W Samodzielnym Szpitalu Wojewódzkim im. Mikołaja Kopernika w Piotrkowie Trybunalskim doszło do naruszenia ochrony danych osobowych. W wyniku błędu pracownika administracji, wrażliwe informacje dotyczące personelu placówki zostały przesłane na niewłaściwy adres e-mail. Incydent objął ponad 1300 osób. Placówka wprowadziła już działania naprawcze, by nie dopuścić do takich incydentów w przyszłości.
Kulisy zdarzenia: ludzki błąd o poważnych skutkach
Jak wynika z oficjalnych informacji przekazanych przez placówkę przy ul. Rakowskiej, przyczyną ujawnienia danych wrażliwych, nie był atak hakerski, lecz nieumyślne działanie pracownika. Dane, które powinny pozostać poufne, zostały wysłane drogą elektroniczną do osoby nieuprawnionej.
Zakres ujawnionych informacji jest szeroki i obejmuje dane o wysokim stopniu wrażliwości. To imiona i nazwiska, numery PESEL, informacje o zatrudnieniu ale także szczegóły dotyczące wysokości wynagrodzeń.
Reakcja szpitala i procedury naprawcze
Szpital zapewnia, że podjął natychmiastowe działania po wykryciu incydentu. Zgodnie z przepisami RODO, naruszenie zostało zgłoszone do Urzędu Ochrony Danych Osobowych (UODO). – Szpital w związku z zaistniałą sytuacją, wykonał wszystkie procedury przewidziane prawem. W ciągu 72 godzin od ujawnienia tego faktu, został poinformowany Prezes UODO, zostało przeprowadzone szkolenie w formie „pogadanki”, została także przeprowadzona analiza ryzyka i nawiązano kontakt z osobami, których dane wyciekły. Wstępna rekomendacja Urzędu była taka, że z uwagi na ilość osób, których dane ujawniono, należy powiadomić zainteresowane osoby, do końca lutego – powiedział w rozmowie z dziennikarzem Radia Łódź, Zbigniew Wośko, Inspektor Ochrony Danych Osobowych w Szpitalu w Piotrkowie Trybunalskim
– Samodzielny Szpital Wojewódzki imienia Mikołaja Kopernika w Piotrkowie Trybunalskim, zgłosił do Prezesa UODO, naruszenie ochrony danych osobowych, i obecnie trwają czynności wyjaśniające to zdarzenie – mówił na antenie Radia Łódź, Karol Witowski, rzecznik prasowy Urzędu Ochrony Danych Osobowych. – Do Prezesa UODO należy zgłaszać te naruszenia, które skutkują ryzykami dla praw lub wolności osób fizycznych. Chodzi tu na przykład o sytuacje, w których naruszenie może prowadzić do kradzieży tożsamości, straty finansowej czy naruszenia tajemnic prawnie chronionych – dodał rzecznik.
Szpital uspokaja jednocześnie, że z ich ustaleń wynika, iż dane nie zostały dalej rozpowszechnione ani pobrane przez osobę, która przypadkowo otrzymała wiadomość.
Zagrożenia dla poszkodowanych
Mimo zapewnień szpitala, eksperci od cyberbezpieczeństwa ostrzegają, że wyciek numeru PESEL w połączeniu z danymi identyfikacyjnymi niesie ze sobą realne ryzyka, takie jak próby wyłudzenia kredytów lub pożyczek, zakładanie kont w serwisach internetowych na cudze dane, czy ataki typu phishing (podszywanie się pod instytucje w celu wyłudzenia dalszych informacji).
Osobom, których dane wyciekły, zaleca się m.in. zastrzeżenie numeru PESEL w systemie rządowym oraz monitorowanie alertów w Biurze Informacji Kredytowej.
Polecamy