Milyen esetek minősülhetnek adatvédelmi incidensnek és hogyan ismerhetjük fel egyáltalán, hogy adatvédelmi incidenssel van dolgunk? 

Adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. (Általános adatvédelmi rendelet – GDPR rendelet 4. cikk 12. pont)

A teljesség igénye nélkül legtöbbször az alábbi esetek fordulnak elő

  • az EESZT felületen történő téves adatrögzítés 
  • beteg adatokat tartalmazó adathordozó (pl.: mobiltelefon, laptop, pendrive, külső HDD stb.) eltulajdonítása/elvesztése (és nem készült biztonsági másolat)
  • páciens fénykép/videó közzététele megfelelő hozzájárulás hiányában
  • hibás/téves email címre küldött betegadatot tartalmazó számla/lelet küldése
  • betegadatok másolása és jogosulatlan továbbítása harmadik fél részére
  • kibertámadás miatt nem elérhetőek a betegkartonok
  • papíralapú betegkartonok elvesztése

Kinek kell kivizsgálnia az adatvédelmi incidenst és miért fontos ez?

Az incidenst az adatot kezelő egészségügyi szolgáltatónak kell kivizsgálnia. Javasolt bevonni az incidenssel érintett munkatársakat, ügyvezetőt és jogi vezetőt (külsős megbízott jogi szakértőt) és az informatikust is. Természetesen, ha van kinevezett adatvédelmi tisztviselő, akkor az ő bevonása is elengedhetetlen, az ő nevét és kapcsolattartási adatait meg is kell adni a hatósági bejelentésben. Ilyenkor ő a kapcsolattartási pont az adatvédelmi hatóság és az incidenssel érintett egészségügyi szolgáltató között.

 Kivizsgálás hiányában a hatások mérséklésére, illetve az incidens jövőbeni elkerülése érdekében tett intézkedések is elmaradnak. Az egészségügyi szolgáltató így könnyen súlyos jogi következményekkel találhatja szembe magát. Az incidenssel érintett páciensnek fizikai, vagyoni vagy nem vagyoni kárai merülhetnek fel. Pl.: elveszítheti a személyes adatai feletti rendelkezés lehetőségét, vagy az orvosi titoktartás által védett személyes adatai bizalmas jellegének sérülésére is sor kerülhet. 

A Nemzeti Adatvédelmi és Információszabadság Hatóság ezért fokozott figyelmet szentel arra, hogy az adatvédelmi incidensekkel kapcsolatos jogszabályi kötelezettségek betartásra kerüljenek, és a páciens jogainak érvényesítése érdekében az egészségügyi szolgáltató maradéktalanul betartsa a jogszabályokat. A rendelő kötelezettségeinek betartásában segít az „Egészségügyi adatkezelések banánhéja”, rendelői adatvédelmi esettanulmányunk. 

Milyen adatvédelmi intézkedéseket kell megtenni? 

Kulcsfontosságú, hogy az adatvédelmi incidens bekövetkezéséről történő tudomásszerzést követően azonnal megkezdjük annak kivizsgálását. Itt tényleg minden perc számít, hiszen az egészségügyi szolgáltatónak, mint adatkezelőnek indokolatlan késedelem nélkül, legkésőbb a tudomásszerzést követő 72 órán belül be kell jelentenie az adatvédelmi incidenst,

Az adatvédelmi incidens kivizsgálása az alábbi lépésekből áll

  • azonosítanunk kell, hogy valóban adatvédelmi incidens történt-e, 
  • dokumentálnunk kell az adatvédelmi incidens körülményeit,
  • el kell végezni a kockázati értékelést, azaz be kell sorolni kockázati szintek szerint az incidenst,

Adatvédelmi incidensek kockázati szintjei

Három lehetséges kockázati szintbe sorolhatóak az adatvédelmi incidensek, attól függően, hogy milyen kockázatúak:

  • Valószínűsíthetően nem jár kockázattal az érintett jogaira/szabadságaira nézve 
  • Kockázattal jár az érintett jogaira/szabadságaira nézve
  • Valószínűsíthetően magas kockázattal jár érintett jogaira/szabadságaira nézve 
  • az adott kockázati szint függvényében döntést kell hozni arról, hogy az adatvédelmi hatóság részére bejelentjük-e az incidenst,
  • illetve, hogy értesítjük-e a pácienst (adatkezelés más érintettjét) az incidensről

A kockázati besorolás kiemelt jelentőségű, hiszen ez alapján kell dől el, hogy kell-e bejelentést tenni a hatóságnak, illetve értesíteni kell-e a pácienst vagy sem. Ha segítségre van szüksége az adatvédelmi incidens értékeléséhez, örömmel állok rendelkezésére, hívjon bizalommal. 

Mikor kell bejelenteni az incidenst az adatvédelmi hatóságnak? 

Minden esetet be kell jelenteni főszabály szerint a NAIH mint adatvédelmi hatóság részére. Kivétel, ha az incidens valószínűsíthetően nem jár kockázattal az érintett jogaira/szabadságaira nézve. 

A bejelentést online, a hatóság honlapján található Incidens bejelentő rendszer használatával érdemes megtenni. 

Másrészről e-papír segítségével, cégkapu/ügyfélkapu illetve DÁP tárhely (digitális állampolgárság program) felületén történő azonosítás után, az erre rendszeresített NAIH Formanyomtatvány használatával is megtehető. 

A bejelentést indokolatlan késedelem nélkül, legkésőbb a tudomásszerzést követő 72 órán belül szükséges megtenni. 

Kell-e értesíteni az érintett pácienst az incidensről és ha igen mikor? 

 Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. Tehát az egészségügyi szolgáltatónak ebben az esetben a lehető leghamarabb tájékoztatnia kell az incidenssel érintett pácienst. Fontos, hogy a páciensnek teljes körű tájékoztatást biztosítsunk. 

Adatvédelmi incidensre gyakorlati példák: 

  • Gyakran előfordul, hogy az asszisztens rosszul rögzíti az email címet, így más személy kaphatja meg pl.: a páciensnek szánt számlát vagy a beteg vérvételi/labor eredményét. 
  • Egy orvos a honlapján a páciens arcát is ábrázoló képet tölt fel, egy esetbemutatás részeként, és nem kér ehhez előzetes hozzájárulást a betegtől. 
  • A betegnyilvántartó szoftverhez illetéktelenek fértek hozzá, így a személyes adatok harmadik személy részére váltak hozzáférhetővé.
  • Hiba következtében végleges betegadat vesztés történik az egészségügyi szolgáltató rendszeréből vagy az orvos nem találja a beteg papíralapú dokumentumait.
  • Más nevére szóló beutaló/lelet kerül véletlenül átadásra a beteg részére.  

Hogyan tudjuk az incidens bekövetkezése ellen védekezni, illetve, ha már bekövetkezett, a kockázatait mérsékelni?

A legjobb védekezés a megelőzés. Kiemelt jelentősége van annak, hogy a rendelő az adatvédelmi megfelelését hogyan szabályozza, betartja az adattakarékosság elvét, illetve, hogy rendelkezik-e incidens kezelési szabályzattal. Hangsúlyos a humán erőforrás megfelelő képzése (adatvédelmi oktatása), valamint az is, hogy hozzáférések szabályozását és az információbiztonsági háttért tekintve is felkészült és naprakész legyen a rendelő. 

Ha hiányoznak az adatvédelmi megfelelést biztosító dokumentumai (pl.: adatvédelmi szabályzat, incidenskezelési terv, adatkezelési tájékoztatók) vagy adatvédelmi megfelelés érdekében oktatást szervezne a beosztottjainak, munkavállalóinak, közreműködőinek, keressen bizalommal. 

Ugyanakkor, ha már bekövetkezett az adatvédelmi incidens, akkor különösen is hangsúlyos, hogy a jogszabályokban rögzített feladatainknak határidőben eleget tegyünk, valamint, az is, hogy az adatvédelmi incidenst nyilvántartsuk. 

Kell-e vezetni nyilvántartást az adatvédelmi incidensekről?

Az egészségügyi szolgáltató, mint adatkezelő felelőssége, hogy az adatvédelmi incidenst nyilvántartsa. A nyilvántartásban nemcsak az incidens körülményeit, hanem azt is dokumentálni kell, hogy milyen hatásai voltak az incidensnek, továbbá, azt is rögzíteni kell, hogy milyen intézkedéseket tett az egészségügyi szolgáltató annak érdekében, hogy ilyen incidensek a jövőben ne következhessenek be. 

Figyelni kell arra, hogy azt az incidenst is nyilván kell tartani, amelyet az egészségügyi szolgáltató nem jelent be az adatvédelmi hatóságnak, illetve amelyről nem értesíti az ügyfelet. A nyilvántartást az adatvédelmi hatóság (NAIH) jogosult bármikor ellenőrizni és abba betekinteni. 

Mit kell tenni adatvédelmi incidens esetén? (Lépésről lépésre)

Az adatvédelmi incidens kezelése az alábbi lépésekből áll:

  1. Az incidens azonosítása – valóban adatvédelmi incidens történt-e?
  2. Az incidens dokumentálása – körülmények rögzítése 
  3. Kockázatértékelés elvégzése 
  4. Döntés a bejelentésről 
  5. Szükség esetén az érintettek tájékoztatása

Ha az Ön rendelőjében adatvédelmi incidens következett be, és segítségre van szüksége az adatvédelmi incidens kezelésével kapcsolatban, forduljon bizalommal hozzám elérhetőségeimen.  


Gyakran ismételt kérdések

Mi minősül adatvédelmi incidensnek?


A biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi.


Mikor kell bejelenteni az adatvédelmi hatóságnak?


Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenti a NAIH-nak mint felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.


Mikor kell tájékoztatni az adatvédelmi incidenssel érintett pácienst? 


Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről.


Mennyi idő áll rendelkezésre az incidens kivizsgálására?


Az adatvédelmi incidensről történő tudomásszerzést követően minél hamarabb ki kell vizsgálni, hiszen legkésőbb 72 órán belül adott esetben be kell jelenteni az incidenst. Ha az adatkezelő már észszerű mértékű bizonyossággal bír az incidens bekövetkeztéről, de még nem rendelkezik minden információval azzal kapcsolatban, érdemes – a 72 órás határidő betartása érdekében – a szakaszos bejelentés lehetőségével élni. 


Kinek kell bejelentenie az adatvédelmi hatóság részére az incidenst?


Az adatkezelő egészségügyi szolgáltató köteles, az adatkezelése során bekövetkezett incidenst bejelenteni. Ha van adatvédelmi tisztviselő, akkor célszerű, ha ő végzi el a bejelentést, hiszen ő fog kapcsolattartási pontként szolgálni az adatkezelő és az adatvédelmi hatóság között. Ha nincs adatvédelmi tisztviselő, akkor bárki aki arra felhatalmazással rendelkezik az egészségügyi szolgáltató nevében megteheti a bejelentést, azonban érdemes mindig jogi szakemberrel konzultálni a bejelentés megtételét megelőzően.