top of page

Informacja o zdarzeniu

31 paź 2023

Zawiadomienie o naruszeniu bezpieczeństwa

ZAWIADOMIENIE O INCYDENCIE NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Przychodnia Rządz-Mniszek Med Spółka z ograniczoną odpowiedzialnością (dalej „Przychodnia”), jako administrator danych osobowych w trybie art. 34 pkt 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”), niniejszym informuje o incydencie bezpieczeństwa mogącym skutkować naruszeniem ochrony danych osobowych w postaci ataku hackerskiego na firmę Vercom S.A. ul. Roosevelta 22, 60-829 Poznań będącą podmiotem przetwarzającym dane osobowe na rzecz Przychodni. Powyższe zdarzenie doprowadziło do naruszenia ochrony danych osobowych w wyniku którego atakujący uzyskał nieautoryzowany dostęp do danych osobowych pacjentów Przychodni w postaci: numerów PESEL, numerów telefonów, kodów recepty, kodów skierowania oraz danych dotyczących zdrowia.

W związku z powyższym incydentem Przychodnia podjęła szereg działań zmierzających do wykluczenia tego typu zdarzeń w przyszłości w szczególności poprzez:

zaprzestania współpracy z dostawcą usług wysyłki SMS, którego atak hackerski dotyczył,

zmieniono oprogramowanie gabinetowe Przychodni na MyDrEDM, które zapewnia wyższy poziom bezpieczeństwa danych,

w wiadomościach do pacjentów nie są wysyłane dane wrażliwe,

wyczulono personel na zwracanie szczególnej uwagi przy udostępnianiu dokumentacji medycznej osobom trzecim.

Przychodnia pragnie zapewnić, że sprawa jest traktowana priorytetowo i z najwyższą powagą. W celu uzyskania wszystkich informacji w przedmiotowej sprawie osoby zainteresowane proszone są o kontakt telefoniczny lub osobisty w administracji Przychodni ul. Łęgi 12, 86-300 Grudziądz z Panem Mateuszem Gałeckim tel. 56 45 02 328

Jednocześnie wskazujemy, iż bezpieczeństwo Państwa danych można sprawdzić na stronie: https://bezpiecznedane.gov.pl/ Korzystanie z wyszukiwarki na wskazanej stronie jest darmowe.

Szczegółowa analiza możliwych negatywnych konsekwencji powyżej opisanego incydentu dla pacjentów Przychodni wraz z rekomendowanymi działaniami znajduje się poniżej.

***

Możliwe negatywne konsekwencje incydentu z punktu widzenia pacjentów:

uzyskanie przez osoby trzecie, na szkodę osób, których dane naruszono, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. przez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;

realizacja recept elektronicznych, na które uzyskano kod;

uzyskanie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobom, których dane naruszono oraz ich danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;

korzystanie z praw obywatelskich osób, których dane naruszono, np.: do głosowania nad środkami budżetu obywatelskiego co z kolei uniemożliwiałoby to osobom których dane w sposób nieuprawniony użyto skorzystanie z przysługującego im prawa;

wyłudzenie ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osób, których dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania im odpowiedzialności za dokonanie takiego oszustwa;

dyskryminacja ze względu na stan zdrowia;

zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych.

Rekomendowane działania mogące zminimalizować szkodliwość takich konsekwencji:

założenie konta w systemie informacji kredytowej i gospodarczej w celu monitorowania swojej aktywności kredytowej, rozporządzenie RODO daje możliwość, uzyskania darmowego dostępu do zebranych na swój temat danych w formie „kopii danych“, którą mamy prawo uzyskać od BIK,

niezwłoczne realizowanie otrzymywanych recept elektronicznych,

utrzymywanie kontaktu z bankiem prowadzącym Państwa konto bankowe,

zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu,

zgłoszenia faktu naruszenia danych właściwym organom w celu zapobieżenia tzw. „kradzieży tożsamości“,

monitorowanie swoich kont pod kątem budzącej wątpliwości aktywności,

w przypadkach dyskryminacji powiadomienie odpowiednich organów lub powództwo cywilne,

zastrzeżenie numeru PESEL w serwisie mobywatel.gov.pl poprzez zalogowanie się do systemu, wejście do sekcji „Twoje dane”, potem Rejestr Zastrzeżeń PESEL i wybrać „Zastrzeż PESEL” lub „Cofnij zastrzeżenie”.

Informujemy również, że Państwa dane osobowe tj. nazwisko, numer PESEL oraz informacje o stanie zdrowia stanowią dobra osobiste, które podlegają ochronie prawnej, na podstawie przepisów Konstytucji RP oraz art. 23 i art. 24 Kodeksu cywilnego. Powyższe oznacza, że w przypadku naruszenia Państwa dóbr osobistych lub w przypadku dyskryminacji ze względu na stan zdrowia mają Państwo prawo do ochrony swoich praw na drodze postępowania sądowego przeciw podmiotom, które tego naruszenia się dopuściły (podmiotom, które ujawniły dane lub dopuściły się dyskryminacji).


bottom of page