W latach 2020-2023 w większości kontrolowanych placówek (sześć z siedmiu) stwierdzono liczne nieprawidłowości w ochronie danych. Nieprzestrzeganie wewnętrznych regulacji oraz przepisów prawa skutkowało m.in. dostępem do wrażliwych informacji przez personel niemedyczny i byłych pracowników.
Minister Zdrowia uznał trzy z badanych jednostek za operatorów świadczących usługi kluczowe (OUK). Dwie z tych jednostek wdrożyły zalecane obowiązki, jednak stwierdzono opóźnienia i inne drobne uchybienia. W Giżycku nie wdrożono na czas systemu zarządzania bezpieczeństwem informacji, a także zaniedbano aktualizację dokumentacji dotyczącej cyberbezpieczeństwa.
Szczegóły techniczne i proceduralne
W pięciu jednostkach wprowadzono systemy zarządzania bezpieczeństwem informacji (SZBI), jednak w niektórych przypadkach były one wdrożone częściowo lub z opóźnieniem. Zidentyfikowano także liczne błędy w zarządzaniu dostępem do danych – w Elblągu 435 pracowników miało dostęp do danych medycznych bez odpowiednich upoważnień, a w Olsztynie pielęgniarki miały dostęp do danych z oddziałów, na których nie pracowały.
Zalecenia i dalsze kroki
W wyniku kontroli NIK wystosowała 21 wniosków pokontrolnych, z których do maja 2024 r. zrealizowano siedem. Pozostałe 14 wniosków jest w trakcie realizacji. NIK podkreśla konieczność pilnego wdrożenia odpowiednich procedur i systemów zabezpieczeń, aby zapobiec przyszłym naruszeniom bezpieczeństwa danych pacjentów.
Źródło: NIK
