Wyciek danych pacjentów. Jest komunikat Ministerstwa Zdrowia

10.05.2025 12:16
Ministerstwo Zdrowia w opublikowanym na swojej stronie komunikacie informuje o tym, że w okresie od 19 kwietnia do 25 kwietnia 2025 r. miało miejsce naruszenie ochrony danych osobowych gromadzonych w systemie, którego resort jest administratorem.
komunikat
komunikat / gr. własna

Co musisz wiedzieć:

  • Ministerstwo Zdrowia poinformowało o naruszeniu ochrony danych osobowych
  • Jeden z pacjentów uzyskał dostęp do dokumentacji medycznej innych osób
  • Dane obejmowały m.in. imię i nazwisko, PESEL oraz informacje o stanie zdrowia

Ministerstwo Zdrowia poinformowało o naruszeniu danych osobowych gromadzonych w systemie P1. Użytkownicy Internetowego Konta Pacjenta (IKP) poprzez zmianę w adresie URL strony mogli uzyskać dostęp do dokumentacji medycznej innych osób. Zaznaczono, że odkryta podatność dotyczyła tylko jednego szpitala.

 

Wyciek danych pacjentów. Jest komunikat Ministerstwa Zdrowia

Jak czytamy w oświadczeniu MZ, w Internetowym Koncie Pacjenta jeden użytkowników odkrył podatność polegającą na odpowiedniej modyfikacji fragmentu adresu URL w pasku przeglądarki. Nie byłoby w tym nic nietypowego, gdyby nie fakt, że w ten sposób możliwe było uzyskaniu nieuprawnionego dostępu do dokumentacji innych pacjentów.

Należy podkreślić, że standardowo pobranie dokumentacji z IKP możliwe jest po dokonaniu weryfikacji uprawnień po stronie podmiotu leczniczego w systemie P1. W opisanym zdarzeniu weryfikacja taka nie miała miejsca.

 

Błąd został naprawiony

Analiza wykazała, że podatność była związana z konkretnym podmiotem leczniczym, którego system przechowywania danych nie zabezpieczył się prawidłowo w zakresie weryfikacji uprawnień użytkowników. Dostawca systemu potwierdził błąd w swojej usłudze.

Problem został zgłoszony przez Centrum e-Zdrowia do Ministerstwa Zdrowia 28 kwietnia 2025 r. W ramach działań weryfikujących przeprowadzono testy, które miały na celu sprawdzenie zakresu podatności systemu. 

Skontaktowano się z dostawcą wadliwego oprogramowania oraz z odpowiednim podmiotem leczniczym. Błąd w systemie został naprawiony przez dostawcę, a poprawka została wdrożona 25 kwietnia 2025 r. Minister Zdrowia zgłosił naruszenie do Prezesa Urzędu Ochrony Danych Osobowych (UODO) 29 kwietnia 2025 r.

 

Jakie dane wyciekły?

Podsumowując, nieuprawnione ujawnienie danych osobowych obejmowało:

  • Imiona i nazwiska,
  • Daty urodzenia,
  • Adresy zamieszkania lub pobytu,
  • Numery PESEL,
  • Serie i numery dowodów osobistych,
  • Dane dotyczące zdrowia z dokumentacji medycznej.

 

Konsekwencje związane z wyciekiem to m.in.:

  • Umieszczenie danych w nielegalnych bazach,
  • Nieuprawniony dostęp do systemów medycznych,
  • Składanie dyspozycji w placówkach medycznych w imieniu poszkodowanego,
  • Wyłudzenie informacji medycznych,
  • Ryzyko wyłudzenia kredytu, ubezpieczenia lub pożyczki,
  • Kradzież tożsamości,
  • Uzyskanie dostępu do kont bankowych,
  • Łatwiejsze złamanie haseł opartych na danych osobowych,
  • Wyłudzenie kolejnych danych,
  • Założenie kont internetowych na dane poszkodowanego,
  • Podszywanie się pod poszkodowanego.

 

Zalecenia resortu

Ministerstwo Zdrowia zaleca:

  1. Zgłoszenie podejrzenia kradzieży tożsamości na policję.
  2. Monitorowanie wykorzystania danych osobowych w systemach takich jak BIK, BIG, KRD oraz korzystanie z serwisu Chroń PESEL.
  3. Kontakt z placówkami medycznymi w celu weryfikacji dyspozycji.
  4. Ostrożność przy podawaniu danych osobowych online lub przez telefon.
  5. Ignorowanie nieoczekiwanych wiadomości od nieznanych nadawców.
  6. Unikanie używania danych osobowych jako haseł.
  7. Zastrzeżenie numeru PESEL przez aplikację mObywatel.
  8. Rozważenie środków prawnych w przypadku poniesienia strat.

 


  • Autor: Justyna Foksowicz
  • Źródło: Ministerstwo Zdrowia
  • Data: 10.05.2025 12:16
  • Tagi: ministerstwo zdrowia, cyberbezpieczeństwo, RODO

 

POLECANE
Biały Dom: Trump nie weźmie udziału w tegorocznej konferencji CPAC z ostatniej chwili
Biały Dom: Trump nie weźmie udziału w tegorocznej konferencji CPAC

Prezydent USA Donald Trump nie weźmie udziału w tegorocznej konferencji środowisk konserwatywnych CPAC w Teksasie – przekazał w środę Biały Dom. Oznacza to, że Trump nie spotka się w Dallas z prezydentem RP Karolem Nawrockim, który w sobotę wystąpi na konferencji.

Samuel Pereira: Ten proces, to Wasz proces, Koalicjo Obywatelska tylko u nas
Samuel Pereira: Ten proces, to Wasz proces, Koalicjo Obywatelska

Mężczyzna spotykał się z dziewczynkami pod pretekstem badań nad wadami postawy. Miał im kazać się rozbierać, dotykać je oraz fotografować. Twierdził, że zdjęcia są po prostu elementem dokumentacji medycznej. Śledczy zajęli się sprawą po tym, jak matka jednej z ofiar złożyła zawiadomienie. Szefa złotowskiej Platformy Obywatelskiej i działacza sportowego Piotra P. zatrzymano pod zarzutem pedofilii 1 grudnia 2023 roku.

Copa-Cogeca: Ustępstwa poczynione przez KE wobec Australii są nie do przyjęcia z ostatniej chwili
Copa-Cogeca: Ustępstwa poczynione przez KE wobec Australii są nie do przyjęcia

„Ogłoszenie zawarcia umowy o wolnym handlu między UE a Australią w Canberze przez przewodniczącą Komisji Europejskiej von der Leyen i premiera Australii Albanese budzi liczne i poważne obawy dotyczące europejskiego rolnictwa, które jest wyraźnie i po raz kolejny kartą przetargową strategii UE mającej na celu zabezpieczenie szerszych celów handlowych i politycznych” – stwierdzają Copa-Cogeca.

Uzależniła się od mediów internetowych. Meta i YouTube mają jej wypłacić 3 mln dol. z ostatniej chwili
Uzależniła się od mediów internetowych. Meta i YouTube mają jej wypłacić 3 mln dol.

Ława przysięgłych w sądzie w Los Angeles uznała, że Meta i YouTube są odpowiedzialne za szkody dla zdrowia psychicznego 20-letniej kobiety, która oskarżyła je o przyczynienie się do uzależnienia, kiedy była dzieckiem. Firmy mają wypłacić kobiecie 3 mln dol. odszkodowania.

Biały Dom: Trump rozpęta piekło, jeśli Iran nie zawrze porozumienia z ostatniej chwili
Biały Dom: Trump "rozpęta piekło", jeśli Iran nie zawrze porozumienia

– Jeśli Iran nie zawrze porozumienia i nie zrozumie, że został pokonany, prezydent Donald Trump gotowy jest rozpętać piekło – zapowiedziała rzeczniczka Białego Domu Karoline Leavitt. Potwierdziła, że doniesienia o 15-punktowej propozycji USA są tylko częściowo prawdziwe.

Warszawa przegrała konkurs na siedzibę Urzędu Celnego UE z ostatniej chwili
Warszawa przegrała konkurs na siedzibę Urzędu Celnego UE

W środę Parlament Europejski i Rada UE podjęły decyzję o utworzeniu przyszłego Urzędu Celnego UE w Lille we Francji. O lokalizację unijnej instytucji ubiegała się Warszawa.

Nawrocki odpowiedział Tuskowi zdjęciem. W sieci zawrzało z ostatniej chwili
Nawrocki odpowiedział Tuskowi zdjęciem. W sieci zawrzało

Węgry zapowiadają zakręcanie kurka z gazem dla Ukrainy. Donald Tusk postanowił powiązać tę decyzję z niedawną wizytą Karola Nawrockiego na Węgrzech. Polski prezydent odpowiedział mu zdjęciem.

Sławomir Nowak złożył zawiadomienie na prokuratora, który wcześniej stawiał mu zarzuty z ostatniej chwili
Sławomir Nowak złożył zawiadomienie na prokuratora, który wcześniej stawiał mu zarzuty

Jak poinformował TVN24, Sławomir Nowak złożył zawiadomienie o możliwości popełnienia serii przestępstw przez prokuratora Jana Drelewskiego, który prowadził śledztwa przeciwko niemu.

ZUS wydał pilny komunikat z ostatniej chwili
ZUS wydał pilny komunikat

ZUS zapowiada poradnik dla kobiet w ciąży i uruchamia specjalny adres mailowy dla przyszłych mam. Instytucja podkreśla też, że nadal prowadzi kontrole zgodnie z obowiązującymi przepisami.

ONZ: Konflikt USA i Izraela z Iranem wymyka się spod kontroli z ostatniej chwili
ONZ: Konflikt USA i Izraela z Iranem wymyka się spod kontroli

Sekretarz generalny ONZ Antonio Guterres oświadczył w środę, że konflikt na Bliskim Wschodzie wymyka się spod kontroli i może się rozwinąć w jeszcze większą wojnę. Wezwał też USA i Izrael do zakończenia tego konfliktu zbrojnego, a Iran - do zaprzestania ataków na inne kraje.
Wiadomości
Karol Wagner: Polska w OPEC? Karol Wagner: Polska w OPEC?
Związek
Sebastian Mikosz odwołany z funkcji prezesa Poczty Polskiej Sebastian Mikosz odwołany z funkcji prezesa Poczty Polskiej
Tygodnik
Najbardziej prorosyjscy na świecie. Piotr Skwieciński o relacjach indyjsko-rosyjskich Najbardziej prorosyjscy na świecie. Piotr Skwieciński o relacjach indyjsko-rosyjskich
Opinie
Politykę klimatyczną zamienić na politykę energetyczną
Rozrywka
Jak dobrać zestaw LEGO do wieku dziecka i jego zainteresowań? Jak dobrać zestaw LEGO do wieku dziecka i jego zainteresowań?
REKLAMA

Wyciek danych pacjentów. Jest komunikat Ministerstwa Zdrowia

10.05.2025 12:16
Ministerstwo Zdrowia w opublikowanym na swojej stronie komunikacie informuje o tym, że w okresie od 19 kwietnia do 25 kwietnia 2025 r. miało miejsce naruszenie ochrony danych osobowych gromadzonych w systemie, którego resort jest administratorem.
komunikat
komunikat / gr. własna

Co musisz wiedzieć:

  • Ministerstwo Zdrowia poinformowało o naruszeniu ochrony danych osobowych
  • Jeden z pacjentów uzyskał dostęp do dokumentacji medycznej innych osób
  • Dane obejmowały m.in. imię i nazwisko, PESEL oraz informacje o stanie zdrowia

Ministerstwo Zdrowia poinformowało o naruszeniu danych osobowych gromadzonych w systemie P1. Użytkownicy Internetowego Konta Pacjenta (IKP) poprzez zmianę w adresie URL strony mogli uzyskać dostęp do dokumentacji medycznej innych osób. Zaznaczono, że odkryta podatność dotyczyła tylko jednego szpitala.

 

Wyciek danych pacjentów. Jest komunikat Ministerstwa Zdrowia

Jak czytamy w oświadczeniu MZ, w Internetowym Koncie Pacjenta jeden użytkowników odkrył podatność polegającą na odpowiedniej modyfikacji fragmentu adresu URL w pasku przeglądarki. Nie byłoby w tym nic nietypowego, gdyby nie fakt, że w ten sposób możliwe było uzyskaniu nieuprawnionego dostępu do dokumentacji innych pacjentów.

Należy podkreślić, że standardowo pobranie dokumentacji z IKP możliwe jest po dokonaniu weryfikacji uprawnień po stronie podmiotu leczniczego w systemie P1. W opisanym zdarzeniu weryfikacja taka nie miała miejsca.

 

Błąd został naprawiony

Analiza wykazała, że podatność była związana z konkretnym podmiotem leczniczym, którego system przechowywania danych nie zabezpieczył się prawidłowo w zakresie weryfikacji uprawnień użytkowników. Dostawca systemu potwierdził błąd w swojej usłudze.

Problem został zgłoszony przez Centrum e-Zdrowia do Ministerstwa Zdrowia 28 kwietnia 2025 r. W ramach działań weryfikujących przeprowadzono testy, które miały na celu sprawdzenie zakresu podatności systemu. 

Skontaktowano się z dostawcą wadliwego oprogramowania oraz z odpowiednim podmiotem leczniczym. Błąd w systemie został naprawiony przez dostawcę, a poprawka została wdrożona 25 kwietnia 2025 r. Minister Zdrowia zgłosił naruszenie do Prezesa Urzędu Ochrony Danych Osobowych (UODO) 29 kwietnia 2025 r.

 

Jakie dane wyciekły?

Podsumowując, nieuprawnione ujawnienie danych osobowych obejmowało:

  • Imiona i nazwiska,
  • Daty urodzenia,
  • Adresy zamieszkania lub pobytu,
  • Numery PESEL,
  • Serie i numery dowodów osobistych,
  • Dane dotyczące zdrowia z dokumentacji medycznej.

 

Konsekwencje związane z wyciekiem to m.in.:

  • Umieszczenie danych w nielegalnych bazach,
  • Nieuprawniony dostęp do systemów medycznych,
  • Składanie dyspozycji w placówkach medycznych w imieniu poszkodowanego,
  • Wyłudzenie informacji medycznych,
  • Ryzyko wyłudzenia kredytu, ubezpieczenia lub pożyczki,
  • Kradzież tożsamości,
  • Uzyskanie dostępu do kont bankowych,
  • Łatwiejsze złamanie haseł opartych na danych osobowych,
  • Wyłudzenie kolejnych danych,
  • Założenie kont internetowych na dane poszkodowanego,
  • Podszywanie się pod poszkodowanego.

 

Zalecenia resortu

Ministerstwo Zdrowia zaleca:

  1. Zgłoszenie podejrzenia kradzieży tożsamości na policję.
  2. Monitorowanie wykorzystania danych osobowych w systemach takich jak BIK, BIG, KRD oraz korzystanie z serwisu Chroń PESEL.
  3. Kontakt z placówkami medycznymi w celu weryfikacji dyspozycji.
  4. Ostrożność przy podawaniu danych osobowych online lub przez telefon.
  5. Ignorowanie nieoczekiwanych wiadomości od nieznanych nadawców.
  6. Unikanie używania danych osobowych jako haseł.
  7. Zastrzeżenie numeru PESEL przez aplikację mObywatel.
  8. Rozważenie środków prawnych w przypadku poniesienia strat.

 


  • Autor: Justyna Foksowicz
  • Źródło: Ministerstwo Zdrowia
  • Data: 10.05.2025 12:16
  • Tagi: ministerstwo zdrowia, cyberbezpieczeństwo, RODO

 

Polecane
Biały Dom: Trump nie weźmie udziału w tegorocznej konferencji CPAC
Biały Dom: Trump nie weźmie udziału w tegorocznej konferencji CPAC
Samuel Pereira: Ten proces, to Wasz proces, Koalicjo Obywatelska
Samuel Pereira: Ten proces, to Wasz proces, Koalicjo Obywatelska
Copa-Cogeca: Ustępstwa poczynione przez KE wobec Australii są nie do przyjęcia
Copa-Cogeca: Ustępstwa poczynione przez KE wobec Australii są nie do przyjęcia
Uzależniła się od mediów internetowych. Meta i YouTube mają jej wypłacić 3 mln dol.
Uzależniła się od mediów internetowych. Meta i YouTube mają jej wypłacić 3 mln dol.
Biały Dom: Trump rozpęta piekło, jeśli Iran nie zawrze porozumienia
Biały Dom: Trump "rozpęta piekło", jeśli Iran nie zawrze porozumienia
Warszawa przegrała konkurs na siedzibę Urzędu Celnego UE
Warszawa przegrała konkurs na siedzibę Urzędu Celnego UE
Nawrocki odpowiedział Tuskowi zdjęciem. W sieci zawrzało
Nawrocki odpowiedział Tuskowi zdjęciem. W sieci zawrzało
Sławomir Nowak złożył zawiadomienie na prokuratora, który wcześniej stawiał mu zarzuty
Sławomir Nowak złożył zawiadomienie na prokuratora, który wcześniej stawiał mu zarzuty