Přejít k obsahu Přejít k hlavnímu menu
Kontakt
  1. Úvod
  2. Činnost
  3. Ochrana osobních údajů
  4. Ukončené kontroly
  5. Kontroly za rok 2010
  6. Bezpečnost Informačního systému nemocnic?

Bezpečnost Informačního systému nemocnic?

Dále byla provedena kontrola jedné středočeské nemocnice, a to na základě podnětu, který Úřadu předala jedna zdravotní pojišťovna. Předmětem kontroly bylo podezření, že v rámci vymáhání náhrady škody vzniklé při léčbě poškozené pacientky byly předloženy informace pořízené neoprávněně z nemocničního informačního systému. Kontrolou bylo zjištěno, že žena, po které pojišťovna vymáhala úhradu léčebných nákladů, použila informace z nemocničního informačního systému obsahující osobní údaje a citlivé údaje poškozené pacientky. Dále bylo zjištěno, že tato žena současně pracuje v příslušné nemocnici na úseku, který komunikuje s jednotlivými zdravotními pojišťovnami za nemocnici, a že si v rozporu s obecnou povinností nakládání se zdravotnickou dokumentací podle zákona o péči o zdraví lidu a obecnou povinností upravenou zákonem o ochraně osobních údajů vyhledala a následně vytiskla informace ze zdravotní dokumentace. V rámci kontroly byla posuzována i otázka, jakým způsobem zabezpečila nemocnice ochranu informací uložených v nemocničním informačním systému. Nemocnice nebyla schopna zpětně vyhledat a doložit informace o osobách, které nahlížely prostřednictvím IT systému do databáze pacientů a do jednotlivých zdravotnických dokumentací. Proto bylo konstatováno, že nemocnice nesplnila povinnost uloženou jí zákonem o ochraně osobních údajů, a to aby v oblasti automatizovaného zpracování osobních údajů zajistila přístup pouze osobám, které jej využívají na základě svého oprávnění, a aby takové oprávněné osoby měly přístup pouze k osobním údajům odpovídajícím stanoveným oprávněním. Kontrolou bylo rovněž zjištěno, že nemocnice jako provozovatel nemocničního informačního systému nezajistila logování, čímž porušila povinnost uloženou zákonem o ochraně osobních údajů, a tím tedy umožnila zneužití osobních údajů bez možnosti jejich následného dohledání, čímž současně jako správce osobních údajů nesplnila povinnost uloženou zákonem o ochraně osobních údajů - přijmout taková technicko-organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití. V tomto konkrétním případě kontrolovaná nemocnice tento nedostatek napravila již v průběhu kontroly.