Kontrola przeprowadzona przez Delegaturę NIK w Olsztynie objęła sześć szpitali i jeden ośrodek zdrowia. Były to: Miejski Szpital Zespolony w Olsztynie, Samodzielny Publiczny Zakład Opieki Zdrowotnej w Działdowie, Szpital Miejski św. Jana Pawła II w Elblągu, Szpital Mrągowski im. Michała Kajki Sp. z o.o., Szpital Powiatowy Sp. z o.o. w Pasłęku, Giżycka Ochrona Zdrowia Sp. z o.o. oraz  Samodzielny Gminny Zakład Opieki Zdrowotnej w Dywitach. NIK skontrolowała funkcjonowanie wybranych placówek w latach 2020-2023 (I półrocze).

W opublikowanym komunikacie NIK stwierdziła, że w okresie objętym kontrolą wszystkie zbadane jednostki prowadziły działania mające na celu zapewnienie bezpieczeństwa informacji, „jednakże w większości z nich (sześć podmiotów) odbywało się to w sposób nierzetelny i/lub nieadekwatny do rodzaju i skali przetwarzanych danych”.

„Nie przestrzegano bowiem w tym zakresie części wewnętrznych regulacji oraz obowiązujących przepisów prawa dotyczących bezpieczeństwa informacji, w tym ochrony danych pacjentów” – przekazała NIK.

Ochrona danych w placówkach OUK

Trzy z siedmiu skontrolowanych przez NIK podmiotów, tj. Samodzielny Publiczny Zakład Opieki Zdrowotnej w Działdowie, Szpital Mrągowski oraz Giżycka Ochrona Zdrowia, uznane zostały za operatorów świadczących usługi kluczowe (OUK), mających najważniejsze znaczenie dla krytycznej działalności społecznej  lub gospodarczej państwa. Placówki OUK są zobowiązane do realizacji określonych obowiązków wynikających z ustawy o krajowym systemie cyberbezpieczeństwa, z których skontrolowane podmioty nie wywiązały się w odpowiedni sposób.

„Dwie spośród tych trzech jednostek wykonały te obowiązki, przy czym stwierdzono nieprawidłowości, które nie miały istotnego wpływu na realizację zadań w zakresie bezpieczeństwa informacji. Polegały one m.in. na opóźnieniu przekazania danych osoby odpowiedzialnej za utrzymanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa” – przekazała NIK.

W przypadku Giżyckiej Ochrony Zdrowia nie wdrożono w terminie systemu zarządzania bezpieczeństwem informacji i nie uruchomiono systemu, który zapewniałby systematyczne szacowanie ryzyka wystąpienia incydentu. Nieterminowo aktualizowano też dokumentację dotyczącą cyberbezpieczeństwa systemu informacyjnego oraz z opóźnieniem publikowano informacje objaśniające zagrożenia cyberbezpieczeństwa.

„Takie informacje miało na swoich stronach dwóch skontrolowanych OUK (Działdowo oraz Mrągowo), a OUK (Giżycko) zamieścił je dopiero w trakcie kontroli NIK” – dodała Izba.

Dostęp do danych pacjentów przez nieupoważnionych pracowników

NIK w skontrolowanych placówkach stwierdziła nieprawidłowości związane z niepożądanym dostępem do systemów z danymi pacjentów i opóźnienia w nadawaniu uprawnień pracownikom do korzystania z tych danych.

„W szpitalu w Elblągu spośród 30 zweryfikowanych pracowników medycznych, w 11 przypadkach upoważnienia do przetwarzania danych osobowych wydano w sposób niezgodny z obowiązującym wzorem, zaś w przypadku trzech pracowników upoważnienia były wydane od 371 do 1580 dni po dacie nadania uprawnień do systemu informatycznego. Ponadto 435 pracowników miało dostęp do danych medycznych bez nadanych pisemnych upoważnień. Z kolei w szpitalu w Olsztynie, spośród 30 zweryfikowanych pracowników medycznych, dwóch posiadało dostęp do danych pacjentów z oddziałów szpitalnych, na których nie świadczyli pracy, 24 pielęgniarki nie posiadały upoważnienia do przetwarzania danych osobowych pacjentów, a dwie kolejne zostały dopuszczone do przetwarzania danych bez stosownego upoważnienia do ich przetwarzania oraz bez polecenia administratora” – poinformowała NIK.

Kontrolerzy NIK dokonali też oględzin sprzętu i programów, służących bezpieczeństwu informacji oraz ochronie danych pacjentów. Nieprawidłowości stwierdzono w pięciu placówkach.
W Szpitalu Mrągowskim ujawniono, że przez foldery systemowe siedmiu komputerów wykorzystywanych przez personel medyczny, możliwy był dostęp każdego użytkownika, w tym osób postronnych, do wrażliwych danych pacjentów, takich jak dane osobowe, rodzaje badań czy wykonanych zabiegów.

„Informacje zawarte w tych plikach były zapisane w postaci skanów (dowody osobiste, paszporty, karty ekuz), zrzutów z ekranu , kart segregacji medycznej oraz wykazów w postaci różnego rodzaju zestawień” – przekazała NIK.

W szpitalu w Elblągu pracownicy medyczni (lekarze i pielęgniarki) mieli niezabezpieczony dostęp do systemu Windows, a w Szpitalu Miejskim w Olsztynie jeden z pracowników personelu medycznego pracował w systemie z konta innego użytkownika. W SGZOZ w Dywitach na jednej ze stacji roboczych brakowało oprogramowania antywirusowego, zaś na kolejnej stacji baza wirusów takiego oprogramowania była nieaktualna. W placówce tej nie zabezpieczono też portów usb.

Dostęp do danych pacjentów przez byłych pracowników

W okresie objętym kontrolą w badanych podmiotach zakończyło pracę 473 pracowników, jednak w tylko dwóch jednostkach (Działdowo i Mrągowo) prawidłowo odebrano dostęp do systemów informatycznych byłym pracownikom. W pozostałych pięciu jednostkach stwierdzono nieprawidłowości, w tym 14 przypadków logowania się do wspomnianych systemów po ustaniu stosunku pracy. 

„Najgorzej sytuacja wyglądała w szpitalu w Elblągu: 80 byłych pracowników posiadało w okresie zatrudnienia dostęp do systemów z danymi medycznymi, który został im odebrany wiele dni po ustaniu zatrudnienia, z czego 48 osobom dopiero w trakcie kontroli NIK. Również w Szpitalu Miejskim w Olsztynie odnotowano podobne nieprawidłowości oraz logowanie byłych pracowników do systemu informatycznego zawierającego dane medyczne” – poinformowali kontrolerzy.

W wyniku przeprowadzonych kontroli NIK przedstawiła łącznie 21 wniosków pokontrolnych, z czego do 20 maja 2024 r. siedem zostało zrealizowanych, zaś 14 pozostawało w realizacji.

mc/