Ostatnie doniesienia w polskich mediach wstrząsnęły opinią publiczną – dane osobowe około 10 milionów pacjentów przez lata były narażone na kradzież. Informacje te mogły być wykradzione z aplikacji używanych przez apteki i gabinety lekarskie. Skala potencjalnych nieprawidłowości jest ogromna, co stawia pod znakiem zapytania bezpieczeństwo prywatności wielu Polaków.
Źródło problemu
Według informacji zawartych w poniedziałkowym wydaniu „Kancelaria Lega Artis”, błąd tkwił głównie w oprogramowaniu stosowanym do obsługi wizyt medycznych. Producentom aplikacji gabinetowych udało się stworzyć systemy, w których zakodowane na stałe hasła do bazy danych pacjentów były osadzone bez możliwości zmiany. To sprawiło, że każdy, kto miał dostęp do odpowiedniego systemu, mógł uzyskać pełen wgląd w dokumentację medyczną oraz dane osobowe pacjentów, w tym ich adresy i numery kontaktowe.
Zastrzeżenia dotyczą nie tylko gabinetów lekarskich, ale także aptek, gdzie przestępca mógłby nie tylko uzyskać dostęp do danych osobowych, lecz również wystawiać refundowane recepty czy skierowania na badania.
Reakcje i analiza
Już od roku 2023 lekarze alarmowali, że problemem jest możliwość uzyskania pełnego dostępu do danych na podstawie jedynie numeru PESEL oraz dostępu do systemu, który powinien być ograniczony wyłącznie do lekarzy. To zaniechanie z punktu widzenia środowiska lekarskiego stanowiło rażące naruszenie dóbr osobistych pacjentów, co rodziło liczne kontrowersje.
Reakcja rządu
Z kolei rządowa perspektywa podkreśla, że problem wynika z funkcjonalności systemu, a nie z jego błędów. Oznacza to, że konstrukcja aplikacji nie uwzględniała wystarczających zabezpieczeń, które chroniłyby dane osobowe zgodnie z wymogami RODO.
Regulacje RODO (Rozporządzenie Ogólne o Ochronie Danych Osobowych), które weszły w życie w maju 2018 roku, miały na celu wzmocnienie ochrony danych osobowych obywateli Unii Europejskiej. Definiują one dane osobowe jako każdą informację dotyczącą zidentyfikowanej lub możliwej do zidentyfikowania osoby. W Polsce naruszenie tych przepisów może skutkować wysokimi karami finansowymi, sięgającymi nawet 4% całkowitego rocznego obrotu firmy za poprzedni rok.
Konsekwencje
Dla pacjentów skala wycieku danych może mieć daleko idące konsekwencje, począwszy od ryzyka kradzieży tożsamości, po nadużycia w systemach refundacyjnych. Brak odpowiedniego zabezpieczenia danych osobowych stawia pod znakiem zapytania zaufanie do instytucji medycznych i sposobu, w jaki są one zarządzane.
Dla instytucji medycznych, aptek i producentów oprogramowania wyciek ten może oznaczać nie tylko reputacyjne straty, ale i finansowe, wynikające z kar nakładanych przez organy regulacyjne. Konieczność dostosowania się do nowych standardów bezpieczeństwa staje się priorytetem.
Skandal dotyczący wycieku danych 10 milionów Polaków jest ostrzeżeniem dla całego sektora ochrony danych osobowych. Wymaga to pilnej interwencji legislacyjnej, wzmacniającej standardy bezpieczeństwa i odpowiedzialność producentów oprogramowania oraz administratorów danych. Wrażliwość tych informacji wymaga szczególnej uwagi, aby zapewnić bezpieczeństwo i zaufanie pacjentów oraz przestrzeganie nowoczesnych standardów ochrony prywatności.
