W zeszłym roku głośno było o kontroli NIK w województwie Podlaskim, gdzie kontrolowane były samorządy, wyniki kontroli były bardzo jasno wskazywały, że poziom zabezpieczeń w JST jest niewystarczający.
Cały raport oraz podsumowanie można przeczytać na stronie nik.gov.pl
Teraz przyszła pora na sektor medyczny…
Na portalu ProsteToRODO.pl można przeczytać, że niestety i w szpitalach nie jest dobrze.
NIK wskazuje, że:
cyt. „Zmiana w podejściu do ochrony danych osobowych i prywatności pacjentów w szpitalach jest nie tylko konieczna, ale i pilna. Jak wykazała bowiem kontrola NIK rutyna i utarte schematy działania gubią personel szpitali, zobowiązany do dbałości o bezpieczeństwo danych osobowych i medycznych pacjentów. Tylko pojedyncze ze skontrolowanych szpitali wprowadziły rozwiązania, które stwarzały warunki do odpowiedniego przechowywania papierowej dokumentacji medycznej oraz gwarantowały prawo pacjentów do prywatności w trakcie rejestracji lub na salach szpitalnych. W pozostałych placówkach nie zapewniono skutecznej ochrony danych osobowych i medycznych przed ujawnieniem osobom nieupoważnionym.”
NIK w swoim wystąpieniu odniósł się również do poprzedniej kontroli wykonanej w woj. Podlaskim:
cyt. „W prawie wszystkich skontrolowanych jednostkach poziom bezpieczeństwa systemów informatycznych i usług sieciowych był na niezadowalającym lub na bardzo niskim poziomie. Jedynie w Urzędzie Miejskim w Suwałkach poziom zabezpieczeń odpowiedzialnych za autoryzację dostępu do sieci wykonano profesjonalnie, zasoby informacyjne były właściwie chronione przed nieuprawnionym dostępem, kradzieżą lub utratą, a praca sieci znajdowała się pod pełną kontrolą jej administratora.”
Niestety same poziomy zabezpieczeń systemów IT to nie wszystko…
Jak donosi radio Białystok mimo pozytywnej kontroli NIK w Urzędzie Miejskim w Suwałkach doszło do wycieku danych osobowych.
W związku z wyciekiem dyscyplinarnie została zwolniona Pani naczelnik Wydziału Komunikacji.
Co zawiodło? Nie system IT, nie Dział IT, nie procedury, zawiodło niestety najsłabsze ogniwo jakim jest człowiek.
Stąd bardzo istotnym elementem jest uświadamianie personelu co do zasad przetwarzania, zabezpieczania i udostępniania danych poprzez regularne szkolenia i spotkania.
Należy pamiętać, że system ochrony danych to:
- Procedury
- Personel
- Zabezpieczenia fizyczne
- Zabezpieczenia organizacyjne
- Zabezpieczenia informatyczne
Każdy z tych elementów jest tak samo ważny i każdy z nich powinien cały czas ewaluować, aby Administrator i jego procesy przetwarzania były ciągle doskonalone.
Jak tego dokonać?
Należy wykonywać audyty i kontrole (planowane i nieplanowane).
Wdrażać nowe rozwiązania techniczne i informatyczne, które odpowiadają na istniejące ryzyko.
Szkolić personel, nie tylko z przepisów, ale i z praktyki ochrony danych osobowych.
Robić przegląd stosowanych procedur, aby odpowiadały rzeczywistości.
Warto wdrożyć niezbędne działania zawczasu niż później tłumaczyć się UODO lub przed Sądem…