Największy wyciek danych medycznych w Polsce…
Polska od kilku dni żyje wyciekiem danych medycznych z ALAB Laboratoria. Zgodnie z już znanymi informacjami do sieci wyciekły dane kilkudziesięciu tysięcy Polaków i Polek, którzy w latach 2017 – 2023 wykonywali badania medyczne właśnie w tym podmiocie. Dane medyczne zaliczają się do danych szczególnych kategorii zgodnie z art. 9 RODO, a te powinny być wyjątkowo dobrze chronione. Wśród danych, które można znaleźć w upublicznionych wynikach badań pochodzących z sieci ALAB laboratoria, znajdują się m.in. również: imię, nazwisko i PESEL. Skala naruszenia, powoduje, iż jest to prawdopodobnie największy jak dotąd wyciek danych medycznych w naszym kraju. Jak wskazują eksperci, na których powołuje się NASK, narażone na wyciek mogą być również osoby, które nie korzystały bezpośrednio z usług firmy ALAB . Wynika to z faktu, iż ALAB wykonywał badania na zlecenie innych placówek medycznych. Zastała sytuacja spowodowała, iż wśród ludzi zapanował niepokój, czego przejawem jest obserwowany wzmożony kontakt z Biurem Informacji Kredytowej czy zastrzeganie numeru PESEL
Należy być przygotowanym i świadomym tego, iż cyberoszuści mogą te dane wykorzystać…
Każda kradzież danych i ich upublicznienie mogą powodować zagrożenia dla osób fizycznych, których te dane dotyczą. Na pewno warto ze wzmożoną czujnością traktować przychodzące wiadomości e-mail, SMS, wiadomości w komunikatorach i połączenia telefoniczne. Zawsze należy weryfikować ich nadawcę w instytucji, którą – jak twierdzi – reprezentuje. Motyw 85 RODO wymienia znacznie więcej zagrożeń, jak np. sfałszowanie tożsamości czy naruszenie dobrego imienia. Wspomniane już ALAB Laboratoria padły co prawda ofiarą ataku hackerskiego, ale nie zwalnia to nas z czujności. Na szczęście w tym konkretnym przypadku CERT Polska wspólnie z Centralnym Ośrodkiem Informatyki zasilił stronę bezpiecznedane.gov.pl numerami PESEL upublicznionymi przez hakerów z grupy “RA World”. Można pod tym adresem dowiedzieć się czy nasz PESEL został ujawniony. Pamiętajmy, iż dane osobowe, które trafiły do sieci mogą pozwolić np. na zaciągnięcie na nasze dane kredytu. o ile stwierdzimy, iż nasz PESEL i inne dane zostały objęte wyciekiem, to warto skorzystać z możliwości jego zastrzeżenia. Można to zrobić dzięki zalogowaniu się do serwisu mobywatel.gov.pl, następnie po wejściu do sekcji „Twoje dane”, potem „Rejestr Zastrzeżeń PESEL” i wybrać „Zastrzeż PESEL”. Można też skorzystać z aktywacji alertów BIK. Trzeba również pamiętać, iż według dostępnych informacji hackerzy opublikowali na razie jedynie niewielką cześć danych, które mieli wykraść od ALAB Laboratoria – i tylko tą częścią danych zasilono ww. Stronę. Należy więc zachować czujność, bowiem według zapowiedzi kolejne dane mogą opublikować pod koniec roku.
Pacjenci mają prawo do informacji…
Każdej osobie fizycznej, której dane osobowe naruszono, przysługuje prawo do pozyskania informacji w tym zakresie. Nie ma na to wpływu fakt, czy te dane ujawniono w wyniku błędu pracownika, czy w wyniku ataku hackerskiego. Przypadek. jaki mamy w związku z atakiem na ALAB Laboratoria, nie jest inny. Jednakże, nie wszyscy zdają sobie sprawę z tego, iż podmiot ten może nie mieć możliwości zawiadomienia każdej osoby fizycznej, której dane osobowe wyciekły np. ze względu na brak danych kontaktowych. W takiej sytuacji obowiązkiem Administratora jest opublikowanie informacji dzięki publicznego komunikatu. Warto pamiętać, iż podmiotom danych przysługuje prawo do uzyskania dodatkowych informacji od Inspektora Ochrony Danych lub innego wskazanego w zawiadomieniu punktu kontaktowego.
Dobór środków technicznych i organizacyjnych jako najważniejszy element bezpieczeństwa…
Motyw 87 RODO wskazuje, iż jednym z obowiązków Administratora jest zapewnienie, aby wdrożone środki techniczne i organizacyjne umożliwiały stwierdzenie wystąpienia naruszenia ochrony danych osobowych, a w razie jego potwierdzenie dotrzymania terminu powiadomienia Organu Nadzorczego (72 godziny) oraz osób, których dane osobowe objęto zdarzeniem. Zastępca Prezesa UODO Jakub Groszkowski w rozmowie z dziennikiem zauważył, iż problemem jest nie tyle fakt, iż doszło do ataku hackerskiego – bo przed doświadczonymi cyberprzestępcami praktycznie żaden system nie może się w stu procentach zabezpieczyć – ale to, iż administrator mógł w ogóle nie być świadomy tego, iż dane pacjentów są pobierane (UODO czeka na wyjaśnienia od ALAB ws. wycieku danych. Co mogą zrobić poszkodowani https://www.rp.pl/dane-osobowe/art39493181-uodo-czeka-na-wyjasnienia-od-alab-ws-wycieku-danych-co-moga-zrobic-poszkodowani). Nie można też zapominać o konieczności przeprowadzenia oceny ryzyka zagrożeń, a także wdrożeniu odpowiednich środków minimalizujących możliwość ich urzeczywistnienia. Jednym z takich sposobów mających wpływ na zapewnienie adekwatnego bezpieczeństwa danych przetwarzanych w systemach informatycznych jest poddawanie się okresowym audytom, w tym testom penetracyjnym systemów, które mogą wykazać podatności, ułatwiające cyberprzestępcom przeprowadzenie skutecznego ataku. Zgodnie z informacjami podawanymi przez „Rzeczpospolita”, ALAB musi się spodziewać kontroli ze strony Urzędu Ochrony Danych Osobowych. Nie dziwi nas to jednak, bo trudno sobie wyobrazić, iż przy tak dużym wycieku danych UODO by nie zareagowało.
Kara za ewentualne zaniedbania może być niebagatelna…
Jeżeli Prezes Urzędu Ochrony Danych Osobowych dojdzie do wniosku, iż ALAB nie dopełnił wszystkich swoich obowiązków może zastosować wobec niego środki przewidziane w RODO w tym administracyjną karę pieniężną w wysokości do 4% obrotu za rok poprzedni lub 20 mln euro. To z jakich środków zdecyduje się skorzystać Organ, ostatecznie zależeć będzie od jego oceny. W jaki sposób ALAB ocenił ryzyko i wdrożył zabezpieczenia, przeprowadził postępowanie wyjaśniające i współpracował z Urzędem. Istotne dla Organu będzie również sposób prowadzenia przez ALAB komunikacji z podmiotami danych, których dane osobowe dotknięto naruszeniem.
Prawo żądania odszkodowania od ALAB…
Ryzyko zastosowania przez Organ środków administracyjnych, może nie być dla ALAB jedyną negatywną konsekwencją zaistniałej sytuacji. Osobom, których dane dotknięto naruszeniem przysługuje prawo do żądania odszkodowania, o którym mowa w art. 82 RODO. Przepis ten przewiduje, iż osoba, której dane dotyczą może żądać odszkodowania, gdy poniosła szkodę majątkową lub niemajątkową. Szkoda ta wynika z naruszenia przepisów RODO przez Administratora np. z obowiązku adekwatnego zabezpieczenia danych. Każda z takich osób może zdecydować się na skierowanie do sądu pozwu cywilnego przeciwko spółce. Potencjalna wysokość należnego odszkodowania zależeć będzie od okoliczności sprawy, w tym wpływu ujawnionych danych na życie prywatne lub zawodowe osoby. W przypadku naruszenia dóbr osobistych w wyniku opisanego zdarzenia, osoba fizyczna może domagać się zadośćuczynienia. Znajduje to swoje oparcie w art. 23 i 24 Kodeksu cywilnego.
Podsumowanie…
Jak pokazuje sytuacja z ALAB Laboratoria, naruszenie ochrony danych osobowych może powodować poważne konsekwencje dla Administratora lub Podmiot przetwarzającego. Są one szersze niż jedynie ryzyko otrzymania kary administracyjnej czy zapłaty odszkodowania. Dlatego ponieważ obejmują również straty wizerunkowe takiej organizacji, które mogą mieć dla Organizacji wieloletnie konsekwencje biznesowe. Dlatego ważne jest, aby organizacje działały zgodnie z obowiązującymi przepisami, implementowały odpowiednie procedury bezpieczeństwa i świadomie zarządzały ryzykiem, korzystając w tym zakresie z pomocy ekspertów. W organizacjach, które głównie przetwarzają dane osobowe w systemach informatycznych, powinien być powołany nie tylko Inspektor Ochrony Danych, ale i też fachowy Administrator Systemów Informatycznych, czuwający nad ich bezpieczeństwem.