Wojewódzki Zespół Specjalistyczny w Rzeszowie ujawnił wyciek danych osobowych pacjentów z bazy danych aplikacji internetowej. Do incydentu doszło w dniach od 5 do 7 stycznia 2022 roku. O precedensie bezpieczeństwa poinformowano pacjentów dopiero 6 miesięcy później. To nietypowe, że dopiero w czerwcu 2022 roku dyrektor przychodni nadał wyciekowi rozgłos, iż nieupoważnione osoby miały dostęp do imion i nazwisk, numeru PESEL oraz daty urodzenia. W tym czasie do systemu informatycznego SOLAB_WWW zalogowały się 84 osoby – loginem był numer PESEL, a hasło było ustalane indywidualnie przez pacjenta.
Z informacji szpitala nie wynika wprost, że nikt nie pozyskał danych osobowych – „każdy” mógł to zrobić, kto znał rodzaj luki w oprogramowaniu.
W opisywanym incydencie nie analizujemy potencjalnej kradzieży danych osobowych. Według prawników wystarczy zaistnienie prawdopodobieństwa takiego incydentu, co już jest wysokim ryzykiem, za które Prezes Urzędu Ochrony Danych Osobowych może nałożyć karę, jeśli w toku postępowania uzna, że podmiot nie wdrożył wystarczających zabezpieczeń np. poprzez dodatkowe szyfrowanie.
Do wycieku danych dochodziło w dniach od 5 do 7 stycznia z systemu SOLAB_WWW autorstwa firmy Kamsoft. Naruszenie prywatnych informacji osobowych wykryto szybko, bo 7 stycznia i podjęto odpowiednie kroki, aby zabezpieczyć dostęp do danych o pacjentach (bez historii choroby).
Szpital poinformował pacjentów o wycieku dopiero 20 czerwca. Dlaczego tak późno?
O skomentowanie całej sprawy poprosiliśmy Jakuba Betka – prawnika i Inspektora Danych Osobowych, właściciela firmy Conexus Law & Consulting oraz założyciela portalu NaLegalu.pl.
Administrator zgodnie z art. 33 RODO ma obowiązek bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłosić incydent do Prezesa Urzędu Ochrony Danych osobowych.
Istnieje tylko jeden wyjątek od tego obowiązku:
Zgłoszenia nie trzeba dokonywać, jeżeli jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Tutaj sytuacja jest klarowna, mamy wprost wskazany czas jaki mamy na zgłoszenie do organu.
Inaczej wygląda sytuacja w przypadku powiadomienia właścicieli danych, których dotyczy naruszenie:
Zgodnie z art. 34 RODO, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Zwróćmy uwagę, że nie mamy wprost wskazanego terminu na powiadomienie właścicieli danych. Ponadto nie w każdy przypadku, gdy zgłaszamy naruszenie PUODO, musimy o nim również poinformować właścicieli danych. Do PUODO zgłaszamy naruszenie, gdy istnieje prawdopodobieństwo, że naruszenie skutkuje RYZYKIEM naruszenia praw i wolności właścicieli danych.
Właścicieli powiadamiamy, jeżeli istnieje WYSOKIE RYZYKO naruszenia ich praw i wolności.
Wracając do wskazanego linku w artykule AVLab: Nie mamy zbyt wiele informacji o samym naruszeniu i o całym przebiegu zdarzenia. Zatem jest kilka możliwości:
Pierwsza jest taka, że administrator faktycznie dowiedział się o naruszeniu w styczniu, określił poziom ryzyka jako wysoki i zwlekał z powiadomieniem właścicieli danych – wtedy faktycznie możemy mówić o naruszeniu art. 34 RODO.
Druga możliwość, to sytuacja gdy administrator zgłosił naruszenie do PUODO, ale w wyniku przeprowadzonej stwierdził, że wysokie ryzyko nie istnieje i nie będzie powiadamiał właścicieli danych. W takim przypadku to PUODO mógł wyjść z żądaniem powiadomienia właścicieli poprzez opublikowanie ogólnodostępnego komunikatu, stąd nastąpiło ono po takim czasie.
Trzecią możliwością jest sytuacja, w której szpital dowiedział się po tak długim czasie o samym naruszeniu. Jak mogło do tego dojść? Zwróćmy uwagę, że w komunikacie jest informacja o tym, że błąd wystąpił w systemie informatycznym SOLAB. Można sprawdzić w Internecie, że nie jest to autorski program szpitala, tylko oprogramowanie dostarczane przez firmę zewnętrzną. Administrator powinien dowiedzieć się o naruszenia od firmy zewnętrznej, więc tutaj mogło dojść do opóźnienia w powiadomieniu.
Jesteś pacjentem tego szpitala? Oto, co możesz zrobić…
Nie możesz już powstrzymać wycieku danych osobowych. Możesz za to zadbać o zabezpieczenie się przed konsekwencjami wycieku, aby zminimalizować skutki.
Jak wskazuje Szpital w samym komunikacie, istnieje możliwość założenia konta w systemie informacji kredytowej oraz wykupienia Alertu BIK. Z alertu od razu dowiesz się o każdej próbie wyłudzenia kredytu na Twoje dane lub o opóźnieniach w spłacie kredytów i innych zobowiązaniach.
Inną możliwością, jest wykupienie pakietu w usłudze CHROŃ PESEL. Tutaj jest o wiele więcej opcji. W ramach wykupionej usługi możesz otrzymać:
- Powiadomienie (24 godziny na dobę), gdy w rejestrze zapytań w systemie KRD BIG S.A. pojawi się informacja dotycząca ujawnienia Twoich danych, bez wskazania pełnej treści informacji.
- Powiadomienie, o tym, że ktoś próbuje założyć firmę na Twoje dane.
- Ponadto, w niektórych pakietach jest również możliwość uzyskania pomocy prawnej (zwrotu jej kosztów), w przypadku gdy do dojdzie do wykorzystania Twoich danych.
Podsumowując, miejmy nadzieję, że nikt nie będzie musiał korzystać z pomocy prawnika. Inspektor Danych Osobowych dodaje jeszcze, że za wcześnie jest na ocenę działań szpitala, ponieważ udostępniono wystarczających informacji, aby takiej oceny dokonać.
