Kiedy dokumentacja pacjenta znika razem z autem lekarza

W świecie ochrony zdrowia prywatność pacjenta to fundament. Ale co, jeśli dane osobowe pacjentów odjeżdżają w skradzionym samochodzie lekarza? Taki scenariusz wydarzył się w Pyskowicach, a jego konsekwencje przypomniały, że RODO nie wybacza braku procedur – nawet w dobrej wierze.

Skradziona dokumentacja medyczna – nie tylko wina złodzieja

Lekarz odbywający wizytę domową zostawił w prywatnym aucie dokumentację ośmiorga pacjentów – zawierającą m.in. imię, nazwisko, PESEL, adres i dane zdrowotne. Auto zostało skradzione. Chociaż sam incydent miał charakter losowy, to UODO uznał, że placówka nie była właściwie przygotowana na takie ryzyko.

Co więcej, ostrzeżenia dotyczące właśnie takiego zagrożenia padały już w 2017 roku, kiedy Administrator Bezpieczeństwa Informacji w ZOZ sygnalizował potrzebę uregulowania przewożenia dokumentacji w prywatnych pojazdach lekarzy. Niestety, ostrzeżeń tych nie przełożono na konkretne procedury.

Kara za brak zabezpieczeń, nie za kradzież

UODO nałożył na niepubliczny ZOZ karę w wysokości 32 832 zł. Nie dlatego, że ktoś ukradł samochód, ale dlatego, że:
– analiza ryzyka nie obejmowała przewożenia dokumentacji w prywatnych autach,
– obowiązujące procedury były zbyt ogólne i nie odnosiły się do rzeczywistych zagrożeń,
– zalecenia ABI nie zostały wprowadzone w życie.

Dopiero po incydencie zaktualizowano politykę bezpieczeństwa, zorganizowano szkolenia i wyposażono lekarzy w teczki z zamkiem szyfrowym do transportu dokumentów.

Wnioski dla ochrony zdrowia

1. Prywatny samochód to także miejsce przetwarzania danych – jeśli są w nim dokumenty pacjenta, musi podlegać odpowiednim procedurom.
2. Analiza ryzyka to nie raport do szuflady – ma prowadzić do konkretnych działań.
3. Zdarzenia losowe nie zwalniają z odpowiedzialności – obowiązkiem administratora jest przewidywać i chronić.
4. Działanie po szkodzie to za mało – Prezes UODO bierze pod uwagę, co administrator zrobił przed incydentem.

RODO nie przewiduje taryfy ulgowej dla placówek medycznych – wręcz przeciwnie, nakłada na nie szczególną odpowiedzialność. Przypadek z Pyskowic to lekcja dla całego sektora ochrony zdrowia: jeśli Twoje procedury nie są aktualne i dopasowane do codziennej praktyki, ryzykujesz – nie tylko prywatność pacjentów, ale i karę finansową.

Z oficjalną decyzją można zapoznać się na stronie UODO – DKN.5131.17.2022.

Copyright @2024. All Rights Reserved.