Kategoria: Blog

Cyberbezpieczeństwo w placówce medycznej  – jak chronić dane pacjentów?

Jacek: Dzień dobry, witam w kolejnym cyklu spotkań Gość Proassist. Ja nazywam się Jacek Piaseczyński, reprezentuję Proassist, czyli firmę, która dostarcza oprogramowanie medyczne, system medyczny do placówek medyczny. 

Dodatkowo zajmujemy się jeszcze rejestracją pacjentów. Dzisiaj jest z nami Paweł i Irek. Od mojej lewej – Paweł jest z firmy Telkonet, która zajmuje się sieciami, dostępami, sprzętem i wszystkim, co jest, nazwijmy to IT w placówkach medycznych. 

I jest z nami również Irek. Irek posiada z kolei kancelarię, jest radcą prawnym, zajmuje się pomocą prawną dla placówek medycznych, ale również pomocą w zakresie bezpieczeństwa ochrony danych osobowych RODO, więc tutaj też jest również Inspektorem Danych Osobowych. 

My dzisiaj się spotkaliśmy w trójkę, bo cyberbezpieczeństwo to jest temat, który fajnie by było obgadać w trójkę. To znaczy mamy kwestię bezpieczeństwa danych i mamy tak – po jednej stronie tą część prawną, czyli po prostu dokumentację to jak powinno być to zarządzane zgodnie z prawem. Po drugiej stronie mamy sprawy takie sieciowe, komputerowe, dostępowe ewentualnie jakieś serwery w placówkach medycznych, centrale, wszystko to, gdzie też trzeba jakby zaimplementować to co jest wcześniej wdrożone w dokumentach, w sieci, w placówkach.

No i na koniec jest jeszcze system medyczny, w którym również się przechowuje te dane osobowe, więc musi być dostosowany do tej polityki, ochrony bezpieczeństwa danych w placówkach. No ale teraz co? Ja oddaję gościom głos. Może bym zaczął od Irka. Irek, jakbyś powiedział, kim jesteś, czym się zajmujesz, w czym możesz pomóc naszym klientom czy ogólnie osobom, które są u nas na spotkaniu?

Irek: Ogólnie już zarysowałeś czym się zajmuje. Radca prawny, oczywiście problematyka prawna. Jeśli chodzi o temat naszego dzisiejszego spotkania i specjalizację, no to ochrona danych osobowych. Jestem Inspektorem Ochrony Danych w wielu podmiotach, w tym niektórych właśnie, z branży medycznej, gdzie ta zagadnienia ochrony danych osobowych, w tym danych szczególnych kategorii, czyli potocznie zwanych danymi wrażliwymi, jest w obszarze szczególnego zainteresowania. 

Częste pytania, czy powinny podmioty z branży medycznej ustanawiać Inspektora Ochrony Danych Osobowych, czy nie powinny. Zwykle powinniśmy dać tutaj pozytywną odpowiedź, że jednak tak, o czym miarę wyraźnie stanowi rozporządzenie RODO, ale o tym jakoś nie będziemy dzisiaj szerzej mówili. 

No i w praktyce zawodowej, właśnie, Inspektor Ochrony Danych, przygotowywanie szerokiej dokumentacji związanej z ochroną danych osobowych, jak również wykonywanie audytów prawidłowości przestrzegania postanowień RODO, jakieś zazębiania się tej tematyki z systemami informatycznymi, bo to nasze dzisiejsze spotkanie właśnie między innymi jest o tym, czyli jak te wszystkie trzy gałęzie pogodzić ze sobą. 

Więc tutaj jestem jakby zmuszony, często współpracować właśnie z osobami zajmującymi się z systemami informatycznymi i zazębić to jakoś z ochroną danych osobowych, z właściwą dokumentacją, właściwym przestrzeganiem tych regulacji, które w branży medycznej są bardzo istotne, z czego wynikają też również coroczne raporty prezesa Urzędu Ochrony Danych Osobowych, że ta branża, branża medyczna jest na szczególnie cenzurowanym i dużo naruszeń również ochrony danych osobowych w tym, w tej działalności występuje. Więc w tym zakresie jestem w stanie zawsze pomóc, zresztą z Jackiem współpracujemy już od dawna z niektórymi klientami z polecenia Jacka, więc gdyby byli Państwo zainteresowani po naszym dzisiejszym spotkaniu czy w bliższej i dalszej przyszłości, jestem do dyspozycji. 

Jacek: Dokładnie tak, dzięki za głos. Paweł, czy mógłbyś teraz Ty opowiedzieć o sobie? 

Paweł Oczywiście. Ja jestem założycielem firmy Telkonet. My zajmujemy się obsługą informatyczną, z sieciami komputerowymi, w tym przewodowymi, bezprzewodowymi i bezpieczeństwem.. To są takie trzy główne obszary i jedną z naszych głównych grup klientów są placówki medyczne, w dużej mierze prywatne i to, co my robimy, to pomagamy naszym klientom na co dzień z bieżączkami, typu komputer, serwer, sieć, żeby to gdzieś wszystko funkcjonowało, ale też pełnimy rolę takiego administratora i firmy, która doradza. 

Doradza, dobiera, no tak się też gdzieś poznaliśmy, Jacek, z Wami, że szukaliśmy, tak, bo ciągle gdzieś szukamy. Bo tak jak gdzieś tutaj już to padło, że ważne jest, żebyśmy, tak jak my jesteśmy, nawet tutaj we trójkę właśnie, gdzieś współpracowali, no bo też szukamy systemów, które spełniają nasze oczekiwania, normy. Tych norm i regulacji jest coraz więcej, branża medyczna jest tak, jak Irek powiedział, na cenzurowanym i tutaj dużo też znamy kwestii, czy innych systemów medycznych, czy kwestii jakichś integracji. Jest tego naprawdę, naprawdę sporo i miejsc, gdzie ewentualnie coś może się wydarzyć. Także tak z naszej strony to wygląda. 

Jacek: Tak, dokładnie tak. Mi się zdaje właśnie, że dobrze jest to robić w trójkę, bo wtedy jest taki, ja to sobie nazwałem modelowy przykład współpracy, to znaczy wtedy ja sobie to tak wyobrażam: Placówka rozpoczyna od tych spraw formalno-prawnych, założenia podmiotu medycznego, zrobienia całej dokumentacji związanych z ochroną danych osobowych, a potem przychodzi do Pawła, a potem Paweł przychodzi do nas i w ten sposób jest to wszystko zabezpieczone, jak powinno być. 

Natomiast właśnie ja bym chciał się spytać o ten taki modelowy przykład współpracy. Rozumiem, że Ty Irek zajmujesz się tą częścią dokumentacji i jak w tej części dokumentacji już, nie wiem, zrobić taką zasadę minimalizacji dostępu? 

Jak Ty to sobie wyobrażasz ze swojej strony? Kto powinien mieć dostęp do czego i dlaczego? W sensie Ty to rozumiem w jakiś sposób, konsultujesz z klientem, ale też ewentualnie właśnie rozumiem z kimś takim, jak Paweł, tak? 

Irek: No tak to powinno wyglądać w teorii, wiadomo, że w praktyce różnie wygląda, bo chyba dosyć powszechną praktyką jest niestety, to że ten dostęp do danych, czy nazwiemy to danymi medycznymi, czy danymi osobowymi, chociaż to są różne pojęcia, ale one się w pewnym sensie pokrywają, jeśli chodzi o tę branżę, jest często tak, że kto jest w zasadzie zatrudniony i ma do czynienia z danymi pacjentów, ma zwykle w placówce medycznej dostęp do wszystkiego, do danych wszystkich pacjentów, do podglądu wszystkiego, co dotyczy dokumentacji medycznej i danych osobowych w niej zawartych. A oczywiście to nie jest prawidłowe i należy taką praktykę zawsze możliwie ograniczać i wyeliminować. 

Ja wiem, że to często nie jest możliwe, albo jest trudne. Natomiast trzeba na to zwracać uwagę, żeby no nie wyglądało to w ten sposób, że zarówno ktoś, kto przyjmuje zapisy pacjentów, zarówno ktoś, kto zajmuje się potem obsługą pacjentów, już przyjmując i udzielając świadczeń medycznych, wszyscy mają dostęp do wszystkich danych osobowych, jakie w danej placówce pojawiają się, funkcjonują. No i tutaj, jeżeli chcielibyśmy zacząć projektowanie takiego systemu, no w teorii powinno to wyglądać w ten sposób, że dowiaduje się, kto do czego, kto jest zatrudniony, kto, czym się zajmuje, jaka działka danych osobowych może do danej osoby trafić i powinna do danej osoby trafić. 

Wiadomo, czym innym powinna zajmować się – to są może banały, ale niekoniecznie, często niekoniecznie w  świadomości funkcjonują – niekoniecznie osoba w sekretariacie powinna mieć ten sam dostęp, do tych samych danych osobowych, co lekarz i inne osoby, które się świadczeniami medycznymi zajmują, a często jest tak, że ten dostęp jest identyczny. 

Więc ja tutaj przygotowując taką politykę ochrony danych, przeprowadzając szkolenia z tego zakresu, udzielając upoważnień do przetwarzania danych osobowych, bo to też jest bardzo ważne. O czym rzadko się pamięta, żeby każda osoba, która u nas ma dostęp do danych medycznych, do danych osobowych, posiadała stosowne upoważnienie. Ono nie musi mieć formy pisemnej, ale w jakiś sposób powinno być utrwalone i powinno być tam wskazane, do jakich danych dostęp ma dana osoba, ze względu na obowiązki służbowe, które jej powierzono. Potem ma to odzwierciedlenie w polityce ochrony danych, ma to odzwierciedlenie w rejestrze upoważnień. 

Powinniśmy pilnować tego, żeby upoważnienia cofać, upoważnienia nowe udzielać w ramach tego, gdy ktoś nowy do nas przychodzi, ograniczać je albo rozszerzyć w zależności od tego, jakie obowiązki służbowe ma dana osoba. 

Od tego zaczynamy. To jest podstawą i potem łatwo jest prześledzić, skąd ewentualnie mogą pochodzić naruszenia ochrony danych i kto jest za to odpowiedzialny. Oczywiście ma to wiele wspólnego również z tym, czym zajmuje się Paweł, czyli kto powinien mieć dostęp do jakich części systemu informatycznego. 

No ale to znajduje odzwierciedlenie w papierach, mówiąc w brzydko, które ja przygotowuję. I powinno być też potem efektem tego, co się dzieje w systemie informatycznym i to, do czego ma potem dostęp. Ewentualnie jaki dostęp się danej osobie odbiera, gdy odchodzi z pracy. 

Jacek: No właśnie, Paweł, mi się zdaje, że – czy ja dobrze diagnozuje, że oczywiście modelowy, to jest modelowy przykład, ale najlepiej dla Ciebie jest tak, jak klient ustala te sprawy uprawnień, zbierze aktualną dokumentację i idzie do ciebie i mówi, zaimplementuj mi to w placówce, tak? 

Paweł: Byłoby super, naprawdę byłoby super. No a praktyka wygląda tak, że często, nie wiem, nawet otwierając nową jakąś placówkę, nie raz otwieraliśmy z klientami, którzy otwierali nowe gdzieś tam oddziały, zaczynamy gdzieś od sieci, internetu, no my już mamy z tyłu głowy kwestie bezpieczeństwa, już dobieramy takich dostawców, te rozwiązania, które będą spełniać te normy, jesteśmy w stanie zarządzać nimi, czyli tymi dostępami i tak dalej, bo nie wszystkie systemy urządzenia to spełniają. No a w praktyce to właśnie tak wygląda, że o dokumentacji to my się czasem troszkę upominamy, bo to, że my mamy z naszych doświadczeń i wdrażamy, to znaczy dobieramy jakichś partnerów, bo na pewno właśnie zależy jeżeli chodzi np. o system, o sieć, o nawet o dostawców, jeżeli chodzi o internet. Byłoby super mieć to spisane i to, do czego my dążymy, to jest kwestia, tego prawa to jest droga i taki proces, kwestia wdrażania polityki bezpieczeństwa. 

My mamy taką przykładową, przez nas stworzoną, nie jest to dokument taki pewnie jak z pod ręki Irka by wyszedł, ale natomiast to jest takie best practice, takie najważniejsze rzeczy zebrane z naszych doświadczeń, więc to powinno być i podejrzewam, że byśmy się tu z wieloma rzeczami zgodzili. 

Dla mnie byłoby super, jak to byłoby spisane i wiadomo, wtedy sprawa audytu, weryfikacji tego, co mamy, czy w tych systemach da się to zrobić, żeby to później nie było tak, bo ja widziałem już takie systemy, że usunięcie konta użytkownika naprawdę zajmowało trochę czasu. Mieliśmy zdublowane konta użytkowników, usunięcie zdublowanego konta naprawdę, było w zadaniu informatycznym, takie naprawdę, i kwestia z tego, żebyśmy mieli te rozwiązania właściwie. Jeżeli ich nie mamy, takie jakbyśmy oczekiwali, to kwestia wdrożenia. 

Jak wdrożenia, to jest kwestia jakiegoś procesu, w czasie, finansów i zaczyna się robić trochę to wyzwanie, dlatego mówię, że właśnie to jest taki proces i droga, żeby gdzieś do tego dotrzeć. Ale super byłoby mieć to spisane, do czego dążymy i punkt po punkcie, gdzieś sobie go tam czasem odhaczać, bo jak byśmy chcieli zrobić to naraz, to też jestem przedsiębiorcą to wiem, że to może skillować biznes, tak, to też nie o to chodzi. Ale fajnie, jakbyśmy mieli dokument i sobie konsekwentnie do niego dążymy, aktualizujemy te zmiany, też podejrzewam, że nie byłyby jakieś takie krytyczne i gwałtowne, ale byśmy sobie do tego dążyli. 

I to, co mówi Irek, ja też mówię o tej polityce bezpieczeństwa, to można wykorzystać przy okazji wielu, dostosowania do wielu norm, czy to kwestii RODO, NIS2 czy ISO, bo tam wiele tych punktów się powiela. Naprawdę bardzo wiele się powiela, także taka kwestia polityki czy dokumentacji, jakbyśmy ją mieli odpowiednio wcześniej, tak, że naprawdę wiele, wiele rzeczy nam jest łatwo później dostosować. 

Powiem Wam taki przykład, że mamy klienta, z którym jeden oddział otworzyliśmy i tam mam to poukładane, jest spoko, naprawdę rozwiązania, które mamy, jeżeli chodzi teraz o zupełnie zrobienie dokumentacji, to naprawdę niewiele trzeba zrobić. A są takie oddziały, które były gdzieś tam wcześniej, infrastruktura jest już jaka jest, no i tam jest naszej roboty naprawdę sporo. Na to kwestia, mówię zawsze, jest jakichś budżetów, terminów odpowiednich, no i zaczyna nam się to wszystko gdzieś tam rozwlekać w czasie, także planowanie tego, a mieć to spisane w ogóle, no to jest super. 

Jacek: Ja ze swojej strony mogę powiedzieć, że potem też jest fajnie w takim modelowym przykładzie, że w związku z tym, że my w Proassist mamy bardzo dużą personalizację uprawnień użytkownika, to można naprawdę mocno to dostosować to, co chcemy udostępnić, to, co mówił Irek i to, co mówi Paweł, do tego, co konkretnie ma być potem w systemie. 

Przykładowo, że ta osoba ma dostęp do danych osobowych, nie ma do danych medycznych, ta osoba ma dostęp do danych medycznych, ale nie do ich wypełniania, tylko do oglądnięcia i tak dalej, i tak dalej. Więc można te zapisy wdrożyć, zaimplementować placówkę przez Pawła, a potem ostatecznie przez system medyczny u nas. 

Tu pojawiają się pytania, zaraz je zadamy. Natomiast ja sobie zapisałem, słuchajcie, kazus prawny. Specjalnie Wam, o nim nie mówiłem wcześniej, bo mówię, Was zaskoczę. Słuchajcie, taka sytuacja, i to powiem Wam, że ona jest bardzo częsta i praktyczna, to znaczy mamy placówkę medyczną. Znaczy placówkę medyczną – mamy lokal pomieszczenia, w którym jest wielu lekarzy, na przykład 3, 4, 5, którzy po prostu przyjmują pacjentów w ramach swojej prywatnej praktyki, a mają zatrudnioną jedną Panią do rejestracji, która rejestruje tych pacjentów do nich wszystkich. 

I teraz jak myślicie, jak to powinno być zorganizowane od strony prawnej i od strony takiej systemowej, technicznej, żeby to, po pierwsze, jak najbardziej zapobiec wyciekowi danych, gdzie tak naprawdę wyciekiem danych, by było to, że jeden lekarz ma dostęp do pacjentów drugiego lekarza. 

Irek: Jak to zorganizować od strony prawnej, to też częste stwierdzenie prawników: to zależy. Bo jeżeli mamy sytuację, w której tych 3, 4, 5 lekarzy ma oddzielne praktyki swoje indywidualne, to oczywiście każdy z nich jest oddzielnym administratorem danych osobowych. I każdy z nich powinien mieć oddzielną politykę, oddzielne zasady przetwarzania danych. Nie powinno absolutnie być tak, do czego nawiązałeś, że pozostali lekarze, którzy są w tej, nazwijmy to umownie jakiejś wspólnocie gabinetowej, prawda, bo wynajmują razem jakieś pomieszczenia, żeby pozostali lekarze mieli dostęp do danych osobowych tych innych osób, które z nimi wynajmują taką nieruchomość. 

Są oddzielnymi administratorami, ale inaczej byłoby, gdyby to była jakaś spółka, gdzie w ramach jednej spółki ci wszyscy lekarze różnych specjalności, świadczą usługi medyczne, które potem sumują się w ramach przychodów, w ramach kosztów, przy działalności tej spółki. Wtedy spółka jest administratorem i oczywiście zupełnie inaczej podchodziliśmy do zasad ochrony danych osobowych, chociaż też moglibyśmy się zastanawiać i raczej byłaby tutaj odpowiedź negatywna, czy ci pozostali lekarze, każdy o swojej specjalności powinni mieć wgląd do danych osobowych swoich kolegów. 

Nie powinni mieć, bo nie jest im to do niczego potrzebne i byłoby to nadmiarowe przetwarzanie danych osobowych w takim przypadku. Więc oddzielne praktyki medyczne, każdy będzie oddzielnym administratorem. 

Wspólna spółka, jeden administrator, ale też musimy zwracać uwagę, czy przypadkiem osoby, o czym mówiliśmy, nie mają nadmiernych upoważnień do przetwarzania danych osobowych, które nie są im potrzebne przy wykonywaniu i standardowych zamów. 

Jacek: A w tym pierwszym przypadku, my możemy podpisać, znaczy ta Pani na tej rejestracji, może mieć sześć umów z tymi sześcioma praktykami, tak? 

Irek: Tak, oczywiście. I mamy jakiś cel przetwarzania, jesteśmy w stanie wykazać, że ta osoba, która zapewnia obsługę sekretarską, czy jako recepcjonistka danego lekarza, ma w jakimś celu przetwarzać te dane osobowe. 

Jest to usprawiedliwione, że umawia wizyty, odwołuje wizyty, prowadzi jakąś administrację czy podstawową księgowość. Natomiast nie powinno być tak, że pozostali lekarze, mają do danych osobowych pacjentów innych lekarzy dostęp. A pewnie w praktyce zdarzyłoby się, że i tak mają. 

Jacek: Tak. A Paweł i co, i Ty wtedy tworzyłbyś konta na komputerze, na systemie operacyjnym dla każdego lekarza z osobna, tak książkowo? 

Paweł: Tak, zawsze dążymy do tego, żeby każdy, kto się rejestruje w jakimś systemie, czy na komputerze, no, miał mailem, czy by miał każdy indywidualne swoje konto imienne, gdzie jesteśmy w stanie go zidentyfikować. 

No to, co opowiedziałeś właśnie a’propos systemu, że musi być tutaj podejście takie indywidualne właśnie, i no, bo są takie systemy, gdzie nawet nie da się tego podzielić, nie? I to, Irek nam da zalecenie  – super, a my mamy system, gdzie tego się nie da zrobić. Zaczyna się kombinowanie, szukanie po prostu rozwiązania, tak? Co się kończy na tym, że trzeba wdrożyć inne rozwiązanie. Dlatego tak, my najchętniej, jeżeli mamy taką informację, tylko to musi być ustalane, bo my też mieliśmy takie już zagwozdki, że na jednej rejestracji mamy kilka podmiotów, co z tym zrobić, ale to radca musi, tak? 

My jesteśmy od tego, żeby to wdrożyć, to w systemach informatycznych, jeżeli dają taką możliwość, czy infrastrukturze tej sieciowej, tej serwerowej, no to my to możemy sobie podzielić, bo dobieramy, mówię, o tyle takie fajne rozwiązanie, że jesteśmy w stanie to zrobić, ale to taka osoba jak Irek nam musi to powiedzieć, jak to ma być podzielone, kto do czego ma mieć dostęp, a do czego nie.

No, generalnie jest taka zasada, żeby ograniczać ten dostęp dla danej jednostki, dla danej osoby maksymalnie, jak się da, żeby jak najmniejszy wgląd miała to tych rzeczy, których nie używa i nie potrzebuje, no i zgodnie z przepisami. 

Jak zabezpieczyć gabinet medyczny przed wyciekiem, utratą i kradzieżą danych pacjentów

Jacek: Tak, no ja tu powiem wam od strony użytkowej, jaki jest problem. To znaczy od strony użytkowej jest taki problem, że ta Pani na rejestracji chciałaby mieć bardzo prosty i nazwijmy to jeden widok wszystkich pacjentów dzisiejszych, jutrzejszych i na pojutrze, bo pod ten numer telefonu będą dzwonić pacjenci jednego i drugiego i trzeciego lekarza, a ona by się nie chciała przelogowywać z systemu na system. A znowu lekarz musi mieć dostęp, tak jak Irek powiedział, tylko do swoich. Da się to zrobić pewnymi zarządzaniem tymi uprawnieniami użytkownika, akurat w systemie Proassist, natomiast mówię, że to jest taki ciekawy przykład, który chciałem powiedzieć. 

Natomiast tak, też jestem ciekaw jakby tej dalszej pracy. No bo powiedzieliśmy o tym modelowym przykładzie startu tej placówki. Właściciel przyszedł do Pawła, przyszedł do Irka, ten menadżer placówki wszystko poustalał, kupił Proassist i ma wszystko dobrze, ale ta placówka żyje, zatrudnia lekarzy, zwalnia rejestratorki, zatrudnia menedżerów, coś tam się cały czas dzieje, tak? 

No i jak to powinno być potem, albo jakie tam macie najlepsze praktyki w tym dalszym etapie życia tej placówki? Co się powinno dziać w przypadku takich właśnie zmian kadrowych? 

Irek: No, akurat tutaj łatwo przewidzieć odpowiedź, prawda? No, musimy cały czas nad tym czuwać i tutaj absolutnie już nie wrzucałbym konieczności bieżącego korzystania z obsługi prawnej, jeśli chodzi o moją branżę. Powinniśmy się tego jakoś nauczyć na początku, wiedzieć, rozumieć zasady ochrony danych osobowych, wiedzieć, kto jest administratorem, za co odpowiada, czym jest minimalizacja przetwarzania danych osobowych. O tym Paweł, może nawet nie wiedząc, że mówi o zasadzie minimalizacji ochrony danych osobowych, przetwarzania danych osobowych, słusznie powiedział, że oni przy tworzeniu systemów informatycznych dążą do minimalizacji przyznawania dostępu użytkownikom systemu, a to jest właśnie minimalizacja przetwarzania danych wynikająca z rozporządzenia RODO. 

Czyli udzielamy tylko te dostępy, te upoważnienia do przetwarzania danych, które są niezbędne do wykonywania naszych obowiązków służbowych albo innych czynności związanych z przetwarzaniem danych. Więc jeżeli placówka żyje, zmienia się, to niestety musimy cały czas nad tym czuwać, jeżeli chcemy postępować zgodnie z przepisami, zgodnie z RODO. 

Przychodzi nam nowy lekarz, a mówiliśmy, że jest to spółka. Przyznajemy mu upoważnienia do przetwarzania odpowiednich kategorii danych. Odchodzi, cofamy te upoważnienia w systemie informatycznym, jak się łatwo domyślić. Czyścimy konto takiego użytkownika, a na pewno może nie czyścimy, to pewnie Paweł już o tym może bardziej powiedzieć. Przynajmniej zabieramy te uprawnienia, te hasła dostępu takiej osobie albo zmieniamy je. To akurat bardzo często się zdarza, że nie robi się takich rzeczy i nawet biorąc pod uwagę doświadczenia związane z postępowaniami przed Prezesem Urzędu Ochrony Danych Osobowych, nieraz zdarzały się przypadki naruszenia ochrony danych właśnie w związku z tym, że ktoś przez długi czas po odejściu z danej firmy, z danego gabinetu jeszcze miał dostęp do danych osobowych, do których nie powinien mieć dostępu. No więc cały czas musimy nad tym czuwać. 

Nie tylko aktualizować dokumentację, związane z przetwarzaniem danych osobowych, a też się może coś zdarzyć, że dochodzą tak zwane nowe czynności przetwarzania. Już nie będę może wkładał jakichś nowych, skomplikowanych pojęć, ale musimy je uwzględnić w rejestrze czynności przetwarzania, ale przynajmniej pamiętajmy o tym, o tych upoważnieniach. Zwracajmy na to uwagę, nauczmy się czym jest przetwarzanie, co to są dane osobowe, kto powinien być upoważniony, komu mamy zabierać te upoważnienia. No i na bieżąco nad tym czuwajmy. 

Jacek: OK. A Paweł, co zrobić, żeby właśnie zapobiec wyciekowi danych pacjentów podczas życia tej placówki, czyli jakichś tam wiesz, przyjść, odejść ludzi, zmian lokalizacji, itd.?

Paweł: No kwestia, ja bym powiedział, że już trochę w HR’owe też rzeczy wchodzimy, czyli taki właściwie, no jak w firmach jest onboarding i offboarding, tak? No mamy jakiś taki plan przyjęcia, co robimy na tydzień, na dzień, ostatniego dnia i tak samo jest offboarding, tak? Co robimy właśnie gdzieś na końcu, jeden z tych gdzieś ogniw, tam jest kwestia dostępu do systemów. No ważne jest to, żebyśmy my mieli takie konta administracyjne, gdzie coś takiego możemy zrobić. No tak, wcześniej padło, że to musi być właściwa osoba, firma jednostka, która się o tym zajmuje. 

No i przede wszystkim trzeba unikać, żeby nie mieć, bo to różnie też widziałem, że na przykład korzystamy z maili nie w domenie placówki, z kont jakichś użytkowników prywatnych, telefonu czyjegoś prywatnego, bo nie mamy nad tym kontroli. Po prostu pracownik odchodzi, tam jest jego numer, tam jest jego mail. My nic nie zrobimy, nic. To wszystko musi być, właśnie już na początku musi korzystać z maila takiego firmowego, jeżeli korzysta z telefonu też firmowego, żeby nie prywatnego, no bo ja już z czymś tak nie spotkałem, że ktoś gdzieś ze swoich urządzeń, swoich dostępów korzystał, tutaj mówię głównie ten e-maiil, telefon. 

Później z tym – nie mamy praw do tego żadnych, bo jeżeli to nie jest kupione przez spółkę, przez firmę, no to nic z tym nie zrobimy. No i tutaj faktycznie tak jak mówię, no jeżeli mamy to, no i właściwa komunikacja, bym powiedział, bo dla nas to jest żaden problem, jeżeli mamy, mówię, ten system odpowiednio przygotowany, wchodzimy do Proassist, tu klik: tak, off, jakiś system do, nie wiem, dostępu do komputera, i tak dalej, użytkownika, no to klikamy i tak dalej.

No bo też to, co Irek powiedziałaś, właśnie, że nie chcemy od razu wszystkiego usuwać, tak, no bo tam się wytworzył jakiś materiał, na przykład, z pocztą, no to nie chcemy, żeby to znikło, tak, tylko na przykład zatrudnimy, nie wiem, nowego pracowniku albo ta korespondencja, która przychodzi, no to jest osoba, która zastępuje albo chcemy, na menadżera gdzieś przekierować, żeby ta korespondencja gdzieś tam wracała, żeby nam to nie uciekało, nie znikało. Tylko to, no to ja mówię, wracam do tego, żebyśmy odpowiednie mieli do tego narzędzia, bo jak narzędzia mamy wybrane różne, no i które nie dają takich uprawnień, to później nic z tym nie zrobimy. 

Jacek: A Paweł, a wy w ramach swoich usług, robicie taką czeklistę klientowi, że słuchaj, drogi kliencie, jak przychodzi nowa osoba i jest to tam nie wiem, lekarz, to mu robisz to, to, to lub mówisz nam, żebyśmy my to zrobili, tak? 

Paweł: Znaczy tak, my często dążymy do czegoś takiego. Takiej standaryzacji stanowiska, stanowiska w rozumieniu takiego fizycznego, komputerowego, tak, że stanowisko to jest komputer, klawiatura, myszka, a podłączenie do internetu, nie wiem, kabel, czy wifi i na przykład, że ma być system taki, drukarka podłączone i tak dalej, nie? 

I mamy wytyczone, że jak nie wiem, otwieramy nową lokalizację, otwieramy nowy gabinet, że standardem jest to i to jest dla nas super, tak? I dla mnie w ogóle, z punktu widzenia zarządzającego firmą, to jest super, no bo nie muszę za każdym razem pytać, dopytywać, a co tam ma być, a jak ma być, tylko wiesz, mamy checkklistę i do tego dążymy. 

Mamy jakiś tam standard, no wiadomo, że to się gdzieś tam różni, no ale no to kwestia, że system medyczny inaczej nazywa, albo nie wiem, drukarka jest innej firmy, tyle, tak? 

I do tego dążymy, ale też do tego, żeby mieć taki standard dla użytkownika, no bo też jest tak, że przychodzi nowy użytkownik, tak? I do czego on ma mieć dostęp? Do jakiego systemu, na jakich prawach, co może mieć, co może robić, usuwać, nie wiem, dodawać, skanować, tylko to musimy mieć te wytyczne, no i cały czas się kręcimy wokół tej dokumentacji, którą dziś dobrze jest mieć wcześniej przemyślaną, bo jak to robimy ad hocowo, to na zasadzie pytamy managera, no dobra, to, to, a jeszcze to, a za tydzień nam się przypomina tamto, a tak samo później będzie na offboardingu, tak – a jeszcze przecież miał dostęp do systemu, do tego i tam, do jednego i drugiego systemu, do poczty, a jeszcze do czegoś miał, dlatego trzeba to standaryzować.

I wtedy jak mamy jasną taką komunikację i żeby to docierało też do nas na czas, no bo to też wynikło, że tam dowiadujemy się, że ktoś przyszedł, a już tydzień temu jest, tak, i nie miał jak pracować, to pracuje na mailu czyimś, bo takie też widziałem rzeczy, no to, żebyśmy to pewnie wiedzieli. Tak samo przy tym wyjściu, tak, kogoś, kogoś systemu, tym offboardingu, no to jak mamy checklisty, no to odhaczamy, wyłączamy, zmieniamy uprawnienia, czy wyłączamy i ja bym tu zastrzegł jeszcze jedną ważną rzecz, dostępy zdalne. Z takim wykrzyknikiem powiedział, bo o ile mamy coś w placówce, tak? To żeby ktoś miał do systemu, no to fizycznie musi przyjść, podejść do komputera. To jest już taka fizyczna trochę ochronna, no bo jeżeli pojawi się lekarz, który nie powinien na recepcji coś go zobaczymy, już fizycznie mamy taką barierę pewną, nie? 

A jeżeli ktoś miał dostęp zdalny, bo to był pracownik, może nie lekarz, ale ktoś gdzieś administracyjny, nie wiem, marketingu ktoś, bo mamy rozbudowane to, no to tutaj szczególnie trzeba uważać, ale jeżeli mamy to skonfigurowane takim VPN-ami, gdzie sobie to zarządzamy, no to jednym kliknięciem, po prostu go tam odcinamy od systemu, no ale tu jest szczególnie, szczególnie to ważne, no bo tu nie mamy tej fizyczności, tak, nie widzimy kogoś, nie wiem w którym momencie, a tutaj no fizycznie musi podejść, do któregoś komputera, gdzie się musi zalogować i tak dalej. Dlatego to szczególne uwaga na te, na te VPN-y.

Jacek: Ja za swojej strony powiem znowu dwie praktyki, to są dwie skrajne praktyki. Jedna praktyka jest taka, że klient robi jedno konto tam dla rejestratorki czy dla administratora i wszyscy się na to konto logują, nie wiem, po czym gdzieś tam, bo my to też staramy się gdzieś tam analizować, że no patrzymy, duża placówka ma jedno konto. Mówimy może tu trzeba więcej kont, właściciel dowiaduje się, że my nie pobieramy opłaty za konta rejestratorki czy administratora, niezależnie od ilości, tylko pobieramy za lekarza czy specjalistów, fizjoterapeutów, czyli za tym, na czym placówka zarabia po prostu, no i wtedy się zaczynają mnożyć te konta, mnożyć, mnożyć, mnożyć, mnożyć i wtedy znowu dochodziło do sytuacji, że tych kont jest bardzo dużo, bo ci ludzie przychodzą, odchodzą, te konta zostają. No ja nie wiem czy tam zmieniają te hasła czy nie, być może tak, być może nie, natomiast znowu mamy drugą praktykę, gdzie konto dostępowe zostaje, być może ze zmienionym hasłem, ale w zasadzie również po co to konto ma zostać, w tym przypadku? 

Także mamy dwie takie praktyki z jednej i drugiej strony, jakieś takie mniej odpowiedzialne, ale w ramach tego już jakby co klienci, bo tak trochę przeszedłem płynnie do klientów, to Wy ze swojej strony może jesteście w stanie powiedzieć, o co klienci jakby boją się najbardziej w tym wycieku danych? 

Zdaję sobie sprawę, że przychodzą do Was w tym celu, żeby do tego wycieku nie doszło, albo jakby doszło to żebym był zabezpieczony. I co, Irek, do Ciebie przychodzą klienci mówiąc…? 

Irek: Boją się kar od Prezesa Urzędu Ochrony Danych. Często jest trochę wyolbrzymiane, chyba nawet to jest ta zaleta rozporządzenia RODO, gdzie te kary maksymalne bardzo działają na wyobraźnię, no bo tam mamy 4% rocznego światowego, jak to się tam ładnie nazywa przychodu, czyli łącznego przychodu, jakie osiągamy, albo maksymalnie 20 milionów euro. I bierze się wtedy pod uwagę ewentualną, maksymalną wyższą karę. To, co byłoby wyższe, to się powinno nakładać. W rzeczywistości te kary przejmują przez polski organ nadzorczy nakładane nie są aż tak wysokie, tutaj bym uspokoił. 

No i tego się obawiają, a jak temu zapobiegać z mojej strony? No to musimy przyjrzeć się najpierw klientowi, zobaczyć w branży medycznej akurat jest to standardowe. Znaczy w każdej branży jest to standardowe, wiemy z czym mamy do czynienia, jakiego rodzaju dane osobowe są przetwarzane i pod to przygotowujemy odpowiednie dokumenty. 

Ale dokumenty, jak to dokumenty. Pewnie Państwo, którzy nas dzisiaj oglądają, Wy panowie też, Jacek i Paweł, mieliście z tym do czynienia, że ten wielki boom na RODO był w 2018 roku i tam jeszcze w kolejnych miesiącach, po maju 2018 roku, gdzie wszyscy przygotowali jakieś tam dokumenty, które im prawnicy wówczas przygotowali, czy specjaliści od RODO, no nagle wtedy wszyscy stali się specjalistami od RODO. 

I te dokumenty, czy lepsze czy gorsze, ale leżą sobie od tamtego czasu, nie są przeglądane, nie są aktualizowane, a przede wszystkim w bardzo wielu przypadkach, nie tylko w branży medycznej, ale we wszystkich innych branżach, nigdy nie zostały w praktyce wdrożone i stosowane, a przede wszystkim może nawet zrozumiane przez pracowników.

Więc co trzeba zrobić? Czego obawiają się klienci, jeżeli chcą uniknąć tych kar? Trzeba przede wszystkim prześwietlić potrzeby danego klienta, wdrożyć mu stosowne dokumenty. Oczywiście, bo klienci też chcą mieć coś namacalnego, jak przyszedł prawnik, wziął pieniądze za swoją usługę, to niech zostawi jakieś dokumenty. Przygotowuje się te dokumenty, ale o tym moglibyśmy długo rozmawiać. Nie chcę nikogo zanudzać, ale na przykład w rozporządzeniu RODO są w zasadzie dwa wynikające z rozporządzenia dokumenty obowiązkowe do przygotowania. 

A potem, jak przychodzi specjalista od RODO i przygotowuje te dokumenty, to jednak się okazuje, że jest ich kilkanaście. A to wcale nie wynika z rozporządzenia RODO, ale wynika z tego, że dobrze by było mieć te dokumenty, żeby pracownicy i współpracownicy mieli się do czego odnieść, zapoznając się z zasadami ochrony danych, które obowiązują w danym podmiocie, ale co jest najważniejsze, zrozumieć, jakie są zasady ochrony danych. Trzeba przeszkolić tych ludzi, którzy u nas przetwarzają dane osobowe, upewnić się, czy rozumieją to, do czego są zobowiązani, przygotować te dokumenty zrozumiałym językiem, a bardzo często dokumenty dotyczące ochrn danych osobowych są niezrozumiałym językiem przygotowane. 

I dopiero wtedy możemy powiedzieć, że mamy właściwie wdrożone RODO i jeżeli zdarzy nam się jakieś nieszczęście, czyli nastąpi ten wyciek, albo zdarzy się jakiś inny przypadek, no bo wyciek może być zarówno czy z czynników zewnętrznych, czyli jakiś atak hakerski, prawda, jakichś czynników wewnętrznych, czy jakiegoś błędu i to jest najczęstsze, błędu pracowniczego, błędu osób, które przetwarzają dane osobowe. Jeżeli wykażemy w trakcie kontroli czy danego incydentu, gdy będzie to już prześwietlane przez UODO, że mamy całą dokumentację, szkoliliśmy pracowników, stosowaliśmy to zasady w praktyce, ale zdarzyło się nieszczęście, może się skończy tylko na upomnieniu, może skończy się tylko na zaleceniach i w wielu przypadkach tak jest. 

Natomiast jeżeli okaże się, że były dokumenty dotyczące RODO, ale nikt ich w praktyce nie stosował i to w zasadzie były martwe dokumenty, życie sobie, a dokumenty sobie, będą kary, więc ja zawsze, jeżeli ktoś chce w praktyce dostosować, kładę nacisk na praktykę, na to, czy ludzie to zrozumieli, czy przeszkoliliśmy każdego nowego pracownika, czy on rozumie swoje obowiązki, czy mamy praktykę działania firmy dostosowaną do tego.

Jacek: Ok, a Paweł u Ciebie, czego klienci najbardziej się obawiają w sprawie tego wycieku danych osobowych, że co, że ktoś przyjdzie i weźmie komputer i co wtedy? 

Paweł: Znaczy ja się też śmieję trochę do siebie, bo o karach też słyszałem i one gdzieś tam działają faktycznie na wyobraźnię, ale to dobrze, bo może to pobudza nas także do działania. Najwięcej obaw to widzę wynoszenia tych danych, bo się boimy, że ktoś wyśle mailem, pendrive wyniesie i coś z tym zrobi, zabierze.

Ja widziałem takie, bym powiedział ekstremalne, to przypadki, że jest robiona w placówce taka strefa biała, która nie ma absolutnie dostępu do Internetu, jest tylko kwestia dostępu jakiegoś tam wewnętrznego do systemu i tyle, żeby się zabezpieczyć przed zaszyfrowaniem i tak dalej, to, że ktoś coś przypadkowo kliknie i ściągnie zaszyfruje nam wszystko. To też widziałem takie przypadki, ale to też gdzieś trzeba, mówię, siły na zamiary gdzieś mierzyć i myślę, że tym, czego się tam wszyscy boją, to są te dane pacjentów, gdzie najczęściej to, co Irek powiedział, to my jesteśmy tym najsłabszym ogniwem, czyli ludzie, że możemy coś wysłać, skopiować, przesłać. 

No tutaj mówię… Możemy sobie to też tak naprawdę zabezpieczyć, naprawdę na wiele sposobów, czy, bo właśnie tak ja mówię o tym pendrive, czy możemy przetwarzać te dane na serwerze i w odpowiedni sposób to mieć tam gdzieś dostępny, ale prawda jest taka, że ktoś tak naprawdę mając swój prywatny telefon gdzieś w kieszeni, z aparatem, może zrobić zdjęcie po prostu systemu danych i w takim, bym powiedział, trochę pół analogowy sposób po prostu wyciągnąć te dane i jak byśmy tego nie robili, nie wiem, my wyobrażamy sobie, dobra, może monitoring, może analizy o zachowanie, może, no ale to dochodzimy gdzieś do jakiegoś trochę absolutu. 

Jacek: Za daleko już wtedy. 

Paweł: No, to też kwestia jest taka, że no to się już robi jakiś absolut, te koszty zaczynają rozsądzać już tak nieliniowo i to się robi gdzieś problematyczne, tak że myślę, że to jest kwestia tych danych zabezpieczenia. Ważne, żeby nie stracić tych danych, tak, że w razie, czy gdyby coś to mamy jakieś zdjęcia, na których nam zależy. Pacjent z jakiegoś leczenia, tak, czy jakieś badania, które są dość istotne, ważne, które zajmowały dużo czasu, kosztowały sporo tak, żeby je zrobić, wykonać przez lata, żeby zobaczyć, jaki sposób, jakie są zmiany. No i wtedy jest kwestia zabezpieczenia tych danych. 

No to tu możemy zacząć mówić o backupach, o sprawdzaniu tych backupów, o polityce, czy weryfikacji, jak szybko możemy to przywrócić w jakimś środowisku, tu mogę takim pojęciem gdzieś, czy posłużyć disaster recovery, czyli jak takiego środowiska, jak szybko jesteśmy w stanie to przywrócić do działania, bo to jest tak, że mamy serwer, mamy jakiś system, mamy jakieś tam dane. Padło, nie ma i mamy tylko backup i w postaci tam plików i danych, tak, no i chcemy to otworzyć, no ale serwer trzeba kupić, przywieźć, nie wiem, przyjdzie on za parę dni, za parę tygodni może, bo nie ma dostępności, a my musimy w międzyczasie pracować, tak, i tutaj na przykład NIS2 o tym wspomina, że jak szybko jesteśmy w stanie wrócić do działania i to jest też istotne, tak, że te dane zabezpieczanie, ale wracanie też po jakiejś awarii, czy po jakiejś utracie do tego działania. 

Jacek: A słuchaj Paweł, a tutaj też są takie pytania, ja tak trochę w ramach tych pytań też, a Ty jesteś w stanie zabezpieczyć placówkę przed takim hardware’owym, że wsadzam swojego pendrive’a i wyjmuję rzeczy z komputera? 

Paweł: Tak, są takie fajne nawet pendrive’y, można tak zaszyfrować, że przykładowo masz pendrive’a, na którego możesz na przykład wrzucić dane, z kodowanego na przykład komputera, ale jak chcesz odtworzyć, to możesz tylko do komputera, z którym powiedzmy, że on jest powiązany i tam jest taki klucz szyfrujący na przykład, nie? 

Jacek: Tak, nawet mówię o drugiej sytuacji, że ja jako pracownik placówki wsadzam swojego pendrive’a do komputera i ściągam dane, które właściwie nie chciałbym żebyś ściągnął, jest jakaś możliwość blokady tych portów?

Paweł: Pewnie, jest dużo nawet sposobów, tak że ja specjalnie nie mówię nazwami, ale jest takich rozwiązań antywirusowych, czyli tego środowiska operacyjnego. Na kilka sposobów można to zrobić, zabezpieczyć, żeby nie dało się tego zrobić. 

No albo tak jak mówię, że mamy takie pendrive’y, ja generalnie jestem przeciwnik tego unikania, tak, że jakiś tam pendrive’ów, żeby one chodziły gdzieś goniły, no bo nawet jak sobie zabezpieczymy w ten sposób, że można tam wgrywać dane, a mogę wyciągać tylko i odczytywać na danej stacji roboczej, na danym komputerze, nie mogę sobie ich w domu odtworzyć, i nie złamię tego po prostu, to jest z jednej strony okej, natomiast jak ja tam mogę coś zgrać, to równie dobrze ja tam w domu mogę coś zgrać i z wirusem przyjść, tak, że generalnie unikamy tego, tak. Ja jestem zwolennikiem środowisk serwerowych zarządzanych. 

Poza tym, jeżeli coś nosimy na pendrive’ie, zakładam, że te dane mogą być dla nas ważne, tak, że nie wiem, z jakiegoś aparatu, zgrywam jakieś zdjęcia, coś przychodzimy z komputera do komputera, jest to jakieś istotne ważne zdjęcie, no i ono tam zostaje, ktoś sobie zapomni, je zgrać czy coś, albo zostaje na komputerze, nie wiem, w komputerze pada dysk, nie ma. Tak, a zdjęcia tam ileś kosztowało, nie wiem, trzeba je powtarzać, pacjenta wzywać i jeszcze raz mu to robić, a jak jest w procesie jakiegoś leczenia, no to czy, no to nie odtworzymy tego stanu, który tam był kiedyś w jakiejś etapie leczenia. 

Ja jestem zwolennikiem tego, żeby te kluczowe, krytyczne dane były na serwerze, w środowisku serwerowym, czy to mówimy o takich serwerach plikowych, typu NASA, czy takich serwerach z prawdziwego zdarzenia. No mamy to wtedy, backupujemy, zabezpieczamy, nawet jak ktoś coś usunie, coś zrobi, no to jeżeli mamy odpowiednią procedurę i środowisko, to do odtwarzania backupu zrobione. 

No mieliśmy takie przypadki, no prosty case Wam powiem, skany, tak. Skany, no gdzieś tam dostęp do tych folderów, my to na przykład staramy się też dzielić, tak, że są różne foldery skanów, że nie wiem, zarząd ma swoje, marketing ma swoje, lekarz ma swoje, no żeby nie było, że zarząd sobie coś tam zeskanuje, a ktoś tam inny na przykład widzi, nie? 

Jacek:No to wiecie, z tymi backupami jest w ogóle śmiesznie, bo to jest tak, że im lepsze i im więcej rozwiązań backupowych, czyli inaczej mówiąc rozwiązań, na utratę danych, tym coraz większa możliwość wycieku tych danych. Bo jest więcej miejsc, z których można je ukraść. 

Czy w pracownicy w placówce medycznej mogą korzystać z pendrive na komputerze służbowym? 

Irek: Do tych spend drive’ów ja chciałbym nawiązać. 

Jacek: No właśnie, ja chciałem się… Ja chciałem Irek się Ciebie zapytać, bo tu są dwie rzeczy. Pierwsze, czy trochę Pawła przepytaliśmy w sprawie tych pendrive’ów, a teraz taka sprawa dokumentacyjna. To znaczy, po pierwsze, czy możemy korzystać z prywatnych nośników typu pendrive, nasi pracownicy mogą korzystać, a po drugie, w drugą stronę, czy my możemy jakoś po prostu zabronić pracownikom korzystania z takich urządzeń?

Irek: To jest akurat fajny temat, bo dużo przypadków, które trafiały do prezesa Urzędu Ochrony Danych, właśnie dotyczy takiego wynoszenia danych na pendrive’ach i zaginięcia po tym tych pendrivve’ów. Mamy jakieś dane osobowe na pendrive’ach, pendrive zaginął no i mamy naruszenie ochrony danych, prawda? 

I powinniśmy to zgłosić prezesowi UODO, bo mieliśmy, czyjeś dane osobowe zaginęły nam, ktoś jest ich dysponentem, mamy naruszenie, zgłaszamy, jesteśmy zobowiązani w ciągu 72 godzin zgłosić to prezesowi UODO i wtedy prezes się nami zajmuje i zaczyna prześwietlać, jaka tam u nas polityka była właśnie wynoszenia tych danych na pendrive’ach. 

No i w ten sposób można sobie niezłych kłopotów narobić, nie samym tym, że pozwolono wynosić dane na pendrive’ach, bo zadałeś pytanie, czy można pozwolić pracownikom wynosić na prywatnych pendrive’ach. 

Oczywiście, że można. Czy można zabronić? Oczywiście, że można zabronić. Przede wszystkim powinniśmy to zrobić, a gdyby dochodziło do jakiegoś incydentu, no to prezes UODO będzie właśnie sprawdzał: Czy mieliśmy jakiekolwiek ustanowione zasady korzystania z pendrive’ów w celu przenoszenia danych osobowych na takich nośnikach danych? Jeżeli nie mieliśmy, to już mamy problem. Zawsze jakimś dodatkowym bonusem jest to, jeżeli te dane były zaszyfrowane na pendrive’ach, no bo wtedy mamy tak zwaną niską, niskie prawdopodobieństwo naruszenia praw osób, których dane dotyczą. 

No i możemy się jakoś obronić, że to prawda zaginął nam pendrive, ale były dane zaszyfrowane. Tutaj no, gdybyśmy mieli więcej czasu, to można było naprawdę kilka takich kazusów omówić z życia, gdzie wyciekły te dane na pendrive’ach. 

Moje ulubione są dwa, kuratorowi sądowemu, to akurat nie branża medyczna. Bodajże to było w Pabianicach, albo gdzieś w okolicach Łodzi. Kuratorowi sądowemu zaginął pendrive’ z setkami danych swoich, jego podopiecznych, czyli osób, nad którymi on kuratele sprawuje, więc dosyć wrażliwe dane, prawda? Właśnie jakieś sprawy rodzinne, sprawy karne, miały miejsce i zaginął. Wyszło, że potem w sądzie nie było żadnej, przepraszam, w tym wypadku akurat była polityka szyfrowania tych danych, a w tym wypadku oczywiście danych nie zaszyfrowano. No i prezes UODO nałożył karę, ale w związku z tym, że tutaj mamy ograniczenie, ta kara była stosunkowa, bo jednostki sektora finansów publicznych na nie można maksymalnie 100 tysięcy złotych kary nałożyć. No i tutaj ta kara nie była zbyt wysoka.

Inny mój ulubiony przypadek i często w różnych szkoleniach zakresu ochrony danych go omawiam, to z tego roku, z kwietnia, też nie branża medyczna, ale pendrive, proszę Państwa, w branży gastronomicznej zaginął z danymi osobowymi jednego pracownika. I on zaginął na terenie restauracji, która była prowadzona przez ten podmiot, ale nigdy się nie odnalazł. Ktoś był dosyć mocno nadgorliwy i zgłosił to naruszenie. Pewnie był IODO, który kazał zgłosić. Prezes Urzędu Ochrony Danych pochylił się nad tym przypadkiem. Okazało się, że nie było żadnej polityki wynoszenia danych na pendrive’ach. Nikt nie miał nad tym kontroli. Można było to robić na prywatnych pendrive’ach. 

No i spółka z Kolbuszowej, bodajże, na Podkarpciu, dostała 250 tysięcy złotych kary. Zatem jeden przypadek, gdzie były dane osobowe jednego pracownika, jakiś numer PESEL, jego dane zamieszkania, chyba numer dowodu, lub paszportu, jeśli pamiętam w tym momencie, no i ja byłem tak początkowo przerażony, że jak to tak duża kara, no ale okazało się, że ta spółka to był duży operator McDonald’ów na podkarpaciu i w małopolsce, która miała naprawdę duże przychody. No i ta kara 250 tysięcy złotych w stosunku do przychodów, a tak powinniśmy oceniać tę karę, tak powinna być kara nakładana w stosunku do przychodów, wcale nie była taka duża. 

No ale to jest właśnie odpowiedź na pendrive’y. Więc możemy zabronić, to może być wpisane w regulaminie pracy, to może być wpisane w umowie o pracę, w części w regulaminie pracy, a przede wszystkim, jeśli mówimy o danych osobowych, w jakiejś polityce ochrony danych, która u nas obowiązuje, wyraźnie wskazujemy czego wolno, czego nie wolno, czy Paweł w instrukcji zarządzania systemem informatycznym, można i było coś takiego wrzucić. Dlaczego nie? Czy w polityce bezpieczeństwa informatycznego.

Jacek: Ok, a słuchajcie, pewnie mieliście już takie sytuacje w swojej karierze. Ja przynajmniej miałem, to znaczy no, dzwoni do Was klient, że doszło u niego do wycieku, tak? Tak jak mówił Irek, no nie, pendrive znalazł i tak dalej. No ja miałem sytuacje takie, że klienci tam do nas dzwonili, że po prostu inny użytkownik, systemu, któremu oni nadali dostęp, no gdzieś w jakiś sposób, nie wiem, dzwoni do tych pacjentów, że ma własną placówkę medyczną, czy swój własny gabinet i tak dalej, czyli że dochodzi do wycieku, tak? No i teraz, co Wy mówicie klientowi? Co Ty masz robić w takiej sytuacji? 

Irek: No to tu niestety chyba głównie do mnie by to trafiło w pierwszym rzędzie. 

Paweł: Tak, ja bym odesłał. 

Irek: Tak, tak, pewnie myślę, tak by się to skończyło. No mamy bezwzględnie wtedy do czynienia z naruszeniem ochrony danych, czyli osoba nieuprawniona zyskała dostęp albo dysponuje tymi danymi nie w tym celu, w którym zostały one zgromadzone, czyli to też jest naruszenie ochrony danych. 

To akurat w miarę częste przypadki tego właśnie dzwonienia do potencjalnych klientów, czyli pacjentów, może w branży medycznej aż tak strasznie się to często nie zdarzało, ale na przykład gabinety kosmetyczne, prawda? 

To jest akurat branża medyczna, ale stomatologia, bo tu akurat mamy dużo konkurencji na rynku. To się zdarza i z tymi takimi przypadkami miałem do czynienia, co powinniśmy zrobić. Mówiłem już kilka chwil temu, jest szybki termin, 72 godziny na zgłoszenie takiego incydentu prezesowi Urzędu Ochrony Danych, ale możemy tego uniknąć, jeżeli ocenimy, że mamy niskie prawdopodobieństwa naruszenia praw osób, których dane dotyczą, czyli tych osób, których dane osobowe zostały naruszone, w niektórych przypadkach rzeczywiście moglibyśmy się obronić.

Szczególnie jeżeli te dane byłyby zaszyfrowane przy zaginięciu pendrive, ale jeżeli mówimy już o wykorzystaniu danych w celu pozyskiwania klientów, no to nie, no tutaj już mamy dane osobowe, którymi ktoś dysponuje, doszło do naruszenia praw tych osób, powinniśmy to zgłosić do prezesa Urzędu Ochrony Danych, no i on będzie wtedy nas prześwietlał, bo przecież rzeczywiście wszelkie zasady Ochrony Danych były u nas właściwie wdrożone. Innym, inną kwestią jest ewentualne postępowanie karne wobec tej osoby, która wykradła te dane i w ten sposób się nim posługuje, bo tutaj można było pomyśleć ewentualnie o już odpowiedzialności karnej, jest to możliwe. 

A z mojego punktu widzenia ja zalecam, niestety, musicie zgłosić, czekajcie co zrobi prezes Urzędu Ochrony Danych, i jeżeli nie macie wdrożonego właściwie RODO u siebie, to czym prędzej to róbcie, bo pewnie jakaś kara finansowa Was spotka.

Jacek: Paweł, a Ty jesteś w stanie wtedy pomóc klientowi na takiej zasadzie, żeby powiedzieć: dobra, to, mogę Panu sprawdzić, on się logował od 18 do 19, tam dokonał takiego, nie wiem, eksportu, na właśnie na jakiś pendrive, coś.

Paweł: Tak, no kwestia jest systemu znowu. Jak mamy odpowiedni system do monitorowania, zarządzania, to tak, jesteśmy w stanie wyciągnąć logii, informacje, co zostało zrobione, co zostało wyciągnięte. Tylko tutaj mamy, no tu dużo, dużo, dużo bardziej trudna jest ta prewencja i przygotowanie. No bo ja miałem taki case, że jakieś dane gdzieś były zapisane, one nie były zapisane w środowisku serwerowym, tylko gdzieś na zewnątrz i to choćbym jak się starał i tłumaczył i przygotował infrastrukturę, jeżeli ona jest używana tak, a nie zabronie wszystkim korzystać. 

No bo, no wiem, słyszałem takie przypadki, że zabraniamy w ogóle, nie ma dostępu do Internetu. Jak ktoś buduje jakąś bazę danych, w ogóle nie w środowisku swoim, tak? Tylko ktoś, nie wiem, na jakiś tam arkuszach swoich tam gdzieś, prywatnie założonych na jakimś mailu. No to, sorry, to co możemy zrobić? No, nic, nie. 

A jeżeli jeszcze inni pracownicy tam też na tym pracowali, dokładali, bo nikt na to nie zrobił uwagi, no to już w ogóle, nie? No to wtedy nic z tym nie zrobimy, dlatego tak ważne jest to, żeby to wszystko, co mamy, kupujemy, to było normalnie na podmiot nasz, kupowane, żebyśmy mieli do tego prawa, do zarządzania, administrowania tym, bo jak tego nie mamy, no to później  nic z tym nie zrobimy, tak? No ale tak jak już dojdzie do czegoś takiego, no to kwestie zgłoszeń, to co Irek powiedział, tak? No to już trzeba zgłaszać, ja też jestem zwolennikiem tego, no bo to też jest tak, że nie zgłaszajmy, bo może się uda, nie?

Irek: I to, o czym pamiętajmy, jeżeli już naprawdę mamy taką działalność, gdzie boimy się tych incydentów, tego, że ktoś nam może wykraść, czy nasz pracownik, czy jakiś czynnik zewnętrzny, no to zacznijmy od tego, że wdrażamy to RODO, zwróćmy się do kogoś, kto się na tym zna, trudno, trzeba będzie ponieść jakieś koszty, ale być może będą jednorazowe albo niewielkie w przyszłości, przygotujmy tą dokumentację przeszkolimy ludzi, upewnijmy się, że rozumieją, co im wolno, a czego im nie wolno. No i potem w razie ewentualnego incydentu negatywnego dla nas, no przynajmniej tą całą podkładkę, te wymagania, do których byliśmy zobowiązani, będziemy w stanie wykazać, że to zrobiliśmy. 

Błędy ludzkie, tego nie jesteśmy w stanie wyeliminować, ale jeżeli byśmy patrzyli na przepisy RODO, to tam jest zawsze, w tych przepisach jest szeroko omówiony, że kara pieniężna, jeżeli jest przez prezesa UODO nakładana, powinna być rozpatrywana indywidualnie, według właśnie indywidualnego przypadku, stopnia zawinienia, umyślności, nieumyślności, zachowania podmiotu już po tym incydencie, czyli co zrobiono, żeby zapobiec incydentom w przyszłości, co zrobiono, żeby powiadomić te osoby, których dane zostały naruszone, co zrobiono, żeby zgłosić ten incydent, który zostawił Urzędu Ochrony Danych, czy współpracowano z Urzędem Ochrony Danych. To wszystko się liczy, jeśli chodzi o późniejszy wymiar kary nakładany przez prezesa.

Jacek: No ja nawet pamiętam kiedyś w taką sytuację, że tam właśnie klientka poprosiła o takie logi systemu, żeby jej pokazać, że oni najpierw zmienili to hasło jakiegoś dnia, potem usunęli to konto, w momencie w którym się skończyła ta umowa z tym pracownikiem, ale ten pracownik po prostu tak jak Paweł mówi, przepisywał sobie tych klientów gdzieś na jakąś kartkę. 

Irek: No tak, no i temu nie zapobiegniemy nigdy. Tak, tak, ale… Było to wtedy, że przeszkoliliśmy, mamy dokumenty, no ale ktoś się zachował tak, jak się zachował. 

Jacek: No ja rozumiem, że oni te logi potrzebowali w ramach właśnie jakiejś takiej obrony przed tym, że proszę zobaczyć zgodnie z tym, on skończył z nami umowę, pracę u nas i w tym momencie od razu mu wyłączyliśmy dostępy, czyli zrobiliśmy tak, jak powinno być.

Irek: Niektórych rzeczy nie da się zapobiec. Na pewno słyszeliście o Medily i wycieku danych u nich, jak przetrzymywali dane osobowe powierzone im przez klientów, kilka lat po zakończeniu obowiązywania umowy, prawda? I potem sobie do jakiegoś środowiska testowego, testowania nowego oprogramowania, wrzucali dane osobowe powierzone im przez klientów kilka lat temu, które powinni usunąć. No i nastąpił jakiś atak hakerski i wykradziono im te dane. 

Jacek: Oni tam nawet mieli dane klientów, z którymi już nie współpracowali. 

Irek: Właśnie o tym mówię, zakończyła się umowa, powinni usunąć te dane, pewnie takie były wymogii w umowie. Zresztą nawet bez tych wymogów RODO wskazuje, że jeżeli nie są dane osobowe do czegoś potrzebne, no to powinniśmy je usunąć, przestać je przetwarzać. 

Oni się do tego nie zastosowali i to jest jeszcze ciekawe, bo na razie jeszcze żadnych kar nie mamy, tylko że UODO powoli czasem wyjaśnia niektóre incydenty i tu nawet po kilku latach dopiero nakłada kary. 

Tutaj jestem ciekawy, jak to będzie wyglądało, bo wina jest oczywista. 

Jacek: Tutaj tak, natomiast z drugiej strony to jest ciekawe, bo tu pacjent mimo wszystko, jeśli ma kogoś obwiniać, to rozumiem placówkę, bo co go interesuje, z jakiego systemu ta placówka korzysta? 

Irek: Zawsze odpowiedzialny będzie administrator. Tutaj też było pytanie na naszym czacie na samym początku o tych słabych i silnych oddziałach, że w jakiejś części firmy, może właśnie w jakiejś placówce mamy dobrą ochronę danych, w drugiej gorzej to funkcjonuje, ale zawsze będzie odpowiedzialny administrator za to i on będzie musiał wykazać potem w razie jakiegoś postępowania wyjaśniającego, że wszystko było w porządku albo że przynajmniej zrobiono, co można. Ale nigdy nie będzie odpowiedzialny jakiś inny podmiot, chociaż może być też podmiot przetwarzający, ale w tym incydencie, o którym umówiliśmy, jeżeli nastąpił wyciek danych osobowych powierzonych przez klientów Medily, no to administrator, czyli ci klienci najpierw odpowiadają i oni ewentualnie potem mogą się odpowiedzieć, że zrobili co mogli – czyli na przykład w umowie był zapis, że firma, której powierzaliśmy dane osobowe, ma je usunąć czy natychmiast, czy nie wiem, w ciągu dwóch, trzech miesięcy od zakończenia obowiązywania umowy. No i dobrze by było, żebyśmy potem jeszcze odebrali takie oświadczenie o usunięciu i wtedy naprawdę wykazujemy, że zrobiliśmy, co mogliśmy. Jeżeli tego nie zrobiliśmy, no to już mamy problem. 

Jacek:< Paweł, a właśnie a propos jeszcze tego usuwania tych rzeczy, Wy też macie jakąś taką procedurę związaną z wymianą komputera i w ogóle takich nośników danych, w sensie, żeby je jakoś utylizować i tak dalej?

Paweł: Znaczy, my na to zwracamy szczególną uwagę, czy procedurę – powiedzmy, że dobre praktyki nasze, postępowanie jak z tymi rzeczami, bo tam komputer to jest sprzęt, to jest elektronika utylizacja, ale te nośniki, bo dążymy do tego, żeby te najważniejsze dane były na serwerze, serwer backupujemy, natomiast unikamy tego, żeby jakieś ważne dane były na jakimś nośniku, tylko bym powiedział, takie piki tymczasowe, to jakieś tam bieżącej pracy, a tak wszystkie ważne dane, ważne, tak jak czy system, czy to jest właśnie, czy w chmurze, czy gdzieś lokalnie, to jest jakaś baza daneych, czy jakieś tam SQL, czy coś takiego, no to żeby to było tam zapisywane. Takie nasze dobre praktyki mamy, no i to jest dość wrażliwy temat, bo też jest tak, że ktoś nam mówi, a tam nic ważnego nie ma i mieliśmy nawet taką sytuację, że trzeba się teraz upewnić, już wprowadziliśmy tak, może nie procedura formalną, ale już zostało zapowiedziane, zapowiedziane u nas wewnętrznie, żeby to weryfikować i fordmalnie potwierdzać, tak, żeby ktoś nam to sprawdził te dane.

Bo ludzie nawet sobie nie zdają sprawy tak naprawdę, tak? Jakie dane mamy tam przechowywane i tak dalej i no to trzeba niestety dwa czy dwa razy sprawdzać, potwierdzić no fajnym takim casem jest, jak dajemy, nie wiem, nawet telefon do serwisu, żeby nam wymienić, nie wiem, folię na ekranie cokolwiek, tak już trochę przerysowuję, no to tam jest informacja, że czy zgadza się na to, że twoje dane zostaną odwracane i tak dalej, no i tutaj też no w to stronę idziemy, 

No bo możemy coś utracić bezpowrotnie, no i to w szczególny sposób mówię, powinniśmy weryfikować, formatować, niszczyć, trwale, żeby nie było tych danych. Albo jeżeli mamy to nawet zostawiamy te nośniki, żeby, my szczerze my nie chcemy, bo my tam nawet nie wiemy do końca co jest i nagle się okazuje, że przetwarzamy dane osobowe, dam dość istotne, ważne, a my tylko wzięliśmy komputer do utylizacji. 

Jacek: OK. Słuchajcie, będziemy powoli do końca, bo umówiliśmy się na godzinę, że Was nie będę dłużej trzymał, ale Irek, może jeszcze pewnie jesteś w temacie, a to zawsze są smaczki, jakieś głośne afery oprócz tego Aurero, Medily, to co jeszcze było w medycynie?

Irek: Każdy słyszał, o alabie, prawda? Tak. I tutaj też jeszcze mamy tą sytuację, że nie wiemy, z jakimi konsekwencjami się to spotka, przynajmniej jeśli chodzi o prezesa UODO, bo ten incydent, no to taka jest delikatna nazwa w porównaniu do tego, co się stało, bo tam chyba kilkadziesiąt tysięcy, czy nawet nie, jakieś dwieście tysięcy osób… w każdym razie ogromny wyciek danych z jednej z największych sieci diagnostycznych w Polsce, jeśli nie największej. Szantaż oczywiście, jeśli chodzi o tą firmę, nie wiem czy ktokolwiek się decyduje w takich sytuacjach na zapłacenie okupu hakerom. No o tym nigdy nie wiemy, bo takich danych się nie podaje, ale to nam pokazuje, że chociaż nie znamy jeszcze w tym momencie szczegółów. To pewnie dopiero się okaże, gdy prezes UODO wyda jakąś decyzję, nałoży karę na ten podmiot, to wtedy w tej decyzji mamy całą tą sytuację i przyczyny ładnie, dokładnie opisane. 

Tak było chociażby w najsłynniejszej sprawie, jeśli chodzi o naruszenie ochrony danych osobowych, ale to nie z branży medycznej, tylko morele.net, prawda? To w zasadzie osoby, które nawet niewiele mają do czynienia z branżą prawną i z ochroną danych osobowych i słyszały o tym wycieku, bo to był pierwszy, duży w Polsce wyciek po wejściu w życie rozporządzenia RODO, gdzie prezes Urzędu Ochrony Danych nałożył ponad 3 miliony złotych kary i potem cały czas walka sądowa. 

No ale jak czytamy potem tą decyzję, to widzimy, co się działo, gdzie były błędy po stronie administratora. Tutaj, jeśli chodzi o Alab, nie wiemy tego, to na razie są tylko przypuszczenia, ale ogromny wyciek danych, listopad ubiegłego roku, część tych danych została przez hakerów wrzucona do sieci. Potem instytucje rządowe już uruchomiły wyszukiwarkę, gdzie po wpisaniu numeru PESEL wiedzieliśmy, czy nasze dane osobowe zostały wykradzione, czy też nie, no, ale jeśli chodzi o konsekwencje, to dopiero się okaże po postępowanie wyjaśniające prezesa UODO zawsze ładnych kilka miesięcy trwa.

Jacek: OK, to co? Bardzo Wam dziękuję. Słuchajcie, do klientów się zgłaszam i do no w ogóle widzów, nie tylko klientów Proassist, bo pewnie są dzisiaj z nami. Jeżeli będziecie mieli jakieś sprawy prawne związane z placówką medyczną, czy z ochroną danych osobowych, to zapraszamy do Irka. Jeżeli są jakieś sprawy związane z sprzętem, sieciami, zapraszamy do Pawła.