Po kontroli GIODO, szpital w Kole wdraża środki naprawcze

Zwolnienia osób winnych naruszeń, dodatkowe audyty bezpieczeństwa danych, opracowanie procedur reagowania na incydenty - to tylko część z długiej listy działań naprawczych.

Gdy tylko serwis Zaufana Trzecia Strona poinformował, że w sieci publicznie dostępne są dane osobowe oraz medyczne 50 tysięcy pacjentów oraz pracowników Samodzielnego Publicznego Zakładu Opieki Zdrowotnej w Kole, w tym ich imiona, nazwiska, numery PESEL, adresy zamieszkania i numery ubezpieczenia oraz numery kont bankowych, Generalny Inspektor Ochrony Danych Osobowych (GIODO) niezwłocznie rozpoczął z urzędu kontrolę w siedzibie szpitala.

Ujawniła ona liczne nieprawidłowości i niedopatrzenia, m.in. w obowiązujących w szpitalu rozwiązaniach i procedurach oraz opisujących je dokumentach.

Poważnym błędem był brak właściwej i szybkiej reakcji na przekazaną szpitalowi informację o dostępności danych w sieci. Wobec tak poważnego wycieku natychmiastowa reakcja osób odpowiedzialnych z zarządzanie placówką jest niezbędna. Niestety, jak wynika z ustaleń inspektorów GIODO, administrator bezpieczeństwa informacji (ABI) oraz dyrektor szpitala zostali poinformowani o incydencie dopiero 7 dni po tym, jak informacja ta dotarła do pracownika szpitala. GIODO zażądał w związku z tym wszczęcia postępowania dyscyplinarnego wobec osoby winnej tego opóźnienia, które uniemożliwiło szybką reakcję na wyciek. Można było bowiem dużo wcześniej podjąć działania naprawcze.

Z ustaleń kontrolerów GIODO wynikało również, że wdrożony w serwerowni szpitala system firewall okazał się niewystarczający, by zapobiec nieuprawnionemu dostępowi do szpitalnych danych. GIODO zalecił więc wprowadzenie w krótkim czasie środków technicznych, które zapewnią dodatkową ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń, co w przyszłości powinno uniemożliwić podobny wyciek.

Kontrola GIODO wykazała też zaniedbania w dokumentacji związanej z przetwarzaniem danych osobowych. Braki stwierdzono np. w polityce bezpieczeństwa szpitala, która m.in. w sposób zbyt ogólny opisywała obszar przetwarzania danych, nie zawierała wyszczególnienia wszystkich zbiorów danych oraz wskazania systemów informatycznych służących do ich przetwarzania, brak też było informacji o sposobie przepływu danych między poszczególnymi systemami. Ponadto stwierdzono, że w trzech przypadkach z firmami, z którymi podpisano umowy na wykonywanie świadczeń zdrowotnych (obejmujących przeprowadzanie badań radiologicznych, tomografii komputerowej, diagnostyki laboratoryjnej i badań patomorfologicznych), nie zawarto umów powierzenia przetwarzania danych osobowych. Także instrukcja zarządzania systemem informatycznym nie zawierała wszystkich niezbędnych elementów.

Dodatkowo GIODO zwrócił uwagę na fakt, że wprawdzie dopiero od 25 maja 2018 r., gdy wejdzie w życie ogólne rozporządzenie o ochronie danych osobowych, obowiązkiem administratora danych będzie informowanie o wycieku osób, których dane osobowe zostały naruszone i może to rodzić dla nich istotne zagrożenia, niemniej wskazał, że – biorąc ten fakt pod uwagę – zasadne byłoby podjęcie działań prowadzących do przyjęcia odpowiednich procedur w tym zakresie.

Między innymi w wyniku kontroli GIODO szpital podjął liczne działania naprawcze mające na celu niedopuszczenie do podobnej sytuacji w przyszłości. Do najważniejszych z nich należą:

• przeprowadzenie audytu systemów informatycznych kątem ochrony danych osobowych oraz bezpieczeństwa sieci przez podmiot zewnętrzny,
• poprawa zabezpieczeń serwera, na którym przetwarzane są dane osobowe pacjentów oraz pracowników szpitala poprzez: zmianę wszystkich haseł użytkowników systemów informatycznych, wyłączenie części interfejsów sieciowych oraz usługi poczty elektronicznej; dodatkowo usługa ta przeniesiona została na inny serwer,
• dokonanie zmian kadrowych w dziale informatyki szpitala,
• powołanie administratora systemów informatycznych (ASI),
• podjęcie z podmiotem zewnętrznym współpracy dotyczącej sprawowania nadzoru nad prawidłowym funkcjonowaniem i zabezpieczeniem sieci IT,
• przeprowadzenie przez podmiot zewnętrzny szkolenia z zakresu ochrony danych osobowych,
• opracowanie procedury reagowania na naruszenie danych osobowych,
• zawarcie umów powierzenia przetwarzania danych osobowych z podmiotami, z którymi podpisano umowy na wykonywanie świadczeń zdrowotnych.

To kolejna już interwencja inspektorów GIODO w ostatnim czasie spowodowana niewłaściwym zabezpieczeniem danych osobowych.

Kontrole GIODO, jak widać, są bardzo skutecznym narzędziem umożliwiającym dogłębne poznanie przyczyn wycieków i dającym realny wpływ na poprawę bezpieczeństwa danych osobowych obywateli przetwarzanych przez administratorów danych w Polsce.

Kierowanie wniosków o zabezpieczenie dokumentacji przez Policję, by uniemożliwić nieuprawniony dostęp do danych, wskazywanie konkretnych uchybień w procesie przetwarzania danych osobowych i nakazywanie ich usunięcia w konkretnych termiach to tylko przykłady działań podejmowanych przez GIODO na rzecz poprawy bezpieczeństwa danych osobowych.

Źródło: GIODO