Hasło i login to niezbyt mocne zabezpieczenie dostępu do systemu, 4.02.2013 r.
| Podmiot udostępniający: | Zespół Rzecznika Prasowego Biura GIODO | |
| Wytworzył informację: | Małgorzata Kałużyńska-Jasak | 2013-02-04 |
| Wprowadził‚ informację: | Rafał Kreusch | 2013-02-04 15:35:19 |
| Ostatnio modyfikował: | Rafał Kreusch | 2013-11-28 12:56:59 |
Dostęp do Systemu Informacji Medycznej powinien być mocno zabezpieczony – uważa GIODO.
Przy pomocy tworzonego właśnie Systemu Informacji Medycznej (SIM) przetwarzane będą dane medyczne, dlatego dostęp do niego powinien być właściwie zabezpieczony. Uwierzytelnianie się w tym systemie poprzez wpisanie jedynie loginu i hasła nie jest wystarczającym rozwiązaniem. Dr Wojciech Rafał Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych (GIODO) mówił o tym na antenie Polskiego Radia 24 w rozmowie z redaktorem Jackiem Cholewińskim. Podkreślał, że login i hasło są bardzo miękkim sposobem zabezpieczenia. O ile zastosowanie takie rozwiązania w przypadku systemu eWUŚ, za pomocą którego można jedynie sprawdzić, czy ktoś ma lub nie uprawnienie do bezpłatnej opieki zdrowotnej, jest dopuszczalne, o tyle jest nie do zaakceptowania w przypadku SIM. W systemie tym należałoby zastosować dodatkowe środki zapewniające maksymalną ochronę przetwarzanych w nim danych medycznych.
Dr Wojciech Rafał Wiewiórowski wskazywał ponadto, że SIM to bardzo skomplikowany system, a dostęp do niego będzie prawdopodobnie uzyskiwało, bardzo szerokie i zróżnicowane grono osób – m.in. lekarze, pielęgniarki, położne, farmaceuci, osoby zatrudnione w rejestracji.
– Jako GIODO chciałbym wiedzieć kto jest odźwiernym, kto ma w ręku klucze do systemu i kto je rozdaje użytkownikom oraz kto kontroluje takiego odźwiernego – mówił. Jakie to problemy może rodzić w codziennej praktyce, dr Wojciech Rafał Wiewiórowski wskazywał, podając przykład dyrektora szpitala będącego jednocześnie czynnym lekarzem. Odwołał się przy tym wyroku Europejskiego Trybunału Praw Człowieka, jaki zapadł w związku z nieuprawnionym przetwarzaniem przez szpital danych dotyczących zatrudnionej w nim pielęgniarki.
– Szpital pomylił bowiem swoją role pracodawcy wobec jednej z pielęgniarek z rolą szpitala, który leczy tą samą pielęgniarkę Dane, które były danymi pielęgniarki jako pacjentki, wykorzystał do spraw kadrowych, co jest absolutnie niedozwolone. Ten sam lekarz, lecząc pacjenta, jest kim innym niż będąc dyrektorem szpitala – wyjaśniał dr Wojciech Rafał Wiewiórowski.
Podczas wywiadu GIODO odniósł się także do innych zagadnień, m.in. planowanych zmian w unijnych przepisach dotyczących ochrony danych osobowych oraz konieczności uregulowania w osobnym akcie prawnym zasad stosowania monitoringu wizyjnego.



