Rzeczpospolita Prawo

Po kontroli GIODO, szpital w Kole wdraża środki naprawcze

Po kontroli GIODO związanej z wyciekiem danych osobowych, w szpitalu w Kole zwolniono osoby winne naruszeń, przeprowadzono audyty bezpieczeństwa danych i podjęto szereg innych działań naprawczych.

Aktualizacja: 02.10.2017 10:39 Publikacja: 02.10.2017 10:19

Po kontroli GIODO, szpital w Kole wdraża środki naprawcze

Foto: Fotorzepa, Sławomir Mielnik Sławomir Mielnik

rp.pl

Jak informuje GIODO, niezwłocznie po opublikowaniu przez serwis Zaufana Trzecia Strona informacji, że w sieci publicznie dostępne są dane osobowe oraz medyczne 50 tysięcy pacjentów oraz pracowników Samodzielnego Publicznego Zakładu Opieki Zdrowotnej w Kole, w tym ich imiona, nazwiska, numery PESEL, adresy zamieszkania i numery ubezpieczenia oraz numery kont bankowych, Generalny Inspektor Ochrony Danych Osobowych (GIODO) niezwłocznie rozpoczął z urzędu kontrolę w siedzibie szpitala.

Ujawniła ona liczne nieprawidłowości i niedopatrzenia, m.in. w obowiązujących w szpitalu rozwiązaniach i procedurach oraz opisujących je dokumentach.

GIODO wskazuje, że poważnym błędem był brak właściwej i szybkiej reakcji na przekazaną szpitalowi informację o dostępności danych w sieci. Wobec tak poważnego wycieku natychmiastowa reakcja osób odpowiedzialnych z zarządzanie placówką jest niezbędna. Niestety, jak wynika z ustaleń inspektorów GIODO, administrator bezpieczeństwa informacji (ABI) oraz dyrektor szpitala zostali poinformowani o incydencie dopiero 7 dni po tym, jak informacja ta dotarła do pracownika szpitala. GIODO zażądał w związku z tym wszczęcia postępowania dyscyplinarnego wobec osoby winnej tego opóźnienia, które uniemożliwiło szybką reakcję na wyciek. Można było bowiem dużo wcześniej podjąć działania naprawcze.

Z ustaleń kontrolerów GIODO wynikało również, że wdrożony w serwerowni szpitala system firewall okazał się niewystarczający, by zapobiec nieuprawnionemu dostępowi do szpitalnych danych. GIODO zalecił więc wprowadzenie w krótkim czasie środków technicznych, które zapewnią dodatkową ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń, co w przyszłości powinno uniemożliwić podobny wyciek.

Kontrola GIODO wykazała też zaniedbania w dokumentacji związanej z przetwarzaniem danych osobowych. Braki stwierdzono np. w polityce bezpieczeństwa szpitala, która m.in. w sposób zbyt ogólny opisywała obszar przetwarzania danych, nie zawierała wyszczególnienia wszystkich zbiorów danych oraz wskazania systemów informatycznych służących do ich przetwarzania, brak też było informacji o sposobie przepływu danych między poszczególnymi systemami. Ponadto stwierdzono, że w trzech przypadkach z firmami, z którymi podpisano umowy na wykonywanie świadczeń zdrowotnych (obejmujących przeprowadzanie badań radiologicznych, tomografii komputerowej, diagnostyki laboratoryjnej i badań patomorfologicznych), nie zawarto umów powierzenia przetwarzania danych osobowych. Także instrukcja zarządzania systemem informatycznym nie zawierała wszystkich niezbędnych elementów.

Dodatkowo GIODO zwrócił uwagę na fakt, że wprawdzie dopiero od 25 maja 2018 r., gdy wejdzie w życie ogólne rozporządzenie o ochronie danych osobowych, obowiązkiem administratora danych będzie informowanie o wycieku osób, których dane osobowe zostały naruszone i może to rodzić dla nich istotne zagrożenia, niemniej wskazał, że – biorąc ten fakt pod uwagę – zasadne byłoby podjęcie działań prowadzących do przyjęcia odpowiednich procedur w tym zakresie.

Między innymi w wyniku kontroli GIODO szpital podjął liczne działania naprawcze mające na celu niedopuszczenie do podobnej sytuacji w przyszłości. Do najważniejszych z nich należą:

- przeprowadzenie audytu systemów informatycznych kątem ochrony danych osobowych oraz bezpieczeństwa sieci przez podmiot zewnętrzny,

- poprawa zabezpieczeń serwera, na którym przetwarzane są dane osobowe pacjentów oraz pracowników szpitala poprzez: zmianę wszystkich haseł użytkowników systemów informatycznych, wyłączenie części interfejsów sieciowych oraz usługi poczty elektronicznej; dodatkowo usługa ta przeniesiona została na inny serwer,

- dokonanie zmian kadrowych w dziale informatyki szpitala,

- powołanie administratora systemów informatycznych (ASI),

- podjęcie z podmiotem zewnętrznym współpracy dotyczącej sprawowania nadzoru nad prawidłowym funkcjonowaniem i zabezpieczeniem sieci IT,

- przeprowadzenie przez podmiot zewnętrzny szkolenia z zakresu ochrony danych osobowych,

- opracowanie procedury reagowania na naruszenie danych osobowych,

- zawarcie umów powierzenia przetwarzania danych osobowych z podmiotami, z którymi podpisano umowy na wykonywanie świadczeń zdrowotnych.

To kolejna już interwencja inspektorów GIODO w ostatnim czasie spowodowana niewłaściwym zabezpieczeniem danych osobowych.

Kontrole GIODO, jak widać, są bardzo skutecznym narzędziem umożliwiającym dogłębne poznanie przyczyn wycieków i dającym realny wpływ na poprawę bezpieczeństwa danych osobowych obywateli przetwarzanych przez administratorów danych w Polsce.

Kierowanie wniosków o zabezpieczenie dokumentacji przez Policję, by uniemożliwić nieuprawniony dostęp do danych, wskazywanie konkretnych uchybień w procesie przetwarzania danych osobowych i nakazywanie ich usunięcia w konkretnych termiach to tylko przykłady działań podejmowanych przez GIODO na rzecz poprawy bezpieczeństwa danych osobowych.

© Licencja na publikację
© ℗ Wszystkie prawa zastrzeżone
Źródło: GIODO

Dane Osobowe

Jak informuje GIODO, niezwłocznie po opublikowaniu przez serwis Zaufana Trzecia Strona informacji, że w sieci publicznie dostępne są dane osobowe oraz medyczne 50 tysięcy pacjentów oraz pracowników Samodzielnego Publicznego Zakładu Opieki Zdrowotnej w Kole, w tym ich imiona, nazwiska, numery PESEL, adresy zamieszkania i numery ubezpieczenia oraz numery kont bankowych, Generalny Inspektor Ochrony Danych Osobowych (GIODO) niezwłocznie rozpoczął z urzędu kontrolę w siedzibie szpitala.

Ujawniła ona liczne nieprawidłowości i niedopatrzenia, m.in. w obowiązujących w szpitalu rozwiązaniach i procedurach oraz opisujących je dokumentach.

Pozostało 87% artykułu
2 / 3
artykułów
Czytaj dalej. Subskrybuj
Poświadczenie nabycia spadku u notariusza: koszty i zalety
Spadki i darowizny
Poświadczenie nabycia spadku u notariusza: koszty i zalety
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe.
Materiał Promocyjny
Nowa gama aut LCV Citroëna w leasingu od 101%! Profesjonalizm w każdym szczególe.
Advertisement
Trudny państwowy egzamin zakończony. Zdało tylko 6 osób
Prawo w Firmie
Trudny państwowy egzamin zakończony. Zdało tylko 6 osób
Ministerstwo Zdrowia
Podatki
Składka zdrowotna na ryczałcie bez ograniczeń. Rząd zdradza szczegóły
Kiedy można wyłączyć grunty z produkcji rolnej
Ustrój i kompetencje
Kiedy można wyłączyć grunty z produkcji rolnej
Nowe, w pełni elektryczne BMW iX2 już od 2200 PLN netto/mies.
Materiał Promocyjny
Nowe BMW iX2 już od 999 PLN netto/mies. z dopłatą w programie „Mój Elektryk”.
Reforma TK w Sejmie. Możliwe zmiany w planie Bodnara
Sądy i trybunały
Reforma TK w Sejmie. Możliwe zmiany w planie Bodnara
Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.
Materiał Promocyjny
Nowy Lexus LBX. Crossover dostępny już od 139 900 zł. Umów się na jazdę testową.
Advertisement
e-Wydanie