Wyciek danych ze szpitala we Włocławku. Takie działania mogą podjąć pacjenci lecznicy

Wojewódzki Szpital Specjalistyczny im. Bł. Ks. J. Popiełuszki we Włocławku (ADO) ujawnił nieuprawniony dostęp do skrzynki mailowej sekretariatu- [email protected]. Do ataku doszło 19 listopada 2024 roku.

„Ujawniono, że nieuprawniona osoba lub osoby przejęły dostęp do skrzynki mailowej sekretariatu ADO dokonując usunięcia zawartych na niej maili oraz wykorzystując niniejszą skrzynkę do rozsyłania korespondencji mailowej mającej na celu dalsze wyłudzanie loginów oraz haseł do maili. Nie można jednak wykluczyć również zaboru korespondencji mailowej” – informuje włocławski szpital w oświadczeniu zamieszczonym na stronie internetowej.

Szpital zaznacza, że obecnie nie jest w stanie określić, jakie dane osobowe mogły ulec wyciekowi.

„Na pewno co do części korespondencji są to dane w postaci: imienia i nazwiska, numeru PESEL, adresu zamieszkania. Niniejsze zdarzenie było zewnętrznym atakiem na ADO. Obecnie analizowane są treści maili pod kątem danych osobowych oraz prowadzone śledztwo informatyczne” – czytamy w komunikacie.

W dalszej części pisma, szpital podkreśla, że bezpieczeństwo danych osobowych jest dla placówki priorytetem, dlatego niezwłocznie po stwierdzeniu naruszenia zawiadomiono Prezesa Urzędu Ochrony Danych Osobowych, CSIRT NASK, CSIRT CEZ. Złożone zostanie również zawiadomienie o podejrzeniu popełnienia przestępstwa. Pracownicy przejdą dodatkowe szkolenia i wdrożone zostaną dalsze środki bezpieczeństwa.

Szpital informuje, czym może skutkować naruszenie danych osobowych. To między innymi:

• publikacja lub ujawnienie danych osobowych (w szczególności informacji o stanie zdrowia, co może naruszać dobra osobiste);

• zagrożenie nękaniem lub szantażem przy wykorzystaniu ujawnionych danych;

• narażenie na wzmożone ataki phishingowe, zmierzające do wyłudzenia danych osobowych;

• założeniem przy wykorzystaniu danych osobowych konta internetowego (np. w serwisach społecznościowych);

• podjęciem przez osobę trzecią próby uzyskania na Państwa szkodę pożyczek w instytucjach pozabankowych, np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;

• podjęciem przez osobę trzecią próby uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskania wglądu do danych o Państwa stanie zdrowia (często dostęp do systemów rejestracji pacjenta można uzyskać, potwierdzając swoją tożsamość za pomocą numeru PESEL);

• wykorzystaniem danych osobowych celem korzystania z praw obywatelskich np. poprzez oddanie głosu w głosowaniu nad środkami budżetu obywatelskiego;

• wykorzystaniem przez osobę trzecią danych osobowych do próby wyłudzenia ubezpieczenia lub środków z ubezpieczenia;

• wykorzystaniem przez osobę trzecią danych osobowych do próby zawarcia umów cywilno-prawnych;

• zarejestrowaniem przedpłaconej karty telefonicznej (pre-paid), która może służyć do celów przestępczych;

• przetwarzaniem danych osobowych w celach marketingowych bez uprzedniego uzyskania zgody (w przypadku prowadzenia marketingu drogą tradycyjną, tj. wysyłki treści marketingowych na adres zamieszkania);

• wykorzystaniem Państwa danych osobowych przez firmy z branży paramedycznej;

• wykorzystaniem Państwa danych osobowych oraz informacji o wynikach badań laboratoryjnych przy ocenie ryzyk ubezpieczeniowych.

Szpital w swoim komunikacie zaznacza, że pacjenci, którzy obawiają się że ich dane mogą zostać wykorzystane, mogą podjąć działania mające na celu zminimalizowania negatywnych skutków. To m.in.:

• ostrożność w kontakcie ze strony banków,

• zastrzeżenie numeru PESEL (więcej informacji na ten temat w tym miejscu),

• zmiana loginu lub hasła do systemów, w których loginem lub hasłem był numer PESEL;

„W razie stwierdzenia podszywania się pod Państwa - zawiadomić organy ścigania o możliwości popełnienia przestępstwa” – informuje szpital w dalszej części komunikatu i dodaje, że bezpieczeństwo danych we własnym zakresie można sprawdzić na stronie internetowej – w tym miejscu.

Pacjenci, którzy mają pytania związane z naruszeniem danych, mogą skontaktować się z inspektorem ochrony danych Panią Magdaleną Adamek- Balcerowicz adres e-mail: [email protected]