Czy szpitale wiedzą jak chronić dane pacjentów?

17 Lipca 2017, 15:40

Do wejścia w życie unijnego Rozporządzenia o Ochronie Danych Osobowych (RODO) zostało mniej niż rok. Szacuje się, że kompleksowe dostosowanie podmiotów przetwarzających dużą liczbę danych osobowych to minimum 12 miesięcy. Ci, którzy do tej pory uważali, że jakoś to będzie muszą mieć świadomość, że kary za brak starannego zabezpieczenia danych wrażliwych, czyli również dokumentacji medycznej, wzrastają z 50 tys. zł do nawet 20 mln euro, a w przypadku dużych przedsiębiorstw do 4% ich obrotu.

Zmienia się podejście do ochrony danych osobowych. RODO określa czym są dane genetyczne, dane biometryczne, dane dotyczące zdrowia. Właśnie te informacje należą do szczególnej kategorii danych osobowych tzw. danych sensytywnych, które podlegają specjalnej ochronie. Przepisy jednoznacznie wskazują, że nawet  informacje o zarejestrowaniu danej osoby fizycznej celem świadczenia usług opieki zdrowotnej, czyli na wizytę stanowią dane wrażliwe. Ich przetwarzanie już w obecnym stanie prawnym jest zasadniczo zabronione, poza wypadkami wskazanymi wprost w przepisach prawa. Po 25. maja 2018 roku wymogi będą w tym obszarze jeszcze bardziej rygorystyczne a za ich załamanie będą nakładane wysokie kary – począwszy od finansowych skończywszy na odpowiedzialności dyscyplinarnej i prawnej.

Ochrona w DNA

Podmioty funkcjonujące w systemie ochrony zdrowia już dziś muszą realnie ocenić wpływ RODO na przetwarzanie danych w swoich placówkach, oszacować obszary narażone na ryzyko niedostosowania się do nowych przepisów oraz rozdzielić obowiązki w tym obszarze na poszczególne komórki. Wypracowanie takich procedur jest wieloetapowe oraz długotrwałe.

Danymi osobowymi są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Tak szeroka definicja sprawia, iż każda informacja, która pozwala na rozpoznanie danej osoby powinna być chroniona. W przypadku pacjenta mamy do czynienia nie tylko z podstawowymi danymi osobowymi, takimi jak imię, nazwisko, PESEL, ale również danymi wrażliwymi dotyczącymi stanu jego zdrowia, które z uwagi na swój charakter podlegają surowszej ochronie. Zgłoszenia zbiorów danych osobowych zostaną zastąpione koncepcją domyślnej ochrony danych ,,data protection by design”, czyli obowiązkiem dbania o ochronę danych osobowych już od rozpoczęcia projektowana procesów biznesowych związanych z przetwarzaniem danych. Od maja 2018 roku ochrona danych osobowych stanie się kluczowym elementem DNA każdej firmy.

Kwadratura w Kole

Zaledwie miesiąc temu ujawniony został największy wyciek danych 50 tys. pacjentów  Samodzielnego Publicznego Zakładu Opieki Medycznej w Kole. Co znajdowało się wśród danych? Przede wszystkim takie informacje o pacjentach jak imię, nazwisko, adres zamieszkania, numer PESEL, grupa krwi czy wyniki niektórych badań. Publicznie dostępny był także rejestr osób, które chorowały na choroby zakaźne z informacją, co było czynnikiem chorobotwórczym i datą rozpoznania.

Można było znaleźć także dane pracowników szpitala, np. numery dowodów osobistych czy kont bankowych. W wielu przypadkach mogą one pozwolić na skuteczne podszywanie się pod ofiary i np. wyłudzanie pożyczek. Co gorsza wyciek dotyczył nie tylko najnowszych danych, lecz także całego archiwum danych osobowych i medycznych z lat 2003-2007. Mimo, że już dziś ustawa o ochronie danych osobowych z 1997 roku oraz znowelizowana ustawa o prawach pacjenta i Rzeczniku Praw Pacjenta oznacza poważne finansowe konsekwencje dla tego podmiotu, o tyle regulacje RODO w takich przypadkach będą mogły oznaczać nawet koniec jego funkcjonowania.   

Jak prawidłowo chronić dane?

Pomimo szczególnej ochrony danych wrażliwych praktyka pokazuje, iż niektóre podmioty lecznicze nie zapewniają ich prawidłowej ochrony. Brak jest nie tylko stosownych procedur, ale przede wszystkim odpowiedniego nadzoru nad personelem oraz jego przeszkolenia. Tymczasem prawidłowa ochrona danych nie tylko chroni pacjenta, ale przede wszystkim stanowi wymóg prawa i pozwala na uniknięcie ewentualnej odpowiedzialności finansowej oraz karnej przedsiębiorców. Rozporządzenie jako adekwatny i najbezpieczniejszy sposób ochrony danych osobowych wskazuje szyfrowanie oraz pseudoanonimację.

Wychodząc naprzeciw wyzwaniom dla osób zajmujących się ochroną danych osobowych w placówkach medycznych Instytut Łączności zaprasza na spotkanie z wiodącymi ekspertami w kraju w obszarze ochrony danych osób fizycznych. Podczas warsztatu omawiane będą kwestie audytu przetwarzania danych osobowych, identyfikacji ryzyk w obszarze ochrony danych, organizowania procedur dotyczących bezpieczeństwa, czy też wyzwań związanych z pracą w chmurze i korzystaniu z usług IT dostarczanych z zewnątrz.

Rozporządzenie Parlamentu Europejskiego i Rady Unii Europejskiej 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE wejdzie w życie 25 maja 2018 r. Z każdym dniem jest coraz mniej czasu na analizę luk i uchybień stosowanych rozwiązań w kontekście przepisów rozporządzenia, zaplanowanie środków naprawczych, ich wdrażanie, czy powołanie inspektora ochrony danych. Profesjonalne doradztwo może ułatwić i przyśpieszyć ten proces.

Lucyna Roszyk

Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz