ZNAJDŹ LEKARZA

piątek, 18 Październik 2019 Wersja beta
Zobacz:

RODO nie daje o sobie zapomnieć – 2 mln zł kary dla szpitala w wyniku donosu

Urząd Ochrony Danych Osobowych w Holandii – Authoriteit Persoonsgegevens – ukarał szpital Haga za naruszenie RODO. Szpital Haga został ukarany grzywną w wysokości 460 000 euro za niedostosowanie środków bezpieczeństwa, które przyczyniły się do naruszenia prywatności pacjenta.

Od wdrożenia RODO minął już ponad rok (25 maja 2018 r.) a mimo to wiele podmiotów medycznych, również w Polsce, nie spełnia podstawowych wytycznych rozporządzenia. RODO wymaga, aby wszystkie podmioty, które przetwarzają dane osobowe obywateli UE, stosowały odpowiednie środki bezpieczeństwa. W przypadku naruszenia bezpieczeństwa danych odpowiedni organ ochrony danych musi zostać powiadomiony w ciągu 72 godzin.

W opisanym przypadku naruszenie dotyczyło osoby publicznej, której dane osobowe zostały ujawnione przez personel placówki. W trakcie dochodzenia stwierdzono, że szpital nie posiada odpowiedniego systemu zabezpieczenia dokumentacji pacjentów, nie wdrożył uwierzytelniania dwuskładnikowego i nie monitoruje rejestru upoważnionych do przetwarzania danych osobowych. Brak odpowiednich środków bezpieczeństwa jest sprzeczny z wymogami RODO i grzywna została uznana za konieczną. Szpital będzie teraz monitorowany, a w przypadku braku poprawy standardu zapewnienia bezpieczeństwa danych osobowych nakładane będą dalsze kary. Szpital ma czas, aby dokonać ulepszeń do 2 października 2019 r.  Po tej dacie nałożona zostanie kolejna grzywna w wysokości 100 000 EUR (z częstotliwością co dwa tygodnie), maksymalnie do 300 000 EUR lub do poprawy zabezpieczeń. Szpital Haga zgodził się wdrożyć dodatkowe środki bezpieczeństwa danych osobowych.

W ubiegłym roku podobna grzywna została wydana na rzecz Centro Hospitalar Barreiro Montijo w Portugalii przez portugalski organ ochrony danych. Szpital nie zdołał zabezpieczyć rejestrów i uniemożliwić nieautoryzowany dostęp do danych. Portugalski szpital został ukarany grzywną w wysokości 400 000 euro.

Według szacunków RODONET ponad połowa polskich podmiotów medycznych nie wdrożyła zaleceń RODO. W przypadku małych praktyk i gabinetów lekarskich odsetek może być jeszcze większy (administratorzy deklarują wdrożenie RODO, jednocześnie wskazując na działania sprzeczne z RODO – badanie zostało wykonane metodą telefoniczną na próbie 500 podmiotów w okresie V-VII 2019). Wiele gabinetów podjęło prowizoryczne działania zaradcze, takie jak zakup standardowej dokumentacji lub skopiowanie powszechnie dostępnych klauzul informacyjnych dla pacjentów i wyeksponowanie ich w miejscu świadczenia usług. Niestety takie działania nie zapewniają ani całkowitego bezpieczeństwa danych osobowych, ani bezpieczeństwa placówki w razie kontroli RODO lub doniesienia ze strony pacjenta.

Wdrożenie RODO wymaga realizacji następujących kroków, które powinny zostać odpowiednio udokumentowane (zasada „rozliczalności” RODO):

  1. Audyt RODO – przeprowadzenie audytu stanowi dowód na troskę administratora o stan RODO i ujawnia ewentualne braku dot. bezpieczeństwa danych
  2. Opracowanie polityki bezpieczeństwa danych osobowych – dzięki czemu możliwe jest precyzyjne i skuteczne zapoznanie pracowników z obowiązkami wynikającymi z RODO
  3. Stworzenie zestawu rejestrów RODO, w tym rejestru czynności przetwarzania, rejestru zbiorów danych, rejestru osób upoważnionych ( to tego rejestru zabrakło w przypadku szpitala HAGA), oraz innych (patrz www.rodonet.pl)
  4. Przeszkolenie pracowników
  5. Stały monitoring RODO z częstotliwością wynikającą z poziomu ryzyka (analiza ryzyka jest jednym z elementów audytu)

Tylko kompleksowe i systematyczne podejście do RODO jest gwarancją uniknięcia grzywny.

RODONET to polska sieć inspektorów danych osobowych. RODONET specjalizuje się w zapewnieniu podmiotom medycznym zgodności z RODO. Dzięki zrozumienia specyfiki sektora zdrowia oraz odpowiednim procedurom i systemom informatycznym, RODONET może zaoferować gabinetom medycznym szybką, profesjonalną i przystępną usługę wdrożenia RODO. RODONET jest dostępny w całym kraju. Z usługi RODONET mogą skorzystać osoby prowadzące własne praktyki medyczne różnych specjalności. Zapraszamy na stronę internetową www.RODONET.pl

Źródło: RODONET na postawie https://www.hipaajournal.com/netherlands-hospital-hit-with-e460000-gdpr-data-breach-fine/, www.rodonet.pl

Kontakt: Inspektor Ochrony Danych Sylwia Miezio, tel. 698 101 878, rodonet@rodonet.pl

Przejdź do następnej strony

Nasi klienci