BLACK CYBER WEEK! Publikacje i multimedia nawet do 80% taniej i darmowa dostawa od 350 zł! Sprawdź >
Prawo
Wyciek danych osobowych 50 tys. pacjentów polskiego szpitala
Adw. Joanna Mamczur
Od 25 maja 2018 roku na całym świecie zacznie obowiązywać nowa regulacja Unii Europejskiej – Rozporządzenie o Ochronie Danych Osobowych (tzw. RODO).[1] Czy sektor ochrony zdrowia oraz sektor farmaceutyczny w Polsce są przygotowane do nowych wymogów organizacyjnych i technologicznych w zakresie zapewnienia bezpieczeństwa danych osobowych i danych wrażliwych?
W czerwcu 2017 roku w szpitalu w Kole doszło do wycieku danych osobowych 50 tys. pacjentów. Dane osobowe uwzględniające m.in. nazwiska, numery PESEL i ubezpieczeń, adresy zamieszkania, grupę krwi, historię i wyniki niektórych badań, a także informacje o chorobach zakaźnych dzieci wykradziono z systemu informatycznego szpitala i umieszczono na publicznie dostępnym dysku, niezabezpieczonym żadnym hasłem ani loginem. W związku z tym każda osoba posiadająca adres IP serwera, na którym znalazły się wykradzione dane, mogła uzyskać dostęp do nich, a także przeglądać je i kopiować. W wyniku tego naruszenia zachodzi ryzyko nielegalnego wykorzystywania bezprawnie pozyskanych danych – w szczególności w zerwcu 2017 roku w szpitalu w Kole doszło do wycieku danych osobowych 50 tys. pacjentów. Dane osobowe uwzględniające m.in. nazwiska, numery PESEL i ubezpieczeń, adresy zamieszkania, grupę krwi, historię i wyniki niektórych badań, a także informacje o chorobach zakaźnych dzieci wykradziono z systemu informatycznego szpitala i umieszczono na publicznie dostępnym dysku, niezabezpieczonym żadnym hasłem ani loginem. W związku z tym każda osoba posiadająca adres IP serwera, na którym znalazły się wykradzione dane, mogła uzyskać dostęp do nich, a także przeglądać je i kopiować. W wyniku tego naruszenia zachodzi ryzyko nielegalnego wykorzystywania bezprawnie pozyskanych danych – w szczególności w przestępstwach takich jak wyłudzanie kredytów lub tzw. phishing (wysyłanie wiadomości e-mail mających na celu m.in. podstępne wyłudzenie danych logowania do kont bankowych).
Zgodnie z informacjami prasowymi sprawą zajęli się GIODO, policja i Prokuratura Rejonowa w Kole. Postępowanie wykazało m.in. zbyt słabe zabezpieczenia systemów informatycznych (nieskuteczna zapora, tzw. firewall) oraz poważne braki proceduralne i organizacyjne w zakresie prowadzenia dokumentacji i przetwarzania danych osobowych pacjentów i pracowników szpitala. Po jego przeprowadzeniu zwolniono pracowników szpitala, którzy nie dochowali środków ostrożności oraz nie powiadomili dyrekcji placówki o zdarzeniu.
Wydarzenie to budzi uzasadnione wątpliwości odnośnie do bezpieczeństwa systemów informatycznych w podmiotach leczniczych, indywidualnych praktykach lekarskich oraz w zakresie skutecznego wdrożenia procedur dotyczących bezpieczeństwa danych i zbudo...