Proste to RODO w medycynie w oświacie w firmie

Wdrożenie RODO w firmie / w szkole / w podmiocie medycznym

Wdrożenie RODO w firmie / w oświacie / w medycynie

Dokumentacja RODO dla firmy, dla podmiotów medycznych, przychodni, szpitali, lekarzy, dla placówek oświatowych. Pełnienei funkcji Inspektora Ochrony Danych w firmach, w podmiotach medycznych, w szkołach. Szkolenia z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Audyt Bezpieczeństwa Informacji KRI. Dofinansowania dla samorządów, dla podmiotów medycznych na cyberbezpieczeństwo.

NIK o ochronie danych osobowych w szpitalach

NIK o ochronie danych osobowych w szpitalach

Zmiana w podejściu do ochrony danych osobowych i prywatności pacjentów w szpitalach jest nie tylko konieczna, ale i pilna. Jak wykazała bowiem kontrola NIK rutyna i utarte schematy działania gubią personel szpitali, zobowiązany do dbałości o bezpieczeństwo danych osobowych i medycznych pacjentów. Tylko pojedyncze ze skontrolowanych szpitali wprowadziły rozwiązania, które stwarzały warunki do odpowiedniego przechowywania papierowej dokumentacji medycznej oraz gwarantowały prawo pacjentów do prywatności w trakcie rejestracji lub na salach szpitalnych. W pozostałych placówkach nie zapewniono skutecznej ochrony danych osobowych i medycznych przed ujawnieniem osobom nieupoważnionym.

RODO w szpitalu - sytuacja jest poważna

Przechowywanie dokumentacji medycznej

W ponad połowie skontrolowanych szpitali doszło do naruszeń ochrony danych osobowych, z czego w sześciu sytuacja była na tyle poważna, że konieczne było powiadomienie Prezesa Urzędu Ochrony Danych Osobowych. W 9 z 24 skontrolowanych szpitali papierowa dokumentacja pacjentów na oddziałach szpitalnych przechowywana była w niezamykanych szafkach lub na półkach. W ocenie NIK niewłaściwe zabezpieczenie i przechowywanie dokumentacji medycznej przez personel medyczny wynika z rutyny.

Udostępnianie dokumentacji medycznej

Z dokumentacją medyczną pacjentów związane jest również zagadnienie udostępniania jej innym osobom niż pacjent, np. członkom rodziny. W dwóch skontrolowanych szpitalach kopie dokumentacji zostały udostępnione osobom, których pacjent nie upoważnił. W innym przypadku dokumentację medyczną pełnoletniego pacjenta udostępniono na podstawie listu otrzymanego przez szpital od osoby podającej się za matkę pacjenta

Upoważnienie do przetwarzania danych

W siedmiu skontrolowanych szpitalach do przetwarzania danych osobowych, w tym medycznych, upoważnieni byli pracownicy obsługi, np. salowe i sanitariusze. W ocenie NIK osoby te nie udzielają pacjentom świadczeń medycznych i nie powinny mieć dostępu do danych dotyczących np. historii choroby czy przebiegu leczenia pacjenta.

Rejestracja pacjenta

Zabezpieczenie dokumentów zawierających dane medyczne to nie jedyny element ochrony danych osobowych pacjentów. Ważna jest również kwestia prawa pacjenta do zachowania prywatności w newralgicznych momentach pobytu w szpitalu, tj.: podczas rejestracji do poradni, oczekiwania na wizytę i wezwania do gabinetu, w trakcie pobytu na oddziale szpitalnym. W 9 z 24 skontrolowanych szpitali pacjentom nie zagwarantowano prawa do prywatności w trakcie rejestracji. Odległość pomiędzy okienkami rejestracji była zbyt mała lub nie wyznaczono strefy oddzielającej pacjentów obsługiwanych od oczekujących w kolejce. W tych sytuacjach osoby postronne mogły usłyszeć treści rozmów pomiędzy pacjentem a personelem szpitala, dotyczących np. stanu zdrowia pacjenta, w tym szczegóły związane z dolegliwościami i procesem leczenia.

Wywołanie do gabinetu

Dużo bardziej dyskretnie wzywano pacjentów do gabinetów lekarskich. Najczęściej posługiwano  się komunikatem: „proszę kolejną osobę” lub podawano imię pacjenta i godzinę wizyty, ewentualnie numer, który pacjent otrzymał podczas rejestracji.

Zabezpieczenia systemów informatycznych

  • W ¾ szpitali nie wdrożono odpowiednich środków zabezpieczających dane osobowe i medyczne pacjentów przechowywane w postaci elektronicznej.
  • W 15 skontrolowanych szpitalach (63%) osobom odchodzącym z pracy nie odbierano uprawnień do systemów informatycznych.
  • W 10 szpitalach objętych kontrolą część pracowników posiadała uprawnienia administratora systemów operacyjnych wykorzystywanych komputerów. Osoby te nie były informatykami i nie zajmowały się administrowaniem systemami informatycznymi w skontrolowanych podmiotach leczniczych. Dzięki nadanym uprawnieniom pracownicy ci mogli instalować na komputerach dowolne oprogramowanie, a także wyłączać ochronę antywirusową. To z kolei zwiększało ryzyko, że przetwarzane dane nie będą odpowiednio chronione, a także że na komputerze może zostać zainstalowane złośliwe oprogramowanie.
  • Stosowanie odpowiedniej ochrony antywirusowej posiadanych komputerów powinno być podstawowym elementem właściwej ich ochrony. W trzech szpitalach część komputerów nie miała zainstalowanego takiego programu, a w czterech programy antywirusowe nie miały aktualnej bazy sygnatur wirusów, przez co ich skuteczność była ograniczona.
  • W połowie skontrolowanych szpitali kontrolerzy NIK stwierdzili zaniechania, które w sposób szczególny wpływały na obniżenie bezpieczeństwa danych przechowywanych w formie elektronicznej.
  • Poszczególni pracownicy tych podmiotów leczniczych nie otrzymali zindywidualizowanych danych do autoryzacji w systemach operacyjnych komputerów. W konsekwencji z tych samych loginów i haseł korzystały grupy pracowników, najczęściej zatrudnionych na tym samym oddziale. Takie podejście stanowiło naruszenie obowiązujących norm, a także uniemożliwiało odbieranie uprawnień w systemach operacyjnych komputerów byłym pracownikom.
  • Szczególnie naganne są w ocenie NIK sytuacje, w których uzyskanie dostępu do systemu operacyjnego komputera nie wymagało podania żadnych danych autoryzacyjnych (loginu i hasła).

Procedura udostępniania dokumentacji medycznej. Kompletny zestaw wzorów dokumentów i ich opis.

5/5

99,00 pln

Lista pytań kontrolnych NIK. Przygotuj się na kontrolę, przeprowadź ją sam, na podstawie wyników raportu NIK.

5/5

69,00 pln

Jak prowadzić ewidencję udostępnionej dokumentacji medycznej. Gotowa procedura.

5/5

29,00 pln

Procedura realizacji praw osób, których dane dotyczą z art. 15-20 RODO to narzędzie, które ułatwi Państwu spełnienie obowiązków ADO. 

5/5

149,00 pln