PISMO INFORMACYJNE W SPRAWIE NARUSZENIA DANYCH OSOBOWYCH
Szanowni Państwo,
W dniu 19.11.2024 r. Wojewódzki Szpital Specjalistyczny im. Bł. Ks. J. Popiełuszki we Włocławku (dalej: ADO) ujawnił nieuprawniony dostęp do skrzynki mailowej sekretariatu- Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
Z uwagi na wysoką potencjalną możliwość naruszenia poufności danych osobowych znajdujących się wiadomościach mailowych na skrzynce, kierując się dobrem pacjentów i osób, co do których z przyczyn od nas niezależnych na chwilę obecną nie możemy doręczyć indywidualnego powiadomienia, zamieszczamy jego treść na naszej stronie internetowej.
Poniżej treść komunikatu
Co się stało:
W dniu 19.11.2024 r. ujawniono, że nieuprawniona osoba lub osoby przejęły dostęp do skrzynki mailowej sekretariatu ADO dokonując usunięcia zawartych na niej maili oraz wykorzystując niniejszą skrzynkę do rozsyłania korespondencji mailowej mającej na celu dalsze wyłudzanie loginów oraz haseł do maili. Nie można jednak wykluczyć również zaboru korespondencji mailowej.
Jakie dane osobowe mogło obejmować naruszenie:
ADO nie jest w stanie określić, na chwilę obecną jakie dane osobowe mogły ulec wyciekowi .Na pewno co do części korespondencji są to dane w postaci: imienia i nazwiska, numeru PESEL, adresu zamieszkania. Niniejsze zdarzenie było zewnętrznym atakiem na ADO. Obecnie analizowane są treści maili pod kątem danych osobowych oraz prowadzone śledztwo informatyczne.
Dane kontaktowe w sprawie naruszenia ochrony danych osobowych
W przypadku jakichkolwiek pytań związanych z naruszeniem mogą Państwo skontaktować się z inspektorem ochrony danych Panią Magdaleną Adamek- Balcerowicz adres e-mail: Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript.
Jakie mogą być potencjalne konsekwencje naruszenia ochrony danych osobowych:
Następstwem naruszenia Państwa danych osobowych może być:
- publikacja lub ujawnienie danych osobowych, w szczególności informacji o stanie zdrowia, co może naruszać Państwa dobra osobiste;
- zagrożenie nękaniem lub szantażem przy wykorzystaniu ujawnionych danych;
- narażenie na wzmożone ataki phishingowe, zmierzające do wyłudzenia danych osobowych;
- założeniem przy wykorzystaniu danych osobowych konta internetowego (np. w serwisach społecznościowych);
- podjęciem przez osobę trzecią próby uzyskania na Państwa szkodę pożyczek w instytucjach pozabankowych, np. przez Internet lub telefonicznie, bez konieczności okazywania dokumentu tożsamości;
- podjęciem przez osobę trzecią próby uzyskania dostępu do systemów obsługujących udzielanie świadczeń medycznych i uzyskania wglądu do danych o Państwa stanie zdrowia (często dostęp do systemów rejestracji pacjenta można uzyskać, potwierdzając swoją tożsamość za pomocą numeru PESEL);
- wykorzystaniem danych osobowych celem korzystania z praw obywatelskich np. poprzez oddanie głosu w głosowaniu nad środkami budżetu obywatelskiego;
- wykorzystaniem przez osobę trzecią danych osobowych do próby wyłudzenia ubezpieczenia lub środków z ubezpieczenia;
- wykorzystaniem przez osobę trzecią danych osobowych do próby zawarcia umów cywilno-prawnych;
- zarejestrowaniem przedpłaconej karty telefonicznej (pre-paid), która może służyć do celów przestępczych;
- przetwarzaniem danych osobowych w celach marketingowych bez uprzedniego uzyskania zgody (w przypadku prowadzenia marketingu drogą tradycyjną, tj. wysyłki treści marketingowych na adres zamieszkania);
- wykorzystaniem Państwa danych osobowych przez firmy z branży paramedycznej;
- wykorzystaniem Państwa danych osobowych oraz informacji o wynikach badań laboratoryjnych przy ocenie ryzyk ubezpieczeniowych.
Co zrobiliśmy w celu zaradzenia naruszeniu:
Bezpieczeństwo danych osobowych jest dla nas priorytetem, dlatego niezwłocznie po stwierdzeniu naruszenia zawiadomiliśmy Prezesa Urzędu Ochrony Danych Osobowych, CSIRT NASK, CSIRT CEZ oraz złożone zostanie zawiadomienie o podejrzeniu popełnienia przestępstwa. Pracownicy zostaną dodatkowo przeszkoleni i wdrożone zostaną dalsze środki bezpieczeństwa.
Co możesz zrobić by zminimalizować negatywne skutki naruszenia:
W przypadku obawy, że Państwa dane osobowe mogą być wykorzystane do którejkolwiek z wyżej wymienionych czynności, w celu zminimalizowania ewentualnych negatywnych skutków zalecamy:
- zachowanie ostrożności w kontakcie z przedstawicielami koncernów farmaceutycznych lub placówek opieki zdrowia, w szczególności gdy rozmówca chce, powołując się na wyniki badań laboratoryjnych, uzyskać dodatkowe dane, takie jak np. nr dowodu osobistego, historia choroby lub zaproponować inną/alternatywną metodę leczenia;
- zachowanie ostrożności w kontakcie ze strony banków lub innych instytucji finansowych, w szczególności gdy rozmówca chce, powołując się na numer PESEL, uzyskać dane takie jak nr dowodu osobistego, nr konta bankowego, itp.;
- zachowanie ostrożności przy korzystaniu z mediów społecznościowych, w szczególności przy odbieraniu wiadomości prywatnych zawierających linki;
- zastrzec numer PESEL (więcej informacji na stronie:https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie );
- skorzystać z Alertów w Biurze Informacji Kredytowej celem monitorowania aktywności kredytowej;
- zmienić login lub hasło do systemów, w których loginem lub hasłem był numer PESEL;
- w razie stwierdzenia podszywania się pod Państwa - zawiadomić organy ścigania o możliwości popełnienia przestępstwa;
- w razie stwierdzenia naruszenia Państwa dóbr osobistych przez wykorzystanie danych osobowych, które zostały objęte niniejszym naruszeniem, rekomendujemy wykorzystanie środków ochrony dóbr osobistych określonych w przepisach Kodeksu cywilnego.
Bezpieczeństwo Państwa danych we własnym zakresie można sprawdzić na:
https://bezpiecznedane.gov.pl/.
Podjęcie tych działań powinno zminimalizować negatywne skutki ewentualnego naruszenia i zabezpieczyć dane osobowe przed ich niewłaściwym wykorzystaniem.
Wojewódzki Szpital Specjalistyczny im. Bł. Ks. J. Popiełuszki we Włocławku