V Ostravské fakultní nemocnici nechali dlouhodobě doktorku nahlížet do zdravotních údajů pacientky. Tvrdí, že tomu nelze zabránit. To je ale jenom chabá výmluva svědčící buď o zásadním šlendriánu v nemocnici či u dodavatele informačního systému pro nemocnici.
Co se vlastně stalo?
Nemocnice samozřejmě spravuje údaje o zdraví klientů. Údaje mít musí, ale jde o údaje citlivé a podléhající přísné ochraně. Ostravská nemocnice ale nijak nehlídala, kdo se na údaje dívá. Jedna z doktorek nejenom neodolala a v informacích se hrabala, navíc informace o jedné z pacientek zveřejňovala. Nemocnice se hájí, že to nemůže sledovat. Jaksi přitom zapomíná, že jí to zákon o ochraně osobních údajů nařizuje a kontrola samozřejmě možná je.
Stále se vymlouváme
Bohužel je případ další ukázkou toho, jak nevážně se berou zákony. O GDPR jsem psal nedávno zde a máme další ukázkou, tentokrát z domácí půdy. Nejde ale primárně o zákony – jde o ochotu uvědomit si, že informace mají hodnotu, a podle toho se k nim musíme chovat.
Proč je argumentace nemocnice zcela lichá? Předně není obtížné sledovat, kdy doktor přistupuje k datům pacienta, se kterým nemá co do činění. Ostravská nemocnice „přemýšlí“ o prostupnosti zdravotnických dat mezi pracovišti, ale na tom není v principu nic špatného, pokud pacient míří na vyšetření vedle. Chyba je v kontrole, proč lékaři přistupují datům – přitom každý systém nemocnice zaznamenává, čemu se lékař věnuje, protože řeší pouze pacienty, kteří k němu buď přijdou, nebo jejichž výsledky má vyhodnocovat. Bez toho by nemocnice nevykázala práci a nedostala zaplaceno. Informační systémy ví, zda lékař má nebo nemá důvod přistupovat k dokumentaci pacienta. Šlendrián máme na obou stranách: u dodavatele IT, kde by kontroly měly být samozřejmostí, i na straně nemocnice, když pro ni požadavek na kontrolu samozřejmostí není. Únik dat a nahlížení do zdravotnických údajů je špatně bez ohledu na to, zda ho někdo dělá systematicky, nebo se jen tak občas někdo na něco podívá. Copak nevadí, když se stovky lékařů a sester mohou v nemocnicích prohrabávat našimi údaji?
Kontrola dat není jen téma nemocnic
Stejná kontrola dává smysl všude, kde jsou informace – nejenom v nemocnici nebo tajných službách. V každé firmě i vědeckém týmu by si měla organizace hlídat, kdo k čemu přistupuje a co si prohlíží. V době, kdy podobné kontroly snadno udělají informační systémy automaticky, není opodstatněná výmluva v nemocnici, ale ani v žádné jiné organizaci nebo firmě. Zatímco vědci i firmy by měli chránit především vlastní výzkum, nemocnice chrání pacienty.
Bohužel, firmy problém neřeší a IT dodavatelé na to rádi hřeší. Před časem jsem v rámci GDPR řešil, že dodavatel personálního a mzdového sytému si pravidelně stahoval kompletní databázi firmy se stovkami zaměstnanců. Považoval to za oprávněný zájem s tím, že to potřebuje pro vývoj systému. A co na to firma, která takto předávala všechny údaje od mezd po dovolené? Nic. Vůbec nic – dodavatel svou potřebu zdůvodnil a víc to firma neřešila. Bohužel to neřešila ani po našem upozornění. Po vzoru pohádky si troufám říct, že ještě neumřeli, takže to dělají dodnes.
Co by měla organizace pro ochranu dat dělat?
Informační systémy v nemocnici i ve firmách sledují, co má kdo na práci. Mají informace, s čím potřebují pracovat a k jakým informacím přistupovat. Pro naprostou většinu prací je proto možné jednoznačně stanovit okruh informací, které pracovník využívá. Kvalitní systém proto všechny tyto informace připraví, aby byly snadno dostupné.
Pokud pracovník bude přistupovat jinam, systém mu to může dovolit, ale současně by mělo vyskočit varování, že pracovník vyžaduje data, která nepotřebuje. Toto varování by měl automaticky dostat nadřízený i DPO, nebo někdo jiný, kdo na ochranu dat dohlíží.
Samozřejmě jsou činnosti, kde tento přístup není možné využít – např. datový analytik hledající závislosti mezi daty. Ten má ale dostávat data anonymizovaná, nebo jeho práce musí podléhat přísnějšímu dohledu. V žádném případě není možné se na výjimky vymlouvat při běžné práci lidí.
Ostravská nemocnice má z ostudy kabát a pravděpodobně i pokutu. Změní něco? Bude něco chtít po dodavateli informačního systému, který zřejmě zaspal desetiletí vývoje? Změní něco NIS2? Dokud se nezmění důraz na hodnotu informací, tak těžko.
Pokud vás zajímá systém, který ohlídá přístupová práva, vyzkoušejte AyMINE.
