Ostrzeżenie!

Wejście do serwisu dla lekarzy i farmaceutów wymaga potwierdzenia oświadczenia widocznego na stronie. Jeśli nie spełniasz wymienionych warunków, kliknij przycisk Pomiń .

Ta strona używa ciasteczek (cookies), dzięki którym nasz serwis może działać lepiej. Dowiedz się więcej Rozumiem

Po kontroli GIODO, szpital w Kole wdraża środki naprawcze

Zwolnienia osób winnych naruszeń, dodatkowe audyty bezpieczeństwa danych, opracowanie procedur reagowania na incydenty - to tylko część z długiej listy działań naprawczych.

Gdy tylko serwis Zaufana Trzecia Strona poinformował, że w sieci publicznie dostępne są dane osobowe oraz medyczne 50 tysięcy pacjentów oraz pracowników Samodzielnego Publicznego Zakładu Opieki Zdrowotnej w Kole, w tym ich imiona, nazwiska, numery PESEL, adresy zamieszkania i numery ubezpieczenia oraz numery kont bankowych, Generalny Inspektor Ochrony Danych Osobowych (GIODO) niezwłocznie rozpoczął z urzędu kontrolę w siedzibie szpitala.

Ujawniła ona liczne nieprawidłowości i niedopatrzenia, m.in. w obowiązujących w szpitalu rozwiązaniach i procedurach oraz opisujących je dokumentach.

Poważnym błędem był brak właściwej i szybkiej reakcji na przekazaną szpitalowi informację o dostępności danych w sieci. Wobec tak poważnego wycieku natychmiastowa reakcja osób odpowiedzialnych z zarządzanie placówką jest niezbędna. Niestety, jak wynika z ustaleń inspektorów GIODO, administrator bezpieczeństwa informacji (ABI) oraz dyrektor szpitala zostali poinformowani o incydencie dopiero 7 dni po tym, jak informacja ta dotarła do pracownika szpitala. GIODO zażądał w związku z tym wszczęcia postępowania dyscyplinarnego wobec osoby winnej tego opóźnienia, które uniemożliwiło szybką reakcję na wyciek. Można było bowiem dużo wcześniej podjąć działania naprawcze.

Z ustaleń kontrolerów GIODO wynikało również, że wdrożony w serwerowni szpitala system firewall okazał się niewystarczający, by zapobiec nieuprawnionemu dostępowi do szpitalnych danych. GIODO zalecił więc wprowadzenie w krótkim czasie środków technicznych, które zapewnią dodatkową ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń, co w przyszłości powinno uniemożliwić podobny wyciek.

Kontrola GIODO wykazała też zaniedbania w dokumentacji związanej z przetwarzaniem danych osobowych. Braki stwierdzono np. w polityce bezpieczeństwa szpitala, która m.in. w sposób zbyt ogólny opisywała obszar przetwarzania danych, nie zawierała wyszczególnienia wszystkich zbiorów danych oraz wskazania systemów informatycznych służących do ich przetwarzania, brak też było informacji o sposobie przepływu danych między poszczególnymi systemami. Ponadto stwierdzono, że w trzech przypadkach z firmami, z którymi podpisano umowy na wykonywanie świadczeń zdrowotnych (obejmujących przeprowadzanie badań radiologicznych, tomografii komputerowej, diagnostyki laboratoryjnej i badań patomorfologicznych), nie zawarto umów powierzenia przetwarzania danych osobowych. Także instrukcja zarządzania systemem informatycznym nie zawierała wszystkich niezbędnych elementów.

Dodatkowo GIODO zwrócił uwagę na fakt, że wprawdzie dopiero od 25 maja 2018 r., gdy wejdzie w życie ogólne rozporządzenie o ochronie danych osobowych, obowiązkiem administratora danych będzie informowanie o wycieku osób, których dane osobowe zostały naruszone i może to rodzić dla nich istotne zagrożenia, niemniej wskazał, że – biorąc ten fakt pod uwagę – zasadne byłoby podjęcie działań prowadzących do przyjęcia odpowiednich procedur w tym zakresie.

Między innymi w wyniku kontroli GIODO szpital podjął liczne działania naprawcze mające na celu niedopuszczenie do podobnej sytuacji w przyszłości. Do najważniejszych z nich należą:

  • przeprowadzenie audytu systemów informatycznych kątem ochrony danych osobowych oraz bezpieczeństwa sieci przez podmiot zewnętrzny,
  • poprawa zabezpieczeń serwera, na którym przetwarzane są dane osobowe pacjentów oraz pracowników szpitala poprzez: zmianę wszystkich haseł użytkowników systemów informatycznych, wyłączenie części interfejsów sieciowych oraz usługi poczty elektronicznej; dodatkowo usługa ta przeniesiona została na inny serwer,
  • dokonanie zmian kadrowych w dziale informatyki szpitala,
  • powołanie administratora systemów informatycznych (ASI),
  • podjęcie z podmiotem zewnętrznym współpracy dotyczącej sprawowania nadzoru nad prawidłowym funkcjonowaniem i zabezpieczeniem sieci IT,
  • przeprowadzenie przez podmiot zewnętrzny szkolenia z zakresu ochrony danych osobowych,
  • opracowanie procedury reagowania na naruszenie danych osobowych,
  • zawarcie umów powierzenia przetwarzania danych osobowych z podmiotami, z którymi podpisano umowy na wykonywanie świadczeń zdrowotnych.

To kolejna już interwencja inspektorów GIODO w ostatnim czasie spowodowana niewłaściwym zabezpieczeniem danych osobowych.

Kontrole GIODO, jak widać, są bardzo skutecznym narzędziem umożliwiającym dogłębne poznanie przyczyn wycieków i dającym realny wpływ na poprawę bezpieczeństwa danych osobowych obywateli przetwarzanych przez administratorów danych w Polsce.

Kierowanie wniosków o zabezpieczenie dokumentacji przez Policję, by uniemożliwić nieuprawniony dostęp do danych, wskazywanie konkretnych uchybień w procesie przetwarzania danych osobowych i nakazywanie ich usunięcia w konkretnych termiach to tylko przykłady działań podejmowanych przez GIODO na rzecz poprawy bezpieczeństwa danych osobowych.


Źródło: GIODO

Liczba wyświetleń:

1 453

Skomentuj

Centrum Systemów Informacyjnych Ochrony Zdrowia poinformowało, że pod koniec I kwartału 2018 roku w jednym z miast wprowadzony zostanie pilotażowy projekt wystawiania e-recept. Specjaliści z CSIOZ nie ujawnili jeszcze, o które miasto chodzi, ale...
System reagowania na cyberataki i włączenie w ten proces zainteresowanych podmiotów - jest jedną z kluczowych propozycji w tworzonym krajowym systemie cyberbezpieczeństwa. Podział incydentów m.in. na krytyczny, poważny umożliwi podejmowanie działań...
Największą popularnością wśród pacjentów cieszą się te aplikacje mobilne, które ułatwiają prowadzenie kuracji. Przykładem jednej z nich jest Koszt Terapii. To aplikacja, która pomoże obliczyć wydatki na leczenie oraz znaleźć zamienniki leków. Atutem...
16-18 marca 2018r. Poznań Konferencja Top Medical Trends odbędzie się już poraz dwunasty. Organizatorem jest wydawnictwo Termedia. Patronat naukowy: Polskie Towarzystwo Medycyny Rodzinnej oraz Katedra i Zakład Medycyny Rodzinnej Uniwersytetu...