Zagubiona dokumentacja medyczna, wysłanie wyników badań innego pacjenta, wyciek danych do internetu – to tylko niektóre z naruszeń zasad ochrony danych osobowych. Informatyzacja branży medycznej pomaga rozwiązać wiele problemów, ale generuje również nowe zagrożenia.

Pandemia okazała się sprawdzianem dla przychodni i szpitali w zakresie udostępniania danych medycznych. Zamknięte budynki, ograniczony przepływ pacjentów i realizowanie teleporad wymusiły nawet na najbardziej opornych placówkach przesyłanie danych do pacjentów czy innych podmiotów drogą elektroniczną. W wielu przypadkach zabrakło jednak czujności. Jak wynika z informacji od Urzędu Ochrony Danych Osobowych (UODO), liczba naruszeń rośnie, a najwięcej dotyczy właśnie branży medycznej (patrz: infografika). Przekazanie danych on-line jest łatwe i szybkie, ale równie łatwo i szybko można popełnić błąd, który może mieć doniosłe skutki.

– Kiedy wyciek dotyczy dokumentacji medycznej, oprócz podstawowych danych, jak imię, nazwisko i PESEL, mogą zostać ujawnione także adres zamieszkania pacjenta oraz informacja o przebytych przez niego chorobach, obciążeniach genetycznych czy uzależnieniach – mówi adwokat Michał Rygiel, specjalizujący się w ochronie danych osobowych. – Taki zakres danych może w przyszłości utrudnić pacjentowi ubieganie się o pracę, poniżyć go w oczach środowiska czy też stać się powodem odmowy udzielenia kredytu przy zastosowanym profilowaniu klienta banku. Wówczas ryzyko dla jego praw i wolności jest niepomiernie wyższe – wyjaśnia.

Tożsamość pacjenta

Najważniejszym problemem jest weryfikacja tożsamości pacjenta lub innej osoby, która zgłasza się do szpitala czy przychodni po kopię dokumentacji czy receptę. Osobę, która przychodzi osobiście, można poprosić o okazanie dokumentu tożsamości. Przy komunikacji zdalnej trzeba opierać się na innych rozwiązaniach gwarantujących, że dokumenty trafią do właściwej osoby. Jak wskazuje Adam Sanocki, rzecznik UODO, zdecydowana większość naruszeń sektora medycznego, zgłoszonych do UODO w 2023 r., dotyczyła omyłkowego wydania dokumentacji medycznej nieuprawnionej osobie trzeciej z powodu braku weryfikacji odbiorcy przez pracowników.

– Podstawa to sprawdzenie dokumentu tożsamości osoby, która chce pozyskać dokumentację – zaznacza Michał Rygiel. – Poza tym, w przypadku kiedy dokumentację odbiera osoba inna niż pacjent, którego to dotyczy, sprawdzenie, czy osoba legitymująca się danym dowodem osobistym została do tego upoważniona przez pacjenta. Takie upoważnienie znajduje się w dokumentacji medycznej – wskazuje.

Wyższe wynagrodzenia po 1 lipca w ochronie zdrowia. Szpitale będą miały problem?
Wyższe wynagrodzenia po 1 lipca w ochronie zdrowia. Szpitale będą miały problem?

Zobacz również

Kolejnym błędem popełnianym przez personel medyczny jest przyzwyczajenie do posługiwania się danymi pacjenta, które mogą się wielokrotnie zmienić w ciągu życia, zamiast zdecydowanie pewniejszym numerem PESEL. Pacjenci zgłaszają do UODO nieprawidłowe wystawienie recept i zwolnień lekarskich, które zostały wypisane na osobę o takim samym imieniu i nazwisku, bez weryfikacji numeru PESEL. Pacjent jest przekonany, że pracodawca otrzymał jego zwolnienie, pracodawca natomiast nic o tym nie wie, bo lekarz pomylił chorych. Dobrą praktyką jest potwierdzenie numeru PESEL, ale również danych pracodawcy. To może pomóc wychwycić błąd.

Maile z naruszeniami

Pacjenci często spotykają się z naruszeniami wynikającymi z wysyłania niezaszyfrowanych wyników badań lub skanów dokumentacji medycznej. Naruszenie może wynikać w takim przypadku z przesłania wiadomości na niewłaściwy adres mailowy – bywa, że adres zostanie źle zapisany, np. myślnik „-” między imieniem i nazwiskiem zostanie odczytany jako podkreślnik dolny „_” i mail trafia do niewłaściwego adresata. Innym problemem jest wysłanie maila do odpowiedniego odbiorcy, ale ze złym załącznikiem.

– Przesyłane wyniki badań powinny być zawsze szyfrowane, gdyż są to dane szczególnych kategorii w rozumieniu RODO – podkreśla adwokat Michał Rygiel. – Sprawa jest prosta, kiedy dane laboratorium korzysta z aplikacji, która umożliwia pacjentom pobranie wyników po zalogowaniu się do własnego konta zabezpieczonego loginem i hasłem. W przypadku braku takiego oprogramowania absolutnym minimum jest zaszyfrowanie pliku z wynikami badań jednym z powszechnie dostępnych, często bezpłatnych programów. Niezbędne są również weryfikacja adresu e-mail pacjenta, dla którego wysyłamy plik, oraz wysłanie hasła do pliku innym kanałem komunikacji niż wyniki badań, np. poprzez SMS – sugeruje ekspert.

Hasłem mogą być również numer ID pacjenta, jeżeli przychodnia taki nadała, ostatnie cyfry numeru PESEL czy indywidualny numer zlecenia na badanie. Instrukcje, jak przy użyciu bezpłatnych programów szyfrować dokumenty, łatwo znaleźć w internecie. Kluczowe jest wyrobienie u personelu takiego nawyku, a nie posiadanie zaawansowanych umiejętności informatycznych. Jak podkreśla Michał Rygiel, najsłabszym ogniwem jest zawsze czynnik ludzki, dlatego pracodawca powinien zadbać o właściwe przeszkolenie pracowników. Zarówno w zakresie obsługi oprogramowania, weryfikacji tożsamości, jak i właściwego reagowania na incydenty bezpieczeństwa.

Analogowe nadal w obiegu

Informatyzacja sektora ochrony zdrowia nie została jednak ostatecznie zakończona. W wielu przypadkach personel medyczny nadal posługuje się dokumentacją papierową, np. podczas wizyt w domu u pacjenta. Ponadto w podmiotach leczniczych nadal przechowywana jest dokumentacja medyczna z minionych 20 lat. Tylko nieliczne podmioty są gotowe na jej całkowite zeskanowanie i wprowadzenie do systemu, żeby na dobre pożegnać się z papierowymi archiwami. Nie dziwi zatem, że katalog najczęstszych naruszeń obejmuje również problemy dotyczące papierowej dokumentacji. Jak wskazuje rzecznik prasowy UODO, do powtarzających się typów naruszeń z branży medycznej w tym przypadku można zaliczyć:

  • zagubienie dokumentacji medycznej w trakcie wykonywania usługi poza siedzibą administratora;
  • zagubienie dokumentacji na skutek przeniesienia placówki do innej lokalizacji,
  • nieuprawnione wynoszenie dokumentacji medycznej przez pracowników do swoich domów,
  • przewożenie dokumentacji medycznej w sposób umożliwiający osobom postronnym zapoznanie się z danymi (np. na siedzeniu pasażera),
  • zalanie archiwum z dokumentacją medyczną.

Informacje o naruszeniach

Administrator danych, czyli przychodnia lub szpital, ma obowiązek reagowania na wszystkie sygnały dotyczące problemów związanych z ochroną danych osobowych. Wiele spraw to niewielkie pomyłki, które nie pociągają za sobą ryzyka poważnych problemów dla pacjenta. Jednak każda wymaga przeprowadzenia wewnętrznego postępowania, a w razie stwierdzenia, że istnieje poważne zagrożenie – przekazania zgłoszenia do UODO. Jak informuje Adam Sanocki, to, że liczba zgłaszanych naruszeń wzrasta, to z jednej strony rezultat coraz większej świadomości administratorów co do ich obowiązków wynikających z RODO, z drugiej wynika to z obawy przed niepożądanymi konsekwencjami, np. nałożeniem administracyjnych kar pieniężnych.

Przy naruszeniach ogromną rolę gra czas. Admi nistrator ma zgodnie z przepisami 72 godziny na zgłoszenie incydentu do UODO, musi więc działać szybko, a nie odkładać sprawę „do poniedziałku” czy liczyć na to, że sprawa się nie wyda albo pacjent o niej zapomni.

– W każdym przypadku administrator analizuje naruszenie, które u niego miało miejsce, pod kątem ewentualnego zgłoszenia organowi nadzorczemu i powiadamiania osób, których ono dotyczy – mówi Adam Sanocki. – Takie sytuacje mogą mieć miejsce, gdy zakres ujawnionych danych obejmuje np. informacje widniejące w dowodach tożsamości, a więc nie tylko imię i nazwisko, lecz także nr PESEL, nr dokumentu, adres. Gdyby okazało się np., że administrator powinien powiadomić nie tylko UODO, lecz także osoby, których dotyczy dane zdarzenie, a tego nie zrobił, to wówczas można szybko wskazać mu taką konieczność. Bardzo ważne jest bowiem, by osoby, których dane zostały np. ujawnione czy skradzione albo w inny sposób naruszone, mogły po takim powiadomieniu jak najszybciej same podjąć działania, które zabezpieczą je przed kolejnymi zagrożeniami.

Samodzielni pacjenci

Jeżeli pacjentowi wydaje się, że brak jest reakcji na zgłoszenie albo reakcja wydaje się niedostateczna – można samemu zgłosić skargę do UODO. Według danych przekazanych przez Adama Sanockiego w 2023 r. wpłynęły 243 skargi składane przez osoby fizyczne dotyczące nieprawidłowości w procesie przetwarzania danych osobowych przez instytucje z szeroko rozumianej branży medycznej. Zgłoszenie problemu przez pacjenta nie może jednak zastępować działań administratora. Co więcej, może się okazać, że informacja od pacjenta, a nie bezpośrednio od szpitala, to okoliczność obciążająca dla sprawcy naruszenia.

– Świadome i celowe podjęcie decyzji przez administratora o zaniechaniu zgłoszenia naruszenia ochrony danych osobowych w obawie przed ewentualnymi konsekwencjami jest szczególnie naganne i takie zachowania były oraz będą przedmiotem szczególnej analizy prezesa urzędu – ostrzega rzecznik UODO. ©℗

ikona lupy />
Coraz więcej naruszeń / Dziennik Gazeta Prawna - wydanie cyfrowe