Jak wyjaśnia urząd, incydent polegał na przełamaniu zabezpieczeń infrastruktury informatycznej szpitala i zainfekowaniu jej złośliwym oprogramowaniem ransomware. W wyniku ataku został zablokowany dostęp do systemów informatycznych, co skutkowało naruszeniem poufności i dostępności danych osobowych ok. 2000 pracowników, w tym możliwością uzyskania do nich nieuprawnionego dostępu. Nie doszło natomiast do zajęcia systemów odpowiedzialnych za przetwarzanie danych osobowych pacjentów. 

Mirosław Wróblewski, prezes UODO, przypomniał, że kształtowanie obowiązków administratora w oparciu o przepisy rozporządzenia 2016/679 (RODO) zostało oparte na kryterium ryzyka. Projektowanie mechanizmów przetwarzania powinno odbywać się w procesie dwuetapowym. W pierwszej kolejności konieczne jest przeanalizowanie przez administratora ryzyka dla praw lub wolności osób fizycznych wynikającego z przetwarzania ich danych osobowych. Następnym etapem jest ustalenie, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić zgodność z przepisami rozporządzenia 2016/679, w tym stopień bezpieczeństwa odpowiadający temu ryzyku. W okolicznościach niniejszej sprawy, jak stwierdził prezes UODO, analiza ryzyka nie została przeprowadzona jednak w sposób prawidłowy.

Dokumenty bez treści 

Po pierwsze, analiza przeprowadzona została na podstawie wadliwej procedury, zgodnie z którą szacowanie ryzyka możliwych zagrożeń przeprowadzono z perspektywy szpitala jako organizacji, a nie ochrony osób, których dane dotyczą.

Po drugie, szpital nie wskazał, jakie procesy przetwarzania poddawał analizie, ani nie powiązał tych procesów z rozpoznanymi zagrożeniami, podatnościami oraz ostateczną oceną ryzyka. Dla zapewnienia odpowiedniego poziomu ochrony nie wystarczy bowiem bardzo ogólne wskazanie potencjalnych zagrożeń i prawdopodobieństwa ich wystąpienia, ale konieczne jest ich powiązanie z charakterem, zakresem, kontekstem i celem przetwarzania danych osobowych w danej organizacji.

Po trzecie, o nierzetelnym przeprowadzeniu przez szpital analizy ryzyka świadczyć miał także opis proponowanych działań mających na celu postępowanie z ryzykiem. Organ nadzorczy uznał, że przyjęte przez szpital dokumenty, mające świadczyć o przeprowadzonej analizie ryzyka są niespójne, pełne niejasności i nie zawierają konkretnych rozwiązań organizacyjnych i technicznych. 

Wyjaśniając, jakie środki techniczne wykorzystywał do zabezpieczenia swoich systemów informatycznych, administrator powoływał się na audyt przeprowadzony pod kątem zgodności z ustawą o krajowym systemie cyberbezpieczeństwa. Akt ten koncentruje się jednak przede wszystkim na zapewnieniu bezpiecznego i niezakłóconego systemu świadczenia usług, nie zaś ­– jak ma to miejsce w przypadku rozporządzenia 2016/679 – na ochronie praw i wolności osób fizycznych.

Istotne jest również, że szpital nie wdrożył stosownej procedury w zakresie wykonywania i dokumentowania testów odtworzeniowych, a także nie zastosował odpowiednich zabezpieczeń tworzonych kopii zapasowych, co mogło mieć wpływ na fakt, że po wystąpieniu incydentu szpital nie zdołał w pełni odtworzyć danych utraconych w następstwie tego zdarzenia.

Brak regularnego testowania, mierzenia i oceniania przez szpital skuteczności technicznych i organizacyjnych środków bezpieczeństwa danych osobowych to kolejna niezgodność z przepisami o ochronie danych, którą stwierdził organ nadzorczy. Administrator nie był w każdym razie w stanie wykazać jakiegokolwiek udokumentowania przeprowadzania tego rodzaju przeglądów bezpieczeństwa, co pozostaje nie tylko w sprzeczności z zasadą rozliczalności, o której mowa w art. 5 ust. 2 rozporządzenia 2016/679, ale także wyklucza przejrzystość podejmowanych działań zaradczych. 

Czytaj również: Ponad dwukrotny wzrost cyberataków na szpitale w ciągu roku