Reklama

Prywatne dane kontaktowe lekarzy ujawnione. Kto zawinił?

Incydent był skutkiem braku jasnej komunikacji co do tego, które dane będą publicznie dostępne.
Incydent był skutkiem braku jasnej komunikacji co do tego, które dane będą publicznie dostępne.
Autor. Pixabay/Pexels

Najnowsza wersja Rejestru Podmiotów Wykonujących Działalność Leczniczą ujawniła dane kontaktowe lekarzy, które nie powinny znaleźć się w publicznym obiegu. Incydent był skutkiem braku jasnej komunikacji co do tego, które dane będą publicznie dostępne. 

Jak informuje Niebezpiecznik, 29 czerwca 2025 r. udostępniono nową wersję systemu RPWDL. Wraz z jej uruchomieniem część lekarzy i przedstawicieli zawodów medycznych zorientowała się, że publicznie dostępne stały się ich prywatne numery telefonów oraz adresy e-mail. Informacje te, zgodnie z przepisami, miały dotyczyć wyłącznie sfery zawodowej, jednak w wielu przypadkach doszło do ich nieumyślnego upublicznienia.

Problem nie polegał na ataku hakerskim czy technicznym wycieku danych - dane pochodziły z samego rejestru. W praktyce okazało się, że wielu lekarzy jeszcze lata temu, w dobrej wierze, podało dane prywatne, wierząc w ich niepubliczny charakter. Nowy system zaczął jednak wyświetlać je bez wyraźnego ostrzeżenia o zmianie widoczności.

Reakcja instytucji i skala incydentu

Centrum e-Zdrowia, odpowiedzialne za RPWDL, 7 lipca opublikowało oficjalny komunikat wyjaśniający, że dane kontaktowe powinny dotyczyć działalności leczniczej lekarza jako przedsiębiorcy. W teorii więc nie doszło do złamania prawa, lecz w praktyce wiele wpisów zawierało informacje prywatne.

W odpowiedzi na liczne sygnały od środowiska medycznego, CeZ tymczasowo zablokowało widoczność adresów e-mail oraz numerów telefonów. Trwa również analiza zgłoszonych przypadków.

Czytaj też

Reklama

Braki w komunikacji i nieświadome ryzyko

Jak ocenia Niebezpiecznik, w tym przypadku problemem był także fakt braku skutecznej komunikacji i przekazania informacji dla zainteresowanych. Lekarze nie zostali odpowiednio poinformowani, że ich stare wpisy, dawniej niewidoczne, staną się publiczne po wdrożeniu systemu 2.0. Ta informacja pojawiła się dopiero 7 lipca

Brak precyzyjnej komunikacji oraz automatycznego filtrowania treści z poziomu systemu doprowadziły do sytuacji, w której dane osobowe były dostępne bez świadomej zgody właścicieli. 

Z punktu widzenia odpowiedzialności za ochronę danych, można tu mówić o błędzie proceduralnym. W systemach przetwarzających dane zawodowe osób zaufania publicznego, takich jak lekarze, prawnicy czy diagności laboratoryjni, szczególnie istotna jest przejrzystość zasad udostępniania informacji.

Czytaj też

Reklama

Centrum e-Zdrowia wyjaśnia

Centrum e-Zdrowia w odpowiedzi dla redakcji Niebezpiecznika wyjaśniło, że dane kontaktowe widoczne w RPWDL, takie jak  numer telefonu oraz adres e-mail, powinny dotyczyć wyłącznie działalności leczniczej wykonywanej w ramach praktyki zawodowej.

Dane te pochodzą bezpośrednio z wniosków składanych przez samych lekarzy, dlatego mogło dojść do sytuacji, w których przez pomyłkę wpisano informacje prywatne zamiast służbowych

W związku z licznymi sygnałami od środowiska medycznego, CeZ zdecydowało się tymczasowo zablokować widoczność tych danych i zaleciło lekarzom weryfikację oraz aktualizację wpisów w rejestrze.

Czytaj też

Reklama

Rejestry publiczne a ochrona danych zawodów zaufania publicznego

Niebezpiecznik wskazuje, że problem ujawniania danych w rejestrach państwowych nie ogranicza się wyłącznie do sektora ochrony zdrowia ani do jednego systemu. W rzeczywistości dotyczy on szerokiego spektrum zawodów zaufania publicznego - lekarzy, pielęgniarek, prawników, farmaceutów, diagnostów laboratoryjnych czy szkoleniowców wpisanych do Bazy Usług Rozwojowych.

Podobnym przypadkiem w przeszłości była sytuacja z 2023 roku, gdy Krajowa Izba Diagnostów Laboratoryjnych (KIDL) przeprowadzała aktualizację danych zgodnie z przepisami ustawy o medycynie laboratoryjnej. 

Według doniesień Niebezpiecznika, dostęp do systemu rejestrowego umożliwiano poprzez kombinację numeru prawa wykonywania zawodu i numeru PESEL - informacji, które nie są trudne do zdobycia. W praktyce oznaczało to ryzyko nieautoryzowanego dostępu do kont użytkowników i ich danych osobowych.

Czytaj też

Reklama

Co powinni zrobić lekarze?

W świetle opisanego incydentu, zalecane są trzy kluczowe działania:

  • weryfikacja wpisów - każdy lekarz powinien jak najszybciej sprawdzić swoje dane w RPWDL i uaktualnić je, jeśli zawierają prywatne informacje;
  • rozdzielenie danych służbowych i prywatnych - należy konsekwentnie oddzielać dane kontaktowe związane z działalnością zawodową od danych prywatnych, również na poziomie adresów e-mail i numerów telefonów;
  • wzrost świadomości cyfrowej - konieczne jest podniesienie poziomu wiedzy w zakresie ochrony danych osobowych w kontekście funkcjonowania systemów informacyjnych.

Czytaj też

Reklama

Potrzeba systemowych standardów

Zdarzenie z RPWDL powinno być impulsem do opracowania jasnych wytycznych dla wszystkich publicznych rejestrów. Każdy nowy system lub jego aktualizacja powinny być poprzedzone:

  • audytem prywatności,
  • kampanią informacyjną dla użytkowników,
  • narzędziami umożliwiającymi łatwe sprawdzenie i edycję danych.

W przeciwnym razie rejestry, zamiast wzmacniać zaufanie do instytucji, będą budzić niepokój wśród osób, których dane się w nich znajdują.

Czytaj też

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama
Reklama

WYCIEKI DANYCH z firm. JAK ZAPOBIEGAĆ wynoszeniu danych przez pracowników?

Materiał sponsorowany

Komentarze

    Reklama