Jak podkreśla Andrzej Lewiński uchybienia dotyczą głównie zbyt szerokiego dostępu do wrażliwych informacji o pacjencie. W wielu placówkach medycznych historie chorób są dostępne dla osób nieuprawnionych. Jak przypomina GIODO niedawno w jednym ze śląskich miast firma medyczna wyprowadzając się z dawnej siedziby pozostawiła dokumentację pacjentów. Materiały znaleźli pracownicy kolejnej firmy zasiedlającej lokal i powiadomili o tym zdarzeniu biuro Generalnego Inspektora ochrony Danych Osobowych. Jak zaznacza pełniący obowiązki GIODO Andrzej Lewiński - podobną sytuacją, około roku temu, było znalezienie kart pacjentów na śmietniku .Trudno pogodzić się z faktem, że organa ścigania traktują takie zdarzenia jako czyny o niskiej szkodliwości - mówi inspektor, dodając, że pozyskanie danych medycznych przez niepowołane osoby może mieć bardzo poważne konsekwencje. Wyjaśnia, że może to być wstęp do kradzieży tożsamości, ponieważ do kompletu danych medycznych wystarczy pozyskać informacje finansowe i wówczas możliwe jest popełnianie przestępstw na przykład zawieranie umów na konto rzeczywistego właściciela danych. Andrzej Lewiński podkreśla, że trudno z całkowitą pewnością ocenić co jest przyczyną tego że służba zdrowia słabo chroni dane pacjentów.

Zaznacza, że z powodu postępu technologicznego, w systemach informatycznych będzie jeszcze więcej danych o pacjentach, na przykład diagnozowanych zdalnie. Zastępca Generalnego Inspektora Ochrony Danych Osobowych zaznacza, że lekarze i placówki medyczne mają obowiązek prawny zadbać zabezpieczenie przesyłanych danych pacjentów oraz o bezpieczeństwo sprzętu służącego do przechowywania i bieżącego przetwarzania danych. 

Pocieszające jednak jest to, że świadomość w tej dziedzinie wzrasta - mówi pełniący obowiązki GIODO. Andrzej Lewiński dodaje, że o wiele lepiej z ochroną danych radzą sobie ubezpieczyciele i instytucje finansowe, które znacznie rzadziej są przedmiotem skarg. 

Od nowego roku za ochronę danych w firmach będą odpowiadać Administratorzy Bezpieczeństwa Informacji, wkrótce wejdą w życie także przepisy rozporządzenia unijnego o ochronie prywatności, które wprowadzą sankcje finansowe z łamanie prawa w tej dziedzinie.