Urzędy ochrony danych osobowych w Europie nie śpią – kolejna kara finansowa

Bezpieczeństwo danych osobowych jest nieustannie monitorowane przez urzędy w całej Europie. Po planach nałożenia spektakularnych kar finansowych na dwa spośród najbardziej znanych brytyjskich przedsiębiorstw – British Airways i Marriott, przyszła kolej na mniejsze podmioty w innych częściach Unii. Szpital miejski w Hadze – Holandia, został ukarany kwotą 460 000 euro za niewłaściwe metody ochrony danych osobowych, a w zasadzie ich brak.

Otóż, kiedy we wspomnianym szpitalu przebywała na leczeniu po nieudanej próbie samobójczej pewna holenderska celebrytka – Samantha de Jong, jej dokumentację medyczną przeglądało aż 85 nieuprawnionych osób, większość z nich nie brała udziału w hospitalizacji Pani Jong. Sprawę zgłoszono do holenderskiego urzędu ochrony danych osobowych zaraz po tym, jak dane z jej hospitalizacji wyciekły do mediów publicznych. Natychmiast wszczęto kontrolę systemu zapewnienia bezpieczeństwa danych osobowym w haskim szpitalu. W toku postępowania okazało się, że w szpitalu w ogóle nie uregulowano kwestii dostępu pracowników do danych pacjentów, ani nie sprawdzano kto z personelu i w jakich okolicznościach ma dostęp do danych wrażliwych pacjentów, a także nie wprowadzono uwierzytelniania dwuskładnikowego przy logowaniu do systemu informatycznego szpitala, a jest to wymagane przez holenderskie prawo. Na karze w wysokości 460 tysięcy euro może się jednak nie skończyć. Szpitalowi wyznaczono termin do 2 października 2019 na usunięcie uchybień. Jeśli termin ten nie zostanie dotrzymany, szpital co dwa tygodnie będzie musiał zapłacić karę w wysokości 100 tys. euro. Maksymalnie do kwoty 300 tys. euro

Sprawa odbiła się już echem w holenderskim rządzie i nie pozostała bez odzewu. Pod koniec 2018 roku holenderski minister zdrowia zapowiedział proces cyfryzacji wymiany danych medycznych, w którym duży nacisk kładzie się również na ich ochronę. W ramach budowy systemu wymiany takich danych, ma być stworzony mechanizm zarządzania prawami dostępu. Dostępem będzie zarządzał pacjent, który zdecyduje, kto może przeglądać jego dane.

Pamiętajmy, że wdrożenie i kontrolowanie działania odpowiednich dla naszej jednostki/firmy procedur zapewniających bezpieczeństwo danych osobowych jest bardzo ważne. Kontrola dostępu do danych, określenie zasad i zakresu dostępu poszczególnych pracowników do danych osobowych, wprowadzenie haseł dostępu do zbiorów danych i udostępnianie ich tylko powołanym osobom może zapobiec kłopotliwym naruszeniom. Należy też zwrócić uwagę, że bardzo ważny jest czynnik ludzki przy tego typu sprawach, dlatego stawiajmy na budowanie świadomości i odpowiedzialności naszych pracowników w zakresie ochrony danych.

Milena Załęska

Kancelaria Wyrzykowscy sp. z o.o.