Najpogostejši primeri kršitev osebnih podatkov v zdravstvu

NAŠE STORITVE

Najpogostejši primeri kršitev osebnih podatkov v zdravstvu

Govorice, neupravičeni vpogledi v pacientove podatke ter izdajanje poslovnih skrivnosti. To je le nekaj kršitev osebnih podatkov, ki se izvajajo na področju zdravstva. Danes vam predstavljamo najrazličnejše nepravilnosti v bolnišnicah, ambulantah, zdravstvenih domovih in drugih medicinskih ustanovah. Zagotovimo vam napotke za varno delo, ki ga boste odslej opravljali suvereno in z dobrim poznavanjem osnov varovanja osebnih podatkov pacienta.

GOVORICE: KO ŠOKIRANI IZVESTE, DA SODELAVCI VEDO ZA VAŠO DIAGNOZO

V podjetju DATAINFO.SI se pri sodelovanju z različnimi zdravstvenimi zavodi, pogosto srečujemo z govoricami. Naj vam podam konkreten primer. Pacientka, ki je zaposlena v zdravstvenem domu, je imela pregled pri zdravniku. Naslednji dan so jo na parkirišču ogovorili sodelavci: »Ojej, kaj se ti je zgodilo. Ti lahko pomagamo?« Na nenavaden način so izvedeli, kaj je z njo narobe in so imeli podano njeno celotno diagnozo. Pacientka se je pritožila vodstvu, ki je sprožilo obvezen postopek ter organiziralo tričlansko komisijo, ki je izvedla razgovore z vsemi vpletenimi. Izdelali so zapisnike vseh razgovorov, sledila je obvezna samo prijava Informacijskemu pooblaščencu, ki je nemudoma sprožil inšpekcijski postopek s področja varstva osebnih podatkov, s čimer so še bolj podrobno raziskali, kaj se je zgodilo. Morate se zavedati, da je po Zakonu o pacientovih pravicah, vsakršno sporočeno razkrivanje informacij o pacientu, prepovedano. Četudi pacient reče, da ni potrebno, morate vedno ustrezno dokumentirati in raziskati, kaj se je zgodilo, ugotoviti ali je prišlo do posredovanja določenih podatkov ter izvedeti, kaj se dejansko dogaja v ozadju.

ŠIRJENJE INFORMACIJ O PACIENTOVI DIAGNOZI JE NEDOPUSTNO

Prav tako imate tudi postopke, ki so predvideni v Splošni uredbi o varstvu podatkov, ko morate vse te napake ustrezno sporočiti Informacijskemu pooblaščencu. Zakon o pacientovih pravicah vam nalaga, da to še sporočite varuhu pacientovih pravic. Kadar izveste karkoli iz vaše ambulante, tega ne smete povedati drugim sodelavcem, znancem ali prijateljem na kavici. Takšne govorice so nedopustne. Držite se pravila »Služba je služba, družba je družba.« Vedno pomislite na to, kako bi se vi počutili, če bi nekdo o vas razširjal neke govorice o vašem zdravstvenem stanju. Te empatije v zdravstvu včasih res primanjkuje, zato bodite pazljivi, da ne zapadete v ta problem.

NEZAKONITO OBDELOVANJE PODATKOV VAS LAHKO STANE 2.700 EUR

Vse odločbe Informacijskega pooblaščenca so javne na njihovi spletni strani. V tem članku zgolj povzemamo nekaj njihovih tipičnih primerov. Zanimiv primer je, ko se zaposleni v ambulanti, ni odjavil iz sistema in je zapustil ambulanto. Si predstavljate? Pustite računalnik odprt in kdorkoli pride mimo, vpiše ime in dobi vse podatke o pacientu. To pomeni, da zdravstveni delavec ni zagotovil varnosti in tajnosti osebnih podatkov pacientov v informacijskem sistemu. Nato je neznana oseba z uporabo njegovega gesla, nezakonito obdelovala osebne podatke pacienta, jih priklicala ter vpogledala. Najnižja globa za take vrste incidenta je 830 EUR s strani prekrškovnega organa, ki ji lahko sledi sankcija po delovno-pravnem, področju, bodisi opomin pred odpovedjo, izredna odpoved, ipd.

NEUPRAVIČENI VPOGLEDI V ZDRAVSTVENO STANJE PACIENTOV

Naslednji primer, ki smo ga zasledili, so neupravičeni vpogledi medicinske sestre. Slednja je svoje osebno geslo uporabila za vpogled v informacijski sistem določenega pacienta, saj jo je zanimalo njegovo zdravstveno stanje. Predvidevamo, da so jo zanimali podatki določenega znanca. Podatki te osebe niso bil v obdelavi pri njej v ambulanti, ampak je to bil vpogled iz radovednosti, kar pa ni ustrezna pravna podlaga. Ker je to štiri krat ponovila in storila še tri druge nepravilnosti, je prejela globo za 2.710 EUR. Vsak vpogled se lahko šteje za samostojno kršitev in v takšnem primeru pride do izreka globe. Zato lahko računamo na to, da se bodo takšne nepravilnosti razkrile.

PREBERITE VEČ

ODMEVNI MEDIJSKI VPOGLEDI V OSEBNE PODATKE

V medijih ste zagotovo zasledili razne vpoglede, ki so bili zabeleženi in so bili kasneje tudi zelo odmevni, npr. ko so pogledali v kartoteko nekdanje ministrice ali ko so zaposleni v bolnišnici, dostopali do dokumentacije vodstvenih kadrov in so zaradi tega bili kaznovani. Kljub temu, da so to znani primeri iz preteklosti in izpred več, kot enega leta, se mi še vedno pri našem delu srečujemo z raznimi vpogledi, govoricami in podobnimi primeri. Mogoče nekateri zaposleni resnično mislijo, da jih ne bodo dobili pri dejanju in bo vse v redu. Informacijskega pooblaščenca so javne na njihovi spletni strani. V tem članku zgolj povzemamo nekaj njihovih tipičnih primerov.
Zanimiv primer je, ko se zaposleni v ambulanti, ni odjavil iz sistema in je zapustil ambulanto. Si predstavljate? Pustite računalnik odprt in kdorkoli pride mimo, vpiše ime in dobi vse podatke o pacientu. To pomeni, da zdravstveni delavec ni zagotovil varnosti in tajnosti osebnih podatkov pacientov v informacijskem sistemu. Nato je neznana oseba z uporabo njegovega gesla, nezakonito obdelovala osebne podatke pacienta, jih priklicala ter vpogledala. Najnižja globa za take vrste incidenta je 830 EUR s strani prekrškovnega organa, ki ji lahko sledi sankcija po delovno-pravnem, področju, bodisi opomin pred odpovedjo, izredna odpoved, ipd.

KAJ STORITI, KO IZGUBITE USB KLJUČEK, NA KATEREM SO PACIENTOVI PODATKI?

Naslednji primer je tudi, ko osebne podatke pacientov ali drugih oseb, prenašate na USB ključke in nato te ključke prenašate iz ene ambulante v drugo. Lahko se zgodi, da USB ključek izgubite, ga pozabite ali vam ga ukradejo. Podobno se je zgodilo eni izmed naših strank, ki ji je izginil USB ključek, zato smo nemudoma izvedli samo prijavo. V nekaterih primerih je potrebno obvestiti tudi posameznike, da so izgubili svoje podatke, toda v danem primeru, to ni bilo potrebno, ker podatki niso ušli izven organizacije. Ko uporabljate USB ključke, jih koristite le v nujnih primerih in nanje naložite le tiste podatke, ki so potrebni za prenos. Po uporabi USB ključka, podatke izbrišite.
Zavedam se, da zdravniki izvajajo raziskave, uporabljajo tabele z rezultati in izvidi, ki jih nato skušajo prikazati na konzilijih, predavanjih in tako dalje. Razumljivo je, da med delom uporabljate USB ključek, toda bodite pozorni na to, kaj se dogaja z njimi. Vklopite si funkcijo šifriranja znotraj operacijskih sistemov. Obstajajo možnosti, da na določen način šifrirate podatke, ki jih imate. Zelo priročen primer je, da uporabite USB ključek, kot del vaših dejanskih ključev, ki jih posedujete. V tem primeru, ključka zagotovo ne boste izgubili, ker drugače ne boste mogli domov. Ko najdete kakšen USB ključek v parkirišču, v pisarnah, na mizi, kjerkoli, tega ključka ne vstavljajte v svoj računalnik. Raje ga odnesite vašemu informatiku, ki ga bo na varen način pregledal in ustrezno razrešil, kdo je lastnik dotičnega ključka. Najbolj skrajni primer je, da informacijska služba izklopi vtičnike za USB na vaših službenih računalnikih.

BODITE ZELO PAZLJIVI, KADAR ELEKTRONSKO POŠTO POŠILJATE VEČJEMU ŠTEVILU PREJEMNIKOV

V podjetju DATAINFO.SI smo se ukvarjali tudi s primerom, ko je ena izmed zaposlenih, poslala elektronsko sporočil vsem 47 neizbranim kandidatom za delo, vključno z vsemi njihovimi podatki. V elektronskem sporočilu, so bili vidni vsi naslovi in podatki. Nemudoma smo morali izvesti samo prijavo Informacijskemu pooblaščencu, takoj je bil izveden inšpekcijski nadzor, omenjena zaposlena pa je nato dobila opomin in je morala plačati stroške postopka. Ker smo ustrezno povzeli in sprejeli vse ukrepe o tem, kako se lahko pošilja in smo takoj pristopili k reševanju tega problema, smo sistemsko rešili ta problem.

V VRSTICI SKP SO NASLOVI PREJEMNIKOV, KI SE MED SEBOJ NE VIDIJO

Kadar pošiljate elektronsko pošto, morate vedeti, da so naslovi tistih prejemnikov, ki jih vpišete v vrstico Za, vidni vsem. Vsi naslovi, ki jih dodate v vrstico Kp oz. v vednost, so tudi vidni vsem prejemnikom. Tiste prejemnike, ki jih vpišete v vrstico Skp, pa so t. i. skriti prejemniki oz. skrita kopija, ti prejemniki med seboj niso vidni. Seveda bodo to videli vsi prejemniki, ki so zapisani v vrsticama Za in Kp.

Ko pošiljate kakršnakoli vabila na večje število nekih elektronskih naslovov, ki jih med seboj ne želite razkriti, potem v prvo vrstico vpišete svoj elektronski naslov ali pa generalni elektronski naslov. Nato vse elektronske naslove prejemnikov za določeno delavnico, cepljenje ali vabila v ambulante, ki jih želite skriti med seboj, navedite v vrstico Skp oz. Skrite prejemnike. Ti prejemniki ne bodo videli elektronskih naslovov drug drugega, bodo pa vsi dobili splošno vabilo, ki je namenjeno vsem prejemnikom. Pri tem vedno pazite, kaj zapišete v vsebino sporočila, ker bodo to besedilo nato vsi videli.

V podjetju DATAINFO.SI nudimo celovite rešitve za varstvo osebnih podatkov tudi iz področja zdravstva in šolstva. Z veseljem in s strokovnjostjo vam bomo priskočili na pomoč. Kontaktirajte nas na info@datainfo.si ali nas pokličite na (02) 620 43 00, da se pogovorimo o vaši težavi.

PREBERITE VEČ

Piškotek	Trajanje	Opis
_wpfuuid	11 let	Registrira edinstven ID za obiskovalca, da lahko spletno mesto obiskovalca prepozna ob ponovnem vstopu.
cookielawinfo-checkbox-advertisement	1 leto	Uporablja se za ugotavljanje, ali je obiskovalec sprejel tržno kategorijo v pasici s piškotki. Ta piškotek je potreben za skladnost spletne strani z GDPR.
cookielawinfo-checkbox-analytics	11 mesecev	Ta piškotek nastavi vtičnik GDPR Cookie Consent. Piškotek se uporablja za shranjevanje soglasja uporabnika za piškotke v kategoriji "Analitika".
cookielawinfo-checkbox-functional	11 mesecev	Piškotek je nastavljen s soglasjem piškotka GDPR, da zabeleži soglasje uporabnika za piškotke v kategoriji "Funkcionalno".
cookielawinfo-checkbox-necessary	11 mesecev	Ta piškotek nastavi vtičnik GDPR Cookie Consent. Piškotki se uporabljajo za shranjevanje soglasja uporabnika za piškotke v kategoriji "Obvezno".
cookielawinfo-checkbox-others	11 mesecev	Ta piškotek nastavi vtičnik GDPR Cookie Consent. Piškotek se uporablja za shranjevanje soglasja uporabnika za piškotke v kategoriji "Drugo".
cookielawinfo-checkbox-performance	11 mesecev	Ta piškotek nastavi vtičnik GDPR Cookie Consent. Piškotek se uporablja za shranjevanje soglasja uporabnika za piškotke v kategoriji "Uspešnost".
elementor	Vedno	Uporablja se v besedilu s temo WordPress na spletnem mestu. Piškotek omogoča spletnemu mestu, da v realnem času izvaja ali spreminja vsebino spletnega mesta.
test_cookie	1 dan	Uporablja se za preverjanje, ali brskalnik uporabnika podpira piškotke.
viewed_cookie_policy	11 mesecev	Piškotek nastavi vtičnik GDPR Cookie Consent in se uporablja za shranjevanje, ali je uporabnik privolil v uporabo piškotkov ali ne. Ne hrani nobenih osebnih podatkov.

Piškotek	Trajanje	Opis
_ga	2 leti	Uporablja se za razlikovanje uporabnikov.
_ga_	2 leti	Uporablja se za vztrajanje stanja seje.
_gac_gb_	90 dni	Vsebuje informacije, povezane z oglaševalsko akcijo. Če ste povezali račune Google Analytics in Google Ads, bodo oznake za pretvorbo na spletnem mestu Google Ads prebrale ta piškotek, razen če se ne odjavite.
_gid	24 ur	Uporablja se za razlikovanje uporabnikov.
AnalyticsSyncHistory	30 dni	Uporablja se v povezavi s sinhronizacijo podatkov s storitvijo za analizo tretjih oseb.

Piškotek	Trajanje	Opis
_fbp	3 mesece	Uporablja ga Facebook za dostavo številnih oglaševalskih izdelkov, kot so ponudbe v realnem času od oglaševalcev tretjih oseb.
bcookie	2 leti	Uporablja ga družabno omrežje LinkedIn za sledenje uporabi vgrajenih storitev.
bscookie	2 leti	Uporablja ga družabno omrežje LinkedIn za sledenje uporabi vgrajenih storitev.
IDE	1 leto	Uporablja ga Google DoubleClick za registracijo in poročanje o dejanjih uporabnika spletnega mesta po ogledu ali kliku enega od oglaševalčevih oglasov z namenom merjenja učinkovitosti oglasa in predstavitve ciljnih oglasov uporabniku.
lang	Med obiskom strani	Nastavi LinkedIn, ko spletna stran vsebuje vgrajeno ploščo »Sledi nam«.
li_gc	2 leti	Shranjuje stanje privolitve piškotkov vašega servisa za trenutno domeno (LinkedIn re-direct).
lidc	1 dan	Uporablja ga družabno omrežje LinkedIn za sledenje uporabi vgrajenih storitev.
pagead/1p-conversion/#	Med obiskom strani	Uporablja se za sledenje konverzij iz strani oglaševanja prek GA in FB pixla.
pagead/1p-user-list/#	Med obiskom strani	Spremlja, ali je uporabnik pokazal zanimanje za določene izdelke ali dogodke na več spletnih mestih, in zazna, kako se uporabnik premika med spletnimi mesti. Uporablja se za merjenje oglaševalskih prizadevanj in olajša plačevanje pristojbin za napotitev med spletnimi mesti.
pagead/viewthroughconversion/773406361	Med obiskom strani	Uporablja se za sledenje konverzij iz strani oglaševanja prek FB pixla.
tr	Med obiskom strani	Uporablja ga Facebook za dostavo številnih oglaševalskih izdelkov, kot so ponudbe v realnem času od tretjih oglaševalcev.
UserMatchHistory	30 dni	Uporablja se za sledenje obiskovalcem na več spletnih mestih za predstavitev ustreznih oglasov na podlagi želja obiskovalca.