Zgodnie z ustaleniami rzecznika prasowego szpitala, Tomasza Woska, niedopuszczalna sytuacja miała miejsce od 19 listopada 2023 r. do 21 grudnia 2023 r. W tym okresie doszło do nieautoryzowanego przekazywania danych pacjentów osobie, której tożsamość nie została jeszcze ustalona.
Pacjenci, otrzymując pisma z ostrzeżeniem, są zaniepokojeni i niepewni, jakie konkretnie dane o nich trafiły w niepowołane ręce oraz jakie mogą być tego skutki. W obliczu braku konkretnych informacji ze strony szpitala panuje ogólne zamieszanie wśród pacjentów, którzy oczekują jasnych wyjaśnień oraz działań zmierzających do wyjaśnienia tego, jak mogło dojść do umieszczenia w wewnętrznym systemie informatycznym szpitala adresu mailowego, który nigdy nie powinien się tam znaleźć.
Namierzeniem anonimowego, póki co, adresata, który otrzymywał dane ze szpitalnego systemu, zajęła się już prokuratura.
– Na jednym z komputerów w stalowowolskim szpitalu został założony filtr, który powodował przekazywanie korespondencji na adres e-mail – mówi w rozmowie z "GW" prokurator Dubiel.
Śledczy jak na razie nie byli w stanie dotrzeć do hakera, który zainstalował w systemie specjalny filtr, bo jak twierdzi prokurator, mogła być to osoba z zewnątrz szpitala lub ktoś, kto w nim pracuje.
Szpital w Stalowej Woli podjął zdecydowane kroki zgodne z przepisami Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Tomasz Wosk, rzecznik prasowy szpitala, poinformował, że administracja placówki w pełni angażuje się w minimalizację skutków naruszenia i zapewnienie adekwatnej ochrony przetwarzanych danych osobowych.
W dniu 22 grudnia 2023 r. szpital zgłosił zdarzenie policji, a następnie, zgodnie z procedurami, 23 grudnia 2023 r. poinformował o naruszeniu ochrony danych prezesowi Urzędu Ochrony Danych Osobowych, co potwierdził w rozmowie z "Wyborczą" rzecznik prasowy placówki.
W dniu 22 grudnia 2023 r. szpital zawiadomił o zdarzeniu policję, zaś w dniu 23 grudnia 2023 r. zgłosił fakt naruszenia ochrony danych prezesowi Urzędu Ochrony Danych Osobowych.
Szpital aktywnie reaguje również na potrzeby pacjentów, których dane zostały narażone na ryzyko. Zgodnie z procedurami bezpieczeństwa, placówka postanowiła poinformować bezpośrednio osoby dotknięte wyciekiem, umożliwiając im podjęcie niezbędnych środków zapobiegawczych. Pacjenci otrzymują od kilku dni pisma z ostrzeżeniem ze strony szpitala, co ma na celu poinformowanie ich o zaistniałej sytuacji oraz udzielenie zaleceń dotyczących ochrony prywatności.
Szpital współpracuje z organami ścigania oraz organami nadzoru ochrony danych osobowych, aby skutecznie zakończyć śledztwo i dostosować procedury bezpieczeństwa w celu uniknięcia podobnych incydentów w przyszłości. Równolegle zapewniono, że placówka będzie na bieżąco informować o postępach w śledztwie i nowych informacjach w sprawie, które bezpośrednio dotyczą poszkodowanych w wyniku wycieku pacjentów.
Czytaj także: https://innpoland.pl/194582,wyciek-danych-ing-facebook-mbankJak przekazywaliśmy na łamach INNPoland, już nie 12 tys., a nawet 200 tys. pacjentów – dane tylu osób mogą wyciec do sieci po ataku hakerskim na ALAB. Firma potwierdziła, że nie negocjuje z przestępcami i nie zamierza zapłacić okupu. Hakerzy zapowiedzieli ujawnienie kolejnych wyników badaniach pod koniec tego roku.
Zdaniem analityków dane osób, które wykonywały badania w innych firmach, również mogły zostać wykradzione. "Analiza wykazała, że doszło również do kradzieży wyników badań wykonywanych na zlecenie innych placówek medycznych, nienależących do grupy ALAB" – ocenili specjaliści z NASK.