26 sierpnia poinformowano na stronie Urzędu Ochrony Danych Osobowych, iż jego prezes nałożył na Samodzielny Publiczny ZOZ w Pajęcznie karę 40 tys. złotych. W wyniku ataku hakerskiego placówka straciła dostęp do danych pacjentów i pracowników a działania naprawcze podjęte zostały dopiero po fakcie.
Zaszyfrowano dane osobowe 30 tys. pacjentów
Do ataku hakerskiego doszło w lutym 2022 r. Złośliwe oprogramowanie typu ransomware zaszyfrowało dane osobowe 30 tys. pacjentów i ponad tysiąca pracowników. ZOZ zawiadomił o tym UODO i policję. Uznał jednak, iż atak nie był poważny, bo dane nie wyciekły – stały się tylko niedostępne (zewnętrzny ekspert wskazał, iż danych nie da się odszyfrować – atakujący uzależnili odszyfrowanie danych od zapłacenia okupu w kryptowalucie). Prezes UODO ustalił jednak w postępowaniu, iż sprawa była istotna.
Wcześniej placówka nie przeprowadziła analizy ryzyka dla danych osobowych. Nie mogła więc skutecznie chronić danych osobowych – stąd kara.
Na zagrożenie dla danych osobowych ZOZ zareagował dopiero po ataku. Wtedy wezwał ekspertów, którzy wskazali luki w zabezpieczeniach i zarekomendowali zmiany. Odbyły się też szkolenia dla pracowników dotyczące bezpieczeństwa systemów informatycznych i danych.
ZOZ nie miał jednak – co jest kluczowe – dokumentów potwierdzających sporządzenie i aktualizowanie analizy ryzyka dla danych osobowych. Bezpieczeństwo danych powierzono informatykowi, który na bieżąco analizował m.in. podatności, zagrożenia, możliwe skutki naruszenia oraz środki bezpieczeństwa mające na celu zapewnienie poufności, integralności i dostępności przetwarzanych danych osobowych. To w żaden sposób nie mogło zapewnić należytej kontroli nad bezpieczeństwem danych.
W efekcie przyjęte w ZOZ procedury nie były adekwatne do ryzyk dla danych osobowych. Wykazał to przeprowadzony już po ataku audyt.
Powiązane
Odszkodowania za Aptekę dla aptekarza 2.0
Epidemia krztuśca? Niepokojący wzrost zachorowań
Gwałtowny wzrost zachorowań na krztusiec
Polecane
