Dlaczego wyciek danych pacjentów ujawniono dopiero po 6 miesiącach? Komentarz prawnika i Inspektora Danych Osobowych

30 czerwca, 2022

Wojewódzki Zespół Specjalistyczny w Rzeszowie ujawnił wyciek danych osobowych pacjentów z bazy danych aplikacji internetowej. Do incydentu doszło w dniach od 5 do 7 stycznia 2022 roku. O precedensie bezpieczeństwa poinformowano pacjentów dopiero 6 miesięcy później. To nietypowe, że dopiero w czerwcu 2022 roku dyrektor przychodni nadał wyciekowi rozgłos, iż nieupoważnione osoby miały dostęp do imion i nazwisk, numeru PESEL oraz daty urodzenia. W tym czasie do systemu informatycznego SOLAB_WWW zalogowały się 84 osoby – loginem był numer PESEL, a hasło było ustalane indywidualnie przez pacjenta.

wyciek danych ze szpitala w Rzeszowie

Z informacji szpitala nie wynika wprost, że nikt nie pozyskał danych osobowych – „każdy” mógł to zrobić, kto znał rodzaj luki w oprogramowaniu.

W opisywanym incydencie nie analizujemy potencjalnej kradzieży danych osobowych. Według prawników wystarczy zaistnienie prawdopodobieństwa takiego incydentu, co już jest wysokim ryzykiem, za które Prezes Urzędu Ochrony Danych Osobowych może nałożyć karę, jeśli w toku postępowania uzna, że podmiot nie wdrożył wystarczających zabezpieczeń np. poprzez dodatkowe szyfrowanie.

Do wycieku danych dochodziło w dniach od 5 do 7 stycznia z systemu SOLAB_WWW autorstwa firmy Kamsoft. Naruszenie prywatnych informacji osobowych wykryto szybko, bo 7 stycznia i podjęto odpowiednie kroki, aby zabezpieczyć dostęp do danych o pacjentach (bez historii choroby).

Szpital poinformował pacjentów o wycieku dopiero 20 czerwca. Dlaczego tak późno?

O skomentowanie całej sprawy poprosiliśmy Jakuba Betka – prawnika i Inspektora Danych Osobowych, właściciela firmy Conexus Law & Consulting oraz założyciela portalu NaLegalu.pl.

Jesteś pacjentem tego szpitala? Oto, co możesz zrobić…

Nie możesz już powstrzymać wycieku danych osobowych. Możesz za to zadbać o zabezpieczenie się przed konsekwencjami wycieku, aby zminimalizować skutki.

Jak wskazuje Szpital w samym komunikacie, istnieje możliwość założenia konta w systemie informacji kredytowej oraz wykupienia Alertu BIK. Z alertu od razu dowiesz się o każdej próbie wyłudzenia kredytu na Twoje dane lub o opóźnieniach w spłacie kredytów i innych zobowiązaniach.

Inną możliwością, jest wykupienie pakietu w usłudze CHROŃ PESEL. Tutaj jest o wiele więcej opcji. W ramach wykupionej usługi możesz otrzymać:

  1. Powiadomienie (24 godziny na dobę), gdy w rejestrze zapytań w systemie KRD BIG S.A. pojawi się informacja dotycząca ujawnienia Twoich danych, bez wskazania pełnej treści informacji.
  2. Powiadomienie, o tym, że ktoś próbuje założyć firmę na Twoje dane.
  3. Ponadto, w niektórych pakietach jest również możliwość uzyskania pomocy prawnej (zwrotu jej kosztów), w przypadku gdy do dojdzie do wykorzystania Twoich danych.
 

Podsumowując, miejmy nadzieję, że nikt nie będzie musiał korzystać z pomocy prawnika. Inspektor Danych Osobowych dodaje jeszcze, że za wcześnie jest na ocenę działań szpitala, ponieważ udostępniono wystarczających informacji, aby takiej oceny dokonać.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 5 / 5. Liczba głosów: 3

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]