Spis treści
Co to są dane medyczne?
Dane medyczne to wszelkie informacje dotyczące zdrowia pacjenta.
Jak podaje gov.pl, do danych medycznych należą:
- Numer, symbol lub oznaczenie, które służą identyfikacji pacjenta,
- Informacje pochodzące z badań laboratoryjnych,
- Informacje o chorobie, niepełnosprawności, ryzyku choroby, historii medycznej, leczeniu klinicznym.
Z uwagi na swoją wrażliwość, bezpieczeństwo danych medycznych jest szczególnie chronione przez regulacje prawne, takie jak RODO.
Jakie przepisy regulują bezpieczeństwo danych medycznych w Polsce?
Ochrona danych medycznych wynika z kilku równoległych regulacji, które łącznie tworzą złożony obowiązek prawny:
RODO
Rozporządzenie ogólne o ochronie danych nakada na podmioty przetwarzające dane medyczne obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych. Kary za naruszenia sięgają do 20 mln EUR lub 4% rocznego obrotu — ta wyższa kwota jest podstawą wymiaru. Naruszenie danych zdrowotnych należy do najdroższych incydentów.
Ustawa o prawach pacjenta i Rzecznik Praw Pacjenta
Określa zasady udostępniania dokumentacji medycznej. Dane mogą być przekazywane wyłącznie za zgodą pacjenta, w toku leczenia lub na podstawie wyraźnego przepisu prawa. Nieuprawnione ujawnienie grozi odpowiedzialnością karną (do 2 lat pozbawienia wolności) i cywilną.
Rozporządzenie o elektronicznej dokumentacji medycznej (EDM)
Placówki medyczne są zobowiązane do regularne analizy zagrożeń, wdrożenia procedur zabezpieczających, stosowania nowoczesnych środków ochrony, aktualizacji oprogramowania i kontroli skuteczności zabezpieczeń. Systemy informatyczne muszą zapewniać integralność, niezmienność i rozliczalność wszystkich wpisów.
NIS2 / nowelizacja UKSC (od 2 kwietnia 2026)
Sektor ochrony zdrowia został wskazany wprost jako sektor kluczowy w dyrektywie NIS2 i polskiej ustawie o KSC. Szpitale, sieć szpitali oraz laboratoria referencyjne — niezależnie od liczby pracowników — podlegają obowiązkowi rejestracji, budowy systemu zarządzania bezpieczeństwem informacji (SZBI) i raportowania incydentów do CSIRT. Dowiedz się więcej na temat terminów UKSC w Polsce.
Komu można udostępnić dane medyczne?
Artykuł 26 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta mówi, że dane medyczne pacjenta można udostępniać w następujących sytuacjach:
- Za zgodą pacjenta — dane mogą być przekazywane, jeśli pacjent wyrazi na to zgodę.
- W trakcie leczenia — informacje mogą być udostępniane zaangażowanym w proces leczenia.
- Obowiązki prawne — dane mogą być również udostępniane, gdy wynika to z przepisów prawa (np. organy ścigania).
Co grozi za ujawnienie danych medycznych?
Ujawnienie danych medycznych bez zgody pacjenta może prowadzić do poważnych konsekwencji. Naruszenie przepisów o ochronie danych osobowych może skutkować wysokimi karami finansowymi, a także utratą reputacji placówki medycznej.
Poniżej przedstawiamy przykładowe kary, które można otrzymać za ujawnienie danych medycznych:
Odpowiedzialność karna
Zgodnie z art. 266 Kodeksu karnego, ujawnienie tajemnicy zawodowej, w tym danych medycznych, grozi karą pozbawienia wolności do lat 2.
Odpowiedzialność cywilna
Osoba, która ujawni dane medyczne, może ponieść odpowiedzialność cywilną za naruszenie dóbr osobistych pacjenta. Pacjent może domagać się odszkodowania oraz zadośćuczynienia za doznaną krzywdę.
Regulacje dotyczące ochrony danych osobowych
Zgodnie z RODO, naruszenie przepisów o ochronie danych osobowych może skutkować karami finansowymi sięgającymi do 20 milionów euro lub 4% rocznego światowego obrotu danej firmy.
Typowe zagrożenia dla bezpieczeństwa danych w sektorze medycznym
Organizacje z branży ochrony zdrowia są narażone na szereg zagrożeń wynikających ze specyfiki środowiska: ciągłości działania, dużej liczby użytkowników systemów, integracji z zewnętrznymi rejestrami oraz obecności urządzeń podłączonych do sieci. Do najczęściej występujących zagrożeń należą:
Ataki z użyciem oprogramowania ransomware
Szyfrowanie danych i systemów przez złośliwe oprogramowanie stanowi jedno z poważniejszych zagrożeń dla ciągłości działania placówek medycznych. Skuteczny atak może uniemożliwić dostęp do dokumentacji medycznej, wyników badań i systemów obsługujących procesy kliniczne.
Podatności w urządzeniach podłączonych do sieci
Urządzenia medyczne z dostępem do sieci — aparatura diagnostyczna, systemy monitorowania, pompy infuzyjne — mogą działać na przestarzałych systemach operacyjnych lub nie posiadać aktualnych aktualizacji bezpieczeństwa. W połączeniu z brakiem segmentacji sieci może to stwarzać ryzyko dla całej infrastruktury organizacji.
Nieautoryzowany dostęp do danych
Nieaktualne konta użytkowników, nadmierne uprawnienia lub brak kontroli dostępu to częste przyczyny naruszeń bezpieczeństwa. Problem dotyczy zarówno dostępu wewnętrznego, jak i zewnętrznego — na przykład w przypadku integracji z systemami zewnętrznymi.
Błędy ludzkie i ataki socjotechniczne
Znacząca część incydentów bezpieczeństwa wynika z niezamierzonych działań pracowników. Phishing, nieprawidłowe udostępnienie danych czy korzystanie z niezabezpieczonych kanałów komunikacji to zagrożenia, którym można zapobiegać poprzez szkolenia i wdrożenie odpowiednich procedur.
Ryzyko w integracji z systemami zewnętrznymi
Placówki medyczne wymieniają dane z zewnętrznymi rejestrami i platformami — w tym z systemami e-zdrowia. Każda integracja powinna być objęta analizą ryzyka, a połączenia odpowiednio zabezpieczone i monitorowane.
Elektroniczna dokumentacja medyczna – wytyczne ochrony
Ogólną definicję ochrony zawiera Rozporządzenie z dnia 6 kwietnia 2020 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania.
Zgodnie z rozporządzeniem, podmioty medyczne zobligowane są do:
- Regularnej analizy aktualnych zagrożeń.
- Opracowywania i wdrażania procedur zabezpieczających dokumentację oraz systemy przetwarzania danych.
- Używania nowoczesnych środków ochrony
- Dbania o regularne aktualizacje oprogramowania stosowanego w placówkach.
- Kontroli działania i oceny skuteczności organizacyjnych oraz technicznych środków zabezpieczeń.
- Planowania i realizacji długofalowych strategii przechowywania dokumentacji.
Rozporządzanie określa także wytyczne dla systemów informatycznych. Powinny one spełniać następujące wymagania:
- zapewniać integralność treści dokumentacji medycznej i metadanych.
- zabezpieczać EDM przed wprowadzaniem nieautoryzowanych zmian oraz dostępem osób nieuprawnionych,
- wymagać identyfikacji osób sporządzających wpisy do dokumentacji,
- dostarczać informacje o czasie sporządzenia dokumentacji,
- umożliwiać prowadzenie i udostępnianie dokumentacji medycznej w określonych formatach,
- umożliwiać wydruk oraz eksport całości danych.
Przetwarzanie danych – jak zadbać o bezpieczeństwo danych medycznych?
Zabezpieczenie danych medycznych jest kluczowe dla ochrony prywatności pacjentów oraz zgodności z przepisami prawnymi. Aby skutecznie zadbać o bezpieczeństwo, warto skorzystać z naszych rozwiązań.
Framework Cyrima obejmuje swoim zakresem następujące obszary organizacji:
- zarządzanie projektami,
- zarządzanie zmianami w środowiskach IT,
- zabezpieczenie łańcucha dostaw
- zarządzanie ryzykiem i zgodnością regulacyjną
- zarządzanie ciągłością działania na poziomie projektowym i operacyjnym,
- wspiera w spełnieniu standardów bezpieczeństwa
Doświadczenie SEDIVIO w sektorze ochrony zdrowia
Od dwóch dekad uczestniczymy w realizacji projektów informatycznych dla sektora ochrony zdrowia w Polsce. W tym czasie nasz zespół pracował przy budowie i rozwoju systemów obsługiwanych przez instytucje centralne, resorty i wyspecjalizowane jednostki medyczne. Poniżej przedstawiamy wybrane projekty zrealizowane na rzecz podmiotów z tego sektora.
Ministerstwo Zdrowia / Centrum e-Zdrowia | System Obsługi Importu Docelowego (SOID) — projekt realizowany na rzecz Ministerstwa Zdrowia oraz Centrum e-Zdrowia w obszarze centralnych systemów teleinformatycznych. |
Ministerstwo Zdrowia | eGATE — obsługa podpisów elektronicznych w ochronie zdrowia. System wspierający cyfryzację administracji publicznej i jednostek medycznych. |
Ministerstwo Zdrowia | Rejestr Asystentów Medycznych — centralny rejestr wspierający cyfryzację usług medycznych. |
Ministerstwo Zdrowia | System Informatycznych Rezydentur (SIR) — system obsługujący przydział i zarządzanie miejscami rezydenckimi dla lekarzy w trakcie specjalizacji. |
Ministerstwo Zdrowia | SEZOZ — System Ewidencji Zasobów Ochrony Zdrowia umożliwiający usługodawcom zgłaszanie zasobów do centralnego rejestru. |
Poltransplant | Rejestr Dawców Szpiku — projekt realizowany dla Centrum Organizacyjno-Koordynacyjnego ds. Transplantacji. |
Klient komercyjny — sektor medtech | System obsługi sal operacyjnych — integracja sprzętu medycznego i niemedycznego, zarządzanie obrazem, wsparcie pracy na bloku operacyjnym. |
Jak możemy wesprzec Twoją organizację?
Na podstawie wieloletniego doświadczenia w pracy z systemami ochrony zdrowia oferujemy wsparcie w następujących obszarach:
- Audyt i ocena bezpieczeństwa: analiza luk w zakresie bezpieczeństwa informacji z uwzględnieniem specyfiki infrastruktury medycznej.
- Budowa systemu zarządzania bezpieczeństwem informacji (SZBI): opracowanie polityk, procedur i struktury odpowiedzialności zgodnych z wymaganiami RODO, przepisów o EDM i ustawy o KSC.
- Bezpieczeństwo integracji IT: ocena i weryfikacja zabezpieczeń połączeń z systemami zewnętrznymi, w tym platformami e-zdrowia.
- Procedury reagowania na incydenty: opracowanie procedur obsługi incydentów bezpieczeństwa, w tym wymogów raportowania wynikających z ustawy o KSC.
- Szkolenia: podnoszenie świadomości personelu medycznego i administracyjnego w zakresie zagrożeń i procedur bezpieczeństwa.
- Rozwiązania IT dla sektora zdrowia: projektowanie i wdrażanie bezpiecznych systemów informatycznych, integracja z rejestrami resortowymi, bazy danych w chmurze i on-premise, aplikacje mobilne.
Korzystamy z autorskich narzędzi, które umożliwiają monitorowanie podatności, zarządzanie incydentami, weryfikację ryzyka i poprawę odporności operacyjnej na co dzień, dzięki czemu wdrożenie regulacji i wymogów jest trwałe i praktyczne.
Napisz do nas!
Jeśli chcesz omowić potrzeby swojej organizacji w zakresie bezpieczeństwa danych lub systemu informatycznego w ochronie zdrowia, zapraszamy do kontaktu. Chętnie odpowiemy na pytania i określimy, w jaki sposób możemy wesprzec Państwa działania.
O SEDIVIO
Jesteśmy firmą technologiczną z blisko 20-letnim doświadczeniem w budowie cyfrowej infrastruktury Polski. Aktywnie wspieramy cyfryzację sektora publicznego i prywatnego, dostarczając rozwiązania, które spełniają najwyższe standardy bezpieczeństwa. Tworzymy systemy, które pozwalają naszym klientom działać efektywnie w dynamicznym środowisku cyfrowym.
Blisko 20 lat budowania
cyfrowej infrastruktury
Polski
Aktywnie uczestniczymy w transformacji cyfrowej Polski. Wykorzystując bogate doświadczenie, tworzymy i wdrażamy rozwiązania, które stanowią fundament cyfryzacji.
Bezpieczne i zgodne z regulacjami rozwiązania dla biznesu i sektora publicznego
Dostarczamy niezawodne i bezpieczne technologie dla firm oraz instytucji sektora publicznego, umożliwiając im efektywne działanie w dynamicznym środowisku cyfrowym.
Implementacja najwyższych standardów ochrony
Bezpieczeństwo danych i systemów naszych klientów jest dla nas priorytetem. Dzięki temu klienci mogą skupić się na rozwoju swojej działalności, mając pewność, że ich zasoby cyfrowe są w pełni chronione.
