Prawo

Wyciek danych osobowych 50 tys. pacjentów polskiego szpitala

Adw. Joanna Mamczur

Kancelaria Adwokacka w Warszawie

www.mamczur.com

Adres do korespondencji: Adwokat Joanna Mamczur, Kancelaria Adwokacka w Warszawie, www.mamczur.com, e-mail: joanna.mamczur@mamczur.com

Od 25 maja 2018 roku na całym świecie zacznie obowiązywać nowa regulacja Unii Europejskiej – Rozporządzenie o Ochronie Danych Osobowych (tzw. RODO).[1] Czy sektor ochrony zdrowia oraz sektor farmaceutyczny w Polsce są przygotowane do nowych wymogów organizacyjnych i technologicznych w zakresie zapewnienia bezpieczeństwa danych osobowych i danych wrażliwych?

W czerwcu 2017 roku w szpitalu w Kole doszło do wycieku danych osobowych 50 tys. pacjentów. Dane osobowe uwzględniające m.in. nazwiska, numery PESEL i ubezpieczeń, adresy zamieszkania, grupę krwi, historię i wyniki niektórych badań, a także informacje o chorobach zakaźnych dzieci wykradziono z systemu informatycznego szpitala i umieszczono na publicznie dostępnym dysku, niezabezpieczonym żadnym hasłem ani loginem. W związku z tym każda osoba posiadająca adres IP serwera, na którym znalazły się wykradzione dane, mogła uzyskać dostęp do nich, a także przeglądać je i kopiować. W wyniku tego naruszenia zachodzi ryzyko nielegalnego wykorzystywania bezprawnie pozyskanych danych – w szczególności w zerwcu 2017 roku w szpitalu w Kole doszło do wycieku danych osobowych 50 tys. pacjentów. Dane osobowe uwzględniające m.in. nazwiska, numery PESEL i ubezpieczeń, adresy zamieszkania, grupę krwi, historię i wyniki niektórych badań, a także informacje o chorobach zakaźnych dzieci wykradziono z systemu informatycznego szpitala i umieszczono na publicznie dostępnym dysku, niezabezpieczonym żadnym hasłem ani loginem. W związku z tym każda osoba posiadająca adres IP serwera, na którym znalazły się wykradzione dane, mogła uzyskać dostęp do nich, a także przeglądać je i kopiować. W wyniku tego naruszenia zachodzi ryzyko nielegalnego wykorzystywania bezprawnie pozyskanych danych – w szczególności w przestępstwach takich jak wyłudzanie kredytów lub tzw. phishing (wysyłanie wiadomości e-mail mających na celu m.in. podstępne wyłudzenie danych logowania do kont bankowych).

Zgodnie z informacjami prasowymi sprawą zajęli się GIODO, policja i Prokuratura Rejonowa w Kole. Postępowanie wykazało m.in. zbyt słabe zabezpieczenia systemów informatycznych (nieskuteczna zapora, tzw. firewall) oraz poważne braki proceduralne i organizacyjne w zakresie prowadzenia dokumentacji i przetwarzania danych osobowych pacjentów i pracowników szpitala. Po jego przeprowadzeniu zwolniono pracowników szpitala, którzy nie dochowali środków ostrożności oraz nie powiadomili dyrekcji placówki o zdarzeniu.

Wydarzenie to budzi uzasadnione wątpliwości odnośnie do bezpieczeństwa systemów informatycznych w podmiotach leczniczych, indywidualnych praktykach lekarskich oraz w zakresie skutecznego wdrożenia procedur dotyczących bezpieczeństwa danych i zbudo...

Pełna wersja artykułu omawia następujące zagadnienia:

Wyciek danych osobowych pacjentów wykryli i zgłosili internauci

O sprawie wycieku danych osobowych z systemu informatycznego szpitala w Kole poinformował branżowy serwis informacyjny Zaufana Trzecia Strona, który analizuje i [...]

Reakcja urzędów

Wkrótce po ukazaniu się informacji prasowych Rzecznik Praw Obywatelskich (RPO) zwrócił się do Ministra Zdrowia i Generalnego Inspektora Ochrony Danych Osobowych [...]

Błędy i braki proceduralne

W oficjalnym komunikacie GIODO stwierdził, że poważnym błędem w przedmiotowej sprawie był brak właściwej i szybkiej reakcji na przekazaną szpitalowi informację [...]

Konsekwencje naruszenia bezpieczeństwa danych

Według komunikatu opublikowanego przez GIODO konsekwencje wykrycia wycieku danych ze szpitala są odczuwalne już w pierwszych miesiącach bezpośrednio po zdarzeniu – [...]

Działania naprawcze podjęte przez szpital

Z informacji opublikowanej przez GIODO wynika, że po przeprowadzonej przez urząd kontroli szpital podjął liczne działania naprawcze mające na celu niedopuszczenie [...]
Do góry