Utrata danych medycznych. UODO ukarał szpital

Lekarzowi ukradli auto, w środku była dokumentacja pacjentów. Szpital ukarany przez UODO

Źródło: iStock

Niezabezpieczona dokumentacja pacjentów znajdowała się w samochodzie, który został skradziony lekarzowi. Urząd Ochrony Danych Osobowych przyjrzał się, jak wyglądały procedury ochrony danych w placówce zatrudniającej medyka. Nałożył na niepubliczny ZOZ w Pyskowicach prawie 33 tys. złotych kary.

- Analiza ryzyka dla ochrony danych przewożonych przez lekarza w dokumentacji pacjenta w czasie wizyt domowych pozwoliłaby się ustrzec przed konsekwencjami kradzieży samochodu – twierdzi UODO w komunikacie informującym o nałożeniu kary.

Analiza ryzyka niekompletna

W badanym przypadku urząd został poinformowany o incydencie. Z opisu wynikało, że skradziono samochód, którym lekarz pojechał na wizytę domową do pacjenta. W aucie znajdowała się niezabezpieczona dokumentacja ośmiorga pacjentów, zawierająca: nazwiska, imiona, daty urodzenia, adresy zamieszkania, numery PESEL, dane dotyczące zdrowia.

Postępowanie UODO wykazało, że analiza ryzyka dla danych była niekompletna, przez co nie wdrożono odpowiednich zabezpieczeń dla dokumentacji medycznej przy wizytach domowych.

Lekarze zatrudnieni w ZOZ jeździli na wizyty domowe prywatnymi samochodami, na podstawie podpisywanych umów. Już w 2017 r. administrator bezpieczeństwa informacji w tej placówce zwrócił uwagę, że przewożenie niezabezpieczonej dokumentacji jest ryzykowne, bo można ją zgubić albo stracić w wyniku kradzieży. Alarmował również, że dokumentacja powinna być odwożona tego samego dnia do placówki, a nie zabierana przez lekarza „na noc”.

Mimo to w dalszym ciągu szpital (będący administratorem danych) nie identyfikował prywatnych aut pracowników jako obszaru przetwarzania danych osobowych.

- Również same procedury w sposób bardzo ogólny odnosiły się do okoliczności przetwarzania danych poza siedzibą administratora. Nie odpowiadały na realne zagrożenia stwierdzone w audytach bezpieczeństwa – opisuje UODO.

Czytaj także: Bułgarskie polisy obnażają słabość systemu

Kara za procedury, nie za incydent

Jak podkreśla urząd, to za nieodpowiednie procedury – a nie za utratę danych – Mirosław Wróblewski, prezes UODO, nałożył na szpital karę finansową w wysokości 32 832 zł.

ZOZ w Pyskowicach po zdarzeniu zidentyfikował zagrożenie i wyraźnie zakomunikował zakaz pozostawiania dokumentacji medycznej m.in. w prywatnym samochodzie.

Zaktualizowany został załącznik do polityki bezpieczeństwa dotyczący zabezpieczeń fizycznych, w którym znalazło się konkretne wskazanie zasad obowiązujących w razie konieczności transportu dokumentacji medycznej poza siedzibą placówki. Pracownicy przeszli odpowiednie szkolenie, a lekarze jeżdżący do pacjentów dostali na dokumenty medyczne teczki zabezpieczone zamkiem szyfrowym.