W 2026 roku NIK będzie weryfikować cyberbezpieczeństwo oraz ochronę danych osobowych w sektorze ochrony zdrowia. Sprawdzamy, jaki jest zakres zaplanowanych kontroli, jak nawiązują one do wcześniejszych ustaleń NIK i dlaczego bezpieczeństwo dokumentacji pacjentów wciąż pozostaje istotnym problemem.
Ochrona danych osobowych i bezpieczeństwo informacji, a także cyberbezpieczeństwo systemów informacyjnych, to kwestie, które Najwyższa Izba Kontroli będzie weryfikować w 2026 roku w sektorze ochrony zdrowia. Sektorze, który od lat pozostaje istotnym celem ataków hakerskich oraz w którym tak wcześniejsze kontrole NIK, jak i przypadki skutecznych cyberwłamań pokazywały, że kwestie związane z bezpieczeństwem systemów i danych pacjentów stanowią istotny problem.
W Planie pracy Najwyższej Izby Kontroli na 2026 rok ujęto dwie kontrole dotyczące sektora ochrony zdrowia
🔹 Cyberbezpieczeństwo systemów informacyjnych w podmiotach leczniczych
Numer kontroli: P/26/048
Zakres tej kontroli koncentruje się na:
• odporności systemów informacyjnych na cyberzagrożenia,
• organizacji zabezpieczeń technicznych i organizacyjnych,
• gotowości podmiotów leczniczych na incydenty cyberbezpieczeństwa,
• wpływie cyberzagrożeń na ciągłość udzielania świadczeń zdrowotnych.
Choć formalnie mowa o „systemach informacyjnych”, w praktyce kontrola ta dotyka również bezpieczeństwa danych pacjentów, które są w tych systemach przetwarzane.
🔹 Ochrona danych osobowych i bezpieczeństwo informacji w szpitalach i innych podmiotach leczniczych
Numer kontroli: P/26/064
To kontrola, która wprost odnosi się do:
• zgodności przetwarzania danych osobowych z obowiązującymi przepisami,
• sposobu zabezpieczenia informacji przed dostępem osób nieuprawnionych,
• organizacji procesów przetwarzania danych w dokumentach i systemach,
• praktycznego stosowania zasad bezpieczeństwa informacji w podmiotach leczniczych.
W praktyce oznacza to ocenę nie tylko dokumentów i procedur, ale również realnych mechanizmów kontroli nad danymi — zwłaszcza tam, gdzie dane występują poza systemami centralnymi, np. w dokumentach, skanach, plikach roboczych czy lokalnych repozytoriach.
Aby zrozumieć sens kontroli w 2026 roku, warto spojrzeć na historię wcześniejszych działań NIK w ochronie zdrowia. Obecne kontrole można uznać za kolejne podejście do weryfikacji fundamentalnych zagadnień, choć dziś w zupełnie innych realiach technologicznych.
W 2016 roku Najwyższa Izba Kontroli przeprowadziła ogólnopolską kontrolę dotyczącą prowadzenia i udostępniania dokumentacji medycznej (źródło: NIK o prowadzeniu dokumentacji medycznej).
Formalnie nie była to kontrola cyberbezpieczeństwa ani ochrony danych osobowych zgodnie z dzisiejszym RODO. Jej wnioski dotyczyły jednak fundamentów bezpieczeństwa informacji — czyli elementów, bez których nie da się mówić o realnej ochronie danych.
• nieprawidłowości stwierdzono w 21 z 24 kontrolowanych podmiotów,
• uchybienia występowały w ok. 73,5% analizowanej dokumentacji medycznej,
• wskazano na ryzyko naruszenia poufności danych pacjentów, m.in. poprzez:
– pomieszanie dokumentacji różnych pacjentów,
– braki w kompletności i oznaczeniach dokumentów,
– niewłaściwe warunki przechowywania dokumentacji, w tym w otwartych szafach, kartonach czy na korytarzach,
• w wielu placówkach brakowało rzetelnych mechanizmów kontroli udostępniania dokumentacji.
Już wtedy NIK dokumentowała przypadki, które dziś nazwalibyśmy incydentami bezpieczeństwa informacji: zagubienia dokumentacji, dostęp osób nieuprawnionych, brak rejestrów udostępniania danych czy brak zabezpieczeń pomieszczeń. Problemy te miały charakter organizacyjny i procesowy, a postępująca cyfryzacja sektora ochrony zdrowia nie wyeliminowała ich, lecz w wielu przypadkach przeniosła do środowiska cyfrowego.
Od czasu tamtej kontroli minęło 10 lat. W tym czasie:
• dokumentacja medyczna w dużej mierze uległa cyfryzacji,
• powszechne stały się skany, pliki PDF, OCR i zdjęcia dokumentów,
• dane pacjentów zaczęły funkcjonować równolegle w wielu systemach i formatach,
• znacząco wzrosła skala oraz skutki cyberataków na sektor medyczny.
Jednocześnie wiele problemów zidentyfikowanych w 2016 roku nie zniknęło — zmieniła się jedynie ich forma. Brak kontroli nad dokumentacją papierową w 2016 roku przekształcił się w brak kontroli nad kopiami cyfrowymi, skanami i plikami roboczymi w 2026 roku — a więc w problem o znacznie większej skali i dynamice.
W 2016 roku zgubiona teczka z dokumentacją dotyczyła jednego pacjenta.
W 2026 roku zgubiony pendrive lub wykradzione dane z serwera mogą doprowadzić do wycieku danych osobowych na ogromną skalę.
Ostatnie lata przyniosły liczne przykłady wycieków danych i ataków ransomware w sektorze medycznym, zarówno w Polsce, jak i za granicą. Analizy tych zdarzeń pokazują wspólny mianownik:
• dane pacjentów były przechowywane poza systemami, które miały je chronić,
• brakowało realnej kontroli nad dokumentami i plikami,
• procedury istniały „na papierze”, ale nie działały w praktyce.
Organy nadzorcze coraz wyraźniej podkreślają, że kara nie jest nakładana za sam fakt ataku, lecz za:
• brak adekwatnych zabezpieczeń,
• niewystarczającą analizę ryzyka,
• zaniedbania organizacyjne, które zwiększyły skalę skutków incydentu.
To podejście jest spójne zarówno z praktyką UODO, jak i logiką kontroli NIK.
Choć tematy kontroli P/26/048 i P/26/064 są sformułowane różnie, w praktyce sprowadzają się do kilku kluczowych pytań:
• Czy podmiot leczniczy wie, gdzie znajdują się dane pacjentów — także poza systemami centralnymi?
• Czy dostęp do danych jest ograniczony i kontrolowany, czy funkcjonuje w oparciu o nieformalne, utrwalone praktyki?
• Czy organizacja potrafi bezpiecznie udostępniać i anonimizować dokumenty?
• Czy w razie incydentu da się szybko określić zakres danych objętych zdarzeniem?
To są pytania, które łączą kontrolę dokumentacji medycznej z 2016 roku z kontrolami cyberbezpieczeństwa i ochrony danych osobowych w 2026 roku.
Kontrole NIK zaplanowane na 2026 rok nie są oderwanym działaniem ani reakcją na pojedyncze incydenty. To kolejna weryfikacja systemowych zagadnień, które od lat powracają w ochronie zdrowia:
• kontroli nad dokumentacją,
• bezpieczeństwa informacji,
• odpowiedzialności za dane pacjentów.
Różnica polega na tym, że dziś skala ryzyka i konsekwencji jest nieporównywalnie większa niż 10 lat temu. Dlatego przygotowanie się do kontroli oznacza nie tyle uzupełnienie dokumentów, co realne uporządkowanie obszaru danych i dokumentów w codziennej praktyce.
W codziennej pracy podmiotów leczniczych dane pacjentów funkcjonują nie tylko w systemach centralnych, ale również w dokumentach, skanach, załącznikach, plikach roboczych oraz lokalnych zasobach IT. To właśnie w tych obszarach najczęściej powstają ryzyka związane z bezpieczeństwem informacji i ochroną danych osobowych — szczególnie w kontekście udostępniania dokumentów, pracy na kopiach oraz obiegu informacji poza systemami medycznymi.
Rozwiązania rozwijane przez Mycroft Solutions odpowiadają na te wyzwania, umożliwiając m.in.:
• wyszukiwanie danych osobowych w dokumentach i zasobach IT organizacji,
• identyfikację plików zawierających dane pacjentów poza systemami medycznymi,
• bezpieczną anonimizację dokumentów przeznaczonych do udostępniania, analiz lub publikacji,
• uporządkowanie pracy z dokumentami zgodnie z zasadami bezpieczeństwa informacji,
• przetwarzanie danych lokalnie, w infrastrukturze podmiotu, bez przekazywania ich do chmury.
Takie podejście pozwala organizacjom lepiej rozumieć, gdzie i w jaki sposób przetwarzane są dane pacjentów, ograniczać ryzyka związane z obiegiem dokumentów oraz porządkować codzienną praktykę pracy z informacją w środowisku cyfrowym. Więcej informacji o rozwiązaniach Mycroft, w tym o narzędziach do wyszukiwania danych osobowych i anonimizacji dokumentów, znajduje się w sekcji Produkty.
