Większość danych pacjentów to dane wrażliwe. Obecnie trafiają one na szeroką skalę do centralnych systemów informatycznych. Dane podane przez CERT wskazują, że w 2022 roku dochodziło do średnio 12 cyberataków w każdym miesiącu. Co sprawia, że dane medyczne coraz częściej wyciekają i podlegają kradzieżom? Jaką odpowiedzialność ponoszą podmioty lecznicze i w jaki sposób można skutecznie chronić swoje dane?
Wyciek i kradzież danych wrażliwych
Dane pacjentów trafiają do centralnych systemów informatycznych. Mowa tu przede wszystkim o Internetowym Koncie Pacjenta. Choć wiąże się z tym wiele korzyści, rozwój Systemu Informacji Medycznej budzi wiele kontrowersji. Centralizacja systemów jest realizowana w formie jednostronnych działań władczych, a organy państwa powinny dbać o bezpieczeństwo danych udostępnianych podmiotom leczniczym. Wszystko to sprawia, że problem cyberataków i wycieków danych nieustannie się nasila. NFZ dostrzegł potrzebę ochrony danych pacjentów, dzięki czemu podmioty medyczne mogą ubiegać się o dofinansowanie z Funduszu przeciwdziałania COVID-19, aby podnieść bezpieczeństwo teleinformatyczne swoich pacjentów.
Skutki ewentualnego wycieku mogą być katastrofalne. Wówczas osoby trzecie mogą na szkodę osób, których dane naruszono, próbować pozyskać kredyty w instytucjach pozabankowych, czy próbować wyłudzać środki z ubezpieczenia. Dużym zagrożeniem jest też możliwość zarejestrowania przedpłaconej karty telefonicznej służącej do celów przestępczych.
Odpowiedzialność podmiotów leczniczych
Jeśli pojawi się ryzyko wycieku lub kradzieży danych, sytuacja natychmiast powinna zostać zgłoszona do UODO. Gdy do naruszenia już doszło, placówka ma obowiązek ustalenia okoliczności i poziomu ryzyka, z jakim mierzą się osoby, których dane dotyczą. Muszą zostać wszczęte działania naprawcze, a także mogą zostać nałożone na daną placówkę kary administracyjne. Obszar danych o zdrowiu podlega też Ustawie o krajowym systemie cyberbezpieczeństwa, na podstawie której również mogą zostać zasądzone kary administracyjne – za brak należytego przygotowania, a także za niezgłoszenie incydentu.
Jak chronić swoje dane?
Ochrona tożsamości jest niezwykle ważna dla ogólnego bezpieczeństwa danych. Jednym z ważnych kroków, które można podjąć, jest zastrzeżenie numeru PESEL, którego można dokonać poprzez serwis mobywatel.gov.pl. Warto dokonać również weryfikacji w BIK – serwisie Biura Informacji Kredytowej. Można tam sprawdzić, kto pytał o dane osobowe, a także dowiedzieć się o istnieniu ewentualnych zobowiązań.
Ochrona danych pacjenta jest też przedmiotem regulacji karnoprawnych. Bezprawne uzyskanie informacji czy oszustwa komputerowe to przestępstwa ścigane co do zasady na wniosek, które należy zgłosić w prokuraturze lub na policji. Poszkodowani mają też uprawnienie dochodzenia roszczeń na drodze cywilnej. Mogą też zgłosić wniosek o wszczęcie postępowania administracyjnego do Prezesa UODO.
Wyciek danych medycznych to poważny problem, przed którym placówki medyczne powinny się zabezpieczać. W tym celu konieczne jest przestrzeganie uregulowanych prawnie procedur.