Prezes Urzędu Ochrony Danych Osobowych i Rzecznik Praw Pacjenta podjęli działania w związku z wyciekiem danych z firmy Alab laboratoria. Działania tych instytucji mają pomóc w opracowaniu rekomendacji, pozwalających ograniczyć ryzyka związane z takimi wydarzeniami i niwelować ich skutki.
Alab poinformował, że 19 listopada 2023 roku zaobserwowano próbę zmasowanego ataku na serwery spółki. Po dokonaniu analizy zdarzenia ustalono, że dostęp do znajdujących się tam danych mogły w sposób bezprawny uzyskać osoby nieuprawnione. Chodzi o takie dane jak imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego.
Zespół ekspercki dokonał analizy ryzyka incydentu zgodnie z rekomendacjami ENISA (Agencja Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji) i wstępnie oszacował wartość ryzyka jako wysoką.
Spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała uprawnione instytucje (CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia), a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości.
– Obecnie UODO analizuje zgłoszone 21 listopada br. naruszenie ochrony danych w Alab. Na obecnym etapie czekamy na dalsze ustalenia administratora danych, aby dysponować wiedzą na temat szczegółów związanych z naruszeniem i rzetelnie wyjaśnić jego przyczyny i skalę- powiedział Jakub Groszkowski Zastępca Prezesa UODO.
– W związku z głośnym wyciekiem danych, w ramach współpracy obie instytucje będą wymieniać się ustaleniami z podejmowanych działań oraz wynikami swoich prac. Celem tej współpracy jest przede wszystkim dobro pacjentów i ochrona ich danych osobowych – dodał Jakub Groszkowski
– Rozpoczynamy postępowanie, by we współpracy z Prezesem UODO i podmiotem ustalić szczegóły sprawy. Potencjalne naruszenie praw pacjenta traktujemy niezwykle poważnie, mając na uwadze nie tylko literę prawa ale i zaufanie pacjentów do podmiotów leczniczych i systemu ochrony zdrowia – dodał Bartłomiej Chmielowiec, Rzecznik Praw Pacjenta.
Wspólne działania mają też pomóc w sprawnym ustaleniu przyczyn, jak i konsekwencji naruszenia ochrony danych osobowych.
Informacje pozyskane zarówno przez Prezesa UODO, jak i Rzecznika Praw Pacjenta mają pomóc obu organom w realizacji ich ustawowych zadań. Ponadto połączone wysiłki tych instytucji mogą też przełożyć się na opracowanie w przyszłości rekomendacji, które pozwolą ograniczać ryzyka związane z tak poważnymi naruszeniami ochrony danych, jak i niwelować ich skutki.
Jednocześnie organ nadzorczy zaleca, by pacjenci przed podjęciem jakichkolwiek działań w związku z zaistniałym naruszeniem ochrony danych, skorzystali z narzędzia udostępnionego przez ministra cyfryzacji i zweryfikowali czy ich dane są objęte wyciekiem z ALAB w serwisie bezpiecznedane.gov.pl.