Η Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, στο πλαίσιο άσκησης των αρμοδιοτήτων της, διενήργησε δέκα (10) διοικητικούς ελέγχους σε δημόσια και ιδιωτικά νοσοκομεία και κλινικές. Σκοπός των ελέγχων ήταν η αξιολόγηση του επιπέδου ασφαλείας και προστασίας προσωπικών δεδομένων των πληροφοριακών συστημάτων τους και η συμβουλευτική υποστήριξή για την αντιμετώπιση των κινδύνων ασφαλείας. Έμφαση δόθηκε στη χρήση ηλεκτρονικών δικτύων και επικοινωνιών για τη διαχείριση των δεδομένων υγείας των ασθενών, καθώς και στη λειτουργία ειδικευμένων ηλεκτρονικών εφαρμογών, όπως ο ηλεκτρονικός ιατρικός φάκελος ασθενή.
Τα νοσοκομεία ελέγχθηκαν κυρίως ως προς την τήρηση των επιταγών του άρθρου 10 του ν.2472/97 για το απόρρητο και την ασφάλεια της επεξεργασίας προσωπικών δεδομένων. Σύμφωνα με το άρθρο αυτό, ο υπεύθυνος επεξεργασίας οφείλει να λαμβάνει τα κατάλληλα οργανωτικά και τεχνικά μέτρα για την ασφάλεια των δεδομένων και την προστασία τους από τυχαία ή αθέμιτη καταστροφή, τυχαία απώλεια, αλλοίωση, απαγορευμένη διάδοση ή πρόσβαση και κάθε άλλη μορφή αθέμιτης επεξεργασίας. Επίσης, στο πλαίσιο των ελέγχων εξετάστηκε και η γενικότερη συμμόρφωση των υπεύθυνων επεξεργασίας (νοσοκομείων) ως προς τις προϋποθέσεις νόμιμης επεξεργασίας προσωπικών δεδομένων (άρθρα 4, 6 και 7 του ν. 2472/97), καθώς και ως προς τις ειδικότερες διαδικασίες που τηρούν για την ικανοποίηση των δικαιωμάτων των ασθενών (άρθρα 11 και 12 του ν. 2472/97).
Τα πορίσματα των ελέγχων, λαμβάνοντας υπόψη τον ευαίσθητο χαρακτήρα των δεδομένων υγείας και τις διεθνώς αποδεκτές πρακτικές ως προς την ασφάλεια πληροφοριακών συστημάτων (όπως τη σειρά του προτύπου ISO/IEC 27000), παρουσιάζουν τα ευρήματα της Αρχής αναφορικά με ελλιπή μέτρα ασφάλειας και προστασίας προσωπικών δεδομένων που εντοπίστηκαν στα νοσοκομεία, καθώς και τις προτεινόμενες συστάσεις για την αντιμετώπιση των κινδύνων που δημιουργούνται.
Τα συμπεράσματα από την ανάλυση των ευρημάτων δείχνουν ότι το επίπεδο ασφάλειας ιδίως στα δημόσια νοσοκομεία είναι γενικά ανεπαρκές και οφείλεται κυρίως στην έλλειψη οργάνωσης και διαδικασιών παρά σε αμιγώς τεχνικές ελλείψεις. Χαρακτηριστικά παραδείγματα αποτελούν οι ανύπαρκτες ή ανεπαρκείς πολιτικές και σχέδια ασφάλειας, οι ελλείψεις κατά τη διαχείριση των πληροφοριακών αγαθών, των χρηστών των πληροφοριακών συστημάτων, του φυσικού αρχείου ιατρικών φακέλων. Διαπιστώθηκε επίσης πως αν και τα περισσότερα πληροφοριακά συστήματα νοσοκομείων που ελέγχθηκαν διαθέτουν δυνατότητες ασφαλείας, αυτές δεν είχαν ενεργοποιηθεί επαρκώς.
Η Αρχή προγραμματίζει τη διενέργεια επαναληπτικών επιτόπιων ελέγχων στα νοσοκομεία που ελέγχθηκαν προκειμένου να διαπιστωθεί η συμμόρφωση των υπεύθυνων επεξεργασίας στις συστάσεις των πορισμάτων, αλλά και τη συνέχεια των ελέγχων σε άλλα νοσηλευτικά ιδρύματα.
