacja medyczna została udostępniona osobom, które nie były upoważnione przez pacjentów do odbioru tych dokumentów. W tym też szpitalu dokumentacja medyczna została przesłana pocztą elektroniczną na wniosek złożony tą samą drogą, podczas gdy – zgodnie z obowiązującą w szpitalu procedurą – warunkiem wydania dokumentacji powinno być okazanie dokumentu tożsamości.

W siedmiu skontrolowanych szpitalach do przetwarzania danych osobowych, w tym medycznych, upoważnieni byli pracownicy obsługi, np. salowe i sanitariusze. W ocenie NIK osoby te nie udzielają pacjentom świadczeń medycznych i nie powinny mieć dostępu do danych np. o historii choroby czy o przebiegu leczenia pacjenta.

Nieprzestrzeganie prawa pacjenta do zachowania prywatności

NIK podkreśliła, że zabezpieczenie dokumentów zawierających dane medyczne to niejedyny element ochrony danych osobowych pacjentów. Ważna jest również kwestia prawa pacjenta do zachowania prywatności w newralgicznych momentach pobytu w szpitalu: podczas rejestracji do poradni, oczekiwania na wizytę i wezwania do gabinetu w trakcie pobytu na oddziale szpitalnym.

W 9 z 24 skontrolowanych szpitali pacjentom nie zagwarantowano prawa do prywatności w trakcie rejestracji. Odległość między okienkami rejestracji była zbyt mała lub nie wyznaczono strefy oddzielającej pacjentów obsługiwanych od oczekujących w kolejce. W tych sytuacjach osoby postronne mogły usłyszeć treści rozmów pacjenta z personelem szpitala, np. o stanie zdrowia pacjenta, w tym szczegóły związane z dolegliwościami i procesem leczenia.

Dużo bardziej dyskretnie wzywano pacjentów do gabinetów lekarskich. Najczęściej posługiwano się komunikatem "proszę kolejną osobę" lub podawano imię pacjenta i godzinę wizyty, ewentualnie numer, który pacjent otrzymał podczas rejestracji. Tylko w jednym szpitalu (SP ZOZ w Radzyniu Podlaskim) w jednej z trzech zbadanych poradni wywieszona była lista pacjentów, na której podana była godzina planowanej wizyty, pierwsze trzy litery imienia i pierwsze cztery litery nazwiska. Stosowanie takiego rozwiązania w przypadku pacjentów o krótkich imionach i nazwiskach może doprowadzić do ujawnienia ich danych – zauważyła NIK.

Dane osobowe pacjentów widoczne na opaskach i kartach przyłóżkowych

We wszystkich objętych kontrolą szpitalach pacjentom umieszczano na nadgarstkach opaski ze znakami identyfikacyjnymi. Zgodnie z obowiązującymi przepisami umieszczane na opaskach informacje muszą być zapisane w sposób uniemożliwiający identyfikację pacjenta przez osoby postronne. Nie powinny zatem zawierać nr PESEL, imienia ani nazwiska. Jednak – jak wykazali kontrolerzy NIK – prawie połowa skontrolowanych szpitali (11 z 24) nie stosowała się do tych zasad. W trzech skontrolowanych szpitalach (13 proc.) dane osobowe pacjentów umieszczone były na szpitalnych łóżkach w sposób widoczny dla osób postronnych, np. odwiedzających innego chorego. Co ciekawe, w tych samych szpitalach, na innych oddziałach, funkcjonowały rozwiązania chroniące dane osobowe pacjentów. Stosowano tam karty przyłóżkowe z ramkami zasłaniającymi personalia.

Innym niepokojącym zjawiskiem było przekazywanie danych osobowych pacjentów firmom informatycznym serwisującym szpitalne systemy podczas zgłaszania usterek oprogramowania. Do takiej sytuacji doszło w 11 skontrolowanych szpitalach w odniesieniu do danych osobowych 41 pacjentów, w tym danych medycznych 31 z nich.

NIK nie miała zastrzeżeń do samych zabezpieczeń systemów informatycznych czy nawet potencjalnego dostępu serwisantów do danych wrażliwych pacjentów. Chodziło o to, że zgłoszenia serwisowe zawierały informacje o pacjencie i jego historii leczenia, mimo że dane te nie były konieczne do usunięcia usterki.

Błędy w zabezpieczaniu danych przechowywanych elektronicznie 

W trzech czwartych szpitali nie wdrożono odpowiednich środków zabezpieczających przechowywane w postaci elektronicznej dane osobowe i medyczne pacjentów. Były to informacje o pacjencie, jego chorobach, badaniach, zabiegach i innych procedurach leczniczych wykonanych podczas jego pobytu w szpitalu. NIK podkreśliła, że takie dane wymagają szczególnej ochrony.

Elektroniczna dokumentacja medyczna nie jest jeszcze powszechnie stosowana we wszystkich szpitalach, jednak obecnie każdy szpital ma obowiązek składania do Narodowego Funduszu Zdrowia sprawozdań zawierających dane osobowe i medyczne w formie elektronicznej. Zgodnie z przepisami RODO, pracownicy szpitala powinni otrzymać stosowne upoważnienia do przetwarzania danych. Tymczasem kontrolerzy NIK stwierdzili błędy w tym zakresie w pięciu szpitalach. W jednym z nich część lekarzy i pielęgniarek miała dostęp do danych osobowych mimo braku uprawnień do ich przetwarzania. W trakcie kontroli NIK braki zostały uzupełnione. W innym zaś uprawnienia zostały nadane przez informatyków bez wcześniejszej zgody dyrektora szpitala.

Nieuprawniony dostęp do danych pacjentów i narażanie danych na kradzież 

W 15 skontrolowanych szpitalach (63 proc.) osobom odchodzącym z pracy nie odbierano uprawnień do systemów informatycznych. W Samodzielnym Publicznym Wielospecjalistycznym ZOZ w Stargardzie dopiero w trakcie kontroli NIK odebrano dostęp do systemów informatycznych wszystkim 30 byłym pracownikom szpitala, objętych badaniem. Nie zrobiono tego wcześniej, wychodząc z błędnego założenia, że automatyczna blokada konta po 30 dniach jest wystarczającym zabezpieczeniem.

W Specjalistycznym Psychiatrycznym ZOZ w Suwałkach 15 osobom uprawnienia w systemach informatycznych odebrano dopiero po upływie od 9 do 227 dni (czyli po ponad 7 miesiącach). W Szpitalu Wojewódzkim im. Mikołaja Kopernika w Koszalinie stwierdzono przypadek logowania się byłego pracownika do systemu operacyjnego po dniu zakończenia przez niego pracy w szpitalu. Według pracowników służb informatycznych tej jednostki konto użytkownika zostało zablokowane w dniu, w którym ten pracownik zgłosił się z kartą obiegową i nie potrafili wyjaśnić, dlaczego jego konto było nadal aktywne po tej dacie.

W 10 szpitalach objętych kontrolą część pracowników miała uprawnienia administratora systemów operacyjnych wykorzystywanych komputerów. Osoby te nie były informatykami i nie zajmowały się administrowaniem systemami informatycznymi w skontrolowanych podmiotach leczniczych. Dzięki nadanym uprawnieniom pracownicy ci mogli instalować na komputerach dowolne oprogramowanie, a także wyłączać ochronę antywirusową. To z kolei zwiększało ryzyko, że przetwarzane dane nie będą odpowiednio chronione, a także, że na komputerze może zostać zainstalowane złośliwe oprogramowanie. Stosowanie odpowiedniej ochrony antywirusowej komputerów powinno być podstawowym elementem właściwej ich ochrony. W trzech szpitalach część komputerów nie miała zainstalowanego takiego programu, a w czterech programy antywirusowe nie miały aktualnej bazy sygnatur wirusów, przez co ich skuteczność była ograniczona.

Zaniechania dot. loginów i haseł

W połowie skontrolowanych szpitali kontrolerzy NIK stwierdzili zaniechania, które w sposób szczególny wpływały na obniżenie bezpieczeństwa danych przechowywanych w formie elektronicznej. Poszczególni pracownicy tych podmiotów leczniczych nie otrzymali zindywidualizowanych danych do autoryzacji w systemach operacyjnych komputerów. W konsekwencji z tych samych loginów i haseł korzystały grupy pracowników, najczęściej zatrudnionych na tym samym oddziale. Takie podejście stanowiło naruszenie obowiązujących norm, a także uniemożliwiało odbieranie uprawnień w systemach operacyjnych komputerów byłym pracownikom. Nie można bowiem odebrać takiego uprawnienia przez zablokowanie określonego użytkownika w systemie, gdyż loguje się na niego kilka lub kilkanaście osób. W tej sytuacji nie można było ustalić, który z pracowników wykonał w systemie określone operacje. Jest to szczególnie istotne w przypadku incydentów związanych z ochroną danych, np. wycieków informacji poza szpital.

Szczególnie naganne są w ocenie NIK sytuacje, w których uzyskanie dostępu do systemu operacyjnego komputera nie wymagało podania żadnych danych autoryzacyjnych (loginu i hasła). Takie przypadki miały miejsce w trzech skontrolowanych szpitalach, m.in. w SP ZOZ w Augustowie. W jednym z komputerów w tej jednostce na dysku lokalnym przechowywano dokumenty z danymi osobowymi pacjentów wraz z historią ich leczenia. Brak konieczności logowania się do komputera sprawiał, że każda przypadkowa osoba mogła uzyskać dostęp do danych znajdujących się na tym komputerze.

Kontrola wykazała, że w siedmiu szpitalach (29 proc.) na części komputerów stosowano hasła uwierzytelniające, które nie spełniały przyjętych przez szpital wymogów złożoności (za mało znaków lub brak znaków określonego typu).

W 12 podmiotach leczniczych (50 proc. skontrolowanych) na części komputerów korzystano z systemów operacyjnych, dla których producent zakończył wsparcie techniczne. Nie były zatem publikowane aktualizacje zabezpieczeń tych produktów, poprawki czy też opcje asystenta pomocy technicznej oraz aktualizacje zawartości technicznej online.

Izba ujawniła też m.in., że serwerownie dwóch szpitali nie były właściwie zabezpieczone – brakowało systemów antywłamaniowych i przeciwpożarowych, a w serwerowniach trzech innych podmiotów leczniczych przechowywano łatwopalne materiały (kartony lub zużyty sprzęt informatyczny), co stwarzało dodatkowe zagrożenie dla znajdujących się tam danych i urządzeń.

W 5 szpitalach (21 proc.) kopie bezpieczeństwa baz danych przechowywano w niewłaściwy sposób, tj. w tym samym miejscu, co dane źródłowe. NIK zwraca uwagę, że nośniki z danymi powinny znajdować się w innej lokalizacji, aby w przypadku wystąpienia sytuacji losowej, np. pożar lub zalanie, dane źródłowe nie zostały zniszczone wraz z ich kopiami.

W 8 szpitalach (⅓ objętych kontrolą NIK) w systemie informatycznym do obsługi pacjenta części pielęgniarek i położnych przyznano dostęp do danych osobowych oraz medycznych pacjentów z oddziałów szpitala, na których te osoby nie pracowały.

Szpitale nie przygotowały się na wejście w życie przepisów RODO

Zgodnie z przepisami RODO, punktem wyjścia do właściwej ochrony danych osobowych powinna być analiza ryzyka procesów przetwarzania danych. Jednak szpitale nie przygotowały się na wejście w życie nowych przepisów. Od wejścia w życie tego unijnego rozporządzenia wymaganą analizę przeprowadziło tylko 13 szpitali (nieco więcej niż połowa skontrolowanych). 9 innych podmiotów wywiązało się z tego obowiązku po upływie od ok. miesiąca do ponad pół roku od wejścia w życie przepisów RODO, a w dwóch kolejnych impulsem do wykonania analizy była dopiero kontrola NIK. 

NIK skierowała wnioski do prezesa Urzędu Ochrony Danych Osobowych (o przeprowadzanie systemowych kontroli przestrzegania zasad ochrony danych osobowych w jednostkach z sektora ochrony zdrowia oraz niezwłoczne zakończenie działań związanych z przyjęciem kodeksu postępowania dla sektora ochrony zdrowia i wprowadzenie regulacji dotyczących certyfikacji) oraz organów założycielskich szpitali (o nadzorowanie zagadnień związanych z ochroną danych osobowych pacjentów w podległych podmiotach leczniczych). Izba zwróciła się także do kierowników podmiotów leczniczych m.in. o analizowanie ryzyka dotyczącego ochrony danych osobowych, zgodnie z aktualną wiedzą techniczną, a następnie stosowanie rozwiązań adekwatnych do ustalonych zagrożeń.

Pełen raport NIK dostępny pod tym linkiem: Informacja o wynikach kontroli: Wdrożenie przez podmioty lecznicze regulacji dotyczących ochrony danych osobowych

PRZECZYTAJ TAKŻE: Szczegółowa dokumentacja medyczna chroni lekarza

Źródło: Puls Medycyny

Podpis: KM

Najważniejsze dzisiaj
× Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.