Urząd Ochrony Danych Osobowych nałożył na Samodzielny Publiczny ZOZ w Pajęcznie karę 40 tys. złotych. W wyniku ataku hakerskiego zakład utracił dostęp do danych pacjentów i pracowników.
Do ataku hakerskiego na ZOZ doszło w lutym 2022 r. Według informacji przekazanych przez UODO, złośliwe oprogramowanie zaszyfrowało dane osobowe 30 tys. osób. Zakład utracił tym samym dostęp do takich informacji o pacjentach i pracownikach, jak: imię i nazwisko, imiona rodziców, data urodzenia, numer rachunku bankowego, adres zamieszkania lub pobytu, numer PESEL, dane dostępowe do serwisów, dane dotyczące zarobków i posiadanego majątku, nazwisko rodowe matki, seria i numer dowodu osobistego, numer telefonu i dane dotyczące zdrowia.
Zakład powiadomił o fakcie UODO i policję, jednak uznał, że atak nie był poważny, bo dane nie wyciekły, a stały się niedostępne. O fakcie nie zostały powiadomione też osoby, których utrata danych dotyczyła. Zakład stwierdził bowiem, że nie ma obowiązku powiadamiania osób zainteresowanych o tym fakcie, „bo dane nie zostały wykradzione, tylko nie ma do nich dostępu”. Jednak z ustaleń UODO wynika, że nie ma jedynie śladu wycieku danych, co nie jest jednoznaczne z tym, że hakerzy tych danych nie skopiowali.
„Na zagrożenie dla danych osobowych ZOZ zareagował dopiero po ataku. Wtedy wezwał ekspertów, którzy wskazali luki w zabezpieczeniach i zarekomendowali zmiany. Odbyły się też szkolenia dla pracowników dotyczące bezpieczeństwa systemów informatycznych i danych” – poinformował UODO dodając, że placówka nie miała dokumentów potwierdzających sporządzenie i aktualizowanie analizy ryzyka dla danych osobowych.
„Bezpieczeństwo danych powierzono informatykowi, który na bieżąco analizował m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych. To w żaden sposób nie mogło zapewnić należytej kontroli nad bezpieczeństwem danych” – wyjaśnił urząd.
Na Samodzielny Publiczny ZOZ w Pajęcznie została nałożona kara finansowa w wysokości 40 tys. zł. Oprócz tego Prezes UODO zalecił wdrożenie w ciągu 30 dni odpowiednich środków technicznych i organizacyjnych zapewniających bezpieczeństwo przetwarzania danych w systemach informatycznych. Nakazał też powiadomić o utracie danych osoby, których dane dotyczą, wytłumaczyć im co się stało, przedstawić możliwe konsekwencje zdarzenia i wskazać, kto w placówce może udzielić więcej informacji na ten temat.
SPZOZ w Pajęcznie to kolejne miejsce, w którym pacjenci byli narażeni na utratę danych osobowych. Wcześniej w Serwisie Samorządowym PAP informowaliśmy o przeprowadzonej kontroli NIK w placówkach medycznych w woj. warmińsko-mazurskim, która wykazała, że szpitale i przychodnie nie zawsze skutecznie chroniły dane osobowe pacjentów przed cyberatakami i dostępem do danych przez osoby nieuprawnione.
Czytaj też:
mc/