Wrażliwe dane o pacjentach wyciekły do sieci

Jak informuje serwis niebezpiecznik.pl, informacje z baz 90 szpitali w całej Polsce trafiły do internetu i mogły być pobierane również przez osoby postronne. Mowa o zrzutach ekranu zawierających dane osobowe i medyczne pacjentów, jak również informacje o pracownikach i stanie finansów placówek.

Wspomniane dane miały trafić do dostępnego publicznie katalogu systemu stosowanego do obsługi placówek opieki zdrowotnej, nadzorowanego między innymi przez firmę Konsultant IT – czytamy na stronie portalu niebezpiecznik.pl. Większość z nich ma formę plików graficznych, na których można odczytać dane osobowe pacjentów i informacje dotyczące ich zdrowia. Katalog zawierał także pliki arkuszy kalkulacyjnych ukazujące stan finansów szpitali (w części z nich znaleziono dane pacjentów), jak również dostępy do systemów informatycznych. Wspomniane dane były w zasadzie ogólnodostępne i możliwe do pobrania przez każdego, kto wiedział o ich istnieniu. 

W jaki sposób doszło do wycieku danych? 

Niebezpiecznik.pl tłumaczy, że wspomniane zrzuty ekranów i pliki były załącznikami dodawanymi do zgłoszeń błędów przesyłanych do helpdesku. Jest to tym bardziej niepokojące, że, jak twierdzi serwis, wspomniane zrzuty nie były usuwane prze pracowników, co naraziło je na wyciek. 

W gronie 90 placówek, które dotknął wyciek (serwis dysponuje ich pełną listą) znalazły się również szpitale psychiatryczne. W przypadku ich pacjentów wspomniane dane, jeśli wpadły w niepowołane ręce, mogą być szczególnie dotkliwe. 

Dwumiesięczna luka

W celu wyjaśnienia tej sytuacji, serwis skontaktował się z firmą Konsultant IT. Zgodnie z tłumaczeniem jej prezesa, do udostępnienia informacji doszło wskutek błędu podczas migracji danych na nowy serwer przez firmę DIMIMO, która stworzyła wspomniany system helpdesk.

Migracja miała nastąpić w październiku 2017 roku, co oznacza, że dane mogły być dostępne przez co najmniej 2 miesiące. Informator serwisu, który poinformował o przecieku twierdzi jednak, że wycieki mogły rozpocząć się już w 2015 roku. 

W tej sytuacji przysłowiowe mleko się rozlało, ale serwis zaleca wszystkim szpitalom (nie tylko objętym wyciekiem) profilaktyczną zmianę haseł systemowych. Zwraca również uwagę na lekkomyślność pracowników, którzy zgłaszając problemy natury informatycznej nie wahali się przed ujawnianiem wrażliwych danych dotyczących pacjentów, które w wielu wypadkach nie były istotne dla istoty sprawy. 

Przetwarzanie danych w szpitalach

Każda placówka medyczna ma obowiązek prowadzenia dokumentacji pacjentów, co w naturalny sposób wiąże się z pozyskiwaniem i ochroną danych osobowych. Za takie uznajemy wszystkie informacje dotyczące, cytując przepisy, „zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej”. W przypadku pacjentów mowa nie tylko o danych takich jak imię, nazwisko i pesel, ale w szczególności o informacje na temat stanu ich zdrowia. Zgodnie z przepisami, nie mogą one być przetwarzane w żaden sposób, a więc zbierane, utrwalane, przechowywane, opracowywane, zmieniane, udostępniane i usuwane poza sytuacjami, w których te czynności są prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby do tego upoważnione. 

Informacje pod specjalnych nadzorem

W placówkach ochrony zdrowia następuje zatem przetwarzanie wrażliwych danych osobowych, co nakłada na administratorów tych informacji obowiązek zastosowania odpowiednich środków technicznych i organizacyjnych, mających zapewnić im konieczną ochronę. Jej podstawą powinna być sformułowana w każdej placówce Polityka bezpieczeństwa informacji oraz Instrukcja zarządzania systemem informatycznym dotycząca dokumentacji internetowej. Osoby upoważnione do przetwarzania danych powinny być ujęte w osobnej ewidencji oraz przeszkolone w zakresie obowiązków związanych z ich ochroną. 

Mimo to, jak pokazuje odkryty przez niebeizpiecznik.pl wyciek danych, ale również inne przypadki, podmioty lecznicze nie zapewniają prawidłowej ochrony danych wrażliwych. Problemem jest nie tylko brak procedur, ale też przeszkolenia i nadzoru nad personelem medycznym. 

Źródło: Niebezpiecznik.pl, Rzeczpospolita.pl


Podziel się: