2016-05-18

NIK alarmuje – skontrolowane podmioty państwowe nie zapewniają właściwego bezpieczeństwa przetwarzanym danym!

Ochrona danych w skontrolowanych przez NIK podmiotach prowadzona jest chaotycznie, bez konkretnego planu i ustalonych zasad. Żadna z instytucji, poza KRUS, nie wdrożyła formalnie systemu bezpieczeństwa informacji, a środki przeznaczane na ochronę danych są zdecydowanie zbyt małe.

Kontrolerzy NIK sprawdzili sposoby ochrony danych w Ministerstwie Skarbu Państwa, Ministerstwie Spraw Wewnętrznych, Ministerstwie Sprawiedliwości, Komendzie Głównej Straży Granicznej, Narodowym Funduszu Zdrowia, Kasie Rolniczego Ubezpieczenia Społecznego oraz, w ramach kontroli dokumentacji medycznych, w 24 placówkach medycznych na terenie siedmiu województw.

W skontrolowanych instytucjach stwierdzono, że działania mające na celu ochronę danych prowadzone były na bardzo uproszczonych zasadach, bez odpowiedniego ich sformalizowania i zatwierdzonych procedur. Kontrole wewnętrzne przeprowadzane są sporadycznie, przez co nie spełniają swoich zadań. Również w KRUS, gdzie formalnie wdrożono system bezpieczeństwa informacji, ochrona danych jest niewystarczająca – błędy w implementacji, różnice między deklarowanym, a faktycznym stopniem bezpieczeństwa, itp.

Duże niedociągnięcia stwierdzono również w zakresie identyfikacji i zapobiegania ryzykom związanym z przetwarzaniem danych w systemach teleinformatycznych. Naturalnym efektem jest brak solidnych podstaw do podejmowania decyzji na temat stosownych zabezpieczeń i przeznaczanych na nie budżetów.

Instytucje państwowe dysponują dużymi bazami danych obywateli, w tym danymi wrażliwymi, z tego powodu wyniki kontroli NIK oceniam jako bardzo niepokojące – mówi Maciej Kaczmarski, prezes ODO 24. Biorąc pod uwagę chociażby ubiegłoroczną kradzież danych klientów Plus Bank, wyciek danych z portalu Ashley Madison czy niedawny – z panamskiej  kancelarii prawnej Mossack Fonseca (tzw. „Panama Papers”), trzeba zdać sobie sprawę z tego, że niewłaściwe procedury bezpieczeństwa generują realne zagrożenia.

Warto zwrócić również uwagę na wyniki kontroli placówek medycznych. Niemal połowa ze skontrolowanych jednostek niewłaściwie zabezpiecza swoje dokumentacje medyczne. Brakuje właściwego zabezpieczenia ich przed dostępem osób niepowołanych, kradzieżą lub zniszczeniem. W skrajnym przypadku ujawniono nawet przechowywanie kart pacjentów w kartonowych pudłach na ogólnodostępnych korytarzach!

W dużej części podmiotów kontrolerzy stwierdzili również brak właściwych procedur udostępniania dokumentacji medycznych. Placówki nie prowadziły żadnego rejestru (lub prowadziły go bardzo nierzetelnie), na podstawie którego można byłoby sprawdzić, komu jaka dokumentacja została udostępniona.

Takie traktowanie danych, a w szczególności danych wrażliwych, dotyczących m.in. stanu zdrowia, jest po prostu niedopuszczalne – komentuje Maciej Kaczmarski. Pytanie, czy mamy tu do czynienia ze zwykłą nonszalancją, niedopełnieniem obowiązków służbowych czy też po prostu z niewiedzą. Zgodnie z polskim prawem większość dokumentacji medycznych musi być przechowywana przez ok. 20 lat. Jest to więc duże wyzwanie dla odpowiedzialnych za nie pracowników. Warto wziąć to pod uwagę i zadbać o właściwe przeszkolenie personelu i zapewnienie odpowiednich procedur przetwarzania danych. Jest to tym bardziej istotne, że już w 2017 roku dokumentacje medyczne mają być prowadzone w formie elektronicznej – radzi prezes ODO 24.

 

Więcej na temat kontroli NIK:

https://www.nik.gov.pl/aktualnosci/nik-o-prowadzeniu-dokumentacji-medycznej.html

https://www.nik.gov.pl/aktualnosci/nik-o-bezpieczenstwie-danych.html


Biuro prasowe | ODO 24

Do pobrania

Logo ODO 24

„Nasi programiści wiedzą jak tworzyć oprogramowanie zgodnie z RODO”

Jesteś tego pewien?

Sprawdź
outsourcing

Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Potwierdź swój adres e-mail
Wejdź na swoją skrzynkę pocztową, otwórz wiadomość od ODO 24 i potwierdź adres e-mail, klikając w link.
Jeżeli nie znajdziesz naszej wiadomości - sprawdź w folderze SPAM. Aby w przyszłości to się nie powtórzyło oznacz wiadomość jako pożądaną (klikniknij prawym przyciskiem myszy i wybierz "Oznacz jako wiadomość pożądaną").
Odbierz bezpłatny pakiet 4 poradników
i 4 szkoleń e-learningowych RODO
4x4 - Odbierz bezpłatny pakiet 4 poradników i 4 szkoleń RODO
Administratorem Twoich danych jest ODO 24 sp. z o.o. z siedzibą w Warszawie (03-812) przy ul. Kamionkowskiej 45. Twoje dane są przetwarzane w celu świadczenia usługi biuletyn informacyjny na zasadach określonych w Regulaminie ŚUDE. Więcej informacji na temat procesu przetwarzania danych osobowych oraz przysługujących Ci praw uzyskasz w Polityce prywatności.
Administratorem Twoich danych jest ODO 24 sp. z o. o. >>>