Narażone dane dwóch tysięcy osób. UODO nałożył na szpital 66,5 tys. zł grzywny

• Dobrze dbasz o zdrowie? Odpowiesz na te pytania i poznaj swój Indeks Zdrowia!
• Więcej takich historii znajdziesz na stronie głównej Onetu

Atak hakerów na infrastrukturę białostockiej placówki ujawnił poważne luki w ochronie danych osobowych pracowników. Złośliwe oprogramowanie ransomware zablokowało dostęp do systemów IT szpitala, narażając na nieuprawniony dostęp informacje o około dwóch tysiącach osób zatrudnionych w placówce. Na szczęście zabezpieczenia danych pacjentów okazały się skuteczniejsze i nie doszło do ich naruszenia.

Urząd Ochrony Danych Osobowych stwierdził, że analiza ryzyka, na której szpital oparł swoje procedury, była wadliwa. Znaczącym błędem było przeprowadzenie jej z perspektywy instytucji jako całości, zamiast skupić się na potencjalnym wpływie na prawa i wolności osób, których dane były przetwarzane. Ponadto nie wskazano dokładnie, które procesy przetwarzania danych były analizowane, ani nie powiązano ich z potencjalnymi zagrożeniami i podatnościami.

Według organu nadzorczego dokumenty przedstawione przez szpital celem potwierdzenia przeprowadzonej analizy okazały się niespójne i pełne niejasności. Nie zawierały również konkretnych rozwiązań technicznych ani organizacyjnych dostosowanych do rozpoznanych zagrożeń. "Nie wystarczy ogólne wskazanie potencjalnych zagrożeń oraz ich prawdopodobieństwa" – wskazał UODO w swojej decyzji, podkreślając konieczność bardziej szczegółowego podejścia.

Nie wdrożono odpowiednich zabezpieczeń

Co istotne, szpital powoływał się na zgodność swoich systemów z ustawą o krajowym systemie cyberbezpieczeństwa, twierdząc, że przeszły one odpowiedni audyt. Jednak, jak zaznaczył UODO, ten akt prawny dotyczy głównie ciągłości i bezpieczeństwa usług, a nie kwestii ochrony danych osobowych i praw jednostek, co jest głównym celem RODO.

W raporcie podkreślono również, że placówka nie wdrożyła odpowiednich zabezpieczeń dla kopii zapasowych oraz nie opracowała procedur ich testowania. Skutkiem był m.in. brak możliwości pełnego odtworzenia danych utraconych w wyniku ataku. Urząd wskazał, że brak regularnych przeglądów i testów zabezpieczeń jest poważnym uchybieniem wobec zasady rozliczalności zapisanej w art. 5 ust. 2 RODO.

W rezultacie decyzja UODO pokazuje, jak istotne jest zapewnienie spójnych i dostosowanych do konkretnych zagrożeń procedur ochrony danych osobowych – szczególnie w instytucjach medycznych, które operują danymi szczególnie wrażliwymi. Kara dla szpitala w Białymstoku ma zarówno wymiar edukacyjny, jak i prewencyjny.