Zdrowie

Jak postępować po wycieku danych z przychodni – praktyczny przewodnik

Byzdrowie-kondycja

Published22 maja, 2026

Ten praktyczny przewodnik opisuje krok po kroku, co powinna zrobić przychodnia i pacjent po wycieku danych medycznych, jakie są obowiązki prawne, jakie środki techniczne warto natychmiast wdrożyć oraz jakie działania długoterminowe minimalizują ryzyko powtórzenia incydentu.

Najważniejsze zasady i terminy

Obowiązek zgłoszenia do PUODO

Administrator zgłasza naruszenie do PUODO w ciągu 72 godzin, zgodnie z art. 33 RODO — zgłoszenie powinno nastąpić „bez zbędnej zwłoki, nie później niż w ciągu 72 godzin” od momentu stwierdzenia naruszenia. Jeżeli zgłoszenie przekracza ten termin, administrator musi uzasadnić opóźnienie. W praktyce warto wysłać zgłoszenie wstępne z podstawowymi informacjami i dosyłać szczegóły po dokładnej analizie.

Dane medyczne jako kategoria szczególna

Dane medyczne są danymi szczególnej kategorii i zwykle traktowane są jako wyciek o wysokim ryzyku, co często obliguje do bezpośredniego poinformowania pacjentów (art. 9 i 34 RODO oraz wytyczne EDPB). W praktyce oznacza to, że większość incydentów obejmujących diagnozy, wyniki badań lub historię chorób będzie wymagać nie tylko zgłoszenia do organu nadzorczego, ale i natychmiastowej komunikacji z osobami, których dane dotyczyły.

Statystyki i skala problemu

Obraz w UE i raporty ENISA

W latach 2021–2023 sektor ochrony zdrowia był jednym z trzech najczęściej atakowanych sektorów krytycznych w UE. Według raportów ENISA około 25% poważnych incydentów dotyczyło sektora zdrowia, a w 2023 r. w ponad 70% przypadków ataki obejmowały dane pacjentów (ransomware, kradzież danych, zakłócenia dostępności usług).

Sytuacja w Polsce

W Polsce raporty PUODO pokazują, że około 15–20% zgłoszeń naruszeń pochodzi z sektora medycznego. Najczęściej rejestrowane zdarzenia to pomyłkowe odesłanie dokumentacji do niewłaściwej osoby, wysłanie wyników na błędny e‑mail, nieuprawniony dostęp personelu oraz kradzieże nośników pamięci.

Pierwsze godziny po wykryciu incydentu — co wykryć najpierw

odłącz zainfekowane urządzenie od sieci, jeśli to możliwe bez restartu, aby zachować pamięć i logi,
zmień hasła i tokeny dla kont uprzywilejowanych oraz kont zdalnego dostępu, zwłaszcza jeśli istnieje podejrzenie phishingu,
zabezpiecz dowody: zapis logów serwera, logi firewalli i kopiuj konfiguracje na odseparowany nośnik,
powołaj zespół kryzysowy z przedstawicielami zarządu, IT, IOD oraz komunikacji/PR,
wstrzymaj procesy eksportu danych lub synchronizacje z chmurą i zewnętrznymi serwisami.

Po wykonaniu powyższych działań kluczowe jest szybko sporządzić wstępny raport: kiedy wykryto incydent, kto go zgłosił, jaki system lub usługa są dotknięte i jakie kategorie danych mogły zostać ujawnione.

Ocena skali i ryzyka w pierwszej dobie

Ocena powinna być szybka, formalna i udokumentowana. Wypełnienie prostej matrycy ryzyka przyspiesza decyzję o zgłoszeniu do organu nadzorczego i o konieczności informowania pacjentów. Elementy matrycy:

– rodzaj danych: identyfikacyjne (imię, nazwisko, PESEL), kontaktowe (telefon, e‑mail), medyczne (diagnozy, wyniki), finansowe (rachunki),
– liczba osób i rekordów (skale np. 1–10, 11–100, 101–1000, >1000),
– łatwość identyfikacji osób z danych (czy dane pozwalają na szybkie powiązanie rekordu z konkretną osobą),
– potencjalne skutki: ryzyko dyskryminacji, szkody finansowe, szantaż, nadużycia tożsamości, zwiększone ryzyko phishingu.

Jeśli stwierdzono, że dane obejmują informacje o zdrowiu, przyjmuje się zazwyczaj wysokie ryzyko i konieczność poinformowania osób bez zbędnej zwłoki.

Zgłoszenie do PUODO — co zawrzeć w formularzu (do 72 godzin)

Zgłoszenie do organu nadzorczego powinno zawierać jasny i zwięzły opis incydentu oraz informacje pomocne w ocenie ryzyka i środków zaradczych. Kluczowe elementy do wpisania:

– opis zdarzenia: kiedy wykryto, jaki system był dotknięty, krótki przebieg incydentu,
– kategorie danych oraz przybliżona liczba osób i rekordów,
– możliwe konsekwencje dla osób, których dane dotyczą,
– środki zastosowane natychmiast i planowane działania naprawcze,
– kontakt do osoby odpowiedzialnej (IOD lub dedykowany koordynator).

PUODO dopuszcza wysłanie zgłoszenia wstępnego z brakującymi danymi, które można uzupełnić w kolejnym zgłoszeniu.

Poinformowanie pacjentów — jak skonstruować komunikat

Informacja do pacjentów powinna być prosta, rzeczowa i pozbawiona żargonu technicznego. Poniżej proponowany, uporządkowany szkielet komunikatu przedstawiony jako kolejność elementów do umieszczenia:

nagłówek: jasny komunikat o naruszeniu, np. „Informacja o naruszeniu bezpieczeństwa danych medycznych”,
krótkie wyjaśnienie, co się stało i kiedy incydent został wykryty,
zakres danych: konkretne przykłady (np. imię i nazwisko, PESEL, wyniki badań),
możliwe konsekwencje dla pacjenta (np. ryzyko nadużyć, phishing),
środki podjęte przez przychodnię oraz dalsze planowane działania,
rekomendowane kroki dla pacjentów (zmiana haseł, zastrzeżenie PESEL, włączenie 2FA),
dane kontaktowe: IOD, dedykowany numer telefonu i adres e‑mail oraz godziny pracy linii wsparcia.

W komunikacie warto dodać gotowe linki do oficjalnych narzędzi, np. do instrukcji zastrzeżenia PESEL w mObywatel oraz do formularza zgłoszeń incydentów CSIRT NASK (incydent.cert.pl). Unikaj sformułowań łagodzących i nie używaj eufemizmów w tytułach e‑mail — jasność zwiększa zaufanie.

Instrukcja techniczna i dowodowa dla zespołu IT

Działania techniczne muszą chronić dowody i jednocześnie ograniczać dalsze szkody. Najważniejsze zalecenia:

– nie wyłączaj natychmiast urządzeń, jeśli potrzebne jest przechwycenie pamięci operacyjnej; jeżeli analiza wymaga wyłączenia, wykonaj obraz dysku i zrzut pamięci przed restartem,
– zabezpiecz logi systemowe, aplikacyjne, sieciowe i urządzeń peryferyjnych na odseparowanych nośnikach, z sumami kontrolnymi w celu wykrycia modyfikacji,
– przeprowadź analizę IOC (Indicators of Compromise) i szybki skan antywirusowy; jeśli dostępne, wykorzystaj sygnatury i listy IOC od CSIRTów oraz dostawców usług,
– zastosuj tymczasowe reguły firewall i blokady kont podejrzanych o kompromitację, ogranicz dostęp do systemów na zasadzie „least privilege”,
– dokumentuj każdy krok: kto i kiedy wykonał daną czynność oraz jakie pliki i logi zostały skopiowane.

Współpraca z zewnętrznymi specjalistami (CERT, firmami forensic) jest wskazana przy skomplikowanych atakach; często pozwala szybciej przywrócić systemy i dostarczyć wiarygodne dowody na potrzeby PUODO i ewentualnych postępowań.

Co powinien zrobić pacjent — praktyczne kroki

zmień hasło w portalu pacjenta oraz w innych usługach, gdzie użyto tego samego hasła,
włącz uwierzytelnianie dwuskładnikowe (2FA) dla poczty i kont bankowych oraz dla konta pacjenta, jeśli dostępne,
zastrzeż numer PESEL poprzez mObywatel, urząd gminy lub bank, aby zredukować ryzyko wyłudzeń kredytów,
monitoruj zapytania kredytowe i rozważ skorzystanie z usług monitoringu kredytowego,
zgłaszaj podejrzane e‑maile i SMS‑y: SMS na numer 8080 i incydenty do CSIRT NASK (incydent.cert.pl).

W komunikacji do pacjentów dobrze jest podać przykładowe, gotowe zdania: jak zmienić hasło krok po kroku, gdzie zastrzec PESEL i jakie informacje przesyłać (tylko oficjalne kanały).

Środki długoterminowe do wdrożenia po incydencie

wdrożenie Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) z polityką haseł, kontrolą dostępu i planem reagowania na incydenty,
szyfrowanie danych w spoczynku i podczas transmisji (np. szyfrowanie dysków i TLS dla połączeń),
wdrożenie systemów DLP (Data Loss Prevention) monitorujących transfer danych w punktach końcowych i w chmurze,
regularne szkolenia personelu w zakresie rozpoznawania phishingu i zasad bezpiecznej pracy z dokumentacją medyczną,
zarządzanie tożsamością i dostępem (IAM) z zasadą najmniejszych uprawnień oraz automatycznym recenzowaniem uprawnień,
regularne audyty bezpieczeństwa i testy penetracyjne oraz coroczne ćwiczenia symulujące incydent (table‑top exercise) zgodnie z wytycznymi ENISA.

Warto też wymusić na procesorach danych odpowiednie klauzule bezpieczeństwa w umowach powierzenia i prawo do audytu oraz szybką ścieżkę komunikacji w razie incydentu.

Kary, odpowiedzialność i praktyczne konsekwencje

RODO przewiduje kary administracyjne do 10 mln EUR lub 2% obrotu oraz do 20 mln EUR lub 4% obrotu w zależności od wagi naruszenia (art. 83). W Polsce PUODO już nakładał sankcje na podmioty medyczne za brak zabezpieczeń, brak procedur, niewłaściwe zgłoszenia lub brak informacji dla osób, których dane dotyczyły. Kluczowym czynnikiem łagodzącym może być udokumentowane posiadanie i stosowanie SZBI oraz szybkie i przejrzyste działania po incydencie.

Najczęstsze przyczyny wycieków i błędy, których należy unikać

Do najczęstszych przyczyn należą błędy ludzkie (wysłanie wyników na błędny e‑mail, przypadkowe udostępnienie dokumentów), brak procedur i SZBI, luki techniczne (nieaktualne oprogramowanie, brak szyfrowania) oraz ataki zewnętrzne (phishing, ransomware). Typowe błędy reakcji to próba ukrycia naruszenia, opóźnienia w zgłoszeniu do PUODO, niedbałe zabezpieczenie dowodów oraz komunikacja publiczna, która utrudnia bezpośredni kontakt z pacjentami.

Przygotowanie na przyszłość — praktyczne lifehacki

Kilka rozwiązań, które znacząco ułatwiają reagowanie i ograniczają szkody:

– przygotuj szablony zgłoszeń do PUODO i komunikatów dla pacjentów oraz trzy scenariusze komunikacji (niski, średni, wysoki poziom ryzyka),
– wywiesz listę numerów kontaktowych „sztabu kryzysowego” w gabinecie kierownika, wraz z kolejnością kontaktów,
– wprowadź prosty formularz oceny ryzyka do wypełnienia przez IOD i IT w ciągu pierwszej doby,
– przeprowadzaj coroczne ćwiczenia typu table‑top, aby sprawdzić realność procedur i czas reakcji.

Źródła i standardy przydatne w pracy: RODO (art. 33 i 34), wytyczne EDPB, raporty ENISA (Threat Landscape for Health Sector 2021–2023), sprawozdania PUODO oraz zalecenia CSIRT NASK.

Recent Posts

Jak złagodzić nudności po zastrzyku GLP-1

Dlaczego pojawiają epizody duszności – codzienne wyzwalacze astmy