Wyciekły dane z Internetowego Konta Pacjenta. MZ informuje jak reagować

Resort zdrowia poinformował, że pod koniec kwietnia „miało miejsce naruszenie ochrony danych osobowych gromadzonych w tzw. systemie P1, których administratorem jest Minister Zdrowia”, co skutkowało utratą poufności danych w Internetowym Koncie Pacjenta.

Nieuprawniony dostęp do danych innych użytkowników

MZ wyjaśnia, że jeden z użytkowników poinformował, że wprowadzenie zmian w adresie URL w przeglądarce internetowej podczas pracy z aplikacją IKP możliwy był nieuprawniony dostęp do dokumentacji medycznej innych użytkowników. Jak podkreśla resort, pobranie dokumentacji z IKP możliwe jest po dokonaniu weryfikacji uprawnień po stronie podmiotu leczniczego w systemie P1, a w opisanym zdarzeniu weryfikacja taka nie miała miejsca.

„W wyniku zdarzenia doszło do nieuprawnionego ujawnienia danych osobowych tych osób obejmujących: imiona i nazwiska, datę urodzenia, adresów zamieszkania lub pobytu, numeru PESEL, serii i numeru dowodu osobistego oraz danych dotyczących zdrowia” – pisze ministerstwo.

Jak dalej wyjaśnia resort, „analiza wykazała, że po stronie konkretnego podmiotu leczniczego (szpitala) nie zabezpieczono repozytorium danych w zakresie wymogu weryfikacji uprawnień użytkownika, w systemie P1”.

Dostawca repozytorium zadeklarował naprawę błędu. 25 kwietnia 2025 r. przekazał informacje o przygotowaniu odpowiedniej poprawki. MZ kilka dni później zgłosiło naruszenie ochrony danych osobowych Prezesowi Urzędu Ochrony Danych Osobowych.

Czym grozi nieautoryzowany dostęp do danych?

Resort wyjaśnia, że potencjalnymi konsekwencjami dla osób, których dane mogły zostać naruszone wspomnianym zdarzeniem, może być nieuprawnione wykorzystanie danych osobowych.

Może to polegać na m.in.:

• możliwości umieszczenia danych osobowych w nielegalnych bazach danych,
• uzyskaniu dostępu do systemów obsługujących udzielanie świadczeń medycznych,
• uzyskaniu wglądu do danych o stanie zdrowia właściciela dokumentu,
• próbie wyłudzenia udostępniania informacji medycznych,
• ryzyku wyłudzenia kredytu, pożyczki, zaciągnięcia zobowiązań w instytucjach pozabankowych na szkodę osoby, której dane osobowe naruszono,
• wystąpieniu szkód materialnych i niematerialnych (np. kradzież tożsamości lub oszustwo),
• ułatwieniu złamania/odgadnięcia haseł np. do bankowości elektronicznej,
• wykorzystaniu danych osobowych przez osoby trzecie do ukrycia swojej tożsamości, np. przy otrzymywaniu mandatu.

Jak się chronić?

Ministerstwo przy okazji podpowiada, co należy robić, aby minimalizować skutki takich działań.

To m.in.:

• Zgłaszanie policji faktu naruszenia ochrony danych.
• Monitorowanie wykorzystania swoich danych osobowych w systemach takich jak Biuro Informacji Kredytowej, Biuro Informacji Gospodarczej czy Krajowy Rejestr Długów.
• Kontakt z placówkami medycznymi w celu upewnienia się, czy były składane jakiekolwiek dyspozycje.
• Zachowanie szczególnej ostrożności przy podawaniu danych osobowych innym osobom.
• Ignorowanie nieoczekiwane wiadomości, w szczególności od nieznanych nadawców.
• Niewiązanie haseł np. do bankowości elektronicznej z własnymi danymi osobowymi (typu data urodzenia czy nazwisko);
• Zastrzeżenie swojego numeru PESEL w aplikacji mObywatel.
• Korzystanie ze środków ochrony dóbr osobistych.