Alarmujący raport NIK dot. stosowania RODO w szpitalach

4 grudnia 2019 0

Po ponad rocznym okresie obowiązywania regulacji RODO Najwyższa Izba Kontroli (dalej NIK) opracowała  raport z działań w zakresie ochrony danych osobowych pacjentów dot. podmiotów leczniczych będących szpitalami. Raport NIK wykazał, iż w większości placówek nie zapewniono skutecznej ochrony danych osobowych i medycznych przed ujawnieniem osobom nieupoważnionym, w szczególności nieprawidłowości wystąpiły w zakresie przechowywania papierowej dokumentacji medycznej i jej udostępniania, jak również  zagwarantowania pacjentom prawa do prywatności w trakcie rejestracji lub na salach szpitalnych.

dokumentacja medyczna

Niewłaściwe zabezpieczenie i przechowywanie dokumentacji medycznej doprowadziło do tak poważnych naruszeń ochrony danych osobowych, że w 6 przypadkach było konieczne powiadomienie Prezesa Urzędu Ochrony Danych Osobowych. Taka sytuacja miała miejsce w Szpitalu Specjalistycznym im. Ludwika Rydygiera w Krakowie Sp. z o.o. gdzie jeden z pacjentów niechcący zabrał dokumentację medyczną innego pacjenta jednej z poradni. Kolejny przypadek naruszeń odnotowano w Wojewódzkim Specjalistycznym Szpitalu Dziecięcym im. Św. Ludwika w Krakowie, gdzie z kolei mężczyzna z zaburzeniami psychicznymi ukradł z pomieszczenia rejestracji trzy kartoteki pacjentów – dwóch z nich nie odnaleziono.

Stwierdzono nieprawidłowe udostępnianie dokumentacji medycznej osobom innym niż pacjent. Okazało się, iż w 2 skontrolowanych placówkach kopie dokumentacji medycznej otrzymały osoby nieupoważnione przez pacjenta, co jest także niezgodne z ustawą o prawach pacjenta i Rzeczniku Praw Pacjenta. Poważne przypadki naruszeń w tym zakresie wystąpiły min.: w Białostockim Centrum Onkologii im. M. Skłodowskiej-Curie w Białymstoku, gdzie dokumentację medyczną pełnoletniego pacjenta udostępniono na podstawie listu otrzymanego przez szpital od osoby podającej się za matkę pacjenta oraz w SP ZOZ w Augustowie w 3 przypadkach dokumentacja medyczna została udostępniona osobom, które nie były upoważnione przez pacjentów do odbioru tych dokumentów. W tym samym szpitalu wystąpiły nieprawidłowości w zakresie udostępniania dokumentacji medycznej za pośrednictwem poczty elektronicznej.

W dalszej kolejności NIK stwierdził nieprawidłowości w 7 kontrolowanych szpitalach w zakresie upoważnienia do przetwarzania danych osobowych osób, które nie udzielają pacjentom świadczeń zdrowotnych, takich jak salowe i sanitariusze. Osoby te nie powinny mieć dostępu do wrażliwych danych osobowych jak historia choroby bądź przebieg leczenia pacjenta.

prawo do prywatności

Kontrola NIK wykazała, że aż 37 % badanych szpitali nie zagwarantowała pacjentom w sposób właściwy prawa do prywatności w trakcie rejestracji. Powodem tego było niewystarczające oddzielnie stref pacjentów rejestrujących się od pacjentów oczekujących, w wyniku czego osoby postronne mogły słyszeć treści rozmów pacjentów o ich stanie zdrowia z personelem szpitala.

Nieco lepiej kształtuje się ochrona danych osobowych pacjentów na opaskach identyfikacyjnych, jednak jedynie w 54% skontrolowanych szpitali informacje umieszczone na rzeczonych opaskach były zapisane w sposób uniemożliwiający identyfikację pacjenta przez osoby nieupoważnione.

Jak wynika z raportu kontrolnego NIK w większości szpitali funkcjonowały rozwiązania chroniące dane osobowe pacjentów umieszczane na kartach gorączkowych przy łózkach pacjentów.

systemy informatyczne

NIK miał również zastrzeżenia w tej części – aż 75% szpitali nie wdrożyło wystarczających i odpowiednich środków ochrony danych osobowych i medycznych pacjentów przechowywanych w postaci elektronicznej.

Kolejnym niepokojącym zjawiskiem okazywało się przekazywanie danych osobowych pacjentów firmom informatycznym serwisującym szpitalne systemy podczas zgłaszania usterek. Jednak skala tego zjawiska była niewielka, gdyż dotyczyła tylko 3% zgłoszeń serwisowych.

W raporcie kontrolnym wskazano także na nieprawidłowości w odbieraniu uprawnień do systemów informatycznych  w odniesieniu do osób, które odeszły z pracy. Byłym pracownikom nie odbierano uprawnień a jedynie odbierano dostęp do systemów informatycznych, co zdaniem NIK było działaniem niewystarczającym. Taka sytuacja miała miejsce w Samodzielnym Publicznym Wielospecjalistycznym ZOZ w Stargardzie (dotyczyło 30 byłych pracowników), w Specjalistycznym Psychiatrycznym ZOZ w Suwałkach (dotyczyło 15 byłych pracowników). Z kolei w Szpitalu Wojewódzkim im. Mikołaja Kopernika w Koszalinie stwierdzono przypadek logowania się byłego pracownika do systemu operacyjnego po dniu zakończenia przez niego pracy w szpitalu.

Problemem okazało się niewłaściwe stosowanie ochrony antywirusowej posiadanych komputerów – jako szczególnie naganne NIK ocenił posługiwanie się przez pracowników tymi samymi loginami i hasłami dostępu do systemów informatycznych, a nawet stwierdził brak konieczności logowania się do komputera.

Z raportu wynika, iż zawiódł także system szkoleń. Kontrola wykazał, iż rutyna i utarte schematy personelu miały znaczący wpływ na brak  zmiany podejścia do zagadnień związanych z ochroną danych osobowych pacjentów.

    

                                                                                                                                                                  Anna Olesiuk
                                                                                                                                                                             adwokat

———–

autorka od 2009r. jest adwokatem (Okręgowa Izba Adwokacka w Białymstoku); w 2005r. ukończyła studia prawnicze na Wydziale Prawa na Uniwersytecie w Białymstoku, w latach 2006 – 2008 odbyła studia podyplomowe w zakresie podatków i prawa podatkowego na Wydziale Prawa i Administracji Uniwersytetu Warszawskiego; od 2007r. prowadzi wykłady i szkolenia dla lekarzy stażystów z prawa medycznego; występuje jako obrońca w sprawach karnych; specjalizuje się w prawie medycznym, jak również w sprawach cywilnych, rodzinnych i gospodarczych;


ISPOZ 2017. Wszystkie prawa zastrzeżone.