RODO dla placówek medycznych
Wypełnij formularz
Potrzebujesz audytu?

RODO w gabinecie stomatologicznym — najczęstsze błędy, które realnie narażają gabinet

RODO w stomatologii dotyczy codziennej pracy gabinetu

Gabinet stomatologiczny przetwarza dane pacjentów praktycznie na każdym etapie wizyty: przy rejestracji, w gabinecie, przy wykonywaniu zdjęć RTG, wystawianiu dokumentów rozliczeniowych i prowadzeniu dokumentacji medycznej.

W dokumentacji znajdują się dane identyfikacyjne, kontaktowe, informacje o stanie zdrowia, opis leczenia, rozpoznania, zdjęcia diagnostyczne, zalecenia i historia wizyt. To dane, które wymagają szczególnej ostrożności, bo dotyczą zdrowia pacjenta.

Największe ryzyka w gabinecie nie zawsze wynikają z dużego cyberataku. Często zaczynają się od prostych sytuacji: kart pacjentów zostawionych na biurku, rozmów przy recepcji, wspólnych haseł, wysyłki dokumentów zwykłym mailem albo braku kontroli nad tym, kto ma dostęp do programu.

Błąd 1: dokumenty pacjentów widoczne dla innych osób

W gabinecie stomatologicznym dokumenty często krążą między rejestracją, lekarzem i asystą. Problem pojawia się, gdy karty pacjentów, wydruki, skierowania, zgody, zdjęcia RTG albo wyniki badań leżą w miejscu widocznym dla innych osób.

Ryzykowne są zwłaszcza:

  • karty pacjentów pozostawione na blacie recepcji,
  • dokumentacja medyczna widoczna dla kolejnych pacjentów,
  • wydruki z danymi zostawione przy drukarce,
  • otwarty ekran programu medycznego w miejscu widocznym z poczekalni,
  • kartki z listą pacjentów i numerami telefonów pozostawione na stanowisku pracy.

Przy dokumentacji medycznej trzeba pamiętać, że pacjent ma prawo do dokumentacji, ale osoby postronne nie powinny widzieć danych innych pacjentów. Rzecznik Praw Pacjenta wskazuje, że dokumentacja medyczna podlega szczególnej ochronie, zwłaszcza przed dostępem osób nieuprawnionych.

Błąd 2: rozmowy przy recepcji bez kontroli

Recepcja jest miejscem, w którym łatwo ujawnić więcej informacji, niż potrzeba. Pacjent podaje nazwisko, PESEL, numer telefonu, czasem mówi o bólu, leczeniu, lekach albo poprzednich wizytach. Jeżeli obok stoi inny pacjent, część tych informacji może zostać usłyszana.

W praktyce warto ograniczyć głośne powtarzanie danych. Recepcja zwykle nie musi wypowiadać pełnego numeru PESEL ani szczegółów leczenia przy innych osobach. Jeżeli temat jest wrażliwy, lepiej poprosić pacjenta o podejście bliżej, zapisanie informacji albo przejście do spokojniejszego miejsca.

To nie wymaga rozbudowanych procedur. Wystarczy kilka jasnych zasad dla personelu: nie omawiać szczegółów leczenia przy poczekalni, nie zostawiać dokumentów na widoku, nie powtarzać pełnych danych identyfikacyjnych bez potrzeby.

Błąd 3: wspólne hasła do programu medycznego

Wspólne konto typu „recepcja”, „gabinet” albo „stomatolog” jest wygodne, ale utrudnia kontrolę. Po czasie nie da się ustalić, kto sprawdzał dane pacjenta, kto zmienił wpis albo kto pobrał dokument.

Przy danych medycznych indywidualne konta powinny być standardem. Każda osoba pracująca w systemie powinna mieć własny login, własne hasło i zakres dostępu zgodny z rolą.

Warto sprawdzić:

  • czy każdy użytkownik ma własne konto,
  • czy były pracownik nie ma aktywnego dostępu,
  • czy lekarz, higienistka, asysta i rejestracja mają różne role,
  • czy konto administratora nie jest używane do codziennej pracy,
  • czy system zapisuje historię działań użytkowników.

UODO wskazuje, że administrator powinien kontrolować, kto ma dostęp do danych, w jakim zakresie i z jakich powodów. Nadawanie upoważnień może być jednym ze sposobów uporządkowania tej kontroli.

Błąd 4: rejestracja widzi pełną historię leczenia

Rejestracja zwykle potrzebuje danych kontaktowych, harmonogramu wizyt, informacji o lekarzu, statusie płatności i podstawowych danych organizacyjnych. Nie zawsze potrzebuje pełnego opisu leczenia, rozpoznań, zdjęć RTG i szczegółowej dokumentacji medycznej.

Zakres dostępu zależy od organizacji gabinetu. W małym gabinecie jedna osoba może wykonywać więcej zadań niż w większej klinice. Mimo to warto sprawdzić, czy system pozwala rozdzielić role i ograniczyć widok danych do tego, co jest potrzebne.

Przykład: pracownik recepcji może widzieć, że pacjent ma zaplanowaną wizytę kontrolną, ale nie musi automatycznie widzieć całego opisu leczenia kanałowego, rozpoznań i plików diagnostycznych.

Błąd 5: wysyłka dokumentacji zwykłym mailem bez zasad

Pacjenci często proszą o przesłanie dokumentacji, zdjęcia RTG, planu leczenia albo faktury mailem. Taka obsługa może być praktyczna, ale wymaga zasad. Największe ryzyko to wysłanie dokumentu na błędny adres, brak weryfikacji osoby proszącej o dokumentację albo wysyłka plików bez zabezpieczenia.

Przed wysłaniem dokumentacji warto ustalić:

  • kto może złożyć wniosek o dokumentację,
  • jak weryfikowana jest tożsamość pacjenta albo osoby upoważnionej,
  • czy adres e-mail został wcześniej podany przez pacjenta,
  • czy dokument powinien być zabezpieczony hasłem,
  • jak przekazywane jest hasło do pliku,
  • czy w systemie zostaje ślad udostępnienia dokumentacji.

Rzecznik Praw Pacjenta wskazuje, że dokumentacja medyczna jest udostępniana na żądanie osoby uprawnionej, a wniosek może mieć także formę ustną albo zostać przekazany elektronicznie. To tym bardziej wymaga sprawnego, ale kontrolowanego procesu po stronie gabinetu.

Błąd 6: zdjęcia RTG i pliki diagnostyczne poza kontrolą

W stomatologii zdjęcia RTG, pantomogramy, skany, zdjęcia wewnątrzustne i pliki diagnostyczne są częścią codziennej pracy. Z punktu widzenia ochrony danych mogą ujawniać informacje o stanie zdrowia pacjenta i przebiegu leczenia.

Ryzyko rośnie, gdy takie pliki są przechowywane poza głównym systemem: na pulpicie komputera, pendrivie, prywatnym dysku, w folderze „Pobrane” albo w skrzynce mailowej. Wtedy trudniej kontrolować dostęp, backup, usuwanie i udostępnianie.

Warto sprawdzić, gdzie realnie trafiają pliki diagnostyczne:

  • czy są zapisywane w systemie medycznym,
  • czy są kopiowane na lokalne komputery,
  • czy trafiają do poczty e-mail,
  • czy są objęte backupem,
  • czy dostęp do nich mają tylko uprawnione osoby,
  • czy wiadomo, jak długo są przechowywane.

Błąd 7: zgoda pacjenta używana do wszystkiego

W gabinetach często pojawia się założenie, że „na wszystko trzeba mieć zgodę RODO”. W praktyce zgoda nie zawsze jest właściwą podstawą przetwarzania danych pacjenta.

Dane potrzebne do udzielenia świadczenia zdrowotnego, prowadzenia dokumentacji medycznej i realizacji obowiązków prawnych zwykle nie są przetwarzane na podstawie zgody marketingowej czy ogólnej zgody RODO. W kodeksie postępowania dla sektora ochrony zdrowia wskazano, że przetwarzanie danych pacjentów w celach zdrowotnych odbywa się co do zasady na podstawie art. 9 ust. 2 lit. h RODO oraz przepisów prawa medycznego.

Zgoda może być potrzebna w innych sytuacjach, na przykład przy części działań marketingowych, publikacji wizerunku pacjenta albo niestandardowym wykorzystaniu danych. Warto rozdzielić te obszary, żeby pacjent nie podpisywał jednego zbiorczego formularza bez jasnej informacji, czego dotyczy.

Błąd 8: brak jasnej procedury wydawania dokumentacji

Pacjent albo osoba upoważniona ma prawo do dostępu do dokumentacji medycznej. RPP wskazuje, że dokumentacja powinna być udostępniana bez zbędnej zwłoki i że podmiot nie może żądać wskazania celu jej udostępnienia.

Gabinet powinien mieć prostą procedurę: kto przyjmuje wniosek, jak sprawdza uprawnienie osoby, kto przygotowuje dokumenty, w jakiej formie są wydawane i gdzie zapisuje się fakt udostępnienia.

Warto szczególnie uważać na sytuacje, gdy o dokumentację prosi:

  • pacjent przez e-mail,
  • członek rodziny pacjenta,
  • rodzic dziecka,
  • osoba wskazana w upoważnieniu,
  • inna placówka medyczna,
  • pełnomocnik albo prawnik.

Brak procedury zwykle prowadzi do dwóch skrajności: zbyt łatwego wydawania dokumentacji albo bezpodstawnego blokowania dostępu osobie uprawnionej.

Błąd 9: dostawcy IT i programów bez jasnych ustaleń

Gabinet stomatologiczny często korzysta z programu medycznego, obsługi IT, hostingu, poczty, systemu do umawiania wizyt, programu RTG albo usług księgowych. Część tych podmiotów może mieć dostęp do danych pacjentów albo techniczną możliwość dostępu.

Warto sprawdzić:

  • czy z dostawcą zawarto właściwą umowę powierzenia, jeżeli przetwarza dane w imieniu gabinetu,
  • czy wiadomo, gdzie przechowywane są dane,
  • czy dostawca zapewnia backup, logi i kontrolę dostępu,
  • czy firma IT korzysta z imiennych kont,
  • czy dostęp serwisowy jest stały, czy uruchamiany na żądanie,
  • czy po zakończeniu współpracy odebrano dostęp.

Przy kontroli albo incydencie sama informacja „tym zajmuje się dostawca” może nie wystarczyć. Gabinet powinien znać podstawowe zasady współpracy i mieć dokumenty potwierdzające podział odpowiedzialności.

Co powinno zostać po uporządkowaniu RODO w gabinecie?

Po uporządkowaniu zasad ochrony danych gabinet powinien mieć nie tylko dokumenty, ale też widoczne zmiany w codziennej pracy.

W praktyce powinny zostać:

  • jasne role i zakresy dostępu w systemie,
  • indywidualne konta użytkowników,
  • procedura wydawania dokumentacji medycznej,
  • zasady rozmów i obsługi pacjenta przy recepcji,
  • zasady wysyłki dokumentów i plików diagnostycznych,
  • lista dostawców mających dostęp do danych,
  • umowy powierzenia z właściwymi podmiotami,
  • potwierdzenie przeglądu dostępów,
  • podstawowe szkolenie personelu,
  • dowody wdrożenia, a nie tylko gotowe wzory dokumentów.

Checklista dla właściciela gabinetu stomatologicznego

Warto sprawdzić:

  • czy dokumenty pacjentów nie są widoczne dla osób postronnych,
  • czy rejestracja nie omawia szczegółów leczenia przy innych pacjentach,
  • czy każdy pracownik ma własny login do systemu,
  • czy były pracownik nie ma aktywnego konta,
  • czy rejestracja widzi tylko dane potrzebne do obsługi wizyty,
  • czy zdjęcia RTG i skany są przechowywane w kontrolowanym miejscu,
  • czy dokumentacja wysyłana mailem jest odpowiednio zabezpieczona,
  • czy wiadomo, kto może odebrać dokumentację pacjenta,
  • czy dostawcy IT, programu i poczty mają właściwe umowy,
  • czy gabinet ma ślad po przeglądzie dostępów i szkoleniu personelu.

Podsumowanie

RODO w gabinecie stomatologicznym wymaga uporządkowania codziennych sytuacji: pracy recepcji, dostępu do programu, wydawania dokumentacji, obsługi zdjęć RTG, kontaktu mailowego i współpracy z dostawcami.

Największą wartość daje prosty system: indywidualne konta, ograniczony dostęp, jasne zasady przy recepcji, bezpieczne przekazywanie dokumentacji i regularny przegląd uprawnień. Wtedy gabinet może działać sprawnie, a jednocześnie pokazać, że dane pacjentów są chronione w praktyce.

Źródła

1. EUR-Lex – Rozporządzenie RODO – https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:32016R0679

2. Pacjent.gov.pl – Ochrona danych pacjenta – https://pacjent.gov.pl/artykul/ochrona-danych-pacjenta

3. Rzecznik Praw Pacjenta – Prawo do dokumentacji medycznej – https://www.gov.pl/web/rpp/prawo-do-dokumentacji-medycznej

4. Rzecznik Praw Pacjenta – Jak pozyskać dokumentację medyczną – https://www.gov.pl/web/rpp/sprawdz-w-jaki-sposob-mozna-pozyskac-dokumentacje-medyczna

5. UODO – Czy lekarzom należy nadawać upoważnienia? – https://uodo.gov.pl/pl/676/4269

6. UODO – Kodeks postępowania dla sektora ochrony zdrowia – https://uodo.gov.pl/pl/file/4525

7. Centrum e-Zdrowia – Fundamentalne wytyczne w zakresie ochrony przed cyberatakami – https://cez.gov.pl/pl/page/o-nas/aktualnosci/fundamentalne-wytyczne-w-zakresie-ochrony-przed-cyberatakami

RODO MEDYCZNE

Specjalistyczne wsparcie w obszarze RODO i bezpieczeństwa informacji dedykowane wyłącznie dla sektora ochrony zdrowia.
Usługi
Audyt RODO
Wdrażanie RODO
Stała Obsługa
Firma
Rodo Stomatologia
Jak pracujemy
O nas
Baza wiedzy
Kontakt
Informacja
Wszystkie nasze audyty są przeprowadzane zgodnie z wytycznymi UODO i ENISA dla sektora zdrowia.
Polityka Prywatności

© 2026 RODO Medyczne. Wszystkie prawa zastrzeżone.

RODO dla placówek medycznych
Wypełnij formularz