Wyciek danych pacjentów. Jest komunikat Ministerstwa Zdrowia

10.05.2025 12:16
Ministerstwo Zdrowia w opublikowanym na swojej stronie komunikacie informuje o tym, że w okresie od 19 kwietnia do 25 kwietnia 2025 r. miało miejsce naruszenie ochrony danych osobowych gromadzonych w systemie, którego resort jest administratorem.
komunikat
komunikat / gr. własna

Co musisz wiedzieć:

  • Ministerstwo Zdrowia poinformowało o naruszeniu ochrony danych osobowych
  • Jeden z pacjentów uzyskał dostęp do dokumentacji medycznej innych osób
  • Dane obejmowały m.in. imię i nazwisko, PESEL oraz informacje o stanie zdrowia

Ministerstwo Zdrowia poinformowało o naruszeniu danych osobowych gromadzonych w systemie P1. Użytkownicy Internetowego Konta Pacjenta (IKP) poprzez zmianę w adresie URL strony mogli uzyskać dostęp do dokumentacji medycznej innych osób. Zaznaczono, że odkryta podatność dotyczyła tylko jednego szpitala.

 

Wyciek danych pacjentów. Jest komunikat Ministerstwa Zdrowia

Jak czytamy w oświadczeniu MZ, w Internetowym Koncie Pacjenta jeden użytkowników odkrył podatność polegającą na odpowiedniej modyfikacji fragmentu adresu URL w pasku przeglądarki. Nie byłoby w tym nic nietypowego, gdyby nie fakt, że w ten sposób możliwe było uzyskaniu nieuprawnionego dostępu do dokumentacji innych pacjentów.

Należy podkreślić, że standardowo pobranie dokumentacji z IKP możliwe jest po dokonaniu weryfikacji uprawnień po stronie podmiotu leczniczego w systemie P1. W opisanym zdarzeniu weryfikacja taka nie miała miejsca.

 

Błąd został naprawiony

Analiza wykazała, że podatność była związana z konkretnym podmiotem leczniczym, którego system przechowywania danych nie zabezpieczył się prawidłowo w zakresie weryfikacji uprawnień użytkowników. Dostawca systemu potwierdził błąd w swojej usłudze.

Problem został zgłoszony przez Centrum e-Zdrowia do Ministerstwa Zdrowia 28 kwietnia 2025 r. W ramach działań weryfikujących przeprowadzono testy, które miały na celu sprawdzenie zakresu podatności systemu. 

Skontaktowano się z dostawcą wadliwego oprogramowania oraz z odpowiednim podmiotem leczniczym. Błąd w systemie został naprawiony przez dostawcę, a poprawka została wdrożona 25 kwietnia 2025 r. Minister Zdrowia zgłosił naruszenie do Prezesa Urzędu Ochrony Danych Osobowych (UODO) 29 kwietnia 2025 r.

 

Jakie dane wyciekły?

Podsumowując, nieuprawnione ujawnienie danych osobowych obejmowało:

  • Imiona i nazwiska,
  • Daty urodzenia,
  • Adresy zamieszkania lub pobytu,
  • Numery PESEL,
  • Serie i numery dowodów osobistych,
  • Dane dotyczące zdrowia z dokumentacji medycznej.

 

Konsekwencje związane z wyciekiem to m.in.:

  • Umieszczenie danych w nielegalnych bazach,
  • Nieuprawniony dostęp do systemów medycznych,
  • Składanie dyspozycji w placówkach medycznych w imieniu poszkodowanego,
  • Wyłudzenie informacji medycznych,
  • Ryzyko wyłudzenia kredytu, ubezpieczenia lub pożyczki,
  • Kradzież tożsamości,
  • Uzyskanie dostępu do kont bankowych,
  • Łatwiejsze złamanie haseł opartych na danych osobowych,
  • Wyłudzenie kolejnych danych,
  • Założenie kont internetowych na dane poszkodowanego,
  • Podszywanie się pod poszkodowanego.

 

Zalecenia resortu

Ministerstwo Zdrowia zaleca:

  1. Zgłoszenie podejrzenia kradzieży tożsamości na policję.
  2. Monitorowanie wykorzystania danych osobowych w systemach takich jak BIK, BIG, KRD oraz korzystanie z serwisu Chroń PESEL.
  3. Kontakt z placówkami medycznymi w celu weryfikacji dyspozycji.
  4. Ostrożność przy podawaniu danych osobowych online lub przez telefon.
  5. Ignorowanie nieoczekiwanych wiadomości od nieznanych nadawców.
  6. Unikanie używania danych osobowych jako haseł.
  7. Zastrzeżenie numeru PESEL przez aplikację mObywatel.
  8. Rozważenie środków prawnych w przypadku poniesienia strat.

 


  • Autor: Justyna Foksowicz
  • Źródło: Ministerstwo Zdrowia
  • Data: 10.05.2025 12:16
  • Tagi: ministerstwo zdrowia, cyberbezpieczeństwo, RODO

 

POLECANE
Kard. Grzegorz Ryś został nowym metropolitą krakowskim z ostatniej chwili
Kard. Grzegorz Ryś został nowym metropolitą krakowskim

Papież Leon XIV mianował nowym metropolitą krakowskim dotychczasowego metropolitę łódzkiego kard. Grzegorza Rysia. Zastąpi on abp. Marka Jędraszewskiego, który przeszedł na emeryturę.

Kreml dostał nową wersję planu pokojowego. Jest pierwsza reakcja Wiadomości
Kreml dostał nową wersję planu pokojowego. Jest pierwsza reakcja

Rosja otrzymała najnowszą wersję amerykańskiego planu pokojowego dla Ukrainy i wymaga on „poważnej analizy” - oświadczył w środę Jurij Uszakow, doradca rosyjskiego przywódcy Władimira Putina ds. polityki zagranicznej.

Von der Leyen: KE gotowa do przedstawienia propozycji ws. wykorzystania rosyjskich aktywów z ostatniej chwili
Von der Leyen: KE gotowa do przedstawienia propozycji ws. wykorzystania rosyjskich aktywów

Szefowa Komisji Europejskiej Ursula von der Leyen podała w środę, że KE jest gotowa do przedstawienia propozycji legislacyjnej ws. wykorzystania zamrożonych w UE rosyjskich aktywów dla Ukrainy. – Nie wyobrażam sobie scenariusza, w którym rachunek zapłacą wyłącznie europejscy podatnicy – powiedziała.

Wyrok TSUE ws. małżeństw jednopłciowych w Polsce. Bosak odpowiada w 10 punktach Wiadomości
Wyrok TSUE ws. małżeństw jednopłciowych w Polsce. Bosak odpowiada w 10 punktach

TSUE stwierdził, że Polska ma obowiązek honorować małżeństwa jednopłciowe zawarte w innych krajach UE. Krzysztof Bosak w 10 punktach wylicza, dlaczego Polska nie powinna honorować wyroku Trybunały Sprawiedliwości UE.

WP.PL: Znany hejter z platformy X zidentyfikowany. Ma być dyrektorem fundacji założonej przez Macieja Laska z ostatniej chwili
WP.PL: Znany hejter z platformy X zidentyfikowany. Ma być dyrektorem fundacji założonej przez Macieja Laska

Według Wirtualnej Polski znany na platformie X wulgarny hejter Morgenstern616 to tak naprawdę Kamil Rudziński, dyrektor w fundacji założonej przez Macieja Laska, pełnomocnika rządu ds. CPK.

Co dalej z programem Orka? Szef MON zdradził nowe informacje z ostatniej chwili
Co dalej z programem Orka? Szef MON zdradził nowe informacje

Wicepremier, szef MON Władysław Kosiniak-Kamysz zapowiedział, że w tym roku dojdzie do podpisania umowy rządowej z państwem wybranym do realizacji programu Orka, czyli budowy nowych okrętów podwodnych dla naszej marynarki wojennej. Zapewnił, że umowy wykonawcze zostaną podpisane na początku 2026 r.

Prezydent Karol Nawrocki powołał swojego przedstawiciela do KRS z ostatniej chwili
Prezydent Karol Nawrocki powołał swojego przedstawiciela do KRS

Kancelaria Prezydenta RP poinformowała, że Karol Nawrocki powołał Grzegorza Ksepko w skład Krajowej Rady Sądownictwa. Akt powołania został wręczony podczas spotkania 25 listopada 2025 r.

Witkoff niedługo rusza do Moskwy. Jest potwierdzenie z ostatniej chwili
Witkoff niedługo rusza do Moskwy. Jest potwierdzenie

Doradca rosyjskiego przywódcy Władimira Putina ds. polityki zagranicznej Jurij Uszakow potwierdził w środę, że wysłannik prezydenta USA Donalda Trumpa Steve Witkoff w przyszłym tygodniu przyjedzie do Moskwy w związku z rozmowami na temat zakończenia wojny na Ukrainie – podała Agencja Reutera.

Ważny komunikat dla mieszkańców Krakowa z ostatniej chwili
Ważny komunikat dla mieszkańców Krakowa

Kraków zapowiada podwyżki cen biletów Komunikacji Miejskiej. Jak podaje Urząd Miasta, podwyżki mają pozwolić utrzymać i rozwijać ofertę transportową, a jednocześnie zabezpieczyć środki na planowane inwestycje. Projekt uchwały trafił już do Rady Miasta.

Trump o negocjacjach pokojowych: Ukraina dobrze sobie radzi. Myślę, że jest bardzo zadowolona z ostatniej chwili
Trump o negocjacjach pokojowych: Ukraina dobrze sobie radzi. Myślę, że jest bardzo zadowolona

Prezydent USA Donald Trump powiedział we wtorek, że nie ma wyznaczonego terminu osiągnięcia porozumienia w sprawie zakończenia wojny w Ukrainie. Zapewnił, że są postępy w negocjacjach, a Ukraina jest zadowolona z projektu.
Wiadomości
Żurek o wyroku TSUE ws. małżeństw jednopłciowych: W jakiś sposób wdrożymy to orzeczenie Żurek o wyroku TSUE ws. małżeństw jednopłciowych: W jakiś sposób wdrożymy to orzeczenie
Związek
Zwyciężyła wytrwałość. Spór zbiorowy w KWB Turów zakończony sukcesem związkowców "Zwyciężyła wytrwałość". Spór zbiorowy w KWB Turów zakończony sukcesem związkowców
Tygodnik
Prorosyjskie i antynaukowe narracje wchodzą do mainstreamu Prorosyjskie i antynaukowe narracje wchodzą do mainstreamu
Opinie
Nasz prezydent
Rozrywka
Bezpieczna rozrywka w sieci. Jak odpowiedzialnie korzystać z gier online?
REKLAMA

Wyciek danych pacjentów. Jest komunikat Ministerstwa Zdrowia

10.05.2025 12:16
Ministerstwo Zdrowia w opublikowanym na swojej stronie komunikacie informuje o tym, że w okresie od 19 kwietnia do 25 kwietnia 2025 r. miało miejsce naruszenie ochrony danych osobowych gromadzonych w systemie, którego resort jest administratorem.
komunikat
komunikat / gr. własna

Co musisz wiedzieć:

  • Ministerstwo Zdrowia poinformowało o naruszeniu ochrony danych osobowych
  • Jeden z pacjentów uzyskał dostęp do dokumentacji medycznej innych osób
  • Dane obejmowały m.in. imię i nazwisko, PESEL oraz informacje o stanie zdrowia

Ministerstwo Zdrowia poinformowało o naruszeniu danych osobowych gromadzonych w systemie P1. Użytkownicy Internetowego Konta Pacjenta (IKP) poprzez zmianę w adresie URL strony mogli uzyskać dostęp do dokumentacji medycznej innych osób. Zaznaczono, że odkryta podatność dotyczyła tylko jednego szpitala.

 

Wyciek danych pacjentów. Jest komunikat Ministerstwa Zdrowia

Jak czytamy w oświadczeniu MZ, w Internetowym Koncie Pacjenta jeden użytkowników odkrył podatność polegającą na odpowiedniej modyfikacji fragmentu adresu URL w pasku przeglądarki. Nie byłoby w tym nic nietypowego, gdyby nie fakt, że w ten sposób możliwe było uzyskaniu nieuprawnionego dostępu do dokumentacji innych pacjentów.

Należy podkreślić, że standardowo pobranie dokumentacji z IKP możliwe jest po dokonaniu weryfikacji uprawnień po stronie podmiotu leczniczego w systemie P1. W opisanym zdarzeniu weryfikacja taka nie miała miejsca.

 

Błąd został naprawiony

Analiza wykazała, że podatność była związana z konkretnym podmiotem leczniczym, którego system przechowywania danych nie zabezpieczył się prawidłowo w zakresie weryfikacji uprawnień użytkowników. Dostawca systemu potwierdził błąd w swojej usłudze.

Problem został zgłoszony przez Centrum e-Zdrowia do Ministerstwa Zdrowia 28 kwietnia 2025 r. W ramach działań weryfikujących przeprowadzono testy, które miały na celu sprawdzenie zakresu podatności systemu. 

Skontaktowano się z dostawcą wadliwego oprogramowania oraz z odpowiednim podmiotem leczniczym. Błąd w systemie został naprawiony przez dostawcę, a poprawka została wdrożona 25 kwietnia 2025 r. Minister Zdrowia zgłosił naruszenie do Prezesa Urzędu Ochrony Danych Osobowych (UODO) 29 kwietnia 2025 r.

 

Jakie dane wyciekły?

Podsumowując, nieuprawnione ujawnienie danych osobowych obejmowało:

  • Imiona i nazwiska,
  • Daty urodzenia,
  • Adresy zamieszkania lub pobytu,
  • Numery PESEL,
  • Serie i numery dowodów osobistych,
  • Dane dotyczące zdrowia z dokumentacji medycznej.

 

Konsekwencje związane z wyciekiem to m.in.:

  • Umieszczenie danych w nielegalnych bazach,
  • Nieuprawniony dostęp do systemów medycznych,
  • Składanie dyspozycji w placówkach medycznych w imieniu poszkodowanego,
  • Wyłudzenie informacji medycznych,
  • Ryzyko wyłudzenia kredytu, ubezpieczenia lub pożyczki,
  • Kradzież tożsamości,
  • Uzyskanie dostępu do kont bankowych,
  • Łatwiejsze złamanie haseł opartych na danych osobowych,
  • Wyłudzenie kolejnych danych,
  • Założenie kont internetowych na dane poszkodowanego,
  • Podszywanie się pod poszkodowanego.

 

Zalecenia resortu

Ministerstwo Zdrowia zaleca:

  1. Zgłoszenie podejrzenia kradzieży tożsamości na policję.
  2. Monitorowanie wykorzystania danych osobowych w systemach takich jak BIK, BIG, KRD oraz korzystanie z serwisu Chroń PESEL.
  3. Kontakt z placówkami medycznymi w celu weryfikacji dyspozycji.
  4. Ostrożność przy podawaniu danych osobowych online lub przez telefon.
  5. Ignorowanie nieoczekiwanych wiadomości od nieznanych nadawców.
  6. Unikanie używania danych osobowych jako haseł.
  7. Zastrzeżenie numeru PESEL przez aplikację mObywatel.
  8. Rozważenie środków prawnych w przypadku poniesienia strat.

 


  • Autor: Justyna Foksowicz
  • Źródło: Ministerstwo Zdrowia
  • Data: 10.05.2025 12:16
  • Tagi: ministerstwo zdrowia, cyberbezpieczeństwo, RODO

 

Polecane
Kard. Grzegorz Ryś został nowym metropolitą krakowskim
Kard. Grzegorz Ryś został nowym metropolitą krakowskim
Kreml dostał nową wersję planu pokojowego. Jest pierwsza reakcja
Kreml dostał nową wersję planu pokojowego. Jest pierwsza reakcja
Von der Leyen: KE gotowa do przedstawienia propozycji ws. wykorzystania rosyjskich aktywów
Von der Leyen: KE gotowa do przedstawienia propozycji ws. wykorzystania rosyjskich aktywów
Wyrok TSUE ws. małżeństw jednopłciowych w Polsce. Bosak odpowiada w 10 punktach
Wyrok TSUE ws. małżeństw jednopłciowych w Polsce. Bosak odpowiada w 10 punktach
WP.PL: Znany hejter z platformy X zidentyfikowany. Ma być dyrektorem fundacji założonej przez Macieja Laska
WP.PL: Znany hejter z platformy X zidentyfikowany. Ma być dyrektorem fundacji założonej przez Macieja Laska
Co dalej z programem Orka? Szef MON zdradził nowe informacje
Co dalej z programem Orka? Szef MON zdradził nowe informacje
Prezydent Karol Nawrocki powołał swojego przedstawiciela do KRS
Prezydent Karol Nawrocki powołał swojego przedstawiciela do KRS
Witkoff niedługo rusza do Moskwy. Jest potwierdzenie
Witkoff niedługo rusza do Moskwy. Jest potwierdzenie