Dane osobowe w ochronie zdrowia i badaniach klinicznych - VII Europejski Dzień Ochrony Danych Osobowych

Tegoroczne, siódme obchody Europejskiego Dnia Ochrony Danych Osobowych w Polsce będą poświęcone problematyce bezpieczeństwa danych osobowych w ochronie zdrowia i w badaniach klinicznych.

W 2012 roku w Holandii w wyniku ataku hakerskiego do Internetu trafiły dane niemal 500 tysięcy pacjentów, w tym ich adresy, daty urodzenia, numery ubezpieczenia społecznego oraz telefonów. W Utah (USA) włamywaczom udało się pobrać dane co najmniej 9% z 260 tysięcy osób zarejestrowanych w Departamencie Zdrowia. W ręce hakerów trafiły m.in. nazwiska, numery ubezpieczeń, a także inne prywatne informacje pacjentów.

W Bielsku w opuszczonym budynku archiwum szpitala psychiatrycznego znaleziono 32 worki i 19 kartonów z dokumentacją medyczną i danymi pacjentów. W styczniu b.r. spacerując po placu Szpitala Powiatowego w Myszkowie można było się dowiedzieć m.in., że pacjent X z Włodowic w maju 1993 roku miał zrobioną sztuczną szczękę – wiatr wywiewał z opuszczonego budynku dokumentację pacjentów. Problem wycieku danych medycznych staje się coraz bardziej powszechny. Według wyników raportu brytyjskiego Komisarza ds. Informacji (instytucja o charakterze podobnym do GIODO) ok. 30% zgłoszeń związanych z naruszeniem standardów ochrony danych osobowych dotyczyło służby zdrowia.

Według Ustawy o Ochronie Danych Osobowych z dnia 29 sierpnia 1997 r., dane o stanie zdrowia pacjenta zalicza się do tzw. danych wrażliwych, które, zgodnie z wytycznymi, powinny być szczególnie chronione. Zgodnie Ustawą o Działalności Leczniczej z dnia 15 kwietnia 2011 r., placówki medyczne są zobowiązane do zapewnienia odpowiedniej ochrony danych zawartych w dokumentacji medycznej swoich pacjentów. Systematyczna digitalizacja tych danych jest związana z podpisaniem przez Prezydenta RP w maju 2011 roku Ustawy o Systemie Informacji Medycznej, która nakłada na placówki ochrony zdrowia obowiązek całkowitej informatyzacji dokumentacji medycznej do dnia 1 sierpnia 2014 roku.

Jednak proces ten niesie ze sobą zagrożenia – może się zdarzyć, że elektroniczne dane będą łatwym łupem dla hakerów, a ich przypadkowy, czy celowy wyciek może spowodować poważne skutki osobiste, jak i społeczne dla osób, których dotyczą. Placówki medyczne korzystają z firewalli, programów antywirusowych i haseł zabezpieczających przed dostępem osób niepowołanych. Jednak niepokojący jest brak świadomości w zakresie tego, co dzieje się z danymi pacjentów w momencie zakończenia terapii, zmiany placówki medycznej, czy po prostu zużycia się nośników, na których były one zapisane.

Zgodnie z Rozporządzeniem Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. placówki medyczne zobowiązane są do niszczenia papierowych i elektronicznych nośników danych w sposób uniemożliwiający odczytanie zawartych na nich danych osobowych. Niestety, nawet najlepszy i najdroższy system ochrony przed hakerami nie gwarantuje bezpieczeństwa informacji w przypadku, gdy istnieje możliwość relatywnie taniego odzyskania nieskutecznie zniszczonych danych. Dlatego tak ważny jest odpowiedni dobór metody ich usuwania. Instytucje medyczne oraz firmy outsourcingowe administrujące danymi powinny ze szczególną starannością dopilnować bezpowrotnego usunięcia danych pacjentów z zużytych nośników.

„Na rynku dostępnych jest co najmniej kilkanaście metod niszczenia elektronicznych nośników danych, ale tylko metody termiczne i chemiczne gwarantują stuprocentową pewność, że informacji nie będzie można odzyskać. Niezmiernie ważne jest, by korzystać tylko z tych metod, które zapewniają pełne bezpieczeństwo zarówno pacjentom, jak i administratorom danych. Konsekwencje związane z dostaniem się danych w niepowołane ręce mogą mieć poważne skutki nie tylko wizerunkowe i finansowe, ale nawet karne”

– podkreśla dr Paweł Markowski, Prezes BOSSG Data Security, firmy udostępniającej technologię chemicznego niszczenia dysków twardych LiquiDATA.

Europejski Dzień Ochrony Danych Osobowych ma podkreślić, jak istotna jest edukacja w zakresie ochrony danych i przyczynić się do świadomego zarządzania własnymi danymi wśród wszystkich obywateli państw Europy.

Źródło: BOSSG Data Security