Niedawno opublikowano raport NIK odnoszący się do wyników kontroli placówek służby zdrowia w zakresie dotyczącym ochrony danych osobowych pacjentów.
Wyniki kontroli okazały się niestety zatrważające. Otóż pomimo ponad rocznego obowiązywania RODO, ochrona danych osobowych nie funkcjonuje w szpitalach w sposób należyty.
Kontrolą objęto 24 podmioty lecznicze, w których nagminnie powtarzały się następujące uchybienia:
-niewłaściwe przetwarzanie i ochrona danych osobowych pacjentów
-niewłaściwie opracowana dokumentacja RODO
-niewłaściwie wdrożone rozwiązania związane z procesami przetwarzania danych
-brak analiz ryzyka dla procesów przetwarzania danych
-brak ocen skutków dla ochrony danych
-niewłaściwa realizacja zadań związana z powołaniem inspektora ochrony danych
-nierzetelnie prowadzone rejestry przetwarzania danych
-brak szkoleń personelu w zakresie ochrony danych osobowych
-niska świadomość personelu w zakresie ochrony danych osobowych
-błędy związane z umowami powierzenia przetwarzania danych
Jak zatem powyższe uchybienia funkcjonowały w praktyce?
Między innymi dochodziło do takich zaniedbań i nieprawidłowości jak:
-zabranie dokumentacji jednego pacjenta przez innego w jednym z kontrolowanych szpitali
-kradzież z pomieszczenia rejestracji kartotek 3 pacjentów
-przechowywanie dokumentacji pacjentów w niezamykanych szafkach
-udostępnienie dokumentacji nieupoważnionym osobom
-brak realizacji prawa do prywatności, w tym brak szacunku dla zachowania w poufności informacji o stanie zdrowia pacjentów
-umieszczanie „kart gorączkowych” pacjentów przy łóżkach w taki sposób, że z informacjami tymi mogły się zapoznać przypadkowe osoby
-brak właściwego zabezpieczenia serwerowni, czy brak właściwej ochrony haseł dostępu do systemów informatycznych
W związku ze stwierdzonymi uchybieniami NIK wydał pilne zalecenia, mające na celu zoptymalizowanie procesów przetwarzania danych i dostosowanie ich do wymogów unijnego rozporządzenia. Wśród zaleceń znalazły się wytyczne takie jak:
-bardziej dyskretne przetwarzanie danych pacjentów w czasie rejestracji do lekarzy (np. wyznaczenie linii oddzielającej pacjentów stojących bezpośrednio przy okienku rejestracji od reszty oczekujących w kolejce)
-identyfikowanie pacjentów za pomocą dokumentu tożsamości, a nie poprzez głośne wymawianie imienia i nazwiska
-wzywanie pacjentów do gabinetów po nadanych numerkach zamiast po nazwiskach
-nieujawnianie informacji na temat stanu zdrowia pacjentów w obecności innych pacjentów
-zamieszczanie „kart gorączkowych” pacjentów bez danych osobowych, bądź w sposób uniemożliwiający zapoznanie się z informacjami przez osoby postronne
-nieudostępnienie dokumentacji medycznej osobom nieupoważnionym
Oczywiście powyższe zalecenia, jak również wachlarz stwierdzonych uchybień nie jest wyczerpujący.
Wyniki przeprowadzonych kontroli dają zatem wiele do myślenia. O nieprawidłowościach świadczy zapewne bardzo niska świadomość personelu w zakresie procesów bezpiecznego oraz poufnego przetwarzania danych pacjentów, które są przecież danymi wrażliwymi i zasługują na szczególną ochronę.
W naszej opinii wciąż niezbyt popularne są szkolenia, od których należałoby rozpocząć wdrażanie programów naprawczych, aby administrator danych nie miał wątpliwości co do tego jak ważna jest ranga i dbałość o dane osobowe pacjentów, dzięki czemu może zostać zachowane ich prawo do prywatności, jako jedno z podstawowych praw człowieka.