Ministerstwo Zdrowia potwierdziło, że doszło do poważnego naruszenia ochrony danych osobowych w systemie Internetowego Konta Pacjenta, które umożliwiło nieuprawniony dostęp do dokumentacji medycznej czterech osób. Incydent, zgłoszony przez Centrum e-Zdrowia, dotyczy konkretnego szpitala, w którym nie zabezpieczono odpowiednio repozytorium danych.
- Ministerstwo Zdrowia potwierdziło naruszenie danych osobowych w systemie IKP.
- Nieuprawniony dostęp do dokumentacji medycznej czterech osób.
- Problem dotyczy niewłaściwego zabezpieczenia repozytorium danych w szpitalu.
- Wyciekły dane obejmowały imię, nazwisko, PESEL oraz informacje zdrowotne.
- Incydent zgłoszono do Prezesa Urzędu Ochrony Danych Osobowych.
Co się wydarzyło?
Na początku kwietnia 2025 roku, Centrum e-Zdrowia poinformowało Ministerstwo Zdrowia o poważnej podatności w systemie Internetowego Konta Pacjenta (IKP). Problem polegał na tym, że wprowadzenie zmian w adresie URL w przeglądarce internetowej umożliwiało dostęp do elektronicznej dokumentacji medycznej (EDM) innych użytkowników. Jak wskazuje komunikat ministerstwa, weryfikacja uprawnień użytkownika, która powinna być realizowana przez podmioty lecznicze, nie miała miejsca.
Skala naruszenia danych
W wyniku tego błędu, jeden z użytkowników IKP mógł pobrać dokumentację medyczną czterech innych osób, co stanowi poważne naruszenie ochrony danych osobowych. Wśród wyciekłych informacji znalazły się imię i nazwisko, data urodzenia, adres zamieszkania, numer PESEL, informacje o dowodzie osobistym oraz dane dotyczące zdrowia. Ministerstwo Zdrowia podkreśliło, że incydent dotyczy wyłącznie kilku osób, a podatność była ograniczona do konkretnego repozytorium w jednym z podmiotów leczniczych.
Reakcja ministerstwa i Centrum e-Zdrowia
Ministerstwo Zdrowia ogłosiło, że 29 kwietnia 2025 roku zgłoszono naruszenie do Prezesa Urzędu Ochrony Danych Osobowych. Rzeczniczka prasowa ministerstwa, Renata Jeziółkowska, odesłała do Centrum e-Zdrowia, które potwierdziło, że sprawa dotyczyła zaledwie kilku osób. W odpowiedzi na dodatkowe pytania, Centrum e-Zdrowia zaznaczyło, że nie było możliwości sprawdzenia danych dowolnego pacjenta, a jedynie w obszarze ograniczonej bazy repozytorium.
Braki w komunikacie ministerstwa
Pomimo że ministerstwo zgłosiło incydent do UODO, wiele kwestii pozostaje niejasnych. Nie podano nazwy szpitala, w którym wystąpił błąd, ani daty, od kiedy podatność była obecna w systemie. Dodatkowo, nie wyjaśniono, czy przeprowadzono analizy dotyczące innych przypadków nadużywania tej podatności. Centrum e-Zdrowia nie odpowiedziało na pytanie o nazwę szpitala, argumentując, że chodzi o bezpieczeństwo wszystkich zaangażowanych stron.
Co dalej?
W odpowiedzi na incydent, dostawca repozytorium zadeklarował naprawę błędu do 25 kwietnia 2025 roku. Ministerstwo Zdrowia oraz Centrum e-Zdrowia zapewniają, że dołożą wszelkich starań, aby osoby, których dane zostały ujawnione, zostały poinformowane o zaistniałej sytuacji. Warto również zauważyć, że procedura przyznania podatności oznaczenia CVE została uruchomiona, co może przyczynić się do poprawy bezpieczeństwa systemów w przyszłości.
Loading ...
