Bełchatowski szpital informuje o wycieku danych
Na stronie Szpitala Wojewódzkiego im. Jana Pawła II w Bełchatowie pojawił się komunikat (źródło: http://www.szpital-belchatow.pl/content/view/42/31/) o kradzieży „Rejestru udostępnionej dokumentacji medycznej” z Rejestracji Przychodni Lekarza POZ. Osoba nieuprawniona uzyskała dostęp do takich danych jak: imię, nazwisko, PESEL oraz wzór podpisu osoby, której udostępniano dokumentację. Sprawa dotyczy osób, których dane były udostępniane w dniach od 17.11.2018r. do 06.01.2019r.
Nie wiadomo, czy każdy z pacjentów z osobna został poinformowany o wycieku, czy może szpital poprzestał na wydaniu komunikatu na stronie w zakładce „Informacje dla Pacjentów”. Jeżeli wybrał drugą opcję, kwestią dyskusyjną pozostaje czy było to działalnie wystarczające i zgodne z przepisami. Regulacje nie wskazują, w jaki sposób powinien być spełniony obowiązek zawiadomienia. Według art. 34. RODO powiadomienie musi nastąpić, jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Na stronie UODO (źródło: https://uodo.gov.pl/pl/134/238) znajdziemy wyjaśnienie, że „do przypadków, które mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych należą sytuacje, w których naruszenie prowadzi do dyskryminacji, kradzieży tożsamości, oszustwa, straty finansowej lub uszczerbku na reputacji. Jeżeli naruszenie dotyczy danych wrażliwych, można założyć, że jest prawdopodobne, iż takie naruszenie może prowadzić do wskazanych wyżej szkód.”
Wyciek danych a ubezpieczenie cyber
Ubezpieczenie cybernetyczne mogą zawierać jednostki sektora finansów publicznych, takie jak szpitale. Poniżej skupiamy się na niektórych z zakresów, które są pokrywane przez zakłady ubezpieczeń, a które można odnieść do sprawy szpitala w Bełchatowie.
Ubezpieczenie cyber obejmuje ochroną naruszenie danych nie tylko w formie elektronicznej, ale również tych w formie tradycyjnej, papierowej. Z komunikatu szpitala można się domyślać, że osobie trzeciej zostały udostępnione dane właśnie w formie papierowej. Ubezpieczyciel mógłby w takim przypadku pokrywać skutki takiego zdarzenia.
Kolejną kwestią są tzw. koszty reakcji na zdarzenie – ubezpieczyciel pokryłby koszty prawników czy agencji PR w celu zmniejszenia rozmiarów i skutków takiej szkody. Warto również zaznaczyć, że koszty poinformowania zarówno organu nadzoru oraz osób, których dane zostały naruszone, również są obejmowane ochroną przez ubezpieczycieli.
Można sobie wyobrazić, że na szpital może być nałożona przez PUODO kara administracyjna. Na mocy polskiej ustawy o ochronie danych osobowych wysokość kar dla jednostek sektora finansów publicznych może wynieść do 100.000 PLN. W ramach polisy cyber ubezpieczyciele wypłacają równowartości takich kar nakładanych na ubezpieczony podmiot.
Ostatnią kwestią, jaką chcemy poruszyć są potencjalne roszczenia cywilne z tytułu naruszenia danych osobowych. Każdy z pacjentów, którego dane wyciekły, będzie mógł złożyć pozew do sądu, co może prowadzić do konieczności wypłaty wielu setek tysięcy (jak nie milionów) złotych! Odszkodowania, do których wypłaty zobowiązany jest ubezpieczony, także są objęte zakresem ochrony cyber.