W poniedziałek sieć laboratoriów ALAB poinformowała o możliwości naruszenia ochrony danych osobowych w związku z incydentem bezpieczeństwa w postaci ataku hakerskiego w dniu 19 listopada. Podano, że incydent ten jest wynikiem działalności przestępczej mającej na celu wymuszenie na spółce okupu. 

W komunikacie czytamy również, że wstępna analiza incydentu wykazała, że osoby trzecie w sposób bezprawny mogły uzyskać dostęp do następujących danych osobowych: imię i nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania oraz wynik badania laboratoryjnego.

Sieć zapewnia, że wdrożono awaryjne procedury bezpieczeństwa i komunikacji zmierzające do likwidacji skutków ataku oraz ustalenia zakresu szkód, jednocześnie informując administratorów, których dane zostały powierzone spółce do przetwarzania. Jednocześnie spółka zgłosiła naruszenie do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformowała uprawnione instytucje (CERT Polska, Ministerstwo Zdrowia, Centrum E-Zdrowia), a także złożyła zawiadomienie o podejrzeniu popełnienia przestępstwa do policyjnego Centralnego Biura Zwalczania Cyberprzestępczości. Równolegle wdrożono procedury wewnętrznego i zewnętrznego audytu bezpieczeństwa danych osobowych oraz uruchomiono monitoring sieci Internet pod kątem możliwego upublicznienia nielegalnie pozyskanych danych.

Gdzie sprawdzić, czy nasze dane zostały upublicznione po wycieku z ALAB?

Eksperci Zespołu CERT Polska wspólnie z Centralnym Ośrodkiem Informatyki zasilił rządowy serwis bezpiecznedane.gov.pl numerami PESEL upublicznionymi w ramach tego ataku. Dzięki temu każdy może sprawdzić, czy jego dane są bezpieczne. Można to zrobić za pośrednictwem serwisu bezpiecznedane.gov.pl. 

Wystarczy:

1. wejść na stronę bezpiecznedane.gov.pl;
2. zalogować się za pomocą m.in. aplikacji mObywatel, Profilu Zaufanego, e-Dowodu;
3. kliknąć przycisk "Sprawdź wyciek z ALAB". 

Prawa pacjenta i Rzecznik Praw Pacjenta. Komentarz

Dorota Karkowska

Sprawdź  

Co można zrobić, jeśli nasze dane znalazły się w bazie ujawnionej przez przestępców? 

Można skorzystać z możliwości zastrzeżenia numeru PESEL-u. Obecnie można to zrobić na dwa sposoby – samodzielnie przez stronę internetową mobywatel.gov.pl lub w urzędzie gminy. 

Czytaj też: Od 17 listopada można zastrzec numer PESEL >

Prezes UODO i Rzecznik Praw Pacjenta wspólnie na rzecz bezpieczeństwa danych pacjentów

- Obecnie UODO analizuje zgłoszone 21 listopada br. naruszenie ochrony danych w ALAB.  Na obecnym etapie czekamy na dalsze ustalenia administratora danych, aby dysponować wiedzą na temat szczegółów związanych z naruszeniem i rzetelnie wyjaśnić jego przyczyny i skalę - poinformował Jakub Groszkowski Zastępca Prezesa UODO.

- Rozpoczynamy postępowanie, by we współpracy z Prezesem UODO i podmiotem ustalić szczegóły sprawy. Potencjalne naruszenie praw pacjenta traktujemy niezwykle poważnie, mając na uwadze nie tylko literę prawa ale i zaufanie pacjentów do podmiotów leczniczych i systemu ochrony zdrowia – dodał Bartłomiej Chmielowiec, Rzecznik Praw Pacjenta.

- W związku z głośnym wyciekiem danych, w ramach współpracy obie instytucje będą wymieniać się ustaleniami z podejmowanych działań oraz wynikami swoich prac. Celem tej współpracy jest przede wszystkim dobro pacjentów i ochrona ich danych osobowych – dodał Jakub Groszkowski.

Wspólne działania mają też pomóc w sprawnym ustaleniu przyczyn, jak i konsekwencji naruszenia ochrony danych osobowych.

Informacje pozyskane zarówno przez Prezesa UODO, jak i Rzecznika Praw Pacjenta mają pomóc obu organom w realizacji ich ustawowych zadań. Ponadto połączone wysiłki tych instytucji mogą też przełożyć się na opracowanie w przyszłości rekomendacji, które pozwolą ograniczać ryzyka związane z tak poważnymi naruszeniami ochrony danych, jak i niwelować ich skutki.

Jednocześnie UODO zaleca, by pacjenci przed podjęciem jakichkolwiek działań w związku z zaistniałym naruszeniem ochrony danych, skorzystali z narzędzia udostępnionego przez ministra cyfryzacji i zweryfikowali czy ich dane są objęte wyciekiem z ALAB w serwisie bezpiecznedane.gov.pl.