Do sieci trafia coraz więcej danych wrażliwych. Są bezpieczne podczas pandemii COVID-19?

Autor: JJ/Rynek Zdrowia • • 04 kwietnia 2020 07:25

Wiele spraw dotyczących naszego zdrowia musimy, w dobie pandemii koronawirusa, załatwiać online. Wystarczy się w określony sposób zidentyfikować w sieci - jednoznacznie potwierdzić, że my to my, m.in. za pomocą danych osobowych. Pamiętajmy jednak, że nasza tożsamość, także ta wirtualna - to nasz skarb. Jak go nie stracić?

W dobie pandemii SARS-CoV-2 coraz więcej naszych danych trafia do sieci; FOT. PTWP

Nasze dane wrażliwe praktycznie są wszędzie. Nie tylko w urzędach, u lekarza POZ, w przychodniach specjalistycznych czy szpitalach. W dobie epidemii koronawirusa, dodatkowo na podstawie specustawy, w imię wyższej konieczności, jesteśmy - będąc w kwarantannie - na mocy prawa śledzeni przez aplikację w naszych smartfonach. Czy nasze dane wrażliwe są odpowiednio chronione i bezpieczne?

Koronawirus SARS-CoV-2 wiele zmienia
Jeszcze niedawno informacje o tym, jak spędzamy wolny czas, czy mamy stan podgorączkowy, czy mając katar przyjdziemy do pracy nie miało prawa obchodzić naszych pracodawców. Dzisiaj dopuszczalne stało się mierzenie nam temperatury w miejscu pracy, a także sprawdzanie z kim i gdzie spędzamy czas poza pracą. Pracodawca może zawiesić nas w wykonywaniu obowiązków służbowych albo skierować do pracy zdalnej - np. na podstawie informacji, że ktoś z rodziny czy znajomych wrócił z kraju podwyższonego ryzyka zakażenia koronawirusem.

Pozostaje pytanie, gdzie jest granica pomiędzy zbieraniem informacji o nas, podyktowanych troską o dobro nadrzędne - zdrowie i życie nie tylko nasze, ale i naszego otoczenia - a nadmierną ingerencją w nasze życie? Czy zbierający takie dane muszą uzyskać na to naszą zgodę? Jak mają się do tego zalecenia RODO?

Europejska Rada Ochrony Zdrowia przyjęła oświadczenie, w którym stwierdziła, że „zasady ochrony danych nie ograniczają środków podejmowanych w ramach walki z pandemią koronawirusa. Walka z chorobami zakaźnymi jest wspólnym celem dla wszystkich narodów i dlatego powinna być wspierana w najlepszy możliwy sposób. W interesie ludzkości leży ograniczenie rozprzestrzeniania się chorób i wykorzystanie nowoczesnych technik w walce z plagami dotykającymi znaczną część świata.”

Jednocześnie Rada podkreśla, że nawet w wyjątkowych czasach administrator i podmiot przetwarzający muszą zapewnić ochronę danych osobowych osób, których dane dotyczą.

Inwigilacja w imię wyższej konieczności
W Polsce zapisy ustawy z 2 marca 2020 roku o szczególnych rozwiązaniach związanych z zapobieganiem, przeciwdziałaniem i zwalczaniem COVID-19, pozwalają na zbieranie wielu informacji o nas, jednocześnie wskazując, że RODO nie stoi tu na przeszkodzie. Z jednym zastrzeżeniem - takie dane nie mogą być przetwarzane dla innych celów niż ochrona życia i zdrowia ludzkiego w ramach wykonywania pracy.

Światowa pandemia umożliwia jednak formalną zgodę na powszechną inwigilację każdego z osobna i całych grup czy społeczeństw w imię wyższego dobra i ochrony życia. Rządy wielu państw podpisały umowy z operatorami sieci komórkowych oraz takimi gigantami jak Facebook czy Google, umożliwiające gromadzenie o nas danych. To potężna broń nie tylko w walce z epidemią. Jak każda, może służyć bowiem niecnym celom.

W poszczególnych krajach wykorzystywane są różne instrumenty do inwigilacji - sieci komórkowe i geolokalizacja smartfonów, drony, systemy kamer identyfikujące każdego, systemy bluetooth. Poseł Andrzej Sośnierz w swojej wypowiedzi w TVN24 (1 kwietnia) argumentował, że przykładem Singapuru czy Korei Południowej, gdzie do walki z SARS-CoV-2 powszechnie zostały wykorzystane technologie informacyjne, pozwalające śledzić praktycznie każdego obywatela i jego kontakty, także w Polsce trzeba wykorzystać takie narzędzia.

- Między innymi tak, jak w innych krajach, można odłożyć na bok, w tej nadzwyczajne sytuacji, przepisy związane z RODO i monitorować kontakty z innymi osób zarażonych lub z kwarantanny - stwierdził Sośnierz. Pozostaje pytanie, czy po ustaniu zagrożenia, dysponujący takimi danymi zrezygnują z ich zbierania i posiadania? Czy epidemia obedrze nas z naszego prawa do prywatności?

Bezpieczne dane?
Inne pytanie - czy nasze dane osobowe i wrażliwe, które powszechnie gromadzone są w systemie ochronie zdrowia, nie tylko w dobie epidemii (m.in. numery PESEL, historie choroby, wyniki badań, e-recepty, e-skierowania) są bezpieczne? Teoretycznie powinny być. Nie mogą mieć do nich dostępu osoby postronne. Czasem jednak zdarza się, że dostają się w nieuprawnione do tego ręce. W wielu przypadkach nie wie o tym nawet zarządzający takimi informacjami.

Przykładem są nie tylko spektakularne wycieki danych z takich, wydawałoby się szczególnie chronionych serwerów firm jak Microsoft (dotyczące 250 mln osób w grudniu 2019 roku), Amazon, polskiego sklepu internetowego morele.net (2,5 mln danych), sieci komórkowych czy niedawny przykład polskiego serwisu pożyczkowego MoneyMan.pl z którego prawie 300 tys. rekordów (obejmujących nie tylko imiona i nazwiska, e-maile, numery PESEL, ale także numery dowodów osobistych, paszportów, hasła i numery rachunków bankowych) stały się dostępne dla osób postronnych.

W ubiegłym roku nagłośniona została przez media sprawa ogólnodostępnych w sieci danych 29 tys. pacjentów - numerów PESEL, adresów, celów wizyty lekarskiej, wysokości opłat za badania. Z niezabezpieczonego serwera poradni medycyny pracy we Wrocławiu skopiować je, czyli ukraść, mógł każdy - bez jakichkolwiek haseł dostępu - przez co najmniej kilkanaście dni.

Urząd Ochrony Danych Osobowych przypomniał wówczas, że "dane osobowe muszą być przechowywane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych”, a przedstawiciele UODO zajęli się analizą całej tej sytuacji.

UODO 1,3 tys. razy pogroził palcem
Tylko w ubiegłym roku łączna wartość kar, które nałożył na administratorów naszych danych nałożył UODO wyniosła ponad 4 mln zł (ponad 2,8 mln zapłacić musi morele.net). Ponad 1,3 tys. razy Urząd wydał różnym firmom ostrzeżenia dotyczące bezpieczeństwa danych. Jak mówi Adam Sanocki, rzecznik prasowy Urzędu Ochrony Danych Osobowych, od maja 2018 roku (od momentu stosowania RODO) do końca lutego bieżącego roku administratorzy danych w służbie zdrowia zgłosili 557 naruszeń.

Jak informuje rzecznik UODO częściej do naruszeń ochrony danych osobowych dochodziło w sektorze prywatnym - szpitalach, prywatnych gabinetach, NZOZ i laboratoriach. Takich naruszeń było tu 333. W sektorze publicznym odnotowanych zostało o ponad setkę mniej naruszeń zgłoszonych przez administratorów (224 w szpitalach, ZOZ-ach, oddziałach NFZ).

- Pod hasłem „służba zdrowia” należy też rozumieć apteki, firmy farmaceutyczne, regionalne centra krwiodawstwa, uzdrowiska, a zgłoszenia mogą dotyczyć nie tylko danych pacjentów, ale również danych pracowników, przy czym podana statystyka nie rozróżnia tych kwestii - podkreśla Adam Sanocki.

Na podstawie analizy zgłoszeń można stwierdzić, że naruszenia najczęściej dotyczą wydania dokumentacji niewłaściwej osobie, zagubienia dokumentacji bądź pozostawienie w niezabezpieczonej lokalizacji. Odrębna kwestią jest działanie złośliwego oprogramowania (zaszyfrowanie danych), przy czym, co podkreśla Sanocki, w wielu przypadkach administrator dysponuje kopią zapasową.

- Zakres kontroli UODO w sektorze zdrowia głównie obejmował dokumentację, w której przetwarzane są dane osobowe. W jednym przypadku kontrolowany był system informatyczny. Postępowanie w tej sprawie jest jednak jeszcze w toku. Działania administratorów prowadzących działalność medyczną są stale monitorowane przez UODO, z uwagi na dane dotyczące zdrowia, które przetwarzają te podmioty - mówił Rynkowi Zdrowia Adam Sanocki.

Najsłabszym ogniwem jest człowiek
Jak przekonuje Wojciech Kulbiński, menedżer w pionie opieki zdrowotnej w Asseco Poland, placówki medyczne, tak jak wszystkie podmioty, są zobowiązane do wdrożenia procedur, które zapewnią bezpieczeństwo przetwarzanych danych osobowych. Wynika to zarówno z unijnego rozporządzenia RODO, jak i polskich przepisów prawa.

Zdaniem eksperta technologie zastosowane w tworzonych przez Asseco systemach informatycznych dedykowanych placówkom ochrony zdrowia zapewniają najwyższy poziom bezpieczeństwa. Od strony technologicznej placówki są przygotowane do zadbania we właściwy sposób o dane wrażliwe, którymi dysponują.

- Patrząc jednak globalnie na zagadnienie cyberbezpieczeństwa, zawsze najsłabszym ogniwem jest człowiek. Sektor zdrowia nie jest tu wyjątkiem. Niezależnie od stopnia zaawansowania technicznych zabezpieczeń systemów informatycznych, nie jesteśmy w stanie całkowicie wyeliminować ryzyka. Najczęściej wynika ono z tego, że użytkownicy nie przestrzegają zasad bezpieczeństwa. Śmiejemy się z haseł zapisanych na żółtych karteczkach przyklejonych do monitorów, ale, niestety, wciąż się one zdarzają - mówi Kulbiński.

Jak podkreślają eksperci, cała gospodarka każdego roku notuje coraz większy poziom zagrożenia atakami hakerskimi i wynikających z tego powodu strat. Zagrożenia cybernetyczne dotyczą wszystkich branż na całym świecie. Nasze dane osobowe, których coraz więcej gromadzonych jest na serwerach w czasach pandemii koronawirusa, są łakomym kąskiem dla hakerów, których aktywność także ostatnio wzrosła. Niestety, jak mówią hakerzy: nie ma zabezpieczeń, których nie da się obejść i nie można ukraść tylko tego, czego nie ma.

Podaj imię Wpisz komentarz
Dodając komentarz, oświadczasz, że akceptujesz regulamin forum