Naruszenie RODO w szpitalu. Użyli dokumentacji medycznej jako list zakupowych

10 Września 2019, 15:37 dokumentacja medyczna tajemnica lekarska

Ile milionów kary musi zapłacić szpital, by zastosować odpowiednie środki bezpieczeństwa danych osobowych? Odpowiedzi na to pytanie szukają eksperci z zakresu ochrony danych osobowych, po tym jak na jaw wyszedł kolejny incydent, którego dopuścili się pracownicy szpitala w Hadze.

Dokumenty, zawierające informacje o osobach przebywających w szpitalu (imiona, nazwiska, daty urodzenia, dolegliwości oraz historie choroby i przyjmowanych leków) były wykorzystywane przez pracowników jako… listy zakupów. Pracownicy używali dokumentacji medycznej jako miejsce do zapisywania prywatnych notatek i wynosili to poza teren ośrodka. Zdarzenie wyszło na jaw, gdy jeden z klientów supermarketu, znalazł pozostawione „listy” w wózku na zakupy. Było to kilka stron A4 dokumentacji osób, które korzystały ze świadczenia usług zdrowotnych wyżej wspomnianego szpitala.

Jak mówi rzecznik prasowy szpitala zdarzenie zostało zgłoszone do holenderskiego urzędu ochrony danych osobowych oraz podjęto wszelkie możliwe działania, by poinformować pacjentów o zaistniałej sytuacji. Wciąż nie wiadomo, jaka jest skala naruszenia oraz czyje dane zostały naruszone, dlatego informacje przekazano byłym i obecnym pacjentom, których dokumenty są wciąż przechowywane na terenie szpitala.

To nie pierwszy raz, gdy szpital w Hadze został zdyskredytowany z powodu braku odpowiednich środków zabezpieczających przetwarzane dane osobowe. W lipcu 2019 roku holenderski szpital otrzymał karę w wysokości 460 000 euro, po tym jak do szpitala trafiła znana celebrytka Samanthade Jong, a dostęp do jej danych, w tym dokumentacji medycznej, miało aż 85 niezaangażowanych w leczenie i kierujących się wyłącznie własną ciekawością osób. Dochodzenie urzędu ochrony danych osobowych wykazało, że dane innych pacjentów (szpital przyjmuje ok. 250 000 osób rocznie) jest równie łatwo dostępne (brak stosowania odpowiednich zabezpieczeń systemu informatycznego i nieodpowiednia świadomość personelu). Szpital został zobligowany do podjęcia działań naprawczych najpóźniej do 02.10.2019 roku, a sytuacja z ostatnich dni wskazuje, że odłożono poprawę „na ostatnią chwilę”.

Z wypowiedzi rzecznika prasowego wynika, że cały personel szpitala został przeszkolony, a raz w miesiącu odbywają się spotkania ze specjalistą z zakresu ochrony danych osobowych, by takich sytuacji było jak najmniej. Niestety, sytuacja z września tego roku jasno wskazuje, jak niski jest poziom wiedzy z zakresu ochrony danych osobowych personelu placówki.

Jak wynika z badań przeprowadzonych przez zespół specjalistów RODONET – większość praktyk medycznych, jeśli prowadzi rejestr incydentów naruszenia bezpieczeństwa danych osobowych, nie odnotowuje w nim żadnych zdarzeń. Trudno uwierzyć, że nigdy nie doszło do omyłkowego wysłania dokumentacji pod zły adres e-mail, czy zgubienia notesu z numerami pacjentów. Należy pamiętać, że RODO wymaga od administratorów odnotowywania wszystkich zaistniałych sytuacji oraz ewentualnych skutków i działań naprawczych. Nie każde zdarzenie powinno zostać zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych. Zgłaszane powinny być tylko te incydenty, których wystąpienie może naruszać prawa i wolności osób, których dane dotyczą.

Sytuacja w Hadze jest przykładem, by z kar nakładanych przez urzędy ochrony danych osobowych wyciągać odpowiednie wnioski i jeszcze raz przeanalizować sytuację w naszych placówkach, aktualność dokumentacji i rozważyć skorzystanie z pomocy ekspertów.

źródło: mat.pras.

Dziękujemy! Twój komentarz został pomyślnie dodany i oczekuje na moderację.

Dodaj komentarz