Omówione wcześniej kwestie dokumentacji medycznej oraz tajemnicy lekarskiej mieszczą się w szerszym zbiorze zagadnień związanych z ochroną danych medycznych, której niewątpliwie najbardziej nośnym w ostatnim czasie aspektem są kwestie wdrażania „RODO” (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE). W tym zakresie warto zwrócić uwagę na raport Najwyższej Izby Kontroli, który został opublikowany w listopadzie 2019 r. stanowiąc omówienie kontroli, jaką NIK przeprowadził w 24 podmiotach leczniczych na terenie sześciu województw, w tym także w Małopolsce. W ocenie ogólnej kontroli podkreślono, że – „Niemal w żadnym ze skontrolowanych podmiotów leczniczych dane osobowe pacjentów nie były prawidłowo chronione i przetwarzane po wejściu w życie przepisów RODO.”
Stwierdzono w szczególności.:
– braki w przeszkoleniu personelu w zakresie zagadnień bezpieczeństwa danych osobowych oraz brak aktualizacji podstawowych dokumentów opisujących bezpieczeństwo danych osobowych oraz sposoby ich przetwarzania;
– nieskuteczne procedury ochrony danych osobowych i medycznych pacjentów przed ujawnieniem osobom postronnym (np. organizacja procesu rejestracji pacjentów do poradni nie gwarantowała zachowania ich prawa do prywatności);
– przypadki nieprawidłowego udostępniania kopii dokumentacji medycznej;
– nieprzestrzeganie ustalonej w RODO zasady ograniczania dostępu do danych osobowych do zakresu niezbędnego do osiągnięcia celu ich przetwarzania,
– brak uprawnień do przetwarzania danych;
– nieuprawnione przekazywanie dostępu do danych zewnętrznym podmiotom serwisującym systemy informatyczne;
– sytuacje przechowywania kopii bezpieczeństwa danych w niewłaściwych miejscach.
W toku kontroli ujawniono także m.in, że – wbrew obowiązującym przepisom – w niektórych palcówkach opaski noszone przez pacjentów zawierały (poza numerem księgi głównej bądź kodem kreskowym) także jego imię i nazwisko, a niektórych przypadkach nawet nr PESEL, co stanowiło naruszenie przepisów ustawy o działalności leczniczej (w kilku przypadkach takie dane pacjentów były także zamieszczane na szpitalnych kartach przyłóżkowych).
Ustalono także, że w dziewięciu szpitalach nie zapewniono odpowiedniego sposobu przechowywania papierowej wersji dokumentacji medycznej pacjentów zarówno w pokojach dyżurek lekarskich jak i pielęgniarskich (znajdowała się ona w niezamykanych szafkach, usytuowanych w otwartych pomieszczeniach).
Istotne wnioski płyną także ze stwierdzonych uchybień w zakresie przetwarzania danych w systemach elektronicznych i to zarówno od strony infrastrukturalnej (np. brak właściwego, zaktualizowanego oprogramowania) jak również nieprawidłowości w zakresie osobowego dostępu do zasobów elektronicznych (brak uprawnień, uprawnienia nieaktualne czy wręcz brak jakichkolwiek zabezpieczeń autoryzacyjnych).
We wnioskach z kontroli NIK zaleca m.in.: „Przeprowadzanie regularnych szkoleń osób uczestniczących w procesach przetwarzania informacji, ze szczególnym uwzględnieniem zagrożeń bezpieczeństwa informacji, skutków naruszenia zasad bezpieczeństwa informacji, odpowiedzialności prawnej oraz stosowania środków zapewniających bezpieczeństwo informacji.”
Z wnioskami raportu oraz jego pełna wersją można zapoznać się na stronie Najwyższej Izby Kontroli https://www.nik.gov.pl/aktualnosci/rodo-w-szpitalu.html
mgr Dariusz Dziubina