Dane pacjentów trafiły w niepowołane ręce. Rzecznik wskazuje błędy placówki

Dodano:
Dane pacjentów trafiły w niepowołane ręce Źródło: magnific
Nieuprawnione osoby uzyskały dostęp do szerokiego zakresu danych pacjentów, w tym numerów PESEL, adresów i rozpoznań medycznych. Rzecznik Praw Pacjenta uznał, że problemem był nie tylko cyberatak, lecz przede wszystkim niewystarczające zabezpieczenia poczty i zdalnego dostępu do systemów placówki.

Dokumentacja medyczna zawiera jedne z najbardziej wrażliwych informacji o człowieku. Może ujawniać nie tylko jego imię, nazwisko, adres czy numer PESEL, ale również rozpoznania chorób, historię leczenia, informacje o pobycie w placówce, a nawet dane dotyczące zgonu. Dlatego podmioty lecznicze mają obowiązek stosować podwyższony poziom zabezpieczeń technicznych i organizacyjnych. Sam fakt, że szpital lub przychodnia stają się celem cyberataku, nie oznacza jeszcze automatycznie naruszenia praw pacjentów. Odpowiedzialność może jednak powstać wtedy, gdy placówka nie wdrożyła adekwatnych środków ochrony lub nie reagowała na znane ryzyka. Taką sytuację stwierdził Rzecznik Praw Pacjenta w jednej z badanych spraw.

Wiadomości trafiały na nieuprawniony adres

Postępowanie dotyczyło zakładu opieki zdrowotnej, w którym osoby nieuprawnione uzyskały dostęp do danych pacjentów. Z ustaleń wynika, że na służbowych skrzynkach pocztowych utworzono filtr automatycznie przekierowujący wiadomości na zewnętrzny, niepowołany adres e-mail.

Zakres ujawnionych informacji był szeroki. Obejmował m.in.:

  • numery PESEL,
  • imiona i nazwiska,
  • adresy,
  • daty dotyczące pobytu lub udzielania świadczeń,
  • informacje o zgonie,
  • rozpoznania zasadnicze i współistniejące,
  • numery prawa wykonywania zawodu lekarza,
  • kody komórek organizacyjnych placówki.

Sposób zabezpieczenia systemów teleinformatycznych był niewystarczający i naruszał zbiorowe prawa pacjentów.

Nie tylko atak, lecz także błędy organizacyjne

W decyzji wskazano kilka istotnych uchybień. Jednym z nich był brak centralnego zarządzania służbową pocztą. Użytkownicy mogli samodzielnie tworzyć reguły przekierowania wiadomości, co otworzyło drogę do przesyłania korespondencji poza domenę placówki.

Rzecznik zakwestionował również:

  • niekontrolowany zdalny dostęp do wewnętrznej sieci z prywatnych urządzeń,
  • brak skutecznej kontroli nad stosowaniem szyfrowania,
  • niewystarczające zabezpieczenia dostępu do skrzynek pocztowych,
  • brak należytej kontroli nad sposobem przetwarzania danych poza placówką.
– Podmioty lecznicze zobowiązane są do stosowania właściwych zasad ochrony dostępu do danych pacjentów i dokumentacji medycznej, w szczególności mechanizmów zabezpieczających dostęp do elementów systemów teleinformatycznych podmiotu leczniczego

– podkreśla Rzecznik Praw Pacjenta Bartłomiej Chmielowiec.

Sam e-mail może zawierać dane o zdrowiu

Dane dotyczące zdrowia należą do szczególnych kategorii danych osobowych określonych w RODO. Ochronie podlegają nie tylko pełne wyniki badań, wypisy ze szpitala czy rozpoznania. Za dane medyczne może zostać uznana także informacja, że konkretna osoba korzystała ze świadczeń w określonej placówce. Już samo zestawienie nazwisk pacjentów, terminów wizyt lub nazw poradni może ujawniać informacje dotyczące stanu zdrowia. Z tego względu również korespondencja przechowywana w służbowej skrzynce pocztowej musi być odpowiednio chroniona. Placówka nie może zakładać, że zabezpieczenia stosowane w zwykłej komunikacji biurowej będą wystarczające do przesyłania danych pacjentów.

Jak placówki powinny zabezpieczać korespondencję?

Podmioty lecznicze powinny stosować rozwiązania ograniczające ryzyko nieuprawnionego dostępu. Należą do nich m.in.:

  • szyfrowanie wiadomości i plików zawierających dane pacjentów,
  • uwierzytelnianie osób korzystających ze służbowej poczty,
  • blokowanie automatycznego przekierowywania wiadomości poza domenę organizacji,
  • centralne zarządzanie serwerem pocztowym,
  • ograniczenie możliwości logowania się do prywatnych skrzynek ze sprzętu służbowego,
  • blokowanie nieautoryzowanych nośników zewnętrznych,
  • stosowanie odpowiedniej polityki haseł,
  • regularne analizy ryzyka,
  • kontrolowanie urządzeń dopuszczonych do zdalnego łączenia z siecią placówki.

Praca zdalna powinna odbywać się na sprzęcie służbowym lub na urządzeniach zatwierdzonych przez administratora. Trzeba też określić, w jaki sposób użytkownicy mogą łączyć się z wewnętrznymi systemami i jakie zabezpieczenia muszą być wówczas aktywne.

Prywatny komputer może zwiększać ryzyko

Zdalna praca w ochronie zdrowia nie może opierać się na dowolnym dostępie z prywatnych laptopów i telefonów. Administrator danych powinien wiedzieć, jakie urządzenia łączą się z systemem, czy mają aktualne oprogramowanie, szyfrowanie dysku, zabezpieczenia antywirusowe i odpowiednio chronione połączenie.

Brak kontroli nad prywatnym sprzętem oznacza, że placówka nie ma pewności, gdzie zapisywane są pliki, kto jeszcze korzysta z urządzenia ani czy dane nie są automatycznie kopiowane do prywatnej chmury. W przypadku informacji medycznych takie ryzyko jest szczególnie poważne.

Placówka musi przewidywać możliwe zagrożenia

Obowiązek ochrony nie ogranicza się do reagowania po wystąpieniu incydentu.

– Od podmiotów leczniczych wymagana jest podwyższona staranność, nie tylko w procesie bieżącej ochrony danych pacjentów, ale także w procesie przewidywania możliwych scenariuszy naruszenia dostępu do danych

– wskazuje Bartłomiej Chmielowiec.

Konieczne jest regularne sprawdzanie, czy wykorzystywane zabezpieczenia nadal są aktualne, czy pracownicy przestrzegają procedur oraz czy nowe formy pracy nie tworzą kolejnych luk. Nie wystarczy przygotować regulaminu i pozostawić go w dokumentacji. Zasady muszą być wdrażane, kontrolowane i egzekwowane.

Cyberatak nie zwalnia z odpowiedzialności

W badanej sprawie naruszenie zbiorowych praw pacjentów nie wynikało wyłącznie z tego, że placówka stała się celem zewnętrznego ataku. Rzecznik ocenił cały proces ochrony systemów i stwierdził, że brakowało mechanizmów, które mogły utrudnić lub ograniczyć nieuprawniony dostęp. Szczególne znaczenie miały nieprawidłowości związane ze służbową pocztą, przekierowywaniem wiadomości i zdalnym dostępem do sieci. To ważne rozróżnienie – nawet dobrze zabezpieczona instytucja może zostać zaatakowana. Od placówki oczekuje się jednak, że będzie stosowała rozwiązania adekwatne do skali ryzyka i charakteru przechowywanych informacji.

Rzecznik nakazał usunięcie nieprawidłowości

Rzecznik Praw Pacjenta wydał decyzję uznającą stosowaną praktykę za naruszającą zbiorowe prawa pacjentów. Placówka została zobowiązana do wyeliminowania wskazanych uchybień. Rzecznik oczekuje obecnie na stanowisko podmiotu leczniczego i informacje dotyczące wykonania decyzji.

Ochrona danych medycznych nie jest wyłącznie kwestią techniczną ani obowiązkiem wynikającym z RODO. Jest także elementem praw pacjenta. Placówka, która dopuszcza do korzystania z niekontrolowanych urządzeń, nie szyfruje korespondencji i pozwala przekierowywać wiadomości poza organizację, naraża pacjentów na skutki, których nie da się cofnąć zmianą hasła.

Dane medyczne po ujawnieniu nie przestają być wrażliwe. Dlatego ich bezpieczeństwo musi być planowane zanim dojdzie do ataku, a nie dopiero wtedy, gdy informacje pacjentów trafią w niepowołane ręce.

Źródło: gov.pl
Proszę czekać ...

Proszę czekać ...

Proszę czekać ...

Proszę czekać ...