Niedawno emocjonowaliśmy się wysokimi karami jaki brytyjski organ ochrony danych osobowych (ICO) nakładał na znane marki (kar z RODO dla British Airways oraz Marriott). Dziś nieco inna sytuacja.
Kara już nie tak spektakularna – („tylko” 460 tys. euro).
Ukarany administrator o wiele mniej znany – szpital w Hadze (te 460 tysięcy euro może ich jednak zaboleć).
Pokrzywdzona osoba – Samantha de Jong (znana w Holandii Niderlandach jako Barbie uczestniczka reality show).
Co takiego się wydarzyło, że szpitalowi „wlepiono” karę?
Dlaczego szpital w Hadze dostał karę z RODO?
A było to tak… W styczniu wspomniana celebrytka postanowiła odebrać sobie życie. Próba nie była skuteczna, ale Pani de Jong wymagała hospitalizacji. Trafiła do szpitala w Hadze.
Dane medyczne naszej bohaterki okazały się bardzo interesujące dla wielu pracowników tej placówki. Większość osób, która uzyskała dostęp do dokumentacji medycznej pacjentki, nie uczestniczyła w procesie jej leczenia. Szpital wykrył to naruszenie, podczas rutynowej kontroli i rozpoczął wewnętrzne dochodzenie. Stwierdzono, że 85 nieuprawnionych osób miało dostęp do danych medycznych Samanthy de Jong.
Sprawę zgłoszono również do holenderskiego niderlandzkiego organu ochrony danych osobowych Autoriteit Persoonsgegevens (AP). Stało się to jednak dopiero wtedy, gdy sprawą zainteresowała się jedna ze stacji telewizyjnych.
460 tys., a może być więcej
AP przeprowadził kontrolę, która wykazała brak rozliczności w zakresie dostępu do danych medycznych oraz brak uwierzytelniania dwuskładnikowego przy logowaniu do systemu informatycznego (wymaganie prawne w Holandii Niderlandach).
Przypadek celebrytki przyczynił się więc do wykrycia poważnych uchybień w zakresie dostępu do tak wrażliwych danych.
Na karze 460 tysięcy euro może się jednak nie skończyć. Szpitalowi wyznaczono termin do 2 października 2019 na usunięcie uchybień. Jeśli termin ten nie zostanie dotrzymany, szpital co dwa tygodnie będzie musiał zapłacić karę w wysokości 100 tys. euro. Maksymalnie do kwoty 300 tys. euro.
Co można było zrobić, aby zapobiec naruszeniu?
Zgadzam się opinią holenderskiego niderlandzkiego organu. Rozliczność to podstawa. Uwierzytelnianie dwuskładnikowe, to wartościowe zabezpieczenie. Osobiście jednak uważam, że kluczem w tej sprawie są prawa dostępu. Bo po co personel, który nie uczestniczy w leczeniu pacjentki, ma zaglądać do jej danych. Wystarcz przecież, aby dostęp do dokumentacji medycznej przydzielić tylko tym osobom, które w procesie leczenia rzeczywiście uczestniczą.
Oczywiście nie można wykluczyć przypadków nagłych, w których inny lekarz (nieprzypisany do pacjenta) lekarz musi zapoznać się z dokumentami. Tutaj również nie widzę problemu, by znaleźć rozwiązania organizacyjne i informatyczne. Wracamy wtedy do rozliczności i szczegółowego monitorowania dostępu do tych danych osób spoza listy personelu przypisanego do pacjenta.
Wygląda na to, że tego typu rozwiązanie zostanie właśnie zastosowane za sprawą holenderskich niderlandzkich władz.
Holenderski Niderlandzki rząd się przejął
Pod koniec 2018 roku holenderski niderlandzki minister zdrowia zapowiedział proces cyfryzacji wymiany danych medycznych, w którym duży nacisk kładzie się również na ich ochronę. W ramach budowy systemu wymiany takich danych, ma być stworzony mechanizm zarządzania prawami dostępu. Dostępem będzie zarządzał pacjent, który zdecyduje, kto może przeglądać jego dane.
Obserwuję to z zaciekawieniem i życzę powodzenia.
A jeśli Ty chcesz uniknąć kar, ucz się na cudzych błędach. Zapoznaj się z aktualną listą kar RODO i dowiedz się na co samemu musisz uważać, by nie podpaść organom nadzorczym.
Źródła:
https://www.autoriteitpersoonsgegevens.nl
https://www.dutchnews.nl/
https://nltimes.nl/
Decyzja AP: https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/besluit_haga_-_ter_openbaarmaking.pdf
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.