Autor : Aleksandra Kurowska
2022-02-07 19:25
RODO w praktyce. - W wyniku nieuprawnionego działania doszło do naruszenia ochrony danych osobowych przetwarzanych w systemie e-rejestracji - informuje MZ. Wykorzystując jedno z rozwiązań e-rejestracji można było wpisać dane innych osób i dostać zwrotną informację, z której wynikało, czy są one zaszczepione.
MZ opublikowało komunikat o naruszeniu ochrony danych osobowych. Z związku z art. 34 ust. 3 lit. c RODO informuje o naruszeniu ochrony danych osobowych.
- Do naruszenia doszło za pośrednictwem jednego z kanałów rejestracji, tj. formularza szybkiej ścieżki rejestracji na szczepienie ochronne przeciwko COVID-19, który został wyłączony - czytamy w komunikacie.
To o czym w komunikacie nie przeczytamy to to, że sprawę ujawniły media. Onet opublikował artykuł, w którym wskazał, kto z członków rządu, parlamentarzystów czy sędziów Trybunału Konstytucyjnego zaszczepił się przeciwko COVID-19. Portal nie ujawnił, w jaki sposób posiadł te informacje, wskazał jedynie, że pochodzą one z dwóch baz: Ewidencji Wjazdu do Polski (EWP) oraz SEPIS (czyli bazy sanepidu). Z kolei Wirtualna Polska opisała lukę, o której w komunikacie informuje MZ.
Jak to się stało?
Resortowi zdrowia zależało, by jak najwięcej osób się zaszczepiło. Przygotowano formularz szybkiej ścieżki logowania - można przez niego było umówić się na szczepienie w cyklu podstawowym - czyli dwie dawki szczepionek Pfizera lub Moderny albo jedną Johnson and Johnson. Ale już na dawkę uzupełniającą lub przypominającą nie można było zapisać się w ten sposób. Gdzie było zagrożenie?
Resort zdrowia powołując się na informacje od podległego mu Centrum eZdrowia informuje, że:
"każda osoba uzupełniająca pola w formularzu mogła podać swój numer telefonu w celu potwierdzenia tożsamości i po wprowadzaniu danych osobowych innych osób (jeżeli takie posiadała) obejmujących ich imię, nazwisko oraz numer PESEL, wygenerować dodatkową informację dotyczącą tej osoby w zakresie jej rejestracji na szczepienie przeciwko COVID-19, a więc informacji o przyjęciu szczepionki".
Na podany numer telefonu był wtedy wysyłany sms z kodem jednorazowym i po jego wprowadzeniu pojawiała się informacja o tym, czy osoba o tym PESEL-u może się zaszczepić w cyklu podstawowym.
"W efekcie można było wywnioskować, czy osoba, której dane wprowadzono poddała się już szczepieniu".
Ile danych innych osób można było sprawdzić?
Jak podkreśla MZ, z jednego numeru można było umówić na szczepienie 3 osoby - podając trzy różne PESEL-e. -Dodatkowo potencjalne ryzyko enumerowania numerów PESEL zostało ograniczone przez zastosowanie reCAPTCHA - informuje ministerstwo.
Ale dalej w komunikacie można przeczytać:
"Po ewentualnym umówieniu trzech szczepień na jeden numer telefonu możliwość umawiania kolejnych wizyt była blokowana na 15 sekund. Z kolei sprawdzenie opcji rejestracji, czyli logowanie bez umówienia było możliwe bez ograniczeń".
Jaka jest skala problemu?
W przypadku 192 osób naruszenie "polegało na nieuprawnionym uzyskaniu dostępu do informacji, a jego przyczyną było zewnętrzne działanie zamierzone" (....) Konsekwencją incydentu była utrata poufności danych i wystąpiła możliwość naruszenia dobrego imienia osób z uwagi na fakt, że przedmiotem zainteresowania były osoby, które są osobami publicznymi"
Inne dane też do sprawdzenia?
Z informacji ministerstwa wynika, że sprawdzić można było nie tylko to czy ktoś się szczepił czy nie. - W niektórych przypadkach formularz pozwalał osobie podszywającej się pod użytkownika na uzyskanie informacji o miejscowości zamieszkania osoby, której dane zostały wykorzystane do nieuprawnionego logowania - wynika z ustaleń przekazanych przez MZ.
Sprawa jest analizowana
Ministerstwo podkreśla, że 25 stycznia 2022 r., "biorąc pod uwagę spadającą liczbę uproszczonych rejestracji, Ministerstwo Zdrowia zdecydowało o wyłączeniu tego sposobu zapisywania na szczepienia". W innym miejscu komunikatu twierdzi z kolei, że formularz wyłączono w związku z naruszeniem ochrony danych osobowych i ryzykiem, że się to powtórzy.
- Sprawa jest analizowana pod kątem możliwości popełnienia przestępstwa i zostanie złożone zawiadomienie do organów ścigania - zapewnia MZ.
Obywatel zawsze może dopytać
MZ podaje, że ewentualne pytania dotyczące zdarzenia w zakresie danych osobowych można kierować pod adresem e-mail: iod@mz.gov.pl, za pośrednictwem platformy e-PUAP (Elektroniczna skrzynka podawcza: /8tk37sxx6h/SkrytkaESP) lub listownie na adres siedziby MZ. Istnieje możliwość skontaktowania się w tej sprawie z Centrum e-Zdrowia: e-mail: biuro@cez.gov.pl za pośrednictwem platformy e-PUAP (Elektroniczna skrzynka podawcza: /csiozgovpl/SkrytkaESP) lub listownie na adres siedziby CeZ.
Redaktor naczelna, od ponad 20 lat pracuje w mediach. Była redaktor naczelna Polityki Zdrowotnej, redaktor m.in. w Rzeczpospolitej, Dzienniku Gazecie Prawnej. Laureatka branżowych nagród dla dziennikarzy i mediów medycznych oraz Polskiej Izby Ubezpieczeń. Kontakt: aleksandra.kurowska@cowzdrowiu.pl