Najwyższa Izba Kontroli przeprowadziła kontrolę przestrzegania ochrony danych osobowych w szpitalach. Z kontroli wynika, że w ponad połowie skontrolowanych szpitali doszło do naruszeń ochrony danych osobowych, z czego w sześciu sytuacja była na tyle poważna, że konieczne było powiadomienie Prezesa Urzędu Ochrony Danych Osobowych.

W jednym z szpitali miał miejsce incydent podczas, którego pacjent niechcący zabrał dokumentację innego pacjenta, w innym zaś mężczyzna z zaburzeniami psychicznymi ukradł z pomieszczenia rejestracji kartoteki trzech pacjentów (dokumentacji dwóch z nich nie odnaleziono). W blisko 38% skontrolowanych szpitali dokumentacja medyczna w formie papierowej, przechowywana była w niezamkniętych szafkach lub półkach.

W szpitalach zdarzały się również przypadki udostępniania dokumentacji medycznej osobie, której pacjent nie upoważnił. W jednym z szpitali udostępniono dokumentacje medyczną pełnoletniego pacjenta na podstawie listu rzekomej matki, podczas gdy warunkiem wydania dokumentacji powinno być okazanie dowodu tożsamości.

W prawie 30% placówek do przetwarzania danych osobowych upoważnieni byli pracownicy obsługi w tym np. sanitariusze i salowe. W ocenie NIK osoby te nie powinny mieć w ogóle dostępu do danych osobowych dotyczących historii choroby czy leczenia pacjenta.

W 38% skontrolowanych szpitali pacjentom nie zagwarantowano prawa do prywatności w trakcie rejestracji. Odległość pomiędzy okienkami rejestracji była zbyt mała lub nie wyznaczono strefy oddzielającej pacjentów obsługiwanych od oczekujących w kolejce. W tych sytuacjach osoby postronne mogły usłyszeć treści rozmów pomiędzy pacjentem a personelem szpitala, dotyczących np. stanu zdrowia pacjenta, w tym szczegóły związane z dolegliwościami i procesem leczenia.

Dużo bardziej dyskretnie wzywano pacjentów do gabinetów lekarskich. Najczęściej posługiwano  się komunikatem: „proszę kolejną osobę” lub podawano imię pacjenta i godzinę wizyty, ewentualnie numer, który pacjent otrzymał podczas rejestracji. Jednak w jednym z szpitali wywieszona była lista pacjentów z planowaną godziną wizyty, w której podano trzy pierwsze litery imienia i cztery nazwiska. W przypadku pacjentów o krótkich imionach lub nazwiskach takie rozwiązanie może prowadzić do ujawnienia danych.

We wszystkich objętych kontrolą szpitalach pacjentom umieszczano na nadgarstkach opaski ze znakami identyfikacyjnymi. Zgodnie z obowiązującymi przepisami, umieszczane na opaskach informacje muszą być zapisane w sposób uniemożliwiający identyfikację pacjenta przez osoby postronne. Nie powinny zatem zawierać nr PESEL, imienia, ani nazwiska. Jednak prawie połowa skontrolowanych szpitali nie stosowała się do tych zasad.

W 13% skontrolowanych placówek dane osobowe pacjentów umieszczone były na szpitalnych łóżkach, w sposób widoczny dla osób postronnych, np. odwiedzających innego chorego.

W 75% szpitali nie wdrożono odpowiednich środków zabezpieczających dane osobowe i medyczne pacjentów przechowywane w postaci elektronicznej. Były to informacje dotyczące pacjenta, jego chorób, badań, zabiegów i innych procedur leczniczych wykonanych podczas jego pobytu w szpitalu. W 63% szpitali, osobom odchodzącym z pracy nie odbierano uprawnień do systemów informatycznych.

Więcej na temat przestrzegania przepisów ochrony danych osobowych można przeczytać tutaj.