Szpital nie zadbał o ochronę danych osobowych pacjentów

dane osobowe pacjentów

Z wielkopolskiego szpitala wyciekły dane osobowe pacjentów oraz personelu. Informacje zebrane na serwerze, obejmowały dane osobowe ponad 50 tysięcy osób, w tym dane wrażliwe. Policja i Prokuratura badają okoliczności w jakich doszło do zdarzenia.

Okoliczności zdarzenia

W ubiegłym tygodniu ujawniono, że dane osobowe, zgromadzone na serwerach Samodzielnego Publicznego Zakładu Opieki Medycznej w Kole, przechowywane były na niezabezpieczonych hasłem serwerach. Udostępnione informacje obejmowały zarówno dane personelu placówki, jak i 50 tysięcy pacjentów, zarejestrowanych w latach 2003–2007. Prawdopodobnie jest to jeden z największych wycieków danych osobowych w historii polskiej służby zdrowia.

Jak donosi portal Zaufana Trzecia Strona, udostępnione zostały także dane wrażliwe leczonych pacjentów, obejmujące w szczególności informacje o ich stanie zdrowia i przebytych chorobach. W przypadku pracowników placówki medycznej, wyciek dotyczył danych z dokumentów tożsamości oraz z ich kont bankowych. Informacje dostępne były na serwerze bez konieczności logowania.  Znalazły się tam zarówno dane archiwalne, jak i te modyfikowane kilka tygodni temu, przed wyciekiem.

Incydent obejmuje również rejestr chorób zakaźnych z lat 2014–2017 oraz korespondencję służbową osób zatrudnionych w szpitalu. W przypadku ponad sześciuset pracowników placówki, udostępnione dane osobowe wykorzystane mogą być przez oszustów do ich działalności przestępczej np. kradzieży tożsamości, w celu zaciągnięcia kredytu.

Ustalenia Policji

W sprawie wypowiedział się już Andrzej Borowiak, rzecznik prasowy wielkopolskiej policji. Podkreślił on, że funkcjonariusze pracują nad ustaleniem czy doszło do „wycieku danych, do ataku hakerskiego [czy], do skopiowania danych przez niepowołaną osobę”. Poinformował również, że trwają prace nad precyzyjnym ustaleniem przedziału czasowego, w jakim serwer nie był zabezpieczony. Policja bada też, czy wyciek danych spowodowany był nieumyślnym działaniem, czy informacje udostępniono celowo.

Dyrekcja uspokaja

Głos w sprawie zabrał też dyrektor placówki, dr n. med. Cezary Chmielecki. Uspokaja on pacjentów i tłumaczy, że zgłosił Policji i Prokuraturze podejrzenie popełnienia przestępstwa naruszenia obowiązku zabezpieczenia danych osobowych. Twierdzi również, że udostępnione dane ograniczały się do imienia, nazwiska, numeru PESEL, adresu zamieszkania i grupy krwi pacjentów.

Od  5 czerwca, dostęp do dysku z danymi jest już nieaktywny. Odpowiedzialni za zdarzenie muszą liczyć się z odpowiedzialnością służbową.

Ślady po wcześniejszych atakach

Nie jest wykluczone, że już w przeszłości dochodziło do ataków na strukturę informatyczną szpitala. W części udostępnionych folderów znaleziono ślady zostawione przez ransomware, czyli oprogramowanie wykorzystywane w przestępczości internetowej. Z reguły zostaje ono wprowadzone do systemu przez pobranie zakażonego pliku lub z wykorzystaniem luki w usłudze sieciowej.

Odpowiedzialność za udostępnienie danych

Osoby, których dobra osobiste zostały naruszone mogą ubiegać się o zadośćuczynienie, a osobom odpowiedzialnym za wyciek danych grozi odpowiedzialność karna.

„W praktyce sądy w tego typu sprawach nie zasądzają zbyt wysokich kwot, co do zasady mieszczą się one w przedziale od 7 do 10 tys. zł” – skomentował dla „Dziennika Gazety Prawnej” ekspert Omni Modo, Marcin Cwener. –„Tu jednak mamy do czynienia z informacjami wrażliwymi, a więc dotyczącymi sfery najbardziej intymnej, co pewnie mogłoby wpłynąć na wysokość orzeczonej rekompensaty” – wyjaśnił prawnik.

W świetle aktualnie obowiązujących przepisów prawa (art. 52 UODO) osobie, która naruszyła choćby nieumyślnie obowiązek zabezpieczenia danych osobowych, przed zabraniem przez osobę nieuprawnioną, grozi grzywna, karna ograniczenia wolności albo pozbawienia wolności do roku.

Źródło:

  1. http://www.polsatnews.pl/wiadomosc/2017-06-12/dane-50-tys-pacjentow-wyciekly-ze-szpitala-w-kole-sprawe-bada-policja/ [dostęp: 13 czerwca 2017 r.]
  2. http://spzozkolo.pl/informacja.php?id=1 [dostęp: 13 czerwca 2017 r.]
  3. http://gdpr.pl/artykul-82-prawo-odszkodowania-odpowiedzialnosc [dostęp: 13 czerwca 2017 r.]
  4. https://tech.wp.pl/wyciekly-wrazliwe-dane-50-tys-pacjentow-polskiego-szpitala-najwiekszy-taki-wyciek-w-historii-polski-6132732537657473a [dostęp: 13 czerwca 2017 r.]
  5. https://zaufanatrzeciastrona.pl/post/wyciek-danych-wrazliwych-50-tysiecy-pacjentow-polskiego-szpitala/ [dostęp: 13 czerwca 2017 r.]
  6. http://prawo.gazetaprawna.pl/artykuly/1050340,szpital-w-kole-dane-pacjentow-na-otwartym-serwerze.html [dostęp: 13 czerwca 2017 r.]
  7. https://pl.wikipedia.org/wiki/Ransomware [dostęp: 13 czerwca 2017 r.]
About Redakcja 244 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.