NIK: byli pracownicy szpitali mieli dostęp do danych pacjentów. I z niego skorzystali

Kontrola przeprowadzona przez Delegaturę NIK w Olsztynie objęła sześć szpitali i jeden ośrodek zdrowia. Były to: Miejski Szpital Zespolony w Olsztynie, Samodzielny Publiczny Zakład Opieki Zdrowotnej w Działdowie, Szpital Miejski św. Jana Pawła II w Elblągu, Szpital Mrągowski im. Michała Kajki Sp. z o.o., Szpital Powiatowy Sp. z o.o. w Pasłęku, Giżycka Ochrona Zdrowia Sp. z o.o. oraz Samodzielny Gminny Zakład Opieki Zdrowotnej w Dywitach.

Celem kontroli - którą objęto lata 2020-2023 (I półrocze) - było ustalenie, czy rozwiązania funkcjonujące w tych podmiotach zapewniły prawidłową ochronę danych pacjentów przed cyberatakami oraz rzetelne ich przetwarzanie.

Najważniejsze ustalenia kontroli NIK

Z kontroli wynika, że wszystkie badane jednostki prowadziły działania mające na celu zapewnienie bezpieczeństwa informacji, w tym danych pacjentów, jednak w większości z nich (sześć podmiotów) odbywało się to w sposób nierzetelny i/lub nieadekwatny do rodzaju i skali przetwarzanych danych.

Nie przestrzegano bowiem w tym zakresie części wewnętrznych regulacji oraz obowiązujących przepisów prawa dotyczących bezpieczeństwa informacji, w tym ochrony danych pacjentów.

Nieprawidłowości w szpitalu w Giżycku

Minister zdrowia uznał w lipcu 2022 r. trzy z siedmiu skontrolowanych podmiotów za operatorów świadczących usługi kluczowe (OUK), mające najważniejsze znaczenie dla krytycznej działalności społecznej lub gospodarczej państwa. Tym samym placówki w Działdowie, Mrągowie i Giżycku zostały zobligowane do realizacji określonych obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa.

W przypadku szpitala w Giżycku ustalono szereg nieprawidłowości. W szczególności nie wdrożono w terminie systemu zarządzania bezpieczeństwem informacji (SZBI), nie uruchomiono systemu, który zapewniałby systematyczne szacowanie ryzyka wystąpienia incydentu.

Niedostępny inspektor ochrony danych osobowych

W szpitalach w Giżycku i Pasłęku wprawdzie obowiązywały zasady ochrony danych i szacowania ryzyka wynikające z m.in. z rozporządzenia RODO, jednak nie można ich było uznać za system zarządzania bezpieczeństwem informacji w myśl przepisów ustawy o cyberbezpieczeństwie i rządowego rozporządzenia w sprawie Krajowych Ram Interoperacyjności - uznał NIK.

W każdej skontrolowanej jednostce wyznaczono inspektora ochrony danych osobowych (IODO), przy czym w dwóch z nich (Olsztyn oraz Dywity) stwierdzono w tym zakresie istotne nieprawidłowości. W pierwszym przypadku nie zapewniono wsparcia lub zastępstwa IODO, który nie świadczył pracy przez wiele miesięcy. Z kolei w Dywitach IODO został wyznaczony dopiero pod koniec 2022 r.

Przetwarzanie danych medycznych pacjentów - nieprawidłowości w Olsztynie i Elblągu

W dwóch podmiotach (Olsztyn i Elbląg) NIK wykrył nieprawidłowości w zakresie dostępu personelu niemedycznego do danych medycznych.

W Szpitalu Miejskim w Olsztynie czterech pracowników niemedycznych miało dostęp do systemu Optimed NXT, choć nie wykonywali oni czynności pomocniczych przy udzielaniu świadczeń opieki zdrowotnej lub związanych z utrzymaniem systemu teleinformatycznego, zaś w zakresach ich obowiązków nie powierzono im wykonywania ww. czynności. Natomiast w Szpitalu Miejskim w Elblągu z opóźnieniem zaktualizowano upoważnienia 14 pracowników.

Istotne nieprawidłowości w przetwarzaniu danych, takie jak brak pisemnych upoważnień, dotyczyły też personelu medycznego (pielęgniarek i położnych).

W szpitalu w Elblągu spośród 30 zweryfikowanych pracowników medycznych, w 11 przypadkach upoważnienia do przetwarzania danych osobowych wydano w sposób niezgodny z obowiązującym wzorem, zaś w przypadku trzech pracowników upoważnienia były wydane od 371 do 1580 dni po dacie nadania uprawnień do systemu informatycznego. Aż 435 pracowników miało dostęp do danych medycznych bez nadanych pisemnych upoważnień. Co więcej, upoważnienia te sporządzono dopiero w trakcie kontroli, z datą wcześniejszą niż faktyczna data ich sporządzenia. W trakcie czynności kontrolnych pracownik przyznał się do wytworzenia dokumentów poświadczających nieprawdę.

Z kolei w szpitalu w Olsztynie, spośród 30 zweryfikowanych pracowników medycznych, dwóch posiadało dostęp do danych pacjentów z oddziałów szpitalnych, na których nie świadczyli pracy, 24 pielęgniarki nie posiadały upoważnienia do przetwarzania danych osobowych pacjentów, a dwie kolejne zostały dopuszczone do przetwarzania danych bez stosownego upoważnienia do ich przetwarzania oraz bez polecenia administratora.

Nieodpowiednio zabezpieczone komputery - osoby postronne miały dostęp do danych pacjentów

Kontrolerzy NIK sprawdzili 80 stanowisk komputerowych obsługiwanych przez lekarzy, pielęgniarki i pracowników niemedycznych. Podczas oględzin sprawdzono m.in. aktualność systemu operacyjnego i oprogramowania antywirusowego, sposób logowania się użytkowników, w tym liczbę znaków haseł, zawartość pulpitu i folderów systemowych pod kątem danych pacjentów, dostęp do portów usb, a także otoczenie stanowisk pod kątem zapisanych haseł w miejscach ogólnie widocznych.

W dwóch z siedmiu skontrolowanych podmiotów nie stwierdzono nieprawidłowości w tym zakresie (Działdowo i Pasłęk). W pozostałych pięciu jednostkach stwierdzono szereg istotnych nieprawidłowości w przestrzeganiu obowiązujących procedur w ramach SZBI.

W Szpitalu Mrągowskim ujawniono, że przez foldery systemowe (pulpit, obrazy, pobrane, dokumenty) siedmiu stanowisk komputerowych wykorzystywanych przez lekarzy i pielęgniarki, możliwy był swobodny dostęp każdego użytkownika danego stanowiska, a także innych osób. Osoby postronne miały więc dostęp, m.in. do znajdujących się w tych folderach plików z informacjami zawierającymi: dane osobowe pacjentów (imię, nazwisko, pesel, adres zamieszkania, data urodzenia), rodzaje badań laboratoryjnych, rozpoznania, daty rozpoczęcia oraz zakończenia zabiegu, rodzaje wykonanych zabiegów, zalecone badania diagnostyczne, opis uzasadnienia konieczności niezwłocznej hospitalizacji, skierowanie do szpitala czy dane lekarza. Informacje zawarte w tych plikach były zapisane w postaci skanów (dowody osobiste, paszporty, karty ekuz), zrzutów z ekranu, kart segregacji medycznej oraz wykazów w postaci różnego rodzaju zestawień.

W szpitalu w Elblągu lekarze i pielęgniarki mieli niezabezpieczony dostęp do systemu Windows. W Szpitalu Miejskim w Olsztynie w trakcie oględzin ustalono natomiast, że jeden z pracowników personelu medycznego pracował w systemie informatycznym korzystając z konta innego użytkownika. Również w tym szpitalu ustawienia systemowe domeny dotyczące wymagań złożoności haseł użytkowników były wyłączone, pomimo że uregulowania wewnętrzne obligowały do tego, żeby hasła składały się przynajmniej z: jednej dużej, jednej małej litery, jednej cyfry i jednego znaku specjalnego.

W SGZOZ w Dywitach na jednej ze stacji roboczych brakowało oprogramowania antywirusowego, zaś na kolejnej stacji baza wirusów takiego oprogramowania była nieaktualna. Ponadto w ośrodku tym porty usb nie były zablokowane ani fizycznie, ani systemowo, a ustawienia wartości poziomu zabezpieczeń dostępu do systemu obsługi miały wartości minimalne.

Byli pracownicy mieli dostęp do danych pacjentów

W okresie objętym kontrolą w badanych podmiotach zakończyło pracę 473 pracowników. W związku z tym tylko w dwóch jednostkach (Działdowo i Mrągowo) prawidłowo odebrano dostęp do systemów informatycznych z danymi pacjentów wszystkim byłym pracownikom.

W pozostałych pięciu jednostkach stwierdzono nieprawidłowości. Odnotowano 14 przypadków logowania się do wspomnianych systemów po ustaniu stosunku pracy. Najgorzej sytuacja wyglądała w szpitalu w Elblągu: 80 byłych pracowników posiadało w okresie zatrudnienia dostęp do systemów z danymi medycznymi, który został im odebrany wiele dni po ustaniu zatrudnienia, z czego 48 osobom dopiero w trakcie kontroli NIK.

Również w Szpitalu Miejskim w Olsztynie odnotowano podobne nieprawidłowości oraz logowanie byłych pracowników do systemu informatycznego zawierającego dane medyczne.

Atak hakerski - szpital postąpił zgodnie z pocedurą

W jednej ze skontrolowanych jednostek miał miejsce incydent zagrażający bezpieczeństwu systemu informacyjnego. W Giżyckiej Ochronie Zdrowia Sp. z o.o. w lipcu 2022 r. wystąpił tzw. atak hakerski, mający na celu zaszyfrowanie danych, w wyniku którego utracono czasowo dane dotyczące części komórek administracyjnych szpitala. W ocenie szpitala nie wystąpiły przesłanki do zgłoszenia naruszenia organowi nadzorczemu, ponieważ nie stwierdzono naruszenia poufności i integralności chronionych danych osobowych ani ryzyka naruszenia praw lub wolności osób fizycznych. Zaszyfrowane w wyniku ataku dane zostały odzyskane i sprawdzone. Spółka postąpiła zgodnie z procedurą - oceniła Izba.

Podsumowanie kontroli

W wyniku sześciu z siedmiu kontroli, w związku ze stwierdzonymi nieprawidłowościami, NIK przedstawiła łącznie 21 wniosków pokontrolnych, z czego według stanu na 20 maja 2024 r. zostało zrealizowanych siedem, zaś 14 pozostawało w realizacji.

ZOBACZ TAKŻE: NIK z kontrolą w lubelskich szpitalach. Są zawiadomienia do prokuratury

Lekarz pracował średnio 14 godzin na dobę. Raport NIK o pozornym outsourcingu w szpitalach