Samodzielny Publiczny Zakład Ochrony Zdrowia w Pajęcznie z karą 40 tys. zł. Taką grzywnę nałożył na SPZOZ nałożył prezes Urzędu Ochrony Danych Osobowych w związku z atakiem hakerskim wskutek, którego placówka straciła dostęp do danych pacjentów i pracowników
Działania naprawcze podjęła dopiero po fakcie. Wcześniej nie przeprowadziła analizy ryzyka dla danych osobowych. Nie mogła więc skutecznie chronić danych osobowych – stąd kara - czytamy w komunikacie UODO.
Do ataku hakerskiego doszło w lutym 2022 r. Złośliwe oprogramowanie typu „ransomware” zaszyfrowało dane osobowe 30 tys. pacjentów i ponad tysiąca pracowników. ZOZ zawiadomił o tym UODO i Policję. Uznał jednak, że atak nie był poważny, bo dane nie wyciekły – stały się tylko niedostępne (zewnętrzny ekspert wskazał, że danych nie da się odszyfrować – atakujący uzależnili odszyfrowanie danych od zapłacenia okupu w kryptowalucie).
Odmiennego zdania był prezes UODO, który wskazał, że:
Procedury jakie praktykowała przychodnie "nie były adekwatne do ryzyk dla danych osobowych" - ocenia UODO na podstawie przeprowadzonego już po ataku audytu,.
- Nie mając analizy ryzyka ZOZ popełnił błędy także po incydencie – zgłosił swój problem UODO i Policji, ale nie zauważył problemu osób, których dane dotyczyły. Nie powiadomił ich, że stracił kontrolę nad danymi takimi jak: imię i nazwisko, imiona rodziców, datę urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, nr PESEL, nazwę użytkownika i/lub hasło, dane dotyczące zarobków lub posiadanego majątku, nazwisko rodowe matki, serię i numer dowodu osobistego, numer telefonu oraz dane dotyczące zdrowia. ZOZ uważał, że powiadamiać zainteresowanych nie musi, bo dane nie zostały wykradzione, tylko nie ma do nich dostępu. Tyle, że z dokonanych ustaleń wynika jedynie, że nie ma śladu wycieku danych. Nie jest to jednak jednoznaczne z tym, że hakerzy tych danych sobie nie skopiowali - czytamy w uzasadnieniu do kary.
Reklama
W ocenie prezesa UODO, problemem jest nie tylko wyciek danych, ale i to, że pacjenci tracą dostęp do swoich danych dotyczących zdrowia. - Takiego ryzyka nie można oceniać jako niskie a inna kwalifikacja ryzyka skłoniłaby ZOZ do wprowadzenia lepszych zabezpieczeń - czytamy.
Oprócz kary finansowe, placówka otrzymała polecenie wdrożenia i odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych, w terminie najbliższych 30 dni. Co więcej, placówka zobligowana jest poinformować osoby, których dane dotyczą, wytłumaczyć im co się stało, przedstawić możliwe konsekwencje zdarzenia i wskazać, kto może udzielić w ZOZ więcej informacji na ten temat.
Chcesz być na bieżąco z wieściami z naszego portalu? Obserwuj nas na Google News!
Twoje zdanie jest ważne jednak nie może ranić innych osób lub grup.
Komentarze