Raport NIK: Dane pacjentów w Szpitalu Miejskim w Elblągu słabo chronione

Kontrola, której wyniki zaprezentowano w czwartek, objęła sześć szpitali i jeden ośrodek zdrowia. Wśród nich był Szpital Miejski św. Jana Pawła II w Elblągu i Szpital Powiatowy Sp. z o.o. w Pasłęku. Celem kontroli było ustalenie, czy rozwiązania funkcjonujące w tych podmiotach zapewniły prawidłową ochronę danych pacjentów przed cyberatakami oraz rzetelne ich przetwarzanie. Dotyczyła okresu od 2020 roku do I półrocza 2023 roku.

Jak poinformowała NIK, w Szpitalu Miejskim w Elblągu skontrolowano ponad 800 upoważnień do przetwarzania danych osobowych z lat 2016-2023. Ponad połowa z nich tj. 435 zostało sporządzonych dopiero w trakcie kontroli NIK. Według kontrolerów inspektor danych osobowych przyznał się do wytworzenia brakujących upoważnień w listopadzie 2023 roku na potrzeby kontroli. Dodatkowo w szpitalu w Elblągu pracownicy medyczni (lekarze i pielęgniarki) mieli niezabezpieczony dostęp do systemu Windows.

Natomiast w szpitalu w Pasłęku obowiązywały zasady ochrony danych i szacowania ryzyka wynikające z m.in. z rozporządzenia RODO, jednak nie można ich było uznać za system zarządzania bezpieczeństwem informacji w myśl przepisów ustawy o cyberbezpieczeństwie i rządowego rozporządzenia KRI.

Według NIK wszystkie kontrolowane jednostki prowadziły działania mające na celu zapewnienie bezpieczeństwa informacji, w tym danych pacjentów. Jednak w większości z nich odbywało się to w sposób nierzetelny lub nieadekwatny do rodzaju i skali przetwarzanych danych. Nie przestrzegano bowiem w tym zakresie części wewnętrznych regulacji oraz obowiązujących przepisów prawa dotyczących bezpieczeństwa informacji, w tym ochrony danych pacjentów.

Kontrolerzy liczą, że nagłośnienie wniosków pokontrolnych w mediach wpłynie na zmianę postaw i podjęcie działań naprawczych także w jednostkach, które nie były objęte kontrolą i doprowadzi do poprawy bezpieczeństwa, w tym bezpieczeństwa danych osobowych.

Cały raport jest dostępny TUTAJ
red./PAP