Według ustaleń NIK zdarzało się, że nie przestrzegano w tym zakresie zarówno wewnętrznych regulacji, jak i obowiązujących przepisów dotyczących bezpieczeństwa informacji, w tym ochrony danych pacjentów. Kontrola wykazała, że dostęp do danych medycznych pacjentów w systemach informatycznych miała część personelu niemedycznego, a także byli pracownicy placówek.

W ocenie p.o. dyrektora delegatury NIK w Olsztynie Mariusza Lenkiewicza, zarówno wyniki tej, jak i podobnych kontroli realizowanych w tym zakresie również przez inne delegatury są niepokojące.

"Bowiem kontrole od wielu lat wykazują niestety niezmienne, wieloletnie zaniedbania dotyczące cyberbezpieczeństwa, bezpieczeństwa danych, w tym danych osobowych, bezpieczeństwa infrastruktury informatycznej, niedostatecznej wiedzy i szkoleń pracowników, jak i wykorzystywania nieaktualnego lub nieprawidłowo skonfigurowanego oprogramowania" - powiedział.

Kontrolerzy liczą, że nagłośnienie wniosków pokontrolnych w mediach wpłynie na zmianę postaw i podjęcie działań naprawczych także w jednostkach, które nie były objęte kontrolą i doprowadzi do poprawy bezpieczeństwa, w tym bezpieczeństwa danych osobowych.

Kontrola, której wyniki zaprezentowano w czwartek, objęła sześć szpitali i jeden ośrodek zdrowia. Były to Miejski Szpital Zespolony w Olsztynie, Samodzielny Publiczny Zakład Opieki Zdrowotnej w Działdowie, Szpital Miejski św. Jana Pawła II w Elblągu, Szpital Mrągowski im. Michała Kajki Sp. z o.o., Szpital Powiatowy Sp. z o.o. w Pasłęku, Giżycka Ochrona Zdrowia Sp. z o.o. i Samodzielny Gminny Zakład Opieki Zdrowotnej w Dywitach. Celem kontroli było ustalenie czy rozwiązania funkcjonujące w tych podmiotach zapewniły prawidłową ochronę danych pacjentów przed cyberatakami oraz rzetelne ich przetwarzanie. Dotyczyła okresu od 2020 r. do I półrocza 2023 r.

Według NIK wszystkie kontrolowane jednostki prowadziły działania mające na celu zapewnienie bezpieczeństwa informacji, w tym danych pacjentów. Jednak w większości z nich (sześć podmiotów) odbywało się to w sposób nierzetelny lub nieadekwatny do rodzaju i skali przetwarzanych danych. Nie przestrzegano bowiem w tym zakresie części wewnętrznych regulacji oraz obowiązujących przepisów prawa dotyczących bezpieczeństwa informacji, w tym ochrony danych pacjentów.

Jak poinformowała NIK, w szpitalu miejskim w Elblągu skontrolowano ponad 800 upoważnień do przetwarzania danych osobowych z lat 2016-2023. Ponad połowa z nich tj. 435 zostało sporządzonych dopiero w trakcie kontroli NIK. Według kontrolerów inspektor danych osobowych przyznał się do wytworzenia brakujących upoważnień w listopadzie 2023 r. na potrzeby kontroli.

Kontrolerzy ustalili, że w szpitalu w Giżycku nie wdrożono w wymaganym terminie systemu zarządzania bezpieczeństwem informacji ani systemu zapewniającego prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu i zarządzania tym ryzykiem oraz zarządzania samymi incydentami. Nieterminowo wywiązano się także z obowiązku aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa systemu informatycznego.

W szpitalu mrągowskim ujawniono, że przez foldery systemowe siedmiu stanowisk komputerowych wykorzystywanych przez lekarzy i pielęgniarki możliwy był dostęp każdego użytkownika danego stanowiska, a także innych osób m.in. do znajdujących się w tych folderach plików z informacjami zawierającymi dane osobowe pacjentów (np. nazwisko, pesel, adres, zlecenia badań laboratoryjnych, rozpoznania, data rozpoczęcia i zakończenia oraz rodzaj zabiegu, czy opis uzasadnienia konieczności niezwłocznej hospitalizacji).

Pracownik personelu medycznego szpitala miejskiego w Olsztynie pracował w systemie informatycznym, korzystając z konta innego użytkownika. Ustawienia systemowe domeny dotyczące wymagań złożoności haseł użytkowników były wyłączone, pomimo, że uregulowania wewnętrzne obligowały do tego, aby składały się one przynajmniej z jednej dużej, jednej małej litery, jednej cyfry i jednego znaku specjalnego.

NIK podała, że na stanowiskach komputerowych w ośrodku zdrowia w Dywitach brak było aktualnego oprogramowania antywirusowego. Porty usb nie były zablokowane fizycznie ani systemowo, a ustawienia wartości poziomu zabezpieczeń dostępu do systemu obsługi posiadały wartości minimalne.

Główne ustalenia i wskazane działania naprawcze dotyczyły m.in. zmian w zakresie nadawania i odbierania uprawnień do systemów informatycznych, wyznaczenia pełnomocnika ds. systemu zarządzania bezpieczeństwem informacji i wykonania audytu zgodności stosowanego systemu zarządzania bezpieczeństwem informacji z wymogami ustawy o cyberbezpieczeństwie. Wymieniono część sprzętu komputerowego i oprogramowania na spełniające wymogi w zakresie bezpieczeństwa, w tym ochrony danych osobowych. W kolejnej jednostce zawarto umowę powierzenia przetwarzania danych osobowych z podmiotem prowadzącym domenę adresu poczty elektronicznej.

W sumie NIK stwierdziła 55 nieprawidłowości, z których 12 kierownicy jednostek usunęli już w trakcie kontroli, a sześć kolejnych w ramach realizacji wniosków pokontrolnych. NIK przedstawiła 21 takich wniosków, z czego (wg stanu na koniec lipca) zostało zrealizowanych siedem, a 14 pozostawało w realizacji.

(PAP)

mbo/ agz/