W Powiatowym Szpitalu Specjalistycznym w Stalowej Woli doszło do wycieku danych osobowych pacjentów szpitala. Do zdarzenia doszło w dniach od 19 listopada do 21 grudnia 2023. Póki co nie wiadomo czy był to atak hakerski. Szpital zgłosił sprawę do organów ścigania.
– Potwierdzam, że jest prowadzone postępowanie w sprawie nieuprawnionego uzyskania dostępu za pośrednictwem sieci internet do skrzynek poczty elektronicznej Powiatowego Szpitala Specjalistycznego w Stalowej Woli oraz dokonania zmian w systemie informatycznym poprzez wstawienie opcji przekazywania kopi wiadomości do innej skrzynki e-mail. Postępowanie jest we wstępnym etapie. Aktualnie prowadzimy czynności zmierzające do wyjaśnienia okoliczności sprawy. Zabezpieczony mamy sprzęt, przesłuchujemy świadków także prowadzimy intensywne czynności – mówi prokurator Andrzej Dubiel, rzecznik Prokuratury Okręgowej w Tarnobrzegu
Szpital wystosował oświadczenie:
„Samodzielny Publiczny Zespół Zakładów Opieki Zdrowotnej Powiatowy Szpital Specjalistyczny w Stalowej Woli (dalej: “Administrator”) – jako administrator danych osobowych – informuje, że stwierdził naruszenie ochrony danych osobowych polegające na naruszeniu poufności przetwarzanych danych osobowych, które nastąpiło poprzez ujawnienie ich w okresie od 19 listopada 2023 r. do 21 grudnia 2023 r. nieustalonej osobie trzeciej w formie przekazania danych na adres poczty elektronicznej. Dane były przekazywane na adres e-mail, na który nie powinny być przesyłane.
W związku z powyższym Administrator podjął decyzję o zawiadomieniu osób, których dane
zostały przekazane, w celu możliwości podjęcia przez nie czynności zapobiegawczych.
Administrator, zgodnie z przepisami RODO, podjął wszelkie możliwe działania mające na celu minimalizację skutków naruszenia, jak również zapewnienia ochrony przetwarzanych danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych ochroną. W szczególności Administrator w dniu 22.12.2023 r. zawiadomił o zdarzeniu organy ścigania (Policję), zaś w dniu 23.12.2023 r. zgłosił fakt naruszenia ochrony danych Prezesowi Urzędu Ochrony Danych Osobowych.
Na razie nie wiadomo, czy dane zostały w ogóle w jakikolwiek sposób wykorzystane, ani czy osoby trzecie uzyskały do nich dostęp (czy zapoznały się z danymi). Szpital zapewnia, że sprawa minimalizowania skutków zdarzenia jest traktowana priorytetowo oraz że pozostaje w kontakcie z właściwymi służbami (w szczególności z Policją), w celu szybkiego wyjaśnienia sprawy. Podkreślamy, że celem Szpitala jest wyjaśnienie incydentu we współpracy z uprawnionymi instytucjami publicznymi. Szpital będzie korzystał w postępowaniu ze swoich praw – jako pokrzywdzony.
Wszelkie nowe istotne informacje w sprawie (w tym rekomendacje podejmowania ewentualnych dodatkowych działań przez osoby, których dane zostały przekazane) Szpital będzie komunikował za pośrednictwem strony internetowej, a w przypadku takiej konieczności – także w drodze bezpośredniej korespondencji.”
