Jednym z głównych źródeł zdarzeń, które stanowią naruszenie ochrony danych osobowych, z jakimi mamy do czynienia w podmiotach medycznych, jest czynnik ludzki. Oto najczęstsze przykłady naruszenia RODO przez personel podmiotów medycznych.

Naruszenie ochrony danych osobowych - definicja

Zgodnie z przyjętą na gruncie RODO definicją, za naruszenie ochrony danych osobowych oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

Przykłady zdarzeń będących naruszeniem RODO

• Pacjent, złożył wniosek o dostęp do własnej dokumentacji medycznej, prosząc o przesłanie kopii dokumentacji na adres jego zamieszkania. Personel odpowiedzialny za obsługę takich wniosków przygotował prawidłowo dokumentację, jednak błędnie zaadresował przesyłkę wysyłając ją na inny adres.
• Osoba uprawniona do dostępu do dokumentacji medycznej zawnioskowała o jej udostępnienie w postaci elektronicznej za pośrednictwem korespondencji email. Pracownik podmiotu medycznego przygotował dokumentację do udostępnienia jednak a następnie przesłał na błędnie wpisany adres odbiorcy, plik którego nie zabezpieczył hasłem.
• W związku z kontynuacją leczenia pacjenta przekazana została część dokumentacji go dotyczącej, jednak przesyłka jaka skierowana została do innego podmiotu medycznego, gdzie przewieziony został pacjent, zawierała także kopie dokumentacji medycznej innego pacjenta.
• W następstwie rozszczelnienia instalacji wodno-kanalizacyjnej doszło do podtopienia pomieszczenia, w którym przechowywana była dokumentacja archiwalna, w następstw czego doszło do jej zalania i częściowego zniszczenia.
• Personel podczas udzielania informacji na temat stanu zdrowia pacjenta przekazał je osobie, nieuprawnionej.
• Błędne wydruki z systemu informatycznego, zawierające dane pacjentów, zostały wykorzystane jako kartki do notowania na ich niezadrukowanym odwrocie i udostępnione pacjentom do notowania zaleceń lekarza w razie potrzeby w gabinecie lekarskim.
• Pracownik administracji podczas korzystania z poczty email pobrał i uruchomił załącznik, jaki otrzymał w przesłanym mu email, na skutek czego doszło do zablokowania możliwości dostępu do danych księgowych na skutek ich zaszyfrowania – złośliwe oprogramowanie ransomware.
• Personel rejestracji wykonał kserokopie dokumentacji medycznej pacjenta jednostki na wniosek jednego z lekarzy, jednak jak się okazało lekarz ten nie był osobą upoważnioną do dostępu do dokumentacji medycznej tego pacjenta, a wgląd w dokumentację nie miał nic wspólnego z udzielaniem świadczeń medycznych pacjentowi przez lekarza.
• Pracownik administracji wykorzystywał dane osób zatrudnionych w jednostce medycznej do zawierania fikcyjnych umów ubezpieczenia.

Przyczyny naruszania danych osobowych w podmiotach medycznych

Przykładów zdarzeń, które stanowią naruszenie ochrony danych osobowych może być nieskończenie wiele. Wielu jednak z nich można przeciwdziałać, a nawet trzeba. Należy jednak uświadomić sobie co jest oraz co może być przyczyną ich występowania.

Czynniki współwystępujące / sprzyjające powstawaniu naruszeń ochrony danych osobowych:

• Nieprawidłowa organizacja czasu pracy - bardzo często prowadzi to do wykonywania zadań służbowych pod presją czasu, a to skutkuje skłonnością do pomijania obowiązujących procedur postępowania, jak również istotnie dezorganizuje pracę na takim stanowisku pracy, co przekłada się na podniesienie ryzyka wystąpienia błędu, czy pomyłki.
• Bagatelizowanie przyjętych zasad postępowania – często świadomie personel pomija przyjęte zasady postępowania, dokonując samodzielnie ich oceny, uznając iż są one np. niepotrzebne, mało efektywne, w następstwie czego obniża istotnie poziom bezpieczeństwa przetwarzania danych osobowych, który gwarantowany jest przez stosowanie się do zaleceń ujętych w procedurach.
• Brak dostatecznej wiedzy na temat obowiązujących procedur – różne są niestety przyczyny takiego stanu rzeczy, począwszy od niechęci personelu do podnoszenia swoich kompetencji w tym obszarze, bagatelizowanie tego zagadnienia przez kadrę zarządzającą, a skończywszy na świadomym podejmowaniu decyzji o zaniechaniu procesu szkoleniowego.
• Niezrozumienie obowiązujących zasad postępowania – na skutek stosowania zbyt rozbudowanych procedur działania, bądź opracowywanie ich w sposób nierzetelny personel zobligowany do ich stosowania nie jest w stanie zrozumieć swoich obowiązków, opisanych w procedurach, a przez to nie jest w stanie ich stosować, bądź też błędnie interpretuje zapisy dokumentacji wewnętrznej jednostki.
• Przyzwyczajenie ugruntowane praktyką – niestety nawyki personelu, do działania w określony nieprawidłowy sposób, również mogą stanowić źródło występowania zdarzeń kwalifikowanych jako naruszenie ochrony danych osobowych.
• Presja ze strony pacjentów – personel medyczny narażony jest na różnego rodzaju formy oddziaływania na niego m.in. ze strony pacjentów, w skrajnych przypadkach może skutkować to podejmowaniem błędnych decyzji, które prowadzić mogą do występowania zdarzeń będących naruszeniem ochrony danych osobowych.
• Nieprawidłowo funkcjonujące elementy systemu teleinformatycznego – należy mieć świadomość iż także czysto techniczne elementy systemu, jakim posługuje się personel jednostki, mogą sprzyjać powstawaniu zdarzeń kwalifikowanych jako naruszenia ochrony danych osobowych.

Możliwości przeciwdziałania

Uważna lektura w zakresie czynników sprzyjających powstawaniu zdarzeń niepożądanych pozwala na opracowanie działań zaradczych. W zależności od tego, które z czynników uznane zostaną za dominujące, co możliwe jest po przeprowadzeniu audytu wewnętrznego, należy położyć nacisk na właściwe środki minimalizujące materializację ryzyka. Mogą nimi być działania o charakterze edukacyjnym. Warto planować i realizować audyty sprawdzające poprawność stosowania procedur. Należy bezwzględnie dokonywać przeglądu przyjętych procedur opisanych w dokumentacji wewnętrznej, nie tylko pod kątem ich zgodności z prawem, ale także pod kątem poprawności ich stosowania w jednostce. Nie należy zamykać się także na wszelkiego rodzaju wnioski, dotyczące procesu pracy, przekazywane przez personel.

Autor: mgr Dominik Spałek