Prawo – dziecinnie proste

Artykuł ukazał się w „Okulistyce po Dyplomie” 2017;7(6):47-50

Wyciek danych osobowych 50 000 pacjentów polskiego szpitala

adw. Joanna Mamczur

Kancelaria Adwokacka w Warszawie

www.mamczur.com

Adres do korespondencji: Adwokat Joanna Mamczur – Kancelaria Adwokacka w Warszawie, www.mamczur.com; e-mail: joanna.mamczur@mamczur.com

Od 25 maja 2018 r. na całym świecie zacznie obowiązywać nowa regulacja Unii Europejskiej – Rozporządzenie o Ochronie Danych Osobowych (tzw. RODO).1 Czy sektor ochrony zdrowia oraz sektor farmaceutyczny w Polsce są przygotowane do nowych wymogów organizacyjnych i technologicznych w zakresie zapewnienia bezpieczeństwa danych osobowych i danych wrażliwych?

W czerwcu 2017 r. w szpitalu w Kole doszło do wycieku danych osobowych 50 000 pacjentów. Dane osobowe uwzględniające m.in. nazwiska, numery PESEL i ubezpieczeń, adresy zamieszkania, grupę krwi, historię i wyniki niektórych badań, a także informacje o chorobach zakaźnych dzieci wykradziono z systemu informatycznego szpitala i umieszczono na publicznie dostępnym dysku, niezabezpieczonym żadnym hasłem ani loginem. W związku z tym każda osoba posiadająca adres IP serwera, na którym znalazły się wykradzione dane, mogła uzyskać dostęp do nich, a także przeglądać je i kopiować. W wyniku tego naruszenia zachodzi ryzyko nielegalnego wykorzystywania bezprawnie pozyskanych danych – w szczególności w przestępstwach takich jak wyłudzanie kredytów lub tzw. phishing (wysyłanie wiadomości e-mail mających na celu m.in. podstępne wyłudzenie danych logowania do kont bankowych).

Zgodnie z informacjami prasowymi sprawą zajęli się GIODO, Policja i Prokuratura Rejonowa w Kole. Postępowanie wykazało m.in. zbyt słabe zabezpieczenia systemów informatycznych (nieskuteczna zapora, tzw. firewall) oraz poważne braki proceduralne i organizacyjne w zakresie prowadzenia dokumentacji i przetwarzania danych osobowych pacjentów i pracowników szpitala. Po jego przeprowadzeniu zwolniono pracowników szpitala, którzy nie dochowali środków ostrożności oraz nie powiadomili dyrekcji placówki o zdarzeniu.

Wydarzenie to budzi uzasadnione wątpliwości odnośnie do bezpieczeństwa systemów informatycznych w podmiotach leczniczych, indywidualnych praktykach lekarskich oraz w zakresie skutecznego wdrożenia procedur dotyczących bezpieczeństwa danych i zbudowania odpowiedniej świadomości personelu szpitala poprzez wdrożenie kultury bezpieczeństwa organizacji.

Wyciek danych osobowych pacjentów wykryli i zgłosili internauci

O sprawie wycieku danych osobowych z systemu informatycznego szpitala w Kole poinformował branżowy serwis informacyjny Zaufana Trzecia Strona, który analizuje i opisuje liczne naruszenia w cyberprzestrzeni. Według jego autorów naruszenie ochrony d...

Ponadto zbiór obejmował dane osobowe pracowników szpitala, w tym numery ich kont bankowych. Na serwerze znaleziono również dokumenty finansowe szpitala, zawartość poczty oraz komputerów pracowników. Pliki nie były usystematyzowane, a bliższa anali...

Pełna wersja artykułu omawia następujące zagadnienia:

Wyciek danych osobowych pacjentów wykryli i zgłosili internauci

O sprawie wycieku danych osobowych z systemu informatycznego szpitala w Kole poinformował branżowy serwis informacyjny Zaufana Trzecia Strona, który analizuje i [...]

Reakcja urzędów

Wkrótce po ukazaniu się informacji prasowych Rzecznik Praw Obywatelskich (RPO) zwrócił się do Ministra Zdrowia i Generalnego Inspektora Danych Osobowych (GIODO) [...]

Błędy i braki proceduralne

W oficjalnym komunikacie GIODO stwierdził, że poważnym błędem w przedmiotowej sprawie był brak właściwej i szybkiej reakcji na przekazaną szpitalowi informację [...]

Konsekwencje naruszenia bezpieczeństwa danych

Według komunikatu opublikowanego przez GIODO konsekwencje wykrycia wycieku danych ze szpitala są odczuwalne już w pierwszych miesiącach bezpośrednio po zdarzeniu – [...]

Działania naprawcze podjęte przez szpital

Z informacji opublikowanej przez GIODO wynika, że po przeprowadzonej przez urząd kontroli szpital podjął liczne działania naprawcze mające na celu niedopuszczenie [...]

Do góry