• strona główna
  • Cyberbezpieczeństwo w branży medycznej – jakie obowiązki mają placówki?

Cyberbezpieczeństwo w branży medycznej – jakie obowiązki mają placówki?

Autor: Kamil Kołodziejczak, Radca Prawny |
Data publikacji: | Czas czytania: 11 min

Cyberbezpieczeństwo w branży medycznej jest prawnym obowiązkiem zarządu placówki, a nie kwestią techniczną pozostawioną działowi IT. Cyberbezpieczeństwo w branży medycznej oznacza wdrożenie środków organizacyjnych i technicznych adekwatnych do ryzyka, co wynika bezpośrednio z art. 32 RODO, ustawy o systemie informacji w ochronie zdrowia oraz nowelizacji ustawy o KSC (NIS2). Brak tych procedur naraża podmiot leczniczy na kary administracyjne sięgające 20 mln EUR lub 4% rocznego obrotu, a w przypadku podmiotów kluczowych – na osobistą odpowiedzialność członków zarządu grożącą karą do 600% miesięcznego wynagrodzenia.

Perspektywa Cyberpolex: W przeciwieństwie do firm IT, Cyberpolex nie konfiguruje serwerów ani nie instaluje firewalli. Cyberpolex zapewnia ochronę prawną decyzji biznesowych placówki medycznej i minimalizuje odpowiedzialność zarządu za naruszenia bezpieczeństwa informacji poprzez precyzyjne zdefiniowanie wymogów compliance przed wdrożeniem rozwiązań technicznych.

 

Kontekst prawny – trzy filary obowiązków placówki medycznej

Zarząd placówki medycznej musi realizować obowiązki wynikające z trzech głównych aktów prawnych, które wzajemnie się uzupełniają. Ignorancja w tym zakresie nie zwalnia z odpowiedzialności. Każdy z tych aktów nakłada specyficzne wymagania na przetwarzanie danych o zdrowiu i funkcjonowanie systemów informatycznych.

1. Ochrona danych osobowych (RODO)

Podstawowym aktem jest Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO). W placówkach medycznych kluczowe są trzy artykuły:

  • Art. 9 RODO: Określa zasady przetwarzania danych szczególnych kategorii (danych o stanie zdrowia). Ich przetwarzanie jest co do zasady zabronione, chyba że zachodzą przesłanki z art. 9 ust. 2 lit. h (profilaktyka zdrowotna, diagnoza medyczna, zapewnienie opieki zdrowotnej)).
  • Art. 32 RODO: Nakłada obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych (np. szyfrowanie, zapewnienie poufności i integralności systemów) adekwatnych do ryzyka.
  • Art. 35 RODO: Obowiązek przeprowadzenia oceny skutków dla ochrony danych (DPIA) przed rozpoczęciem operacji przetwarzania o wysokim ryzyku, co w sektorze medycznym dotyczy większości systemów IT.

2. Dyrektywa NIS2 i Ustawa o Krajowym Systemie Cyberbezpieczeństwa (UKSC)

Dyrektywa NIS2 jest wdrażana do polskiego porządku prawnego poprzez nowelizację Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) (Dz.U. 2024 poz. 1073). Sektor ochrony zdrowia został zaklasyfikowany jako sektor o wysokiej krytyczności.

  • Art. 21 Dyrektywy NIS2: Wymienia obowiązkowe środki zarządzania ryzykiem, w tym bezpieczeństwo łańcucha dostaw i procedury obsługi incydentów oraz polityki bezpieczeństwa systemów teleinformatycznych.
  • Art. 13 UKSC: Wskazuje postać elektroniczną jako podstawową formę prowadzenia dokumentacji i określa wymogi techniczne dla systemów IT (np. unikalność identyfikatora pacjenta, rejestrowanie każdej zmiany w dokumentacji – audit trail).
  • Art. 22 UKSC: Nakłada obowiązek zgłaszania incydentów do CSIRT NASK w terminie 24h (wczesne ostrzeżenie) i 72h (pełne zgłoszenie).

3. Zarządzanie dokumentacją medyczną

Zasady te regulują polskie akty krajowe, które narzucają wymogi techniczne na systemy IT:

  • Ustawa o prawach pacjenta (Art. 24 ust. 1): Nakłada na podmioty lecznicze obowiązek prowadzenia, przechowywania i udostępniania dokumentacji medycznej w sposób zapewniający ochronę danych. Okres przechowywania to standardowo 20 lat.
  • Rozporządzenie Ministra Zdrowia z 2020 r.: Wskazuje postać elektroniczną jako podstawową i określa wymogi techniczne (np. audit trail, unikalny identyfikator).
  • Ustawa o systemie informacji w ochronie zdrowia: Reguluje funkcjonowanie systemów takich jak P1 (e-recepty, e-skierowania) oraz zasady wymiany Elektronicznej Dokumentacji Medycznej (EDM).

 

Konsekwencje finansowe i osobiste – ile kosztuje brak bezpieczeństwa?

Brak zabezpieczeń w placówce medycznej generuje ryzyko sankcji z trzech niezależnych źródeł: organu ochrony danych (UODO), organu ds. cyberbezpieczeństwa (CSIRT/KSC) oraz prokuratury. Poniższa tabela przedstawia realne stawki kar, które mogą spaść na placówkę i jej zarząd.

Rodzaj odpowiedzialności Podstawa prawna Maksymalna kara finansowa Odpowiedzialność osobista zarządu
RODO (Podmioty prywatne) Art. 83 ust. 5 RODO Do 20 mln EUR lub 4% obrotu Brak bezpośredniej kary, ale odpowiedzialność cywilna.
RODO (Podmioty publiczne) Ustawa o ochronie danych osobowych Do 100 000 PLN Tak, w zakresie odpowiedzialności służbowej i cywilnej.
NIS2 / UKSC (Podmioty kluczowe) Art. 73a UKSC Do 10 mln EUR lub 2% obrotu TAK. Kara do 600% miesięcznego wynagrodzenia + zawieszenie w funkcji.
NIS2 / UKSC (Podmioty ważne) Art. 73a UKSC Do 7 mln EUR lub 1,4% obrotu TAK. Kara do 600% miesięcznego wynagrodzenia.
Naruszenie praw pacjenta Art. 68 Ustawy o prawach pacjenta Do 500 000 PLN (RPP) Odpowiedzialność dyscyplinarna i zawodowa.
Odpowiedzialność karna (KK) Art. 266 KK / Art. 107 UODO Grzywna lub pozbawienie wolności do lat 2-3 TAK. Bezpośrednia odpowiedzialność karna osób zarządzających.

Analiza ryzyka: Nowelizacja UKSC wprowadza mechanizm odpowiedzialności osobistej menedżerów, który nie istnieje w RODO dla sektora publicznego. Dyrektor szpitala, który zaniedba obowiązki cyberbezpieczeństwa, może zostać ukarany kwotą równowartości półrocznego wynagrodzenia, niezależnie od kary nałożonej na placówkę. Dodatkowo, pacjenci mają prawo do dochodzenia odszkodowań na drodze cywilnej (art. 82 RODO) za szkody majątkowe i niemajątkowe, co w przypadku masowego wycieku danych medycznych może doprowadzić do upadłości prywatnej kliniki.

Analiza kluczowych procedur bezpieczeństwa w placówce medycznej

Zarząd placówki medycznej musi wdrożyć i nadzorować cztery kluczowe procedury. Każda z nich ma konkretną podstawę prawną, określone konsekwencje braku wdrożenia oraz wymaganą częstotliwość przeglądu.

1. Procedura reagowania na incydenty (Art. 33 RODO i Art. 22 UKSC)

Procedura reagowania na incydenty jest udokumentowanym procesem reakcji placówki medycznej na naruszenie ochrony danych lub incydent cybernetyczny.

  • Podstawa prawna: Art. 33 ust. 1 RODO oraz Art. 22 ust. 1 ustawy o KSC.
  • Konsekwencja braku: Kara do 20 mln EUR lub 4% obrotu (RODO) oraz kara na członka zarządu do 600% wynagrodzenia (KSC). Opóźnienie w zgłoszeniu powyżej 24h/72h jest okolicznością obciążającą.
  • Częstotliwość przeglądu: Testowanie procedury (symulacja incydentu) minimum co 6 miesięcy. Aktualizacja kontaktów do CSIRT i UODO przy każdej zmianie personelu.

2. Polityka haseł i zarządzania dostępem (Art. 32 RODO)

Polityka haseł i zarządzania dostępem określa zasady uwierzytelniania pracowników systemu informatycznego placówki.

  • Podstawa prawna: Art. 32 ust. 1 lit. b i d RODO (poufność i dostępność) oraz wytyczne ENISA dotyczące MFA.
  • Konsekwencja braku: Uznanie braku MFA za rażące niedbalstwo. Kara do 10 mln EUR lub 2% obrotu w przypadku wycieku wynikającego ze słabych haseł. Ryzyko odpowiedzialności karnej z art. 266 KK za ujawnienie tajemnicy.
  • Częstotliwość przeglądu: Przegląd uprawnień i listy aktywnych kont co kwartał. Wymuszona zmiana haseł przy zmianie stanowiska lub zwolnieniu pracownika (natychmiastowo).

3. Procedura backupu i odtwarzania danych (Art. 32 RODO i NIS2)

Procedura backupu i odtwarzania danych gwarantuje możliwość przywrócenia dostępności danych medycznych po awarii lub ataku ransomware.

  • Podstawa prawna: Art. 32 ust. 1 lit. c RODO (odtwarzanie danych) oraz wymogi NIS2 dotyczące ciągłości działania i Rozporządzenie Ministra Zdrowia (ochrona EDM).
  • Konsekwencja braku: Paraliż placówki medycznej. Brak możliwości leczenia pacjentów. Kara za naruszenie zasad przetwarzania danych (utracona dostępność) oraz odpowiedzialność karna za utratę dokumentacji medycznej.
  • Częstotliwość przeglądu: Test odtwarzalności kopii zapasowych (restore test) co 3 miesiące. Retencja backupów: minimum 30 dni (wymóg NIS2 dla podmiotów kluczowych) i 20 lat dla dokumentacji medycznej (wymóg Ustawy o prawach pacjenta).

4. Szkolenia personelu medycznego (Art. 39 RODO i Art. 21 KSC)

Szkolenia personelu medycznego podnoszą świadomość zagrożeń typu phishing i socjotechnik.

  • Podstawa prawna: Art. 39 ust. 1 lit. b RODO (podnoszenie świadomości) oraz Art. 21 ust. 2 lit. e ustawy o KSC (szkolenia z cyberbezpieczeństwa).
  • Konsekwencja braku: Brak dowodu należytej staranności. Pracownik jest uznawany za „najsłabsze ogniwo”. Kara za brak organizacji szkoleń. W przypadku wycieku – trudniejsza obrona przed odpowiedzialnością karną.
  • Częstotliwość przeglądu: Szkolenia obowiązkowe przy zatrudnieniu (onboarding) i refresh co 12 miesięcy. Symulacje phishingowe co 6 miesięcy.

 

Proces wdrożenia procedur – jak to zrobić krok po kroku?

Wdrożenie procedur bezpieczeństwa w placówce medycznej wymaga systemowego podejścia. Proces ten realizujemy w Cyberpolex w oparciu o 4-etapową metodykę:

  1. Audyt luk compliance placówki medycznej – czas trwania: 2–3 dni robocze.
    Efekt: Raport z Luk Compliance zawierający listę brakujących procedur, ocenę ryzyka prawnego (w tym ryzyka karnego dla zarządu) i priorytety naprawcze zgodne z NIS2 i RODO.
  2. Projektowanie dokumentacji prawnej – czas trwania: 5–10 dni roboczych.
    Efekt: Zestaw procedur (Reagowanie na Incydenty, Backup, Dostęp), Polityka Bezpieczeństwa Informacji oraz wzory umów powierzenia dostosowane do specyfiki podmiotu leczniczego i wymogów Rozporządzenia Ministra Zdrowia.
  3. Wdrożenie operacyjne i szkolenia – czas trwania: 2–3 dni robocze.
    Efekt: Przeprowadzone szkolenia personelu z listami obecności (dowód dla UODO i sądu), skonfigurowane procesy zgłaszania incydentów, przetestowane kopie zapasowe.
  4. Przegląd powdrożeniowy i symulacja – czas trwania: 1 dzień roboczy (po 90 dniach).
    Efekt: Raport z symulacji incydentu (tabletop exercise), aktualizacja procedur po pierwszych obserwacjach, plan przeglądów okresowych.

Kiedy firmy IT, zaczynają od zakupu sprzętu, Cyberpolex zaczyna od analizy prawnej. Firmy IT często wdrażają drogie rozwiązania, które nie spełniają wymogów art. 32 RODO, generując koszty prac powtórnych. Metody pracy Cyberpolex eliminują te ryzyka, definiując minimum prawne przed inwestycją techniczną.

Najczęstsze pytania dyrektorów placówek medycznych:

Czy mała przychodnia lekarska też musi mieć procedury cyberbezpieczeństwa?

Tak. Każda placówka medyczna przetwarza dane szczególnej kategorii (o zdrowiu) i podlega pod RODO (art. 9 i 32). Małe podmioty mogą być zwolnione z niektórych obowiązków NIS2, ale obowiązek zabezpieczenia danych i zgłaszania incydentów dotyczy każdego administratora danych.

Ile czasu ma placówka na zgłoszenie incydentu ransomware?

Placówka medyczna będąca podmiotem kluczowym lub ważnym musi zgłosić wczesne ostrzeżenie do CSIRT NASK w ciągu 24 godzin od wykrycia incydentu. Pełne zgłoszenie musi nastąpić w ciągu 72 godzin. Zgłoszenie do UODO również musi nastąpić w ciągu 72 godzin. Zgłoszenie do UODO (jeśli incydent dotyczy danych osobowych) również musi nastąpić w ciągu 72 godzin od stwierdzenia naruszenia. Opóźnienie grozi dodatkowymi sankcjami.

Czy zarząd ponosi osobistą odpowiedzialność karną za atak hakerski?

Tak, jeśli zarząd nie dopełnił obowiązków nadzorczych. Zgodnie z nowelizacją ustawy o KSC (wdrażającą NIS2), członkowie zarządu mogą ponieść karę finansową do 600% swojego miesięcznego wynagrodzenia, a w skrajnych przypadkach zostać czasowo zawieszeni w pełnieniu funkcji. Dodatkowo, za ujawnienie tajemnicy zawodowej (art. 266 KK) lub nieuprawnione przetwarzanie danych (art. 107 UODO) grozi odpowiedzialność karna, w tym pozbawienie wolności.

Co grozi za brak umowy powierzenia z dostawcą systemu IT?

Brak umowy powierzenia przetwarzania danych z dostawcą oprogramowania medycznego jest naruszeniem art. 28 RODO. Grozi za to kara administracyjna do 10 mln EUR lub 2% całkowitego rocznego obrotu światowego (dla podmiotów prywatnych). Dodatkowo, w razie wycieku danych przez dostawcę, placówka medyczna ponosi odpowiedzialność solidarną za szkody wyrządzone pacjentom.

Jak długo trzeba przechowywać dokumentację medyczną w formie elektronicznej?

Zgodnie z art. 29 Ustawy o prawach pacjenta, dokumentacja medyczna musi być przechowywana przez 20 lat od końca roku kalendarzowego, w którym dokonano ostatniego wpisu. W przypadku dzieci do lat 2 – do czasu osiągnięcia przez nie pełnoletniości plus 20 lat. System backupu musi gwarantować dostępność tych danych przez cały ten okres.

 

Skontaktuj się z Kancelarią Cyberpolex w Olsztynie

Ten artykuł opisuje minimum prawne wynikające z RODO, dyrektywy NIS2, ustawy o KSC oraz przepisów o prawach pacjenta. Organizacja może potrzebować więcej – zależy to od branży, liczby pracowników, przetwarzanych danych i statusu podmiotu kluczowego. Diagnoza pełnej zgodności wymaga audytu przeprowadzonego przez profesjonalistów, którzy rozumieją zarówno prawo, jak i specyfikę systemów medycznych.

Cyberpolex projektuje procedury szyte na miarę dla firm i organizacji z Olsztyna i całego województwa warmińsko-mazurskiego. Reprezentujemy przed UODO i CSIRT. Projektujemy procedury. Szkolimy personel. Chronimy zarządy przed odpowiedzialnością osobistą.

Skontaktuj się z Kancelarią w celu ustalenia terminu konsultacji i zakresu niezbędnych działań prawnych.

Dlaczego warto wybrać Cyberpolex?

  • Ochrona osobista zarządu: Minimalizujemy ryzyko kar indywidualnych (do 600% wynagrodzenia) i zawieszenia w funkcji dzięki precyzyjnym procedurom nadzorczym.
  • Lokalne wsparcie prawne: Jesteśmy w Olsztynie, znamy specyfikę szpitali powiatowych, SPZOZ i spółek komunalnych z Warmii i Mazur.
  • Kompleksowość prawno-techniczna: Łączymy wiedzę radcy prawnego z rozumieniem procesów IT i wymogów Rozporządzenia Ministra Zdrowia, eliminując luki między dokumentacją a rzeczywistością.
Nota prawna: Niniejszy artykuł ma charakter informacyjny i nie stanowi porady prawnej w rozumieniu art. 6 ustawy o radcach prawnych. Każda sytuacja compliance placówki medycznej wymaga indywidualnej analizy przez prawnika specjalizującego się w cyberbezpieczeństwie prawnym. Cyberpolex zastrzega sobie prawo do aktualizacji treści w przypadku zmian przepisów prawa.