Reklama

Wyciek danych pacjentów. RPP nakazuje szpitalowi zmiany w zabezpieczeniach

Poufne dane pacjentów mogą wyciec nie tylko w wyniku zaawansowanego cyberataku, ale także przez luki w codziennych zabezpieczeniach: źle zarządzaną pocztę, niekontrolowany dostęp zdalny i brak szyfrowania korespondencji. Rzecznik Praw Pacjenta uznał, że brak adekwatnej ochrony danych medycznych narusza zbiorowe prawa pacjentów. W badanej przez RPP sprawie wiadomości ze szpitalnych skrzynek były automatycznie przekierowywane na nieuprawniony adres e-mail.

Wyciek danych pacjentów to nie tylko problem IT

Dane medyczne mogą zawierać numer PESEL, imię i nazwisko, adres, rozpoznanie zasadnicze i współistniejące, informacje o okresie leczenia, zgonie pacjenta czy dane identyfikujące lekarza. Rzecznik Praw Pacjenta (RPP) wskazał, że zakres wycieku był znaczący i dotyczył szerokiego zbioru informacji o pacjentach jednego z podmiotów leczniczych.

Cyberbezpieczeństwo w ochronie zdrowia jest częścią bezpieczeństwa pacjenta. Jeśli placówka nie kontroluje, co dzieje się ze skrzynkami pocztowymi i kto ma zdalny dostęp do sieci wewnętrznej, ryzyko nie kończy się na awarii systemu, a może oznaczać naruszenie prywatności pacjentów.

Reklama

RPP o stosowaniu zabezpieczeń przez placówki ochrony zdrowia

Rzecznik podkreślił, że sam fakt cyberataku nie przesądza automatycznie o naruszeniu praw pacjenta. Problem pojawia się wtedy, gdy placówka nie stosuje aktualnych i adekwatnych mechanizmów zabezpieczających. W tej sprawie RPP wskazał m.in. brak centralnego zarządzania pocztą elektroniczną, możliwość samodzielnego tworzenia reguł przekierowań przez użytkowników, niekontrolowany dostęp zdalny z prywatnego sprzętu oraz brak egzekwowania zabezpieczeń kryptograficznych w korespondencji mailowej.

Reklama

Bartłomiej Chmielowiec, Rzecznik Praw Pacjenta, przypomniał obowiązki placówek medycznych.

Podmioty lecznicze zobowiązane są do stosowania właściwych zasad ochrony dostępu do danych pacjentów i dokumentacji medycznej, w szczególności mechanizmów zabezpieczających dostęp do elementów systemów teleinformatycznych podmiotu leczniczego - podkreśla Rzecznik Praw Pacjenta Bartłomiej Chmielowiec.

Szpital musi wdrożyć zabezpieczenia adekwatne do wrażliwości dokumentacji medycznej

Decyzja RPP pokazuje, że w placówkach medycznych standardem powinno być szyfrowanie wiadomości i plików z danymi pacjentów, kontrola dostępu do skrzynek pocztowych, blokada automatycznego przekierowywania wiadomości poza domenę organizacji, ograniczenie pracy zdalnej do sprzętu służbowego oraz regularna analiza ryzyka.

Reklama

Szpital musi umieć wykazać, że przewidział możliwe scenariusze naruszenia danych i wdrożył zabezpieczenia adekwatne do wrażliwości dokumentacji medycznej.

Dane medyczne wymagają podwyższonej staranności

Dokumentacja medyczna zawiera dane szczególnych kategorii w rozumieniu RODO, w tym dane dotyczące zdrowia. RPP wskazał, że administrator danych musi zapewnić podwyższony poziom ochrony, obejmujący rozwiązania techniczne i organizacyjne.

Bartłomiej Chmielowiec podkreśla, że obowiązek szpitala nie kończy się na bieżącej ochronie danych.

Reklama

Od podmiotów leczniczych wymagana jest podwyższona staranność, nie tylko w procesie bieżącej ochrony danych pacjentów, ale także w procesie przewidywania możliwych scenariuszy naruszenia dostępu do danych - wskazuje Rzecznik Praw Pacjenta.

RPP nakazał wyeliminowanie nieprawidłowości i oczekuje na stanowisko podmiotu leczniczego.

Obserwuj nas na Obserwuje nas na Google NewsGoogle News

Chcesz być na bieżąco z wieściami z naszego portalu? Obserwuj nas na Google News!

Źródło: RPP/DD Aktualizacja: 14/07/2026 18:30
Reklama

Komentarze opinie

Podziel się swoją opinią

Twoje zdanie jest ważne jednak nie może ranić innych osób lub grup.


Reklama
Reklama
Najnowsze wiadomości