W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.

Powrót

Komunikat o potencjalnym naruszeniu ochrony danych osobowych

28.07.2023

W związku ze skierowanym do Ministra Zdrowia ponownym wystąpieniem Prezesa Urzędu Ochrony Danych Osobowych z dnia 23 czerwca 2023 r. dotyczącym naruszenia ochrony danych osobowych, zgłoszonego przez Ministra Zdrowia Prezesowi w dniu 28 października 2021 r. oraz w oparciu o art. 34 ust. 3 lit. c RODO[1], prosimy przyjąć poniższe informacje.

W dniu 28 października 2021 r. (godz. 13:19) Minister Zdrowia jako administrator danych osobowych gromadzonych w systemie P1[2] powziął informację o możliwym naruszeniu ochrony danych osobowych. Potencjalne naruszenie trwało od dnia 19 do 25 października 2021 r. Podejrzenie miało związek z informacją przekazaną przez Zespół CERT Polska/CSIRT NASK. Z informacji tej wynikało, że na jednym z portali społecznościowych zamieszczono poprawnie walidujący kod QR Unijnego certyfikatu COVID wystawiony na postać historyczną. Ze względu na tę informację podjęto natychmiast działania zmierzające do wyjaśnienia stanu faktycznego. Ustalono, że wystawiony został prawdziwy certyfikat na taką osobę. Skontaktowano się również z podmiotem leczniczym odpowiedzialnym za wystawienie przedmiotowego certyfikatu, którego pracownik wprowadził dane do aplikacji gabinet.gov.pl (będącego częścią systemu P1). Dalsze badanie sprawy wskazało, że na koncie tego pracownika medycznego w systemie gabinet.gov.pl znajdują się karty szczepień, których nie wprowadził do tego systemu. Wprowadzenie tych danych było wynikiem kradzieży hasła do Profilu Zaufanego umożliwiającego zalogowanie do gabinet.gov.pl. Po przeprowadzeniu analizy logów ustalono, że potencjalnie nieznane osoby mogły przejąć kontrolę nad Profilem Zaufanym, w wyniku czego mogły mieć nieuprawniony dostęp do systemu gabinet.gov.pl. W wyniku tych działań nieuprawnione osoby potencjalnie mogły odczytać dane pacjentów tego użytkownika (lekarza) w tym imię i nazwisko, adres zamieszkania numer PESEL, dane o wystawionych receptach i lekach, dane o wystawionych skierowaniach, dane o szczepieniach, mogły mieć także możliwość wywołania z systemu danych w zakresie imię i nazwisko, adres zamieszkania, numer PESEL każdej osoby ubezpieczonej.

W związku z powyższym podjęto działania zapobiegające dalszym nadużyciom, które polegały na zablokowaniu konta w aplikacji gabinet.gov.pl użytkownikowi (lekarzowi) którego konta użyto do opisanych nadużyć. W toku dalszego postępowania wyjaśniającego ustalono, że przyczyną zidentyfikowanego procederu było najprawdopodobniej przejęcie kontroli nad kontem użytkownika w aplikacji gabinet.gov.pl.

Dokonana analiza nie ujawniła oznak wycieku danych czy przełamania zabezpieczeń w systemach P1, którego częścią jest gabinet.gov.pl, niemniej jednak mając na uwadze wystąpienie Prezesa Urzędu Ochrony Danych Osobowych informujemy, że potencjalnymi konsekwencjami dla osób, których dane mogły zostać naruszone przedmiotowym zdarzeniem, może być nieuprawnione wykorzystanie danych osobowych w następujący sposób:

  1. naruszenie dobra osobistego w postaci dyskryminacji czy szykan z uwagi na stan zdrowia;
  2. szantaż w przypadku szczególnych chorób i chęci wykonywania określonych zawodów;
  3. możliwość wpłynięcia informacji o stanie zdrowia na decyzję firm ubezpieczeniowych oferujących ubezpieczenia na życie;
  4. możliwość umieszczenia danych osobowych (w tym dotyczących zdrowia) w nielegalnych bazach danych oferowanych przez internet;
  5. osoby trzecie mogą podjąć próbę uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskać wgląd do danych o stanie zdrowia właściciela dokumentu, ponieważ czasem dostęp do systemów rejestracji pacjenta (w placówkach medycznych) można uzyskać, potwierdzając swoją tożsamość za pomocą numeru PESEL;
  6. składanie przez osoby trzecie dyspozycji w podmiotach leczniczych w zakresie  wydawania dokumentacji medycznej w imieniu poszkodowanego lub wyrażania sprzeciwu dotyczącego uzyskiwania kopii dokumentacji;
  7. próby wyłudzenia udostępniania informacji medycznych w tym danych dotyczących stanu zdrowia za pomocą środków komunikacji zdalnej;
  8. możliwość wykupienia ze zniżką lekarstwa na receptę wystawioną na osobę której dane naruszono po powzięciu informacji przez osoby niepowołane o recepcie oraz numerze PESEL;
  9. próby wyłudzenia recepty z wykorzystaniem narzędzi zdalnej komunikacji teleinformatycznej;
  10. ryzyko wyłudzenia kredytu, pożyczki, zaciągnięcia zobowiązań w instytucjach pozabankowych na szkodę osoby, której dane osobowe naruszono;
  11. wystąpienie szkód materialnych (np. strat finansowych) i niematerialnych (np. kradzież tożsamości lub oszustwo);
  12. dane osobowe mogą zostać wykorzystane w przyszłości przez osobę trzecią do próby wyłudzenia ubezpieczenia;
  13. dane osobowe mogą zostać wykorzystane w przyszłości do uzyskania przez osoby trzecie, na szkodę osób, których dane naruszono, dostępu do środków finansowych zgromadzonych na prywatnych kontach bankowych, wyłudzonych przez ww. osoby podszywające się pod instytucje finansowe za pomocą SMS-ów;
  14. ułatwienie złamania/odgadnięcia haseł np. do bankowości elektronicznej w przypadku gdy hasła te opierają się na informacjach zawartych w danych osobowych (np. data urodzenia, adres);
  15. dane mogą zostać wykorzystane do tzw. SIM swappingu, czyli wyrobienia duplikatu karty SIM, która następnie może zostać użyta w celu dokonania nielegalnej autoryzacji dokonanego w internecie zakupu;
  16. ujawnione dane osobowe mogą być wykorzystywane do próby wyłudzenia kolejnych dodatkowych danych np. poprzez kontakt w mediach społecznościowych;
  17. dane osobowe mogą zostać wykorzystane przez osoby trzecie do ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu;
  18. dane osobowe mogą zostać wykorzystane w przyszłości do zawarcia umowy o świadczenie usług np. telewizji kablowej, telefonu, internetu a następnie zaprzestanie opłacania rachunków i spowodowanie dla osób, których dane dotyczą, negatywnych konsekwencji w postaci zadłużenia;
  19. dane osobowe mogą zostać wykorzystane do założenia na dane właściciela dokumentu konta internetowego (np. w serwisach społecznościowych);
  20. dane osobowe mogą zostać wykorzystane do zarejestrowania karty telefonicznej typu prepaid, która może posłużyć do celów przestępczych;
  21. dane osobowe mogą zostać wykorzystane do podszycia się pod inną osobę lub instytucję w celu wyłudzenia dodatkowych określonych informacji;
  22. dane osobowe mogą zostać wykorzystane np. do oddania w przyszłości głosu w głosowaniu nad środkami budżetu obywatelskiego.

Niezależnie od podjętych działań naprawczych, w celu minimalizacji ewentualnych negatywnych skutków podajemy informacje o krokach, które można podjąć w związku z incydentem:

  1. w przypadku podejrzenia możliwości popełnienia przestępstwa tzw. „kradzieży tożsamości”, zgłoszenie faktu naruszenia ochrony danych właściwym organom ścigania w celu zapobieżeniu przestępczego działania;
  2. monitorowanie wykorzystania swoich danych osobowych w systemach takich jak Biuro Informacji Kredytowej, Biuro Informacji Gospodarczej, Krajowy Rejestr Długów, serwis Chroń PESEL;
  3. skontaktowanie się z placówkami medycznymi, w których znajduje się dokumentacja medyczna osoby, której dotyczy naruszenie, w celu upewnienia się, że w jego imieniu nie były składane żadne dyspozycje (np. sprzeciw wobec wydania dokumentacji medycznej konkretnej osobie);
  4. zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem internetu czy telefonu;
  5. należy ignorować nieoczekiwane wiadomości, w szczególności od nieznanych nadawców;
  6. niepowiązywanie haseł np. do bankowości elektronicznej z własnymi danymi osobowymi (typu data urodzenia czy adres);
  7. wykorzystanie możliwości wprowadzonych ustawą z dnia 7 lipca 2023 r. o zmianie niektórych ustaw w celu ograniczania niektórych skutków kradzieży tożsamości (Dz. U.  z 2023 r. poz. 1394)[3] – to jest zastrzeżenie swojego numeru PESEL;
  8. w przypadku materializacji któregoś ze wskazanych negatywnych skutków naruszenia rozważenie możliwości skorzystania ze środków ochrony dóbr osobistych, wskazanych w przepisach ustaw kodeks cywilny lub/i kodeks postępowania cywilnego.

Ewentualne pytania dotyczące zdarzenia w zakresie danych osobowych można kierować do p. Marka Mączewskiego Inspektora Ochrony Danych w Ministerstwie Zdrowia, pod adresem e-mail: iod@mz.gov.pl, za pośrednictwem platformy e-PUAP (Elektroniczna skrzynka podawcza: /8tk37sxx6h/SkrytkaESP) lub listownie na adres siedziby: Ministerstwo Zdrowia, ul. Miodowa 15, 00-952 Warszawa.

Ponadto istnieje możliwość skontaktowania się w tej sprawie z Centrum e-Zdrowia, które jest odpowiedzialne za techniczną i organizacyjną obsługę systemów teleinformatycznych poprzez adres
e-mail: biuro@cez.gov.pl za pośrednictwem platformy e-PUAP (Elektroniczna skrzynka podawcza: /csiozgovpl/SkrytkaESP) lub listownie na adres siedziby: Centrum e-Zdrowia, ul. Dubois 5A, 00-184 Warszawa.

Informujemy, że dokładamy wszelkich starań, aby zapewnić bezpieczeństwo danych osobowych w ramach realizowanych procesów przetwarzania.

 

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony
osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119z 4.05.2016, str. 1, Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 4.03.2021, str. 35).

[2] Elektroniczna Platforma Gromadzenia, Analizy i Udostępnienia Zasobów Cyfrowych o Zdarzeniach Medycznych, o której mowa w art. 7 ust. 1 ustawy z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia(Dz. U. z 2022 r. poz. 1555, z późn. zm.).

[3] po wejściu w życie przepisów tej ustawy, co powiązane jest z wdrożeniem rozwiązań technicznych umożliwiających stosowanie przepisów ustawy, co nastąpić musi nie później niż do 31 grudnia 2023 r.

{"register":{"columns":[]}}