GIODO: Lekarz odpowiedzialny za ataki hakerskie

System EDM (Elektronicznej Dokumentacji Medycznej) to jeden z największych projektów związanych z ochroną zdrowia. Wszystkie jego moduły mają zostać wdrożone do sierpnia 2014 roku. Wraz z wprowadzeniem systemu może zwiększyć się jednak ryzyko związane np. z wykradaniem danych osobowych oraz medycznych pacjenta.

Takie dane potencjalnie mogą interesować bardzo wiele instytucji. To cenne informacje dla banków, towarzystw ubezpieczeniowych oraz różnych usługodawców.

"Nie jesteśmy w stanie w 100% zabezpieczyć systemu teleinformatycznego, tak jak nie jesteśmy w stanie w 100% zabezpieczyć domu przed włamaniem" – wyjaśnia w rozmowie z portalem Dentonet.pl Wojciech Wiewiórski, Generalny Inspektor Ochrony Danych Osobowych.

Generalny Inspektor Danych Osobowych jednak podkreśla: "Jeżeli  system jest prowadzony przez specjalistów, takich jak firmy outsourcingowe, które zajmują się opieką nad tego typu danymi, są one lepiej zabezpieczane".

To do lekarza należy wybór takiej dobrej firmy, która będzie opiekować się danymi jego pacjentów. Od takiego wyboru może wiele zależeć. Za wykradzenie danych medycznych pacjentów bowiem nie odpowiada prawnie firma outsourcingowa, ale lekarz.

Jeśli dane zostaną wykradzione podczas ataku hakerskiego, również odpowiedzialny za to jest lekarz.

"W większości lekarze już teraz prowadzą elektroniczną dokumentację medyczną pacjentów za pomocą swoich komputerów, korzystając także z Internetu, wiec już dziś narażają dane na atak ze strony hakera"  – tłumaczy GIODO.

Dlatego właśnie Generalny Inspektor Ochrony Danych Osobowych już teraz przeprowadza kontrole dotyczące bezpieczeństwa danych osobowych, przechowywanych przez praktyki lekarskie. "Już dziś kontrolujemy gabinety, w których prowadzona jest dokumentacja medyczna za pomocą komputera, sprawdzamy, czy dane są bezpieczne".

Informatyzacja całego systemu ochrony zdrowia niesie zatem za sobą dość duże ryzyko, ale tego ryzyka – zdaniem Wojciecha Wiewiórskiego – nie sposób uniknąć:" Przeskok w świat systemu połączonego z Internetem jest zawsze bardzo niebezpieczny, ale nie uciekniemy od tego".

Jednocześnie Generalny Inspektor Ochrony Danych Osobowych zapewnia, że już teraz trwają prace, aby system był jak najbardziej bezpieczny, jeśli chodzi o tzw dane osobowe "wrażliwe".

"Lekarz, właściciel gabinetu, jako posiadacz danych osobowych określony mianem administratora danych osobowych ma obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności obowiązek zabezpieczenia danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych został zobowiązany do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki, o których mowa powyżej, a także do wyznaczenia administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony, jeżeli sam nie wykonuje tych czynności".

Za naruszenie przepisów o ochronie danych osobowych grożą następujące sankcje:

Za udostępnienie przez administratora danych osobowych, osobom nieupoważnionym ustawodawca przewiduje karę grzywny oraz karę pozbawienia wolności do 2 lat.

Za naruszenie nieumyślne przez administratora obowiązku zabezpieczenia danych przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem grozi kara grzywny oraz pozbawienia wolności do jednego roku.

Lekarz, który zlekceważy zalecenia GIODO będzie mógł być ukarany karą 50 tys. zł, zaś osoba fizyczna karą 10 tys, zł. Kara taka może być nakładana wielokrotnie – na osobę fizyczną do pułapu 50 tys. zł, zaś przedsiębiorca, w tym lekarz prowadzący gabinet, może zapłacić w sumie do 200 tys. zł.

KL