Wyciek danych osobowych w poznańskim NFZ

W Mikołajki w godzinach popołudniowych na stronach poznańskiego Narodowego Funduszu Zdrowia opublikowano petycję wraz z dwoma tysiącami danych osobowych, łamiąc wszelkie zasady RODO.

Pierwszego grudnia napisałam do poznańskiego oddziału NFZ maila z 3 pytaniami:
1. Dlaczego na http://nfz-poznan.pl nie ma opublikowanej „petycji ws. konieczności utrzymania nocnej i świątecznej opieki zdrowotnej w Dopiewie” złożonej w NFZ na początku listopada 2019 roku?
2. Czy udzielono odpowiedzi na w ww. petycję? Proszę o udostępnienie jej treści.
3. Czy udało się porozumieć z NZOZ PRIMA-MED w Dopiewie? Czy ten podmiot będzie świadczył nadal w 2020 pomoc świąteczną i doraźną? Czy może ogłoszono konkurs na wyłonienie innego podmiotu udzielającego tego zakresu świadczeń? Proszę o link lub informacje na temat tego konkursu (terminy, rozstrzygnięcie, zakres usług itd.)?

Oficjalnej odpowiedzi na pytania nie otrzymałam do dziś.
Nieoficjalnie jednak zdobyłam odpowiedź, którą otrzymali składający ww. petycję. W międzyczasie upubliczniono informację, kto wygrał konkurs na świadczenie usług medycznych w naszym rejonie od 2020 roku. (Poradnia Lekarza POZ Plewiska, ul. Grunwaldzka 508 w Plewiskach).

6 grudnia w godzinach popołudniowych opublikowano na stronie internetowej http://nfz-poznan.pl nieszczęsną petycję wraz z danymi osób wszystkich osób, które się pod nią podpisały, takich jak: imienia i nazwiska, adresu zamieszkania, adresu poczty elektronicznej oraz nr IP. Takie dane podawało się dobrowolnie przy podpisywaniu petycji w internecie.

Gdy tylko to zauważyłam (w sobotę), natychmiast próbowałam się dodzwonić do kogokolwiek, żeby feralny plik jak najszybciej zniknął z internetu, ale cóż, w Polsce państwowe instytucje pracują w dni robocze w godz. 8.00 – 16.00. Plik został usunięty dopiero w poniedziałek około południa.

Pouczenie NFZ
11 grudnia chyba zdano sobie sprawę z powagi sytuacji i do osób, których adresy widniały w petycji wysłano takiej treści maila. Najpewniej przeprowadzono szybką analizę ryzyka, która wykazała wysokie ryzyko naruszenia praw i wolności osób, których dane dotyczą.
„W związku z udostępnieniem w dniu 6 grudnia 2019 r. Pani/Pana danych osobowych w postaci: imienia i nazwiska, adresu zamieszkania, adresu poczty elektronicznej oraz nr IP na stronie internetowej Wielkopolskiego Oddziału Wojewódzkiego Narodowego Funduszu Zdrowia w Poznaniu polegającym na publikacji petycji odnoszącej się do nocnej i świątecznej opieki zdrowotnej realizowanej w Dopiewie przekazujemy poniższe informacje:

  1. W dniu 9 grudnia 2019 r. przedmiotowa publikacja zawierająca petycję wraz z danymi osobowymi osób, które ją podpisały została usunięta ze strony internetowej Oddziału Funduszu.
  2. Naruszenie poufności danych osobowych, w szczególności dotyczących imienia i nazwiska, adresu zamieszkania oraz adresu poczty elektronicznej stanowi incydent bezpieczeństwa danych oraz implikuje istotne ryzyko naruszenia praw i wolności osób, których dane dotyczą.
  3. Realizując obowiązek wynikający z art. 34, a także art. 33 ust. 3 lit. b), c) i d) rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych - zawiadamiamy Panią/Pana o możliwych konsekwencjach naruszenia ochrony danych osobowych oraz o możliwych do podjęcia przez Panią/Pana środkach zaradczych, a mianowicie:
  1. możliwymi konsekwencjami naruszenia jest nieuprawnione wykorzystanie danych osobowych m.in. w celu:
  • uzyskania przez osoby trzecie, na szkodę osoby, której dane naruszono, kredytów w instytucjach poza bankowych, ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób np. poprzez Internet lub telefonicznie bez konieczności okazywania dokumentu tożsamości;
  • uzyskania dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość;
  • korzystania z praw obywatelskich osoby, której dane naruszono, np. do głosowania nad środkami budżetu obywatelskiego. Uniemożliwiałoby to właściwej osobie korzystanie z przysługującego jej prawa;
  • wyłudzenia ubezpieczenia lub środków z ubezpieczenia, co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za wykonanie takiego oszustwa;
  • zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która mogłaby następnie posłużyć do celów przestępczych;
  • zawarcie umowy o świadczenie usług, np. telewizji kablowej, telefonu, internetu, a następnie zaprzestanie opłacania rachunków i spowodowanie zadłużenia;
  • przetwarzanie danych osobowych w celach marketingowych, bez wcześniejszego uzyskania zgody;
  1. możliwymi do podjęcia przez Panią/Pana środkami zaradczymi w celu minimalizacji ewentualnych negatywnych konsekwencji są m.in. działania polegające na:
  • założeniu konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej - niektóre systemy informacji kredytowej umożliwiają uruchomienie cyklicznych alertów wybranym kanałem komunikacji (np. sms, e-mail) informujących o zapytaniach o historię kredytową kierowanych przez podmioty finansowe;
  • w przypadku stwierdzenia tzw. „kradzieży tożsamości” (tj. wykorzystania Pani danych przez osobę nieuprawnioną poprzez „podszycie się” pod Panią), niezwłocznego zgłoszenia tego faktu właściwym organom;
  • zachowaniu szczególnej ostrożności przy podawaniu danych osobowych innym osobom, zwłaszcza za pośrednictwem Internetu czy telefonu, w szczególności zachowania zasady ograniczonego zaufania w przypadku otrzymania wiadomości e-mail, SMS/MMS od nieznanych nadawców.

Wielkopolski Oddział Wojewódzki Narodowego Funduszu Zdrowia informuje i podkreśla, że w celu ograniczenia negatywnych skutków zaistniałego zdarzenia podjęte zostały przez Oddział działania polegające na niezwłocznym usunięciu ze strony internetowej Oddziału petycji wraz z danymi osobowymi osób, które ją podpisały i zamieszczeniu petycji w przewidzianej przepisami formie. Ponadto osoby zaangażowane w proces publikacji na stronie internetowej zostały pouczone o obowiązujących przepisach w zakresie ochrony danych osobowych. Ponadto, w celu zapobieżenia podobnym sytuacjom w przyszłości, Oddział wprowadził dodatkowe mechanizmy kontrolne i weryfikujące poprawność publikowanych informacji.

W przypadku pojawienia się ewentualnych pytań w przedmiotowej sprawie, może się Pani/Pan kontaktować z osobą odpowiedzialną za ochronę danych w Oddziale, tj. Inspektorem Ochrony Danych, Panią Anną Marciniak-Pilarską, w następujący sposób:

Jednocześnie Wielkopolski Oddział Wojewódzki Narodowego Funduszu Zdrowia ponownie przeprasza za zaistniałą sytuację i pragnie zapewnić, iż podejmowane przez Oddział działania naprawcze służą bieżącemu doskonaleniu metod pracy i standaryzacji postępowania, mając na celu poprawienie efektywności procesów w zgodności z obowiązującymi przepisami.

Z poważaniem,
Z upoważnienia Dyrektora WOW NFZ
Paweł Kurzak
Zastępca Dyrektora ds. Służb Mundurowych”

***

Powiem szczerze, że jestem zszokowana tym, że w państwowej instytucji tak lekko traktuje się nasze dane osobowe. A jak czytam w piśmie powyżej „osoby zaangażowane w proces publikacji na stronie internetowej zostały pouczone”, to dochodzę do wniosku, że chyba pracuje tak syn kuzyna, albo wnuczek sąsiadki, bo w normalnej firmie wobec osoby, która by zrobiła takiego „babola” wyciągnięto by poważne konsekwencje służbowe!

Poprosiliśmy Radcę Prawnego specjalizującego się w RODO, Pana Piotra Kalinę o opinię na ten temat. Gdy tylko ją otrzymamy, opublikujemy niezwłocznie.

Agnieszka Wilczyńska

 

Wyciek danych osobowych w poznańskim NFZ
Kategoria: