Jak chronione są dane pacjentów? NIK: szpitale na bakier z RODO

15.11.2019 20:09
RODO w szpitalu. Jak chronione są dane pacjentów - raport NIK
fot. Shutterstock/Micolas (ilustracyjne)

W ponad połowie skontrolowanych szpitali urzędnicy dopatrzyli się naruszeń. Nie obeszło się też bez donosu do UODO – wynika  raportu Najwyższej Izby Kontroli.

Chcesz być na bieżąco? Śledź Radio ZET - BIZNES na Linkedin  

Raport Najwyższej Izby Kontroli nie pozostawia złudzeń – szpitale mają problem z przepisami o ochronie danych osobowych.  

Zmiana w podejściu do ochrony danych osobowych i prywatności pacjentów w szpitalach jest nie tylko konieczna, ale i pilna. Jak wykazała kontrola NIK rutyna i utarte schematy działania gubią personel szpitali, zobowiązany do dbałości o bezpieczeństwo danych osobowych i medycznych pacjentów 

– czytamy w raporcie

Jak informuje NIK, tylko pojedyncze ze skontrolowanych 24 szpitali sprostały wymogom RODO. Chodzi o odpowiednie przechowywanie dokumentacji medycznej pacjentów oraz zagwarantowanie prawa do prywatności w trakcie rejestracji i w salach szpitalnych. Jakich naruszeń dopatrzyli się urzędnicy?

Zobacz także

W sześciu  szpitalach sytuacja była na tyle poważna, że konieczne było powiadomienie Prezesa Urzędu Ochrony Danych Osobowych – informuje NIK. W raporcie opisano przypadek pacjenta, który niechcący zabrał dokumentację medyczną innego pacjenta. W innym szpitalu mężczyzna z zaburzeniami psychicznymi ukradł z pomieszczenia rejestracji trzy kartoteki pacjentów - dwóch z nich nie odnaleziono.

Kwestia odpowiedniego przechowywania dokumentacji medycznej pozostawia zatem wiele do życzenia. W 9 z 24 skontrolowanych szpitali papierowa dokumentacja pacjentów na oddziałach szpitalnych przechowywana była w niezamykanych szafkach lub na półkach. W niektórych szpitalach, dostęp do takiej dokumentacji miały też osoby do tego nieupoważnione, w tym salowe i sanitariusze.

Zobacz także

W ocenie NIK szpitale nie potrafią też zagwarantować pacjentowi prywatności m.in. w momencie rejestracji. Powód? Zbyt mała odległość między okienkami rejestracji i brak wyznaczonej strefy między interesantem a innymi oczekującymi. W efekcie takich zaniedbań, inne osoby mogły usłyszeć treść rozmów między pacjentem a personelem.

Są też dobre informacje. W szpitalach coraz częściej zachowuje się dyskrecję podczas wzywania pacjenta do gabinetu lekarskiego. Wywołuje się ich podając np. numer pacjenta, a nie imię i nazwisko.  Tylko w jednym szpitalu wywieszona była lista pacjentów, na której podana była godzina planowanej wizyty oraz pierwsze trzy litery imienia i pierwsze cztery litery nazwiska. Stosowanie takiego rozwiązania w przypadku pacjentów o krótkich imionach i nazwiskach może doprowadzić do ujawnienia ich danych – alarmuje NIK.

Zobacz także

Problemem – z puntu widzenia ochrony danych osobowych – są też tabliczki umieszczane przy łóżkach pacjentów. Urzędnicy zauważyli je w 13 procentach skontrolowanych szpitali.

NIK zwraca też uwagę na ryzyko wycieku danych gromadzonych w bazie elektronicznej. W 11 szpitalach kontrolerzy dopatrzyli się przekazywania danych osobowych pacjentów firmom informatycznym serwisującym szpitalne systemy podczas zgłaszania usterek oprogramowania. Chodziło łącznie o dane 41 pacjentów. 75 procent szpitali nadal w nieodpowiedni sposób przechowuje dane osobowe i medyczne w postaci elektronicznej. W 63 proc. szpitali, uprawnienia do systemów informatycznych miały np. osoby, które już odeszły z pracy.

W Samodzielnym Publicznym Wielospecjalistycznym ZOZ w Stargardzie dopiero w trakcie kontroli NIK odebrano dostęp do systemów informatycznych wszystkim 30 byłym pracownikom szpitala, objętych badaniem. Nie zrobiono tego wcześniej, wychodząc z błędnego założenia, że automatyczna blokada konta po 30 dniach jest wystarczającym zabezpieczeniem 

– czytamy w raporcie.

To tylko niektóre z uchybień zauważonych przez NIK. W raporcie możemy przeczytać także o nieodpowiednim zabezpieczeniu antywirusowym systemów informatycznych, niewłaściwym zabezpieczeniu serwerowni czy nieprawidłowej autoryzacji przy logowaniu się do systemu.

Jak szpitale przygotowały się do RODO?

Zgodnie z przepisami RODO, punktem wyjścia do właściwej ochrony danych osobowych powinna być analiza ryzyka procesów przetwarzania danych. Obowiązek ten wypełniło jedynie 13 szpitali kontrolowanych przez NIK. W przypadku innych szpitali, impulsem do wykonania takiej analizy była dopiero kontrola izby. Zawiódł też system szkoleń – czytamy w raporcie. Tylko w 9 szpitalach szkoleniami z zakresu ochrony danych osobowych objęto prawie personel.

Zobacz także

RadioZET.pl/NIK