Prezes Urzędu Ochrony Danych Osobowych (UODO) poinformował o karze nałożonej na Uniwersytecki Dziecięcy Szpital Kliniczny im. L. Zamenhofa w Białymstoku. Kara to 66 500 złotych. Organ nadzorczy wszczął postępowanie w tej sprawie w związku z cyberatakiem, którego ofiarą padła wskazana placówka medyczna. Powodem nałożenia kary były nieprawidłowości w zakresie analizy ryzyka. W ocenie regulatora, administrator przeprowadził ją nierzetelnie i niewłaściwie.
Naruszenie ochrony danych osobowych
Do naruszenia ochrony danych osobowych w szpitalu doszło wskutek cyberataku z wykorzystaniem złośliwego oprogramowania. Osoby odpowiedzialne za atak, przełamały zabezpieczenia infrastruktury informatycznej szpitala i zainfekowały ją złośliwym oprogramowaniem typu ransomware, tj. oprogramowaniem szyfrującym pliki i tym samym uniemożliwiającym do nich dostęp (najczęściej w celu wymuszenia okupu za przywrócenie dostępu). W związku z tym incydentem naruszona została dostępność i poufność danych ponad 2000 pracowników szpitala. Co istotne, naruszenie nie dotyczy danych pacjentów placówki. Możliwe jest, że atakujący uzyskał nieuprawniony dostęp do danych. Regulator ustalił, że administratorowi nie udało się odzyskać wszystkich danych objętych tym naruszeniem.
Ataki typu ransomware na instytucje związane z ochroną zdrowia są coraz powszechniejsze – wśród ostatnich przypadków można przypomnieć m.in. atak na szpital MSWiA w Krakowie.
Nieprawidłowa analiza ryzyka
Najpoważniejszym zarzutem jaki Prezes UODO postawił ukaranemu szpitalowi, było nierzetelne i niewłaściwe przeprowadzenie analizy ryzyka. W ocenie organu nadzorczego, analiza przeprowadzona przez administratora nie była ukierunkowana na ryzyka związane z ochroną danych osobowych podmiotów danych. Organ nadzorczy wskazał, że analiza ta została przeprowadzona z perspektywy szpitala, a nie osób, których dane dotyczą. Ponadto, analiza nie została przeprowadzona w sposób szczegółowy. Nie identyfikowała konkretnych procesów przetwarzania danych, nie oceniała ich indywidualnego ryzyka, jak również nie wiązała ich z konkretnymi zagrożeniami. Regulator stwierdził również, że inne dokumenty szpitala, związane z zarządzaniem ryzykiem, były niejasne, niespójne oraz niekompletne. Prezes UODO podkreślił, że ukarany administrator nie był w stanie – zgodnie z zasadą rozliczalności – udowodnić, że weryfikował i testował wdrożone procedury.
Cyberbezpieczeństwo a RODO
Prezes UODO zwrócił uwagę w opublikowanym komunikacie dotyczącym nałożonej kary, że istnieją różnice pomiędzy cyberbezpieczeństwem a ochroną danych osobowych. Administrator miał powoływać się w tej sprawie na przeprowadzony audyt zgodności z ustawą o krajowym systemie cyberbezpieczeństwa. Organ nadzorczy wskazał, że – mimo pewnych podobieństw – procedury cyberbezpieczeństwa i ochrony danych osobowych służą różnym celom. Celem wdrażania procedur związanych cyberbezpieczeństwem jest przede wszystkim zapewnienie niezakłóconego i bezpiecznego świadczenia usług. Z kolei celem implementacji środków technicznych i organizacyjnych, o których mowa w RODO, jest zapewnienie bezpieczeństwa danym osobowym przetwarzanym przez administratora. Nie można doprowadzić do zatarcia się rozróżnienia między tymi dwoma koncepcjami, gdyż – jak pokazuje ta sytuacja – spełnienie wymogów cyberbezpieczeństwa nie zawsze oznacza spełnienie wymogów ochrony danych.
Źródło:
