Raport NIK: Dane pacjentów w Szpitalu Miejskim w Elblągu słabo chronione
2024-08-08 17:04:28(ost. akt: 2024-08-08 17:14:07)
Szpital Miejski w Elblągu nie zawsze zapewniał prawidłową ochronę danych pacjentów przed cyberatakami i rzetelne je przetwarzał – wynika z kontroli przeprowadzonej przez olsztyńską delegaturę NIK.
Kontrola, której wyniki zaprezentowano w czwartek, objęła sześć szpitali i jeden ośrodek zdrowia. Wśród nich był Szpital Miejski św. Jana Pawła II w Elblągu i Szpital Powiatowy Sp. z o.o. w Pasłęku. Celem kontroli było ustalenie, czy rozwiązania funkcjonujące w tych podmiotach zapewniły prawidłową ochronę danych pacjentów przed cyberatakami oraz rzetelne ich przetwarzanie. Dotyczyła okresu od 2020 roku do I półrocza 2023 roku.
Jak poinformowała NIK, w Szpitalu Miejskim w Elblągu skontrolowano ponad 800 upoważnień do przetwarzania danych osobowych z lat 2016-2023. Ponad połowa z nich tj. 435 zostało sporządzonych dopiero w trakcie kontroli NIK. Według kontrolerów inspektor danych osobowych przyznał się do wytworzenia brakujących upoważnień w listopadzie 2023 roku na potrzeby kontroli. Dodatkowo w szpitalu w Elblągu pracownicy medyczni (lekarze i pielęgniarki) mieli niezabezpieczony dostęp do systemu Windows.
Natomiast w szpitalu w Pasłęku obowiązywały zasady ochrony danych i szacowania ryzyka wynikające z m.in. z rozporządzenia RODO, jednak nie można ich było uznać za system zarządzania bezpieczeństwem informacji w myśl przepisów ustawy o cyberbezpieczeństwie i rządowego rozporządzenia KRI.
Według NIK wszystkie kontrolowane jednostki prowadziły działania mające na celu zapewnienie bezpieczeństwa informacji, w tym danych pacjentów. Jednak w większości z nich odbywało się to w sposób nierzetelny lub nieadekwatny do rodzaju i skali przetwarzanych danych. Nie przestrzegano bowiem w tym zakresie części wewnętrznych regulacji oraz obowiązujących przepisów prawa dotyczących bezpieczeństwa informacji, w tym ochrony danych pacjentów.
Kontrolerzy liczą, że nagłośnienie wniosków pokontrolnych w mediach wpłynie na zmianę postaw i podjęcie działań naprawczych także w jednostkach, które nie były objęte kontrolą i doprowadzi do poprawy bezpieczeństwa, w tym bezpieczeństwa danych osobowych.
Komentarze (0) pokaż wszystkie komentarze w serwisie
Komentarze dostępne tylko dla zalogowanych użytkowników. Zaloguj się.
Zaloguj się lub wejdź przez