Zgodnie z przepisami RODO, pracownicy szpitala powinni otrzymać stosowne upoważnienia do przetwarzania danych. Ochrona danych osobowych i medycznych pacjentów byłaby wówczas narażona w znacznie mniejszym stopniu. Tymczasem kontrolerzy NIK stwierdzili błędy w tym zakresie w 5 szpitalach. W jednym z nich część lekarzy i pielęgniarek miała dostęp do danych osobowych pomimo braku uprawnień do ich przetwarzania. W trakcie kontroli NIK braki zostały uzupełnione. W innym zaś uprawnienia zostały nadane przez informatyków bez wcześniejszej zgody dyrektora szpitala.
W 15 skontrolowanych szpitalach (63%) osobom odchodzącym z pracy nie odbierano uprawnień do systemów informatycznych. W Samodzielnym Publicznym Wielospecjalistycznym ZOZ w Stargardzie dopiero w trakcie kontroli NIK odebrano dostęp do systemów informatycznych wszystkim 30 byłym pracownikom szpitala, objętych badaniem. Nie zrobiono tego wcześniej, wychodząc z błędnego założenia, że automatyczna blokada konta po 30 dniach jest wystarczającym zabezpieczeniem.
W Specjalistycznym Psychiatrycznym ZOZ w Suwałkach 15 osobom uprawnienia w systemach informatycznych odebrano dopiero po upływie od 9 do 227 dni (czyli po ponad 7 miesiącach).
W Szpitalu Wojewódzkim im. Mikołaja Kopernika w Koszalinie stwierdzono przypadek logowania się byłego pracownika do systemu operacyjnego po dniu zakończenia przez niego pracy w szpitalu. Według pracowników służb informatycznych tej jednostki, konto użytkownika zostało zablokowane w dniu, w którym ten pracownik zgłosił się z kartą obiegową i nie potrafili wyjaśnić, dlaczego jego konto było nadal aktywne po tej dacie.
W 10 szpitalach objętych kontrolą część pracowników posiadała uprawnienia administratora systemów operacyjnych wykorzystywanych komputerów. Osoby te nie były informatykami i nie zajmowały się administrowaniem systemami informatycznymi w skontrolowanych podmiotach leczniczych. Dzięki nadanym uprawnieniom pracownicy ci mogli instalować na komputerach dowolne oprogramowanie, a także wyłączać ochronę antywirusową. To z kolei zwiększało ryzyko, że przetwarzane dane nie będą odpowiednio chronione, a także że na komputerze może zostać zainstalowane złośliwe oprogramowanie.
Stosowanie odpowiedniej ochrony antywirusowej posiadanych komputerów powinno być podstawowym elementem właściwej ich ochrony. W trzech szpitalach część komputerów nie miała zainstalowanego takiego programu, a w czterech programy antywirusowe nie miały aktualnej bazy sygnatur wirusów, przez co ich skuteczność była ograniczona.
W połowie skontrolowanych szpitali kontrolerzy NIK stwierdzili zaniechania, które w sposób szczególny wpływały na obniżenie bezpieczeństwa danych przechowywanych w formie elektronicznej. Poszczególni pracownicy tych podmiotów leczniczych nie otrzymali zindywidualizowanych danych do autoryzacji w systemach operacyjnych komputerów. W konsekwencji z tych samych loginów i haseł korzystały grupy pracowników, najczęściej zatrudnionych na tym samym oddziale. Takie podejście stanowiło naruszenie obowiązujących norm, a także uniemożliwiało odbieranie uprawnień w systemach operacyjnych komputerów byłym pracownikom. Nie można bowiem odebrać takiego uprawnienia poprzez zablokowanie określonego użytkownika w systemie, gdyż loguje się na niego kilka lub kilkanaście osób. W tej sytuacji nie można było ustalić, który z pracowników wykonał w systemie określone operacje. Jest to szczególnie istotne w przypadku incydentów związanych z ochroną danych, np. „wycieków” informacji poza szpital.
Szczególnie naganne są w ocenie NIK sytuacje, w których uzyskanie dostępu do systemu operacyjnego komputera nie wymagało podania żadnych danych autoryzacyjnych (loginu i hasła). Takie przypadki miały miejsce w trzech skontrolowanych szpitalach, m.in. w SP ZOZ w Augustowie. W jednym z komputerów w tej jednostce, na dysku lokalnym przechowywano dokumenty z danymi osobowymi pacjentów wraz z historią ich leczenia. Brak konieczności logowania się do komputera sprawiał, że każda przypadkowa osoba mogła uzyskać dostęp do danych znajdujących się na tym komputerze.
Poza wymienionymi nieprawidłowościami kontrolerzy NIK stwierdzili inne sytuacje stwarzające zagrożenie dla bezpieczeństwa danych, w tym danych medycznych, przechowywanych w postaci elektronicznej:
- w 7 szpitalach (29%) na części komputerów stosowano hasła uwierzytelniające, które nie spełniały przyjętych przez szpital wymogów złożoności (za mało znaków lub brak znaków określonego typu),
- w jednym przypadku (Lubuski Szpital Specjalistyczny Pulmonologiczno-Kardiologiczny w Torzymiu) system operacyjny nie wymuszał zmiany hasła po 30 dniach – mimo że taki wymóg był określony w regulacjach wewnętrznych, a po 3-krotnym wpisaniu błędnego hasła system nie blokował się,
- w 12 podmiotach leczniczych (połowa skontrolowanych) na części komputerów korzystano z systemów operacyjnych, dla których producent zakończył wsparcie techniczne. Nie były zatem publikowane aktualizacje zabezpieczeń tych produktów, poprawki czy też opcje asystenta pomocy technicznej oraz aktualizacje zawartości technicznej online,
- serwerownie dwóch szpitali nie były właściwie zabezpieczone – brakowało systemów antywłamaniowych i przeciwpożarowych, a w serwerowniach trzech innych podmiotów leczniczych przechowywano łatwopalne materiały (kartony lub zużyty sprzęt informatyczny), co stwarzało dodatkowe zagrożenie dla znajdujących się tam danych i urządzeń,
- w 5 szpitalach (21%) kopie bezpieczeństwa baz danych przechowywano w niewłaściwy sposób, tj. w tym samym miejscu, co dane źródłowe. NIK zwraca uwagę, że nośniki z danymi powinny znajdować się w innej lokalizacji, aby w przypadku wystąpienia sytuacji losowej, np. pożar lub zalanie, dane źródłowe nie zostały zniszczone wraz z ich kopiami,
- w ośmiu szpitalach (⅓ objętych kontrolą NIK) w systemie informatycznym do obsługi pacjenta części pielęgniarek i położnych przyznano dostęp do danych osobowych oraz medycznych pacjentów z oddziałów szpitala, na których te osoby nie pracowały. Np.: w SP ZOZ w Augustowie pielęgniarka środowiskowa w gabinecie lekarza rodzinnego miała dostęp do danych pacjentów z siedmiu innych oddziałów i poradni, na których nigdy nie świadczyła pracy i informacje te nie były jej potrzebne do wykonywania obowiązków służbowych.
Zgodnie z przepisami RODO, punktem wyjścia, sprawiającym, że ochrona danych osobowych i medycznych pacjentów jest właściwa, powinna być analiza ryzyka procesów przetwarzania danych. Jednak szpitale nie przygotowały się na wejście w życie nowych przepisów. Od wejścia w życie tego unijnego rozporządzenia wymaganą analizę przeprowadziło tylko 13 szpitali (nieco więcej niż połowa skontrolowanych). Dziewięć innych podmiotów wywiązało się z tego obowiązku po upływie od ok. miesiąca do ponad pół roku od wejścia w życie przepisów RODO, a w dwóch kolejnych impulsem do wykonania analizy była dopiero kontrola NIK.
Poza tym prawie połowa skontrolowanych podmiotów leczniczych nie zaktualizowała wraz z wejściem w życie RODO podstawowych dokumentów określających bezpieczeństwo danych osobowych oraz sposoby ich przetwarzania. W siedmiu szpitalach wewnętrzną dokumentację zaktualizowano dopiero po upływie od 37 do 263 dni od wejścia w życie nowych uregulowań. W innych czterech podmiotach do zakończenia kontroli NIK nie przeprowadzono aktualizacji dokumentów.
Red. (źródło: nik.gov.pl)
