Wrażliwe dane o pacjentach wyciekły do sieci

Wspomniane dane miały trafić do dostępnego publicznie katalogu systemu stosowanego do obsługi placówek opieki zdrowotnej, nadzorowanego między innymi przez firmę Konsultant IT – czytamy na stronie portalu niebezpiecznik.pl. Większość z nich ma formę plików graficznych, na których można odczytać dane osobowe pacjentów i informacje dotyczące ich zdrowia. Katalog zawierał także pliki arkuszy kalkulacyjnych ukazujące stan finansów szpitali (w części z nich znaleziono dane pacjentów), jak również dostępy do systemów informatycznych. Wspomniane dane były w zasadzie ogólnodostępne i możliwe do pobrania przez każdego, kto wiedział o ich istnieniu. 

W jaki sposób doszło do wycieku danych? 

Niebezpiecznik.pl tłumaczy, że wspomniane zrzuty ekranów i pliki były załącznikami dodawanymi do zgłoszeń błędów przesyłanych do helpdesku. Jest to tym bardziej niepokojące, że, jak twierdzi serwis, wspomniane zrzuty nie były usuwane prze pracowników, co naraziło je na wyciek. 

Dwumiesięczna luka

W celu wyjaśnienia tej sytuacji, serwis skontaktował się z firmą Konsultant IT. Zgodnie z tłumaczeniem jej prezesa, do udostępnienia informacji doszło wskutek błędu podczas migracji danych na nowy serwer przez firmę DIMIMO, która stworzyła wspomniany system helpdesk.

W tej sytuacji przysłowiowe mleko się rozlało, ale serwis zaleca wszystkim szpitalom (nie tylko objętym wyciekiem) profilaktyczną zmianę haseł systemowych. Zwraca również uwagę na lekkomyślność pracowników, którzy zgłaszając problemy natury informatycznej nie wahali się przed ujawnianiem wrażliwych danych dotyczących pacjentów, które w wielu wypadkach nie były istotne dla istoty sprawy. 

Przetwarzanie danych w szpitalach

Każda placówka medyczna ma obowiązek prowadzenia dokumentacji pacjentów, co w naturalny sposób wiąże się z pozyskiwaniem i ochroną danych osobowych. Za takie uznajemy wszystkie informacje dotyczące, cytując przepisy, „zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. W przypadku pacjentów mowa nie tylko o danych takich jak imię, nazwisko i pesel, ale w szczególności o informacje na temat stanu ich zdrowia. Zgodnie z przepisami, nie mogą one być przetwarzane w żaden sposób, a więc zbierane, utrwalane, przechowywane, opracowywane, zmieniane, udostępniane i usuwane poza sytuacjami, w których te czynności są prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby do tego upoważnione. 

Informacje pod specjalnych nadzorem

W placówkach ochrony zdrowia następuje zatem przetwarzanie wrażliwych danych osobowych, co nakłada na administratorów tych informacji obowiązek zastosowania odpowiednich środków technicznych i organizacyjnych, mających zapewnić im konieczną ochronę. Jej podstawą powinna być sformułowana w każdej placówce Polityka bezpieczeństwa informacji oraz Instrukcja zarządzania systemem informatycznym dotycząca dokumentacji internetowej. Osoby upoważnione do przetwarzania danych powinny być ujęte w osobnej ewidencji oraz przeszkolone w zakresie obowiązków związanych z ich ochroną. 

Źródło: Niebezpiecznik.pl, Rzeczpospolita.pl