Najwyższa Izba Kontroli przeprowadziła kontrolę podmiotów leczniczych w województwie warmińsko-mazurskim. Kontrolowane szpitale i przychodnie nie zawsze zapewniały prawidłową ochronę danych pacjentów przed cyberatakami oraz rzetelne ich przetwarzanie.
Kontrola przeprowadzona przez Delegaturę NIK w Olsztynie objęła sześć szpitali i jeden ośrodek zdrowia. Były to: Miejski Szpital Zespolony w Olsztynie, Samodzielny Publiczny Zakład Opieki Zdrowotnej w Działdowie, Szpital Miejski św. Jana Pawła II w Elblągu, Szpital Mrągowski im. Michała Kajki Sp. z o.o., Szpital Powiatowy Sp. z o.o. w Pasłęku, Giżycka Ochrona Zdrowia Sp. z o.o. oraz Samodzielny Gminny Zakład Opieki Zdrowotnej w Dywitach. Celem kontroli było ustalenie, czy rozwiązania funkcjonujące w tych podmiotach zapewniły prawidłową ochronę danych pacjentów przed cyberatakami oraz rzetelne ich przetwarzanie.
Zdaniem NIK, w okresie objętym kontrolą, tj. w latach 2020-2023 (I półrocze) wszystkie badane jednostki prowadziły działania mające na celu zapewnienie bezpieczeństwa informacji, w tym danych pacjentów. W większości z nich (sześć podmiotów) odbywało się to w sposób nierzetelny i/lub nieadekwatny do rodzaju i skali przetwarzanych danych.
W każdej skontrolowanej jednostce wyznaczono inspektora ochrony danych osobowych (IODO), przy czym w dwóch z nich (Olsztyn oraz Dywity) stwierdzono w tym zakresie istotne nieprawidłowości. W pierwszym przypadku nie zapewniono wsparcia lub zastępstwa IODO, który nie świadczył pracy przez wiele miesięcy. Z kolei w Dywitach IODO został wyznaczony dopiero pod koniec 2022 r.
We wszystkich skontrolowanych podmiotach część personelu niemedycznego miała dostęp do danych medycznych pacjentów w systemach informatycznych w nich funkcjonujących, przy czym w dwóch z nich (Olsztyn i Elbląg) wystąpiły w tym zakresie nieprawidłowości. W Szpitalu Miejskim w Olsztynie czterech pracowników niemedycznych miało dostęp do systemu Optimed NXT, choć nie wykonywali oni czynności pomocniczych przy udzielaniu świadczeń opieki zdrowotnej lub związanych z utrzymaniem systemu teleinformatycznego, zaś w zakresach ich obowiązków nie powierzono im wykonywania ww. czynności. Natomiast w Szpitalu Miejskim w Elblągu z opóźnieniem zaktualizowano upoważnienia 14 pracowników W pozostałych skontrolowanych placówkach personel niemedyczny miał dostęp do danych medycznych wyłącznie w zakresie niezbędnym do wykonywanych zadań.
W szpitalu w Elblągu spośród 30 zweryfikowanych pracowników medycznych, w 11 przypadkach upoważnienia do przetwarzania danych osobowych wydano w sposób niezgodny z obowiązującym wzorem, zaś w przypadku trzech pracowników upoważnienia były wydane od 371 do 1580 dni po dacie nadania uprawnień do systemu informatycznego. Ponadto 435 pracowników miało dostęp do danych medycznych bez nadanych pisemnych upoważnień. Z kolei w szpitalu w Olsztynie, spośród 30 zweryfikowanych pracowników medycznych, dwóch posiadało dostęp do danych pacjentów z oddziałów szpitalnych, na których nie świadczyli pracy, 24 pielęgniarki nie posiadały upoważnienia do przetwarzania danych osobowych pacjentów, a dwie kolejne zostały dopuszczone do przetwarzania danych bez stosownego upoważnienia do ich przetwarzania oraz bez polecenia administratora.
Szpitalu Mrągowskim ujawniono, że przez foldery systemowe (pulpit, obrazy, pobrane, dokumenty) siedmiu stanowisk komputerowych wykorzystywanych przez lekarzy i pielęgniarki, możliwy był swobodny dostęp każdego użytkownika danego stanowiska, a także innych osób. Osoby postronne miały więc dostęp, m.in. do znajdujących się w tych folderach plików z informacjami zawierającymi: dane osobowe pacjentów (imię, nazwisko, pesel, adres zamieszkania, data urodzenia), rodzaje badań laboratoryjnych, rozpoznania, daty rozpoczęcia oraz zakończenia zabiegu, rodzaje wykonanych zabiegów, zalecone badania diagnostyczne, opis uzasadnienia konieczności niezwłocznej hospitalizacji, skierowanie do szpitala czy dane lekarza. Informacje zawarte w tych plikach były zapisane w postaci skanów (dowody osobiste, paszporty, karty ekuz), zrzutów z ekranu , kart segregacji medycznej oraz wykazów w postaci różnego rodzaju zestawień.
W szpitalu w Elblągu pracownicy medyczni (lekarze i pielęgniarki) mieli niezabezpieczony dostęp do systemu Windows. W Szpitalu Miejskim w Olsztynie w trakcie oględzin ustalono natomiast, że jeden z pracowników personelu medycznego pracował w systemie informatycznym korzystając z konta innego użytkownika. Również w tym szpitalu ustawienia systemowe domeny dotyczące wymagań złożoności haseł użytkowników były wyłączone, pomimo że uregulowania wewnętrzne obligowały do tego, żeby hasła składały się przynajmniej z: jednej dużej, jednej małej litery, jednej cyfry i jednego znaku specjalnego. W SGZOZ w Dywitach na jednej ze stacji roboczych brakowało oprogramowania antywirusowego, zaś na kolejnej stacji baza wirusów takiego oprogramowania była nieaktualna. Ponadto w ośrodku tym porty usb nie były zablokowane ani fizycznie ani systemowo, a ustawienia wartości poziomu zabezpieczeń dostępu do systemu obsługi miały wartości minimalne.
W okresie objętym kontrolą w badanych podmiotach zakończyło pracę 473 pracowników. W związku z tym tylko w dwóch jednostkach (Działdowo i Mrągowo) prawidłowo odebrano dostęp do systemów informatycznych z danymi pacjentów wszystkim byłym pracownikom. W pozostałych pięciu jednostkach stwierdzono nieprawidłowości. Odnotowano 14 przypadków logowania się do wspomnianych systemów po ustaniu stosunku pracy. Najgorzej sytuacja wyglądała w szpitalu w Elblągu: 80 byłych pracowników posiadało w okresie zatrudnienia dostęp do systemów z danymi medycznymi, który został im odebrany wiele dni po ustaniu zatrudnienia, z czego 48 osobom dopiero w trakcie kontroli NIK. Również w Szpitalu Miejskim w Olsztynie odnotowano podobne nieprawidłowości oraz logowanie byłych pracowników do systemu informatycznego zawierającego dane medyczne.
Przeczytaj także: ISO, a wewnętrzny system zarządzania jakością
Źródło: NIK
