Najczęstsze naruszenia ochrony danych osobowych w sektorze medycznym

Najczęstsze naruszenia ochrony danych osobowych w sektorze medycznym

Prezes Urzędu zapowiada kontrole w sektorze zdrowia.

Prezes Urzędu Ochrony Danych Osobowych w opublikowanym rocznym planie kontroli sektorowych na rok 2019 wskazał sektor medyczny. W ramach planowanych kontroli znalazły się podmioty z obszaru ochrony zdrowia. Zakresem kontroli mają być podmioty udzielające świadczeń zdrowotnych – przetwarzanie danych osobowych w związku z udostępnianiem dokumentacji medycznej w ramach realizacji praw pacjenta do dostępu do dokumentacji medycznej dotyczącej jego stanu zdrowia oraz udzielonych mu świadczeń zdrowotnych.

Na konferencji poświęconej ochronie danych osobowych w sektorze zdrowia,  która odbyła się w Warszawie 27 lutego 2019, dyrektor “Sektora Zdrowia” UODO Paulina Dawidczyk – wskazała, przyczyny wyboru sektora medycznego. Szczególny zakres danych przetwarzanych w sektorze zdrowia, zgłaszana ilość pytań, nieprawidłowości i naruszeń.  Pani dyrektor odniosła się również do projektowanego kodeksu branżowego dla sektora medycznego. Potwierdziła wysoki poziom i mocno zaawansowany etap prac nad jego zatwierdzeniem. Nie podała jednak planowanej daty zatwierdzenia kodeksu przez urząd. Prawdopodobne jest również, zatwierdzenie jego części która jest bezsporna oraz wypracowanie wspólnego stanowiska w dalszej perspektywie.

Jakie naruszenia – nieprawidłowości?

Urząd Ochrony Danych Osobowych zarejestrował 110 naruszeń ochrony danych osobowych, które dotyczyły między innymi:

  • kradzieży komputerów, laptopów z danymi medycznymi z placówek medycznych (włamania do podmiotów)
  • udostępnienia danych osobowych pacjentów podmiotom nieuprawnionym (udostępnienia danych osobowych zawartych w dokumentacji medycznej, poprzez jej omyłkowe wydanie  innemu pacjentowi)
  • udostępnienie wyników badań osobom nieuprawnionym na skutek pomyłki lub rodzinie, znajomym pacjenta bez upoważnienia
  • skierowanie korespondencji zawierającej dokumentację medyczną do niewłaściwych adresatów
  • “podczepienie” wyników badań jednego pacjenta pod inne wyniki i wydanie ich łącznie
  • skopiowanie danych z bazy szpitala przez ratownika medycznego i udostępnienie firmom odszkodowawczym
  • udostępnienie danych pacjenta innemu lekarzowi bez upoważnienia
  • utraty dostępu do danych na komputerze, laptopie, telefonie w wyniku działania złośliwego oprogramowania – zaszyfrowanie danych (oprogramowanie typu ransomware)
  • zgubienia dokumentacji pacjenta, rejestru udostępnionej dokumentacji medycznej
  • nieprawidłowej identyfikacji pacjenta  (błędy w karcie pacjenta) – np. Dokonywanie wpisów w karcie dotyczących innego pacjenta, wpisanie przez lekarza błędnego nr PESEL na skierowaniu na badania
  • udostępnianie dokumentacji medycznej
  • umożliwienia kradzieży dowodu pacjenta (pacjent podczas wizyty u lekarza zabrał leżący na biurku dowód osobisty innego pacjenta, który przebywał na badaniu w innym pomieszczeniu)
  • kradzieży bloczka recept z recepcji lub biurka lekarza pod nieuwagę pielęgniarki, lekarza

Najczęstsze pytania?

Urząd otrzymał około 60 pytań dotyczących sektora medycznego –  najczęstsze pytania prawne dotyczyły:

  • poprawnego wywoływania pacjentów
  • zawierania umów powierzenia danych osobowych
  • zakładania profilu lekarzom na serwisach medycznych
  • sposobu rejestracji pacjentów
  • monitoringu w podmiocie medycznym
  • kopii danych z dokumentacji medycznej
  • realizacji obowiązku informacyjnego w podmiotach leczniczych
  • udostępniania informacji rodzinie o stanie zdrowia (telefonicznie)

Jakie skargi?

Do Prezesa UODO wpłynęło 45 skarg na nieprawidłowości w procesie przetwarzania danych osobowych, które dotyczyły:

  • udostępniania danych osobowych pacjentów (lub wydania dokumentacji medycznej) osobom nieuprawnionym
  • Kwestionowania podstaw prawnych do przetwarzania danych osobowych – udostępnianie danych osobowych przez lekarza i lekarza orzecznika osobom nieuprawnionym bez podstawy prawnej, 
  • przekazanie przez Szpital danych osobowych pacjenta, zawartych w kserokopii dokumentacji medycznej innemu podmiotowi leczniczemu (przychodni rehabilitacyjnej)
  • przetwarzania danych osobowych przez placówki medyczne w celu innym niż ten dla którego dane zostały zebrane
  • zakresu danych pozyskiwanych przez podmiot medyczny – nieuprawnionego uzyskiwania danych w zakresie wizerunku – utrwalenie na nagraniu z monitoringu przebiegu leczenia stomatologicznego  bez uprzedniego powiadomienia i bez zgody pacjenta
  • uzależnienia świadczenia usług medycznych od wyrażenia zgody na przetwarzanie danych osobowych
  • brak dostępu pacjenta do danych osobowych (nie udostępnienie pacjentowi kopii jego danych osobowych przez podmiot leczniczy, m.in. nie wydanie kopii dokumentacji medycznej)
  • przetwarzanie danych osobowych pacjentów przez nieupoważniony do tego celu personel placówki leczniczej
  • przetwarzanie danych osobowych lekarzy przez portale obejmujące rankingi lekarzy, umożliwiające umawianie wizyt lekarskich

Uwaga na monitoring w gabinetach – nielegalny?

Monitoring jest jedną z najbardziej inwazyjnych form przetwarzania danych osobowych i powinien być stosowany jedynie w sytuacji, gdy nie istnieją inne, mniej ingerujące w prywatność środki umożliwiające zapewnienie bezpieczeństwa, takie stanowisko prezentuje UODO (Urząd Ochrony Danych Osobowych). Trudno się z tym stanowiskiem nie zgodzić. Pamiętajmy, że nagranie z monitoringu wizyjnego  – wizerunek pacjentów, pracowników i wszelkich innych osób które znalazły się w obszarze objętym monitoringiem stanowi dane osobowe. 

Monitoring wizyjny przyjął się na dobre w wielu podmiotach wykonujących działalność leczniczą. W miejscach w których do tej pory dopuszczony był przepisami prawa nie ma wątpliwości co do zasadności jego stosowania. Często jednak kamery montowane są w miejscach w których mogą budzić uzasadnione wątpliwości i narazić administratora na nieprzyjemności. 

Projekt Ministerstwa Cyfryzacji – Ustawa o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679 (RODO), porządkuje w części stosowanie monitoringu.  Ustawę przekazano Prezydentowi 22 lutego 2019r.. Warto uwzględnić już dziś zmiany w swojej organizacji, podmiocie medycznym czy praktyce lekarskiej. W omawianej ustawie sprawę monitoringu w działalności leczniczej zmienia  Art. 110.  

Wprowadza on zmiany w obecnej ustawie z dnia 15 kwietnia 2011 r. o działalności leczniczej (Dz. U. z 2018 r. poz. 2190 i 2219) :

  1. po art. 23 dodaje się art. 23a w brzmieniu: 
    1. „Art. 23a. 1. Kierownik podmiotu wykonującego działalność leczniczą może określić w regulaminie organizacyjnym sposób obserwacji pomieszczeń: 
      1. 1) ogólnodostępnych, jeżeli jest to niezbędne do zapewnienia bezpieczeństwa pacjentów lub pracowników pomieszczeń, 
      2. 2) w których są udzielane świadczenia zdrowotne oraz pobytu pacjentów, w szczególności pokoi łóżkowych, pomieszczeń higieniczno-sanitarnych, przebieralni, szatni, jeżeli wynika to z przepisów odrębnych – za pomocą urządzeń umożliwiających rejestrację obrazu (monitoring). 

Zatem monitoring jest dopuszczalny tylko w ogólnodostępnych pomieszczeniach – korytarze, hole, poczekalnie. W pozostałych pomieszczeniach monitoring jest nie zalecany, chyba że inne przepisy szczegółowe nakładają taki obowiązek lub dają taką możliwość. Umieszczanie kamer w gabinetach zabiegowych, ambulatoryjnych np. gabinetach stomatologicznych jest więc bardzo kontrowersyjne i może być przyczyną kłopotów.  Nie można się, powoływać na przesłankę wynikającą z prawnie usprawiedliwionego interesu administratora wynikającą z art 6. 1. lit. f RODO (zapewnienie bezpieczeństwa pacjentom i pracownikom oraz ochronie mienia) jak to miało miejsce dotychczas w przypadku podmiotów prywatnych. Oczywiście można spróbować legalizować kamery w gabinecie za pomocą zgody (art. 6. 1. Lit a RODO), jednak będzie to dość problematyczna przesłanka. Trudno wówczas wykazać dobrowolność zgody i wykonania zabiegu. Czy pacjent który odmówi podpisania zgody na monitoring nie uzyska pomocy w gabinecie?, czy może personel wyłączy kamerę?, te i wiele więcej pytań oraz komplikacji pojawia się tutaj. Nie budzi wątpliwości fakt, że kamera w gabinecie zabiegowym bez względu czy rejestruje obraz z kamery, czy tylko daje podgląd w czasie rzeczywistym narusza prawa pacjenta. Niewątpliwie monitoring na salach operacyjnych czy w gabinetach gdzie badanie wymaga dodatkowego nadzoru ma szansę jeszcze obronić się przed Prezesem Urzędu Ochrony Danych Osobowych, o tyle w gabinetach ambulatoryjnych – stomatologicznych będzie to bardzo trudne i prawdopodobnie nawet zgoda nie zalegalizuje takiej praktyki.

Na uwagę również zasługuje nowe brzmienie art. 24 ust. 2 o prawidłowym informowaniu i oznaczeniu obszaru i obiektów objętych monitoringiem. Informacje o monitoringu należy podać  do wiadomości pacjentów przez ich wywieszenie w widoczny sposób w miejscu udzielania świadczeń (np w poczekalni, rejestracji) oraz na stronie internetowej podmiotu wykonującego działalność leczniczą i udostępnienie w Biuletynie Informacji Publicznej, w przypadku podmiotu obowiązanego do jego prowadzenia. Obowiązek informacyjny o którym mowa może być dokonany w sposób warstwowy – czyli w momencie wejścia w obszar monitoringu wystarczy piktogram oraz krótka informacja o administratorze oraz miejscu gdzie znajduje się pełna klauzula informacyjna dotycząca monitoringu. 

10 podstawowych zasad dotyczących dobrego monitoringu:

  1. Zabroniona jest rejestracja dźwięku
  2. Nie należy stosować atrap kamer
  3. Spełnić obowiązek informacyjny wobec osób objętych monitoringiem
  4. Prawidłowo  oznakować obszar monitorowany
  5. Nie wszystkie pomieszczenia wolno objąć monitoringiem (tylko ogólnodostępne)
  6. Dostęp do nagrań z monitoringu tylko dla uprawnionej osoby
  7. Czas przechowywania nagrań – im krócej tym lepiej.
  8. Wprowadzić procedury udostępniania nagrań osobom
  9. Zwróćmy uwagę aby jakość obrazu z kamer i system teleinformatyczny nie miał możliwości identyfikacji osób (biometria)
  10. Oprogramowanie do obsługi monitoringu powinno mieć możliwość anonimizacji wybranych osób na zarejestrowanym materiale.

Na co zwrócić dziś uwagę w kontekście ochrony danych?

Jak można zauważyć po analizie najczęściej występujących naruszeń i skarg. W znaczący sposób zabezpieczyć się przed naruszeniami wdrażając odpowiednie procedury i dobre praktyki. Człowiek jako najsłabsze ogniwo systemu w przeważającej większości jest pośrednio lub bezpośrednio przyczyną występowania incydentów.  Wartość szkoleń z zakresu ochrony danych osobowych dla całego personelu podmiotów leczniczych jest jednym z kluczowych elementów systemu ochrony danych osobowych. W znacznym stopniu może zmniejszyć potencjalne ryzyko wystąpienia naruszeń praw i wolności osób. 

Z uwagi na rosnącą świadomość i roszczeniowość pacjentów warto zastosować odpowiednie środki techniczne i  organizacyjne, aby zabezpieczyć przetwarzane dane. Nie musi to się zawsze wiązać z dużymi kosztami, a raczej chodzi tu zmianę przyzwyczajeń i nawyków.  Czasem bardzo proste rozwiązania organizacyjne w znaczący sposób mogą wpłynąć na bezpieczeństwo przetwarzanych danych osobowych.

Prawidłowe procedury i dobre praktyki, świadomość personelu oraz administratora i dobra współpraca z  IOD (Inspektorem Ochrony Danych) daje gwarancje dobrej polityki ochrony danych osobowych w podmiocie leczniczym. 

Pytanie w zakresie ochrony danych osobowych?

Świadomośc w zakresie znaczenia danych osobowych jest coraz wyższa dlatego warto w kwestiach spornych lub wątpliwościach porozmawiać z ekspertem w dziedzinie ochrony danych osobowych. Kontakt z autorem Cezariusz Klonkowski, tel. 697.604.325, kontakt@k-consulting.pl

Inspektor Ochrony Danych, uczestnik licznych kursów i konferencji z zakresu ochrony danych osobowych. Absolwent Ochrony Danych Osobowych i Informacji Niejawnych, Wydziału Prawa i Administracji UKSW  w Warszawie. Audytor wewnętrzny Systemu Zarządzania Bezpieczeństwem Informacji ISO 27001.