Wyciek danych pacjentów. Jest komunikat Ministerstwa Zdrowia

10.05.2025 12:16
Ministerstwo Zdrowia w opublikowanym na swojej stronie komunikacie informuje o tym, że w okresie od 19 kwietnia do 25 kwietnia 2025 r. miało miejsce naruszenie ochrony danych osobowych gromadzonych w systemie, którego resort jest administratorem.
komunikat Wyciek danych pacjentów. Jest komunikat Ministerstwa Zdrowia
komunikat / gr. własna

Co musisz wiedzieć:

  • Ministerstwo Zdrowia poinformowało o naruszeniu ochrony danych osobowych
  • Jeden z pacjentów uzyskał dostęp do dokumentacji medycznej innych osób
  • Dane obejmowały m.in. imię i nazwisko, PESEL oraz informacje o stanie zdrowia

Ministerstwo Zdrowia poinformowało o naruszeniu danych osobowych gromadzonych w systemie P1. Użytkownicy Internetowego Konta Pacjenta (IKP) poprzez zmianę w adresie URL strony mogli uzyskać dostęp do dokumentacji medycznej innych osób. Zaznaczono, że odkryta podatność dotyczyła tylko jednego szpitala.

 

Wyciek danych pacjentów. Jest komunikat Ministerstwa Zdrowia

Jak czytamy w oświadczeniu MZ, w Internetowym Koncie Pacjenta jeden użytkowników odkrył podatność polegającą na odpowiedniej modyfikacji fragmentu adresu URL w pasku przeglądarki. Nie byłoby w tym nic nietypowego, gdyby nie fakt, że w ten sposób możliwe było uzyskaniu nieuprawnionego dostępu do dokumentacji innych pacjentów.

Należy podkreślić, że standardowo pobranie dokumentacji z IKP możliwe jest po dokonaniu weryfikacji uprawnień po stronie podmiotu leczniczego w systemie P1. W opisanym zdarzeniu weryfikacja taka nie miała miejsca.

 

Błąd został naprawiony

Analiza wykazała, że podatność była związana z konkretnym podmiotem leczniczym, którego system przechowywania danych nie zabezpieczył się prawidłowo w zakresie weryfikacji uprawnień użytkowników. Dostawca systemu potwierdził błąd w swojej usłudze.

Problem został zgłoszony przez Centrum e-Zdrowia do Ministerstwa Zdrowia 28 kwietnia 2025 r. W ramach działań weryfikujących przeprowadzono testy, które miały na celu sprawdzenie zakresu podatności systemu. 

Skontaktowano się z dostawcą wadliwego oprogramowania oraz z odpowiednim podmiotem leczniczym. Błąd w systemie został naprawiony przez dostawcę, a poprawka została wdrożona 25 kwietnia 2025 r. Minister Zdrowia zgłosił naruszenie do Prezesa Urzędu Ochrony Danych Osobowych (UODO) 29 kwietnia 2025 r.

 

Jakie dane wyciekły?

Podsumowując, nieuprawnione ujawnienie danych osobowych obejmowało:

  • Imiona i nazwiska,
  • Daty urodzenia,
  • Adresy zamieszkania lub pobytu,
  • Numery PESEL,
  • Serie i numery dowodów osobistych,
  • Dane dotyczące zdrowia z dokumentacji medycznej.

 

Konsekwencje związane z wyciekiem to m.in.:

  • Umieszczenie danych w nielegalnych bazach,
  • Nieuprawniony dostęp do systemów medycznych,
  • Składanie dyspozycji w placówkach medycznych w imieniu poszkodowanego,
  • Wyłudzenie informacji medycznych,
  • Ryzyko wyłudzenia kredytu, ubezpieczenia lub pożyczki,
  • Kradzież tożsamości,
  • Uzyskanie dostępu do kont bankowych,
  • Łatwiejsze złamanie haseł opartych na danych osobowych,
  • Wyłudzenie kolejnych danych,
  • Założenie kont internetowych na dane poszkodowanego,
  • Podszywanie się pod poszkodowanego.

 

Zalecenia resortu

Ministerstwo Zdrowia zaleca:

  1. Zgłoszenie podejrzenia kradzieży tożsamości na policję.
  2. Monitorowanie wykorzystania danych osobowych w systemach takich jak BIK, BIG, KRD oraz korzystanie z serwisu Chroń PESEL.
  3. Kontakt z placówkami medycznymi w celu weryfikacji dyspozycji.
  4. Ostrożność przy podawaniu danych osobowych online lub przez telefon.
  5. Ignorowanie nieoczekiwanych wiadomości od nieznanych nadawców.
  6. Unikanie używania danych osobowych jako haseł.
  7. Zastrzeżenie numeru PESEL przez aplikację mObywatel.
  8. Rozważenie środków prawnych w przypadku poniesienia strat.

 


  • Autor: Justyna Foksowicz
  • Źródło: Ministerstwo Zdrowia
  • Data: 10.05.2025 12:16
  • Tagi: ministerstwo zdrowia, cyberbezpieczeństwo, RODO

 

POLECANE
Niepokojące zaginięcie dyrektora NCBiR. Trop urywa się nad rzeką Wiadomości
Niepokojące zaginięcie dyrektora NCBiR. Trop urywa się nad rzeką

Od kilku dni trwają intensywne poszukiwania Macieja Grzegorzewskiego, dyrektora Działu Kontroli Projektów w Narodowym Centrum Badań i Rozwoju (NCBiR). 48-letni mężczyzna zaginął w niedzielę 22 czerwca.

Prof. Ewa Łętowska, RPO za czasów Jaruzelskiego, uderza na antenie neo-TVP w Bodnara i Giertycha Wiadomości
Prof. Ewa Łętowska, RPO za czasów Jaruzelskiego, uderza na antenie neo-TVP w Bodnara i Giertycha

- Obawiam się głupoty i uporu - powiedziała prof. Ewa Łętowska mówiąc o sytuacji wokół wyborów prezydenckich i protestów wyborczych.

Mamy drugiego Polaka w kosmosie. Falcon wystartował z ostatniej chwili
Mamy drugiego Polaka w kosmosie. Falcon wystartował

Zgodnie z harmonogramem o godzinie 8:31 odbył się start rakiety Falcon 9, która wynosi na orbitę kapsułę Dragon. Na pokładzie jest polski astronauta Sławosz Uznański-Wiśniewski.

Odeszła od nas. Smutny komunikat wrocławskiego zoo z ostatniej chwili
"Odeszła od nas". Smutny komunikat wrocławskiego zoo

Wrocławskie zoo chętnie dzieli się informacjami o swoich podopiecznych, licząc, że zainteresuje ich losem jak największą rzeszę ludzi, którym na sercu leży ich dobro. Dziś ma szczególnie przykry komunikat.

A jednak! Sławosz Uznański leci w kosmos z ostatniej chwili
A jednak! Sławosz Uznański leci w kosmos

Trwają ostatnie przygotowania do startu misji Ax-4 – podała w trwającej transmisji z Przylądka Canaveral firma Ax-4. Załoga z Polakiem Sławoszem Uznańskim-Wiśniewskim siedzi już w kapsule Dragon. Start zaplanowano na godz. 2:31 czasu wschodnioamerykańskiego (godz. 8:31 czasu wschodnioeuropejskiego).

Zawieszenie broni między Iranem i Izraelem. Głos zabrał Masud Pezeszkian Wiadomości
Zawieszenie broni między Iranem i Izraelem. Głos zabrał Masud Pezeszkian

Prezydent Iranu Masud Pezeszkian pogratulował we wtorek swojemu narodowi "wielkiego zwycięstwa" w "dwunastodniowej wojnie wywołanej awanturnictwem i prowokacją" Izraela. W rozmowach z liderami państw arabskich Pezeszkian zapewnił też, że Iran jest gotowy na rozmowy z USA i nie dąży do zdobycia broni atomowej.

Belgia wyłamuje się z NATO. Idziemy własnym tempem z ostatniej chwili
Belgia wyłamuje się z NATO. "Idziemy własnym tempem"

Premier Bart De Wever przyznał we wtorek w Hadze, gdzie zbiera się szczyt NATO, że Belgia z opóźnieniem realizuje zobowiązania wobec Sojuszu – planuje osiągnąć 2 proc. PKB na obronność do 2029 roku, a 2,5 proc. do 2034. Oświadczył, że Belgia chce zachować własne tempo wzrostu wydatków. Wcześniej podobne oświadczenie złożyła Hiszpania.

Peacemaker Trump tylko u nas
Peacemaker Trump

Gdy amerykańskie „niewidzialne” B-2 zrzuciły wielotonowe bomby na trzy irańskie zakłady atomowe, podniósł się krzyk, że Trump zdrajcą ideałów MAGA i wciąga USA w nową wojnę, choć obiecywał pokój, gdzie się tylko da. Co straszniejsze, Trump okazał się „sługusem izraelskim”. Po trzech dobach mamy jednak zawieszenie broni – tak, chwiejne, ale jednak. Ceny ropy i gazu zanurkowały - a wszak to rynki są najlepiej zorientowane. Ale co najważniejsze, Rosja była trzymana z boku. Putin przekonał się, że używane od wielu lat w konfliktach Zachodu z państwami zbójeckimi narzędzie „rosyjskiej mediacji” trafiło do kosza.

Krzysztof Bosak uderza w Giertycha: Jak można mówić tak oderwane od przepisów rzeczy Wiadomości
Krzysztof Bosak uderza w Giertycha: Jak można mówić tak oderwane od przepisów rzeczy

Roman Giertych zaproponował, aby Zgromadzenie Narodowe do 6 września przegłosowało "przerwę" umożliwiającą rozstrzygnięcie przez Sąd Najwyższy kwestii przyjęcia przysięgi przez Karola Nawrockiego lub ponownego przeliczenia głosów w wyborach prezydenckich. Głos w tej sprawie zabrał Krzysztof Bosak.

Pilny komunikat ambasady USA w Polsce dla studentów. Ze skutkiem natychmiastowym z ostatniej chwili
Pilny komunikat ambasady USA w Polsce dla studentów. "Ze skutkiem natychmiastowym"

Aby uzyskać wizę nieimigracyjną do USA, tzw. studencką, należy upublicznić swoje konta na platformach społecznościowych – poinformowała we wtorek ambasada Stanów Zjednoczonych w Warszawie, powołując się na prawo z 2019 roku. Zaznaczyła, że zalecenie wchodzi w życie ze skutkiem natychmiastowym.
Wiadomości
To nie koniec kampanii przeciwko Iranowi. Jasny komunikat Izraela "To nie koniec kampanii przeciwko Iranowi". Jasny komunikat Izraela
Związek
Będzie pikieta oświatowej Solidarności Będzie pikieta oświatowej Solidarności
Tygodnik
Piotr Skwieciński: Nie-Polacy i nie-ludzie Piotr Skwieciński: Nie-Polacy i nie-ludzie
Opinie
Jacek Saryusz-Wolski: Ważą się losy umowy z Mercosur. Strach przed rewoltą francuskich rolników Jacek Saryusz-Wolski: Ważą się losy umowy z Mercosur. Strach przed rewoltą francuskich rolników
Rozrywka
TATRA FEST. Już od dziś w Zakopanem święto sportu, pasji i przygody! TATRA FEST. Już od dziś w Zakopanem święto sportu, pasji i przygody!
REKLAMA

Wyciek danych pacjentów. Jest komunikat Ministerstwa Zdrowia

10.05.2025 12:16
Ministerstwo Zdrowia w opublikowanym na swojej stronie komunikacie informuje o tym, że w okresie od 19 kwietnia do 25 kwietnia 2025 r. miało miejsce naruszenie ochrony danych osobowych gromadzonych w systemie, którego resort jest administratorem.
komunikat Wyciek danych pacjentów. Jest komunikat Ministerstwa Zdrowia
komunikat / gr. własna

Co musisz wiedzieć:

  • Ministerstwo Zdrowia poinformowało o naruszeniu ochrony danych osobowych
  • Jeden z pacjentów uzyskał dostęp do dokumentacji medycznej innych osób
  • Dane obejmowały m.in. imię i nazwisko, PESEL oraz informacje o stanie zdrowia

Ministerstwo Zdrowia poinformowało o naruszeniu danych osobowych gromadzonych w systemie P1. Użytkownicy Internetowego Konta Pacjenta (IKP) poprzez zmianę w adresie URL strony mogli uzyskać dostęp do dokumentacji medycznej innych osób. Zaznaczono, że odkryta podatność dotyczyła tylko jednego szpitala.

 

Wyciek danych pacjentów. Jest komunikat Ministerstwa Zdrowia

Jak czytamy w oświadczeniu MZ, w Internetowym Koncie Pacjenta jeden użytkowników odkrył podatność polegającą na odpowiedniej modyfikacji fragmentu adresu URL w pasku przeglądarki. Nie byłoby w tym nic nietypowego, gdyby nie fakt, że w ten sposób możliwe było uzyskaniu nieuprawnionego dostępu do dokumentacji innych pacjentów.

Należy podkreślić, że standardowo pobranie dokumentacji z IKP możliwe jest po dokonaniu weryfikacji uprawnień po stronie podmiotu leczniczego w systemie P1. W opisanym zdarzeniu weryfikacja taka nie miała miejsca.

 

Błąd został naprawiony

Analiza wykazała, że podatność była związana z konkretnym podmiotem leczniczym, którego system przechowywania danych nie zabezpieczył się prawidłowo w zakresie weryfikacji uprawnień użytkowników. Dostawca systemu potwierdził błąd w swojej usłudze.

Problem został zgłoszony przez Centrum e-Zdrowia do Ministerstwa Zdrowia 28 kwietnia 2025 r. W ramach działań weryfikujących przeprowadzono testy, które miały na celu sprawdzenie zakresu podatności systemu. 

Skontaktowano się z dostawcą wadliwego oprogramowania oraz z odpowiednim podmiotem leczniczym. Błąd w systemie został naprawiony przez dostawcę, a poprawka została wdrożona 25 kwietnia 2025 r. Minister Zdrowia zgłosił naruszenie do Prezesa Urzędu Ochrony Danych Osobowych (UODO) 29 kwietnia 2025 r.

 

Jakie dane wyciekły?

Podsumowując, nieuprawnione ujawnienie danych osobowych obejmowało:

  • Imiona i nazwiska,
  • Daty urodzenia,
  • Adresy zamieszkania lub pobytu,
  • Numery PESEL,
  • Serie i numery dowodów osobistych,
  • Dane dotyczące zdrowia z dokumentacji medycznej.

 

Konsekwencje związane z wyciekiem to m.in.:

  • Umieszczenie danych w nielegalnych bazach,
  • Nieuprawniony dostęp do systemów medycznych,
  • Składanie dyspozycji w placówkach medycznych w imieniu poszkodowanego,
  • Wyłudzenie informacji medycznych,
  • Ryzyko wyłudzenia kredytu, ubezpieczenia lub pożyczki,
  • Kradzież tożsamości,
  • Uzyskanie dostępu do kont bankowych,
  • Łatwiejsze złamanie haseł opartych na danych osobowych,
  • Wyłudzenie kolejnych danych,
  • Założenie kont internetowych na dane poszkodowanego,
  • Podszywanie się pod poszkodowanego.

 

Zalecenia resortu

Ministerstwo Zdrowia zaleca:

  1. Zgłoszenie podejrzenia kradzieży tożsamości na policję.
  2. Monitorowanie wykorzystania danych osobowych w systemach takich jak BIK, BIG, KRD oraz korzystanie z serwisu Chroń PESEL.
  3. Kontakt z placówkami medycznymi w celu weryfikacji dyspozycji.
  4. Ostrożność przy podawaniu danych osobowych online lub przez telefon.
  5. Ignorowanie nieoczekiwanych wiadomości od nieznanych nadawców.
  6. Unikanie używania danych osobowych jako haseł.
  7. Zastrzeżenie numeru PESEL przez aplikację mObywatel.
  8. Rozważenie środków prawnych w przypadku poniesienia strat.

 


  • Autor: Justyna Foksowicz
  • Źródło: Ministerstwo Zdrowia
  • Data: 10.05.2025 12:16
  • Tagi: ministerstwo zdrowia, cyberbezpieczeństwo, RODO

 

Polecane
Niepokojące zaginięcie dyrektora NCBiR. Trop urywa się nad rzeką
Niepokojące zaginięcie dyrektora NCBiR. Trop urywa się nad rzeką
Prof. Ewa Łętowska, RPO za czasów Jaruzelskiego, uderza na antenie neo-TVP w Bodnara i Giertycha
Prof. Ewa Łętowska, RPO za czasów Jaruzelskiego, uderza na antenie neo-TVP w Bodnara i Giertycha
Mamy drugiego Polaka w kosmosie. Falcon wystartował
Mamy drugiego Polaka w kosmosie. Falcon wystartował
Odeszła od nas. Smutny komunikat wrocławskiego zoo
"Odeszła od nas". Smutny komunikat wrocławskiego zoo
A jednak! Sławosz Uznański leci w kosmos
A jednak! Sławosz Uznański leci w kosmos
Zawieszenie broni między Iranem i Izraelem. Głos zabrał Masud Pezeszkian
Zawieszenie broni między Iranem i Izraelem. Głos zabrał Masud Pezeszkian
Belgia wyłamuje się z NATO. Idziemy własnym tempem
Belgia wyłamuje się z NATO. "Idziemy własnym tempem"
Peacemaker Trump
Peacemaker Trump
Emerytury
Stażowe