Naruszenia ochrony danych osobowych w podmiotach
leczniczych

Jarosław Peplinski

W dzisiejszym artykule przedstawię trzy naruszenia ochrony danych osobowych, z jakimi musiały się zmierzyć podmioty lecznicze. Ich przebieg i wydane w sprawach decyzje stanowią cenne źródło informacji o tym, w jaki sposób kształtować pracę własnej placówki medycznej.

Naruszenia ochrony danych osobowych to temat wciąż bagatelizowany i wręcz… zamiatany pod dywan. Może jednak powodować ogromne problemy dla pacjentów lub innych osób, których dotyczy naruszenie, a tym samym dla Państwa, chociażby w przypadku dochodzenia roszczeń finansowych w związku z naruszeniem.

Dlatego jednym z kluczowych zadań podmiotu leczniczego jako administratora danych jest zadbanie o odpowiednią procedurę zgłaszania i oceny naruszeń. Zarówno w tym, jak i bieżącej obsłudze naruszeń, może pomóc placówce wyznaczony Inspektor Ochrony Danychl.

Złośliwe oprogramowanie szyfrujące i utrata dostępu do systemu

Naruszenie w tej sprawie polegało na doborze nieodpowiednich środków zabezpieczeń, co skutkowało ich przełamaniem przez złośliwe oprogramowanie. „Devos” było złośliwym oprogramowaniem szyfrującym, które zaszyfrowało obecne w systemie dane. W konsekwencji podmiot stracił dostęp do około 80 000 rekordów danych pracowników, klientów oraz pacjentów. Zaszyfrowane dane obejmowały imiona, nazwiska, imiona rodziców, datę urodzenia, numer rachunku bankowego, adres zamieszkania, numer ewidencyjny PESEL, adres e-mail, serię i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia.

Trzeba w tym miejscu wspomnieć, że spółka nie stwierdziła w tej sprawie wysokiego ryzyka naruszenia praw lub wolności osób fizycznych. Prezes UODO nie zgodził się z tym podejściem i, przypominając o konieczności regularnego mierzenia i testowania stosowanych zabezpieczeń, ukarał administratora upomnieniem.

Ransomware

Do podobnego zdarzenia doszło w ostatnim czasie w jednym z Centrów Medycznych. Jak możemy dowiedzieć się z opublikowanego na stronie Centrum oświadczenia, zaszyfrowaniu uległ podobny zakres danych, co w powyższym przypadku.

Oświadczenie takie jest bardzo istotnym elementem naruszeń. W przypadku, gdy dojdzie do takiego, które wiąże się z wysokim ryzykiem naruszenia praw lub wolności dotkniętych nim osób, powinny być one poinformowane o tym, co się wydarzyło, jakie mogą być skutki zdarzenia oraz jak mogą się przed tymi skutkami chronić. Działanie to często wiąże się ze sporymi kosztami, nakładem pracy, ale przede wszystkim stanowi rysę na renomie placówki.

Ujawnienie danych nieuprawnionej osobie

Kolejną karę, tym razem pieniężną w wysokości 10 000 zł, Prezes UODO nałożył na podmiot leczniczy w wyniku nieuprawnionego ujawnienia danych osobowych. Zdarzenie polegało na tym, że podmiot leczniczy przekazał omyłkowo innemu podmiotowi dane osobowe dotyczące pacjenta. O sprawie Prezes UODO dowiedział się od Rzecznika Praw Pacjenta.

Jest to jedna z wielu decyzji, w której Prezes UODO zwraca uwagę na konieczność współpracy w organem nadzorczym.

Warto też przypomnieć, że naruszenie to dotyczyło tylko jednej osoby, a dla jego oceny nie miała większego wpływu okoliczność, że podmiot, któremu ujawnione zostały dane był związany tajemnicą zawodową.

Praktyczny dodatek

W ramach dodatku podpowiem Państwu jeszcze, jakie obszary mogą wymagać Państwa szczególnej uwagi. Są to częste sytuacje, które spotykam w czasie audytów. Większość z nich można naprawić w stosunkowo prosty i szybki sposób. Mam na myśli przede wszystkim:

• poczta e-mail – często spotykanym jest korzystanie z prywatnej skrzynki, często nieodpowiednio zabezpieczonej – rozwiązaniem jest utworzenie dla współpracowników skrzynek na domenie podmiotu leczniczego;
• brak kontroli nad sprzętem informatycznym – administrator musi wiedzieć, kto z jakich urządzeń korzysta, czy wynosi je poza obszar udzielania świadczeń i jak jest zabezpieczony;
• brak kontroli nad dostępami do systemów – chodzi w szczególności o brak zasad dotyczących udzielania i wygaszania dostępów do systemów informatycznych (np. elektronicznej dokumentacji medycznej) oraz brak ograniczenia dostępu do tych danych, które rzeczywiście są danemu lekarzowi lub innemu współpracownikowi potrzebne;
• nieodpowiednie zabezpieczenia – zaskakująco częstymi przypadkami są nieodpowiednie zabezpieczenia, również w tym podstawowym wymiarze, jak zbyt krótkie hasła, czy całkowity ich brak. Należy wskazać również otwarte gabinety, niezablokowane ekrany z dostępem do dokumentacji medycznej, czy brak kopii zapasowych danych;
• brak lub nieaktualne procedury postępowania – wciąż można napotkać podmioty, które nie wprowadziły procedur ochrony danych osobowych po rozpoczęciu stosowania RODO w maju 2018 r., jak również takie, które wprawdzie procedury wprowadziły, jednak nie są one wdrożone w praktyce i nierzadko są opracowane na poprzedzającym RODO stanie prawnym;
• brak przeszkolenia personelu – brak świadomości zagrożeń i tzw. „czynnik ludzki” to jedna z najczęstszych przyczyn naruszeń, które mogą być spowodowane najprostszym codziennym działaniem. W przypadku złośliwego oprogramowania wystarczy kliknięcie w załącznik do maila, który wygląda wiarygodnie… ale tylko na pierwszy rzut oka.

Jak chronić się przed naruszeniami?

Ochrona przed naruszeniami to przede wszystkim regularne monitorowanie i testowanie stosowanych środków ochrony danych, a gdy nie są wystarczające, zmiana odpowiadająca istniejącym zagrożeniom.

Gdy jednak dojdzie do naruszenia, bardzo istotne jest, aby nie lekceważyć tej sprawy. Naruszenie ochrony danych osobowych pacjentów może też stanowić naruszenie tajemnicy zawodowej. Najistotniejsze jednak, aby do naruszenia podejść na chłodno i przeprowadzić rzetelną ocenę skutków, jakie może wywołać. Nawet wtedy, gdy nie podlega ono obowiązkowi zgłoszenia do Prezesa Urzędu Ochrony Danych Osobowych, może być cenną wskazówką wspomagającą rozwój podmiotu leczniczego.

A jeżeli macie Państwo wątpliwości, czy wprowadzony u Państwa system obsługi naruszeń działa odpowiednio, zawsze możecie nas o to zapytać. Z przyjemnością pomożemy!😊