2025-02-03

Monitoring CCTV w obiektach Medycznych – Kara dla Centrum Medycznego Ujastek

W związku z nałożeniem przez Prezesa Urzędu Ochrony Danych Osobowych kary na Centrum Medyczne Ujastek za wdrożenie monitoringu CCTV niezgodnie z obowiązującymi przepisami oraz braku poinformowania pacjentów oraz pracowników placówka musi zapłacić UODO prawie 700 tys. zł.
Druga kara nałożona na placówkę wynosi prawie 460 tys. zł. Centrum musi ją uiścić za brak wdrożenia odpowiednich środków bezpieczeństwa – technicznych i organizacyjnych, które zapobiegłyby ryzyku wycieku danych z kart pamięci urządzeń monitorujących. Łączna suma kar nałożonych przez UODO na placówkę wynosi 1 mln 146 tys. zł. !

Więcej szczegółów na temat decyzji UODO można znaleźć tutaj: Decyzja UODO.

Ten przypadek podkreśla, jak istotne jest prawidłowe projektowanie i zarządzanie systemem monitoringu, aby uniknąć sankcji i zapewnić zgodność z przepisami.

Poniżej przedstawiamy kluczowe zalecenia, które pomogą w zapewnieniu zgodności z przepisami oraz zwiększeniu poziomu bezpieczeństwa systemu monitoringu.

Zachęcamy do kontaktu w przypadku zapotrzebowania na analizę obecnej infrastruktury monitoringu wizyjnego lub planowanych wdrożeń systemu CCTV

1. Projektowanie systemu monitoringu zgodnego z RODO

Przed przystąpieniem do instalacji kamer należy przeprowadzić analizę wpływu na ochronę danych osobowych (DPIA) zgodnie z wymogami RODO. Należy określić:

  • Cel monitoringu – system powinien być wdrażany wyłącznie w uzasadnionych przypadkach, np. dla ochrony mienia lub zapewnienia bezpieczeństwa.
  • Zakres monitorowania – należy unikać nadmiernego gromadzenia danych, a monitoring nie może obejmować miejsc, gdzie mogłoby to naruszać prywatność osób (np. łazienki, szatnie, pomieszczenia socjalne).
  • Okres przechowywania nagrań – zgodnie z zasadą minimalizacji danych nagrania powinny być przechowywane tylko przez czas niezbędny do realizacji celów monitoringu.

2. Wybór bezpiecznych urządzeń i infrastruktury

Bezpieczeństwo systemu CCTV zaczyna się od odpowiedniego wyboru sprzętu. Przy wyborze kamer i systemów zarządzania należy zwrócić uwagę na:

  • Zastosowanie szyfrowania transmisji danych (TLS, HTTPS), co jest kluczowe w celu ochrony przed przechwyceniem nagrań.
  • Możliwość zarządzania dostępem do nagrań poprzez autoryzację użytkowników oraz mechanizmy logowania dwuetapowego, które zwiększają poziom ochrony.
  • Odpowiednie zabezpieczenie fizyczne urządzeń, takich jak rejestratory i serwery przechowujące nagrania, co pozwoli zapobiec ich kradzieży lub manipulacji.

3. Prawidłowe rozmieszczenie i montaż kamer

  • Kamery powinny być rozmieszczone w miejscach strategicznych, takich jak wejścia, korytarze czy strefy o wysokim ryzyku kradzieży, aby efektywnie zabezpieczać obiekt.
  • Należy unikać tzw. „martwych stref”, gdzie kamery nie rejestrują obrazu, ponieważ mogłoby to prowadzić do luk w zabezpieczeniach.
  • Warto zastosować technologię detekcji ruchu oraz analizy obrazu, co pozwoli na redukcję zbędnych nagrań i szybsze identyfikowanie incydentów.

4. Cyberbezpieczeństwo i ochrona przed atakami

Systemy CCTV coraz częściej stają się celem cyberataków. Dlatego też należy podjąć następujące działania:

  • Regularne aktualizowanie firmware’u kamer i systemów zarządzania nagraniami, aby eliminować znane luki bezpieczeństwa.
  • Stosowanie silnych haseł administracyjnych oraz ich regularna zmiana, co dodatkowo utrudni ataki.
  • Monitorowanie ruchu sieciowego w celu wykrycia nietypowych aktywności, mogących świadczyć o próbie włamania.

5. Aspekty sieciowe i dostęp z zewnątrz

  • Firewall i kontrola dostępu: Zastosowanie zapór sieciowych oraz list kontroli dostępu (ACL) pozwoli na ograniczenie ruchu sieciowego tylko do niezbędnych usług i adresów IP, co minimalizuje ryzyko nieautoryzowanego dostępu.
  • VPN: Dostęp do systemu monitoringu z zewnętrznych lokalizacji powinien odbywać się wyłącznie poprzez bezpieczne połączenia VPN, co zapewnia szyfrowanie transmisji danych oraz uwierzytelnienie użytkowników.
  • Silne uwierzytelnianie: Wdrożenie mechanizmów silnego uwierzytelniania, takich jak uwierzytelnianie dwuskładnikowe (2FA), zdecydowanie zwiększa bezpieczeństwo dostępu do systemu.

6. Monitorowanie i audyt

  • Logowanie zdarzeń: Należy włączyć szczegółowe logowanie wszystkich zdarzeń związanych z dostępem do systemu, zarówno lokalnie, jak i zdalnie. Dzięki temu możliwe będzie identyfikowanie potencjalnych naruszeń.
  • Regularne testowanie systemu: Weryfikacja poprawności działania zabezpieczeń i ustawień dostępu powinna odbywać się cyklicznie, aby nie dopuścić do luk w systemie.

7. Ostrożność przy wyborze chmury do monitoringu CCTV

Przed podjęciem decyzji o wykorzystaniu usług chmurowych do monitorowania CCTV, należy dokładnie przeanalizować ryzyka związane z:

  • Możliwością naruszenia prywatności i dostępności danych w przypadku ataku na dostawcę chmury.
  • Brakiem pełnej kontroli nad przechowywanymi nagraniami i możliwością dostępu przez osoby trzecie.
  • Potencjalnymi problemami związanymi z przenoszeniem danych do jurysdykcji poza UE, co może rodzić niezgodności z RODO.
  • W naszej ocenie jednostki medyczne, przetwarzające dane wrażliwe, przedsiębiorstwa produkcyjne, lub mające charakter krytyczny nie powinny korzystać z usług chmurowych. Suma korzyści nie jest warta podejmowanemu ryzyku.
  • Gdy chmura jest elementem koniecznym należy realizować pełny monitoring dot. kierunków oraz zmian komunikacji sieciowej do serwerów docelowych.
  • Stopień ryzyka tej funkcjonalności uznajemy za BARDZO WYSOKI.

Podsumowanie

Stosowanie powyższych praktyk pozwoli na efektywne i zgodne z RODO wykorzystanie systemów monitoringu CCTV. Dzięki temu zwiększa się zarówno bezpieczeństwo osób i mienia, jak i ochrona danych osobowych. Właściwa konfiguracja systemu, stosowanie nowoczesnych zabezpieczeń oraz przestrzeganie regulacji prawnych minimalizuje ryzyko naruszeń oraz konsekwencji prawnych, takich jak kary finansowe nałożone przez UODO.

Oferta BOIT w zakresie monitoringu CCTV

W BOIT oferujemy kompleksowe rozwiązania w zakresie monitoringu CCTV, obejmujące:

  • Projektowanie i wdrażanie systemów monitoringu dostosowanych do specyfiki obiektu.
  • Montaż i konfigurację kamer oraz rejestratorów zgodnych z najwyższymi standardami bezpieczeństwa.
  • Integrację systemów CCTV z siecią IT i zapewnienie zgodności z przepisami RODO.
  • Monitoring i wsparcie techniczne w celu optymalizacji działania systemu.
  • Separacja sieci monitoringu wizyjnego oraz monitoring sieciowy
  • Analiza obecnej infrastruktury

Więcej informacji na temat naszej oferty znajdziesz na stronie: BOIT – Monitoring CCTV

Bartłomiej Ożóg
Bartłomiej Ożóg