NFZ: pracownicy przeglądali dane ubezpieczonych wbrew prawu
Autor. Freepik.com. Licencja: https://www.freepik.com/legal/terms-of-use, https://support.freepik.com/s/article/Attribution-How-when-and-where
Narodowy Fundusz Zdrowia poinformował o incydencie związanym z nieuprawnionym dostępem do danych ubezpieczonych osób. Sprawcami naruszenia była grupa pracowników NFZ. Zdarzenie pokazuje rolę należytej ochrony danych osobowych.
17 października br. na stronie Narodowego Funduszu Zdrowia opublikowano komunikat dotyczący incydentu wewnątrz Funduszu.
„Grupa pracowników NFZ, mających dostęp do Centralnego Wykazu Ubezpieczonych (dalej CWU), użyła go w sposób nieuprawniony” – stwierdzili specjaliści, którzy odpowiadają za bezpieczeństwo i kontrolę wewnętrzną w Centrali NFZ.
W zawiadomieniu podkreślono, że w CWU nie przetwarza się danych medycznych – gromadzi się w nim informacje, takie jak m.in. numer PESEL, adres zamieszkania i miejsce pracy. O incydencie zostaną poinformowane osoby, których dotyczy naruszenie. Wiadomo również, że Prezes UODO został powiadomiony o sprawie.
Czytaj też
Poważne skutki
W komunikacie nie podano liczby osób, których dotyczy naruszenie. Nie wiemy również, jak duża grupa pracowników złamała przepisy dotyczące ochrony danych osobowych.
NFZ podkreśla, że podjął „zdecydowane decyzje wobec pracowników” odpowiedzialnych za incydent – mowa tutaj o poniesieniu konsekwencji służbowych, łącznie z rozwiązaniem umowy o pracę. Fundusz poinformował też o wdrażaniu alertów wewnętrznych do przełożonych w przypadku sprawdzania danych innego pracownika NFZ w Centralnym Wykazie Ubezpieczonych. „Wzmocniony zostanie też proces przyznawania dostępu do CWU” – kwituje NFZ.
Podobne incydenty w administracji publicznej
Na przestrzeni ostatnich kilku miesięcy byliśmy świadkami podobnego incydentu, który dotyczył nieuprawnionego dostępu do danych osób ubezpieczonych przez podmioty obsługiwane w ramach katowickiego Centrum Usług Wspólnych. Wówczas o incydencie poinformowało dziewięć katowickich szkół.
CUW Katowice nie odebrał dostępu do ZUS PUE swoim byłym pracownikom, co miało doprowadzić do naruszenia poufności danych osobowych byłych i obecnych pracowników katowickich szkół. Zakres naruszenia obejmuje m.in. adres zamieszkania, numer PESEL czy serię i numer dowodu osobistego. Niektóre placówki stwierdziły wprost, że „naruszenie było wynikiem braku kontroli nad uprawnieniami do systemów informatycznych”.
We wrześniu br. opisaliśmy nieuprawniony dostęp do skrzynki mailowej GOPS Fredropol, który miał mieć miejsce na skutek „przełamania hasła”. Incydent miał wówczas dotyczyć 36 osób.
Czytaj też
Ograniczone zaufanie
Warto spojrzeć na sprawę z nieco innego punktu widzenia i zadać sobie trudne pytanie, mianowicie:
Jak często mogą mieć miejsce takie incydenty w innych organizacjach, lecz nikt tego nie zauważa?
Zdarzenie w NFZ pokazuje, że kluczowe jest m.in. zarządzanie uprawnieniami użytkowników oraz monitorowanie infrastruktury pod kątem ew. nieuprawnionego dostępu. Podkreśla również konieczność uwzględnienia zagrożeń wewnętrznych (tzw. insider threat) w analizie ryzyka, w tym przypadku mowa o działaniu pracownika niezgodnym z regulacjami dot. ochrony danych osobowych. Warto również rozważyć kwestię regularnej weryfikacji uprawnień użytkowników.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?