„Proces wdrażania RODO skończyliśmy parę lat temu”
Ochrona danych w skontrolowanych przez NIK podmiotach prowadzona jest chaotycznie, bez konkretnego planu i ustalonych zasad. Żadna z instytucji, poza KRUS, nie wdrożyła formalnie systemu bezpieczeństwa informacji, a środki przeznaczane na ochronę danych są zdecydowanie zbyt małe.
Kontrolerzy NIK sprawdzili sposoby ochrony danych w Ministerstwie Skarbu Państwa, Ministerstwie Spraw Wewnętrznych, Ministerstwie Sprawiedliwości, Komendzie Głównej Straży Granicznej, Narodowym Funduszu Zdrowia, Kasie Rolniczego Ubezpieczenia Społecznego oraz, w ramach kontroli dokumentacji medycznych, w 24 placówkach medycznych na terenie siedmiu województw.
W skontrolowanych instytucjach stwierdzono, że działania mające na celu ochronę danych prowadzone były na bardzo uproszczonych zasadach, bez odpowiedniego ich sformalizowania i zatwierdzonych procedur. Kontrole wewnętrzne przeprowadzane są sporadycznie, przez co nie spełniają swoich zadań. Również w KRUS, gdzie formalnie wdrożono system bezpieczeństwa informacji, ochrona danych jest niewystarczająca – błędy w implementacji, różnice między deklarowanym, a faktycznym stopniem bezpieczeństwa, itp.
Duże niedociągnięcia stwierdzono również w zakresie identyfikacji i zapobiegania ryzykom związanym z przetwarzaniem danych w systemach teleinformatycznych. Naturalnym efektem jest brak solidnych podstaw do podejmowania decyzji na temat stosownych zabezpieczeń i przeznaczanych na nie budżetów.
Instytucje państwowe dysponują dużymi bazami danych obywateli, w tym danymi wrażliwymi, z tego powodu wyniki kontroli NIK oceniam jako bardzo niepokojące – mówi Maciej Kaczmarski, prezes ODO 24. Biorąc pod uwagę chociażby ubiegłoroczną kradzież danych klientów Plus Bank, wyciek danych z portalu Ashley Madison czy niedawny – z panamskiej kancelarii prawnej Mossack Fonseca (tzw. „Panama Papers”), trzeba zdać sobie sprawę z tego, że niewłaściwe procedury bezpieczeństwa generują realne zagrożenia.
Warto zwrócić również uwagę na wyniki kontroli placówek medycznych. Niemal połowa ze skontrolowanych jednostek niewłaściwie zabezpiecza swoje dokumentacje medyczne. Brakuje właściwego zabezpieczenia ich przed dostępem osób niepowołanych, kradzieżą lub zniszczeniem. W skrajnym przypadku ujawniono nawet przechowywanie kart pacjentów w kartonowych pudłach na ogólnodostępnych korytarzach!
W dużej części podmiotów kontrolerzy stwierdzili również brak właściwych procedur udostępniania dokumentacji medycznych. Placówki nie prowadziły żadnego rejestru (lub prowadziły go bardzo nierzetelnie), na podstawie którego można byłoby sprawdzić, komu jaka dokumentacja została udostępniona.
Takie traktowanie danych, a w szczególności danych wrażliwych, dotyczących m.in. stanu zdrowia, jest po prostu niedopuszczalne – komentuje Maciej Kaczmarski. Pytanie, czy mamy tu do czynienia ze zwykłą nonszalancją, niedopełnieniem obowiązków służbowych czy też po prostu z niewiedzą. Zgodnie z polskim prawem większość dokumentacji medycznych musi być przechowywana przez ok. 20 lat. Jest to więc duże wyzwanie dla odpowiedzialnych za nie pracowników. Warto wziąć to pod uwagę i zadbać o właściwe przeszkolenie personelu i zapewnienie odpowiednich procedur przetwarzania danych. Jest to tym bardziej istotne, że już w 2017 roku dokumentacje medyczne mają być prowadzone w formie elektronicznej – radzi prezes ODO 24.
Więcej na temat kontroli NIK:
https://www.nik.gov.pl/aktualnosci/nik-o-prowadzeniu-dokumentacji-medycznej.html
https://www.nik.gov.pl/aktualnosci/nik-o-bezpieczenstwie-danych.html
Biuro prasowe | ODO 24
„Proces wdrażania RODO skończyliśmy parę lat temu”
Potwierdź adres e-mail i pobierz przewodnik
Kliknij w link w e-mailu – od razu pobierzesz przewodnik
„Jak skutecznie wdrożyć NIS2".
Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.
Zapisz się na biuletyn ODO 24
Biuletyn z nowościami z obszaru ochrony danych osobowych i bezpieczeństwa informacji wysyłamy raz w miesiącu.
Potwierdź swój adres e-mail
Kliknij w link w e-mailu – od razu pobierzesz przewodnik „Jak skutecznie wdrożyć NIS2". Nie widzisz wiadomości? Sprawdź folder SPAM i oznacz ją jako wiadomość pożądaną.