Naruszenia ochrony danych osobowych w szpitalach – wnioski po konferencji w Jastrzębiej Górze

W ostatni weekend mieliśmy przyjemność wygłosić na szkoleniu dla kadry kierowniczej podmiotów leczniczych prelekcję m.in. na temat naruszeń ochrony danych osobowych. Wnioski ze spotkania z uczestnikami szkolenia są takie, że szpitale są na dobrej drodze do zapewnienia właściwego systemu ochrony danych osobowych jednak bez wątpienia potrzebują w tym zakresie pomocy racjonalnych doradców i konkretnych, praktycznych wytycznych idących „z góry”.

Wszyscy oczekują wobec tego na zatwierdzenie przez Prezesa UODO kodeksu branżowego (www.rodowzdrowiu.pl), jednak kiedy to nastąpi – trudno powiedzieć. Wydaje się, że organizacyjnie Prezes UODO nie jest jeszcze gotowy na wykonanie tego zadania. Szpitale muszą wobec tego uzbroić się w cierpliwość i szukać innych źródeł informacji, jednak co należy wyraźnie zaakcentować, nie powinny one czekać z dostosowaniem systemu ochrony danych osobowych na pojawienie się kodeksu branżowego. Kodeks będzie na pewno przydatnym narzędziem, jednak RODO od 25 maja 2018 roku obowiązuje i powinno być stosowane. Oczekiwanie na kodeks nie będzie usprawiedliwieniem dla jego niestosowania.

W niniejszym krótkim tekście chcielibyśmy Państwu wskazać na przykładach na to jakie zdarzenie może stanowić naruszenie ochrony danych osobowych w szpitalach.

Po pierwsze trzeba jednak zdementować, że naruszenie nie jest związane wyłącznie z wyciekiem danych. Taki pogląd funkcjonuje w świadomościach, jednak jest on całkowicie błędny. Definicja naruszenia ochrony danych osobowych znajduje się w art. 4 RODO, jednak praktycznie (w niewielkim uproszczeniu) sprowadza się ona do tego, że za naruszenie należy traktować każde zdarzenie wynikające z nieprawidłowym przetwarzaniem danych osobowych, które wywołuje niezamierzone skutki dotyczące przetwarzanych danych osobowych. Skutkiem takim może być oczywiście nieuprawnione ujawnienie danych osobowych (wyciek), ale także ich zniszczenie, utrata lub modyfikacja. Pojęcie to jest wobec tego szerokie.

Po drugie o tym, czy mamy do czynienia z incydentem ochrony danych osobowych, nie decyduje jego skala. Jeśli zatem incydent dotyczy jednego pacjenta lub wszystkich pacjentów – nie ma to praktycznie znaczenia. Tak samo nie ma znaczenia czy incydent dotyczy jednego dokumentu zawierającego dane lub całego archiwum. Skala podmiotowa i przedmiotowa jest dla oceny zdarzenia jako naruszenia ochrony danych osobowych całkowicie nieistotna.

Warto także wiedzieć, ze służba zdrowia jest szczególnie wrażliwa na wystąpienie incydentów. Mówią o tym statystyki zgodnie z którymi około 25% stwierdzonych incydentów dotyczy właśnie ochrony zdrowia. Po drugie zakres danych osobowych przetwarzanych przez szpitale jest szczególnie duży i wrażliwy.

1/ Incydenty wskazane w raporcie NIK dot. „Ochrony intymności i godności pacjentów w Szpitalach”

  • niezabezpieczenie gabinetów zabiegowych przed wejściem osób nieuprawnionych
  • wykonywanie czynności rejestracyjnych w obecności osób postronnych
  • udzielanie informacji na temat stanu zdrowia w obecności innych osób
  • monitoring w innych miejscach niż dozwolonych (np. obejmujących pacjentów leżących na korytarzu)
  • brak dokumentacji dotyczącej monitoringu
  • brak umów powierzenia z firmami zewnętrznymi

2/ Incydenty nagłośnione przez media

  • przypadek szpitala w Kole w którym doszło do wycieku danych około 50 tyś pacjentów i pracowników poprzez umieszczenie ich na niezabezpieczonych serwerach do których był swobodny dostęp
  • przypadek Konsultant IT (firmy zapewniającej helpdesk do oprogramowania Eskulap) w którym doszło do wycieku zrzutów ekranów i dokumentów zawierających dane osobowe pacjentów z około 90 szpitali poprzez zamieszczenie ich na niezabezpieczonych serwerach
  • tworzenie w szpitalach listy „wymagających pacjentów” zawierających dane do pacjentów lub ich rodzin, których z różnych względów zaleca się ostrożną obsługę (prawnicy, lekarze itp.)

3/ Inne możliwe incydenty:

  • zgubienie pendrive’a zawierającego dane osobowe
  • zagubienie lub zniszczenie dokumentacji dostarczonej przez pacjenta
  • umyślne lub nieumyślne skasowanie plików z komputera
  • oddanie do serwisu aparatu do badania, w którego pamięci zachowane były wyniki wykonanych badań
  • ujawnienie danych o stanie zdrowia osobie do tego nieupoważnionej
  • wynoszenie danych osobowych przez pracownika
  • atak hakerski mający na celu wykradanie danych lub spowodowanie ich usunięcia

To tylko przykładowe wyliczenie incydentów, a przykłady te bez trudu można mnożyć. Każdy taki incydent powinien powodować odpowiednią reakcję administratora danych osobowych i odpowiednie obowiązki dokumentacyjne i informacyjne (względem Prezesa UODO oraz pacjentów). Obowiązki te będą przedmiotem kolejnego wpisu.