NIK wnioskuje o szybkie wprowadzenie kodeksu dla sektora ochrony zdrowia
Z kontroli NIK wynika, że szpitale nie przestrzegają zasad ochrony danych osobowych. Izba wystąpiła do prezesa Urzędu Ochrony Danych Osobowych o przeprowadzanie systemowych kontroli w tym zakresie oraz niezwłoczne zakończenie działań związanych z przyjęciem kodeksu postępowania dla sektora ochrony zdrowia i wprowadzenie regulacji dotyczących certyfikacji, o której mowa w art. 42 RODO.
Z analizy przeprowadzonej przez Najwyższą Izbę Kontroli wynika, że w ponad połowie skontrolowanych szpitali doszło do naruszeń ochrony danych osobowych, z czego w sześciu sytuacja była na tyle poważna, że konieczne było powiadomienie Prezesa Urzędu Ochrony Danych Osobowych.
Na przykład w Szpitalu Specjalistycznym im. Ludwika Rydygiera w Krakowie Sp. z o.o. jeden z pacjentów niechcący zabrał dokumentację medyczną innego pacjenta jednej z poradni, a w Wojewódzkim Specjalistycznym Szpitalu Dziecięcym im. Św. Ludwika w Krakowie mężczyzna z zaburzeniami psychicznymi ukradł z pomieszczenia rejestracji trzy kartoteki pacjentów – dwóch z nich nie odnaleziono. W 9 z 24 skontrolowanych szpitali papierowa dokumentacja pacjentów na oddziałach szpitalnych przechowywana była w niezamykanych szafkach lub na półkach. W ocenie NIK niewłaściwe zabezpieczenie i przechowywanie dokumentacji medycznej przez personel medyczny wynika z rutyny.
Z dokumentacją medyczną pacjentów związane jest również zagadnienie udostępniania jej innym osobom niż pacjent, na przykład członkom rodziny. W dwóch skontrolowanych szpitalach kopie dokumentacji zostały udostępnione osobom, których pacjent nie upoważnił, a w siedmiu do przetwarzania danych osobowych, w tym medycznych, upoważnieni byli pracownicy obsługi, na przykład salowe i sanitariusze. W ocenie NIK osoby te nie udzielają pacjentom świadczeń medycznych i nie powinny mieć dostępu do danych dotyczących historii choroby czy przebiegu leczenia pacjenta.
W 9 z 24 skontrolowanych szpitali pacjentom nie zagwarantowano prawa do prywatności w trakcie rejestracji. Odległość pomiędzy okienkami rejestracji była zbyt mała lub nie wyznaczono strefy oddzielającej pacjentów obsługiwanych od oczekujących w kolejce.
Czytaj także: Pracodawcy Medycyny Prywatnej wspierają kampanię RODO dla pacjenta>>>
We wszystkich objętych kontrolą szpitalach pacjentom umieszczano na nadgarstkach opaski ze znakami identyfikacyjnymi. Zgodnie z obowiązującymi przepisami, umieszczane na opaskach informacje muszą być zapisane w sposób uniemożliwiający identyfikację pacjenta przez osoby postronne. Nie powinny zatem zawierać nr PESEL, imienia, ani nazwiska. Jednak – jak wykazali kontrolerzy NIK – prawie połowa skontrolowanych szpitali (11 z 24) nie stosowała się do tych zasad.
W trzech skontrolowanych szpitalach dane osobowe pacjentów umieszczone były na szpitalnych łóżkach, w sposób widoczny dla osób postronnych, na przykład odwiedzających innego chorego. Jednocześnie jednak, w tych samych szpitalach, na innych oddziałach, funkcjonowały rozwiązania chroniące dane osobowe pacjentów. Stosowano tam karty przyłóżkowe z ramkami zasłaniającymi personalia.
Niepokojącym zjawiskiem, według NIK, jest przekazywanie danych osobowych pacjentów firmom informatycznym serwisującym szpitalne systemy podczas zgłaszania usterek oprogramowania. Taka sytuacja miała miejsce aż w 11 skontrolowanych szpitalach w odniesieniu do danych osobowych 41 pacjentów, w tym danych medycznych 31 z nich.
W ¾ szpitali nie wdrożono odpowiednich środków zabezpieczających dane osobowe i medyczne pacjentów przechowywane w postaci elektronicznej.
Zgodnie z przepisami RODO, pracownicy szpitala powinni otrzymać stosowne upoważnienia do przetwarzania danych. Tymczasem kontrolerzy NIK stwierdzili błędy w tym zakresie w 5 szpitalach. W 15 skontrolowanych szpitalach osobom odchodzącym z pracy nie odbierano uprawnień do systemów informatycznych, a w 10 – część pracowników posiadała uprawnienia administratora systemów operacyjnych wykorzystywanych komputerów, pomimo że osoby te nie były informatykami i nie zajmowały się administrowaniem systemami informatycznymi.
W połowie skontrolowanych szpitali kontrolerzy NIK stwierdzili zaniechania, które w sposób szczególny wpływały na obniżenie bezpieczeństwa danych przechowywanych w formie elektronicznej.
Zgodnie z przepisami RODO, punktem wyjścia do właściwej ochrony danych osobowych powinna być analiza ryzyka procesów przetwarzania danych. Jednak szpitale nie przygotowały się na wejście w życie nowych przepisów
Z pomocą podmiotom leczniczym przyszło Ministerstwo Cyfryzacji, które we współpracy z Ministerstwem Zdrowia przygotowało Przewodnik po RODO dla służby zdrowia. Publikacja ta zawiera przykłady praktycznych rozwiązań, które ułatwiają ochronę danych medycznych pacjentów. Jednak mimo przekazania Przewodnika szpitalom, zagadnienia związane z ochroną danych osobowych pacjentów były w tych jednostkach marginalizowane i jako dodatkowy obowiązek nie znalazły się wśród priorytetów służb medycznych i pracowników administracyjnych. Zawiódł też system szkoleń. Tylko w 9 szpitalach szkoleniami z zakresu ochrony danych osobowych objęto prawie cały personel. Były jednak także takie podmioty lecznicze, w których przeszkolony był niespełna co dziesiąty pracownik.
Cały raport NIK dostępny jest na stronie: www.nik.gov.pl
Kodeks dla branży medycznej, która ma ułatwiać stosowanie przepisów unijnego rozporządzenia RODO, powstaje od początku 2018 roku. Pod koniec roku 2018 został złożony do Urzędu Ochrony Danych Osobowych.
W pracach nad kodeksem aktywnie uczestniczyli między innymi przedstawiciele Pracodawców Medycyny Prywatnej.
Czytaj na ten temat: Projekt Kodeksu Branżowego dla podmiotów medycznych złożony do Urzędu Ochrony Danych Osobowych>>>