Telemedycyna pod obserwacją cyberprzestępców. Jak chronić dane osobowe?

Przeczytaj także: Telemedycyna bez szans na popularność? 50% Polaków nie chce jej po pandemii

Historia choroby w telefonie

Konieczność izolacji i zachowania dystansu społecznego sprawiła, że część usług medycznych przeniosła się do świata cyfrowego. Możliwość skorzystania z e-porad zagwarantowały Polakom zarówno publiczne, jak i prywatne placówki służby zdrowia. Zasady były proste. W przypadku państwowych ośrodków wystarczyło wypełnienie dostępnego w sieci formularza, w którym pacjent proszony był o opisanie dolegliwości i podanie danych osobowych, w tym m.in. imienia, nazwiska oraz numeru PESEL. Z kolei pacjenci niepublicznych placówek najczęściej korzystali z telemedycyny za pośrednictwem aplikacji mobilnych lub też łącząc się telefonicznie z recepcją.

W efekcie takiej rozmowy lekarz decydował, czy w danym przypadku wystarczające jest wystawienie e-recepty, e-zwolnienia, czy też może koniecznością jest zobaczenie pacjenta na żywo i dokładniejsze przyjrzenie się jego dolegliwościom.

Dodatkowo za pośrednictwem, przygotowanego przez Ministerstwo Zdrowia, Internetowego Konta Pacjenta zyskaliśmy dostęp do m.in. wszystkich recept, które otrzymaliśmy od początku 2019 r., historii naszych wizyt w placówkach prowadzonych przez NFZ. Dzięki aplikacji mamy również dostęp danych naszych dzieci (przed ukończeniem 18. roku życia). To dotyczy pacjentów publicznej służby zdrowia. Do korzystania z IKP konieczne jest posiadanie profilu zaufanego. Podobne funkcjonalności oferują również aplikacje prywatnych sieci medycznych. Pacjenci dobrze odbierają nowe rozwiązania ułatwiające leczenie. Według raportu Fundacji Digital Poland, PwC i IQS 92% Polaków pozytywnie ocenia nowe technologie w medycynie.

NIK alarmuje: szpitale nie chronią danych pacjentów

W parze z niewątpliwymi zaletami nowoczesnymi rozwiązań telemedycyny idą niestety poważne zagrożenia. Większość przetwarzanych przez firmy medyczne danych archiwizowana jest w formie cyfrowej. Ich zabezpieczenie budzi z kolei poważne wątpliwości.

Jako pierwsza na alarm biła Najwyższa Izba Kontroli, która w raporcie z listopada 2019 r. o ochronie danych osobowych w szpitalach pokazuje, że większość sprawdzanych w ramach kontroli placówek medycznych nie zapewnia skutecznej ochrony danych pacjentów, a w ponad połowie doszło do naruszeń. Zaufania do ochrony danych przez instytucje publiczne, jakimi są szpitale, ale także prywatne przedsiębiorstwa, nie mają również sami Polacy. Jak wynika z przeprowadzonego w kwietniu przez IMAS International na zlecenie Krajowego Rejestru Długów badania, 54% z nich obawia się, że mogą mieć problem na skutek braku wystarczających zabezpieczeń, niedbałości lub niekompetencji tych, którzy informacje na ich temat przechowują, czyli urzędów i firm.

- Służba zdrowia to drugi po instytucjach finansowych cel ataków hakerów na świecie. W Polsce w szpitalach leczy się rocznie 8-9 mln osób. Każda z nich może stać się nieświadomym kredytobiorcą lub „właścicielem” drogiego telewizora kupionego na raty. Znamy przecież z niedalekiej przeszłości przypadki poważnych wycieków danych z ośrodków medycznych. W grudniu 2019 r. o pomoc do ekspertów serwisu ChronPESEL.pl zwróciła się farmaceutka z województwa zachodniopomorskiego, która otrzymała listowne powiadomienie z Narodowego Funduszu Zdrowia o wycieku danych kierowników kilkuset aptek z tego województwa, w tym ich numerów PESEL. Takich sytuacji jest więcej – mówi Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl, partnera Krajowego Rejestru Długów.

Dane osobowe pacjentów z kradzionego komputera

Rok temu w maju wyciekły dane prawie 29 000 pacjentów Prywatnej Praktyki Lekarskiej Specjalisty Medycyny Pracy we Wrocławiu. Można je było znaleźć na niezabezpieczonym serwerze poradni. Widoczne były numery PESEL, adresy i szczegółowe informacje związane z celem badania, np. uzyskaniem orzeczenia do pracy na wysokości dla danego zawodu.

Powodem wycieku nie zawsze musi być jednak brak ostrożności administratorów sieci. Zdarza się, że dochodzi do niego w wyniku pospolitej kradzieży. W listopadzie 2019 r., również we Wrocławiu, zaginęły dane osobowe 200 tys. pacjentów oraz pracowników placówki. Wśród nich były imiona, nazwiska, numery PESEL i daty urodzenia. Baza znajdowała się w komputerze firmy zewnętrznej, która obsługiwała szpital w zakresie informatyki.

- Rozwój telemedycyny jest nieunikniony i wskazany. Równolegle z rozwojem usług powinniśmy jednak pracować nad zabezpieczeniem dostępu do danych. Ich utrata wiązać się bowiem może z poważnymi konsekwencjami. W przypadku wycieku, istotna jest postawa instytucji, która była administratorem skradzionych danych. Ostatni przykład Politechniki Warszawskiej, która zareagowała właściwie, pokazuje, jak ważne jest, by od razu poinformować o wydarzeniu oraz zaproponować odpowiednie działania mające na celu zapobiegnięcie skutkom wykorzystania danych. Nie możemy jednak wyłącznie czekać na komunikat z firmy, która przetwarza nasze dane. Dlatego bardzo ważne jest, by oprócz przestrzegania podstawowych zasad bezpieczeństwa, stale monitorować zapytania na swój temat w Krajowym Rejestrze Długów. Tylko wtedy będziemy w stanie szybko zareagować, gdy ktoś spróbuje wykorzystać nasze dane – dodaje Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

Zarówno instytucje finansowe, jak i firmy pożyczkowe oraz telekomy przed podpisaniem umowy z nowym klientem, weryfikują, czy nie jest notowany w Krajowym Rejestrze Długów, jako osoba zadłużona. Żeby to zrobić muszą najpierw uzyskać naszą pisemną zgodę. Jeśli więc dostaniemy SMS-a, że właśnie sprawdza nas np. jakiś bank, a my w nim nie składaliśmy wniosku o kredyt, to znak że trzeba szybko reagować.

ChronPESEL.pl daje również wsparcie prawne osobom, które padły ofiarą oszusta. W zależności od wybranej opcji zarejestrowany użytkownik platformy otrzyma albo komplet dokumentów wraz z adresami instytucji, do których należy je wysłać, aby nie płacić cudzego kredytu albo pomoc prawnika, który zajmie się tym w jego imieniu.