15/01/2023
Otwock, 15.01.2023r.
KOMUNIKAT O NARUSZENIU OCHRONY
DANYCH OSOBOWYCH
W CENTRUM MEDYCZNYM TW-MED
Szanowni Państwo,
TW-MED Wojciechowski Spółka Jawna, z siedzibą przy ul. Michała Elwiro Andriollego 34 / 3, 05-400 Otwock, NIP: 5322101904, KRS: 0001002541 powiadamia o naruszeniu ochrony danych osobowych dotyczących pacjentów Centrum Medycznego TW-MED. w latach 2018 – 2023.
NA CZYM POLEGA NARUSZENIE:
Naruszenie to polega na tym, że w dniu 13 stycznia 2023r. doszło do ataku hackerskiego na infrastrukturę serwerową Centrum Medycznego TW-MED, w wyniku którego nieuprawniony podmiot dokonał zaszyfrowania danych zgromadzonych za serwerze w sposób uniemożliwiający Centrum Medycznemu TW-MED dostęp do danych, w tym wykonanie kopii bezpieczeństwa.
JAKI JEST ZAKRES DANYCH:
Zakres zaszyfrowanych danych obejmuje bazę wszystkich pacjentów Centrum Medycznego TW-MED z lat 2018 – 2023, w tym takie dane jak: imię i nazwisko, numer PESEL, dane kontaktowe, wyniki badań i inne dane zgromadzone w dokumentacji medycznej pacjenta, w tym w szczególności dane dotyczące stanu zdrowia.
CZY NARUSZENIE ZOSTAŁO ZGŁOSZONE:
Naruszenie to zostało zgłoszone do Prezesa Urzędu Ochrony Danych Osobowych oraz organom ścigania.
Centrum Medyczne TW-MED podejmuje działania zmierzające do przywrócenia bazy danych pacjentów.
JAKI JEST ZAKRES DZIAŁAŃ NALEŻY PODJĄĆ ŻEBY ZMINIMALIZOWAĆ RYZYKO NEGATYWNYCH SKUTKÓW:
Obecnie nie wykryto innych działań niż zaszyfrowanie bazy danych pacjentów, które mogłyby wskazywać na dalsze wykorzystanie tych danych przez osoby nieuprawnione. Nie otrzymaliśmy informacji, aby na skutek ataku dane jakiejkolwiek osoby zostały wykorzystane w sposób sprzeczny z interesami tych osób, np. w celu uzyskania pożyczek, kredytów czy ubezpieczeń.
Na podstawie art. 34 RODO jesteśmy jednak zobowiązani do poinformowania Państwa o zidentyfikowanych, możliwych konsekwencjach naruszenia danych osobowych takich jak:
• uzyskanie przez osoby trzecie (na szkodę osoby, której dane osobowe naruszono) kredytów w instytucjach pozabankowych - ponieważ wiele takich instytucji umożliwia uzyskanie pożyczki lub kredytu w łatwy i szybki sposób (np. przez Internet lub telefonicznie) bez konieczności okazywania dokumentu tożsamości;
• uzyskanie przez osoby trzecie dostępu do korzystania ze świadczeń opieki zdrowotnej przysługujących osobie, której dane naruszono oraz do jej danych o stanie zdrowia, ponieważ często dostęp do systemów rejestracji pacjenta można uzyskać telefonicznie potwierdzając swoją tożsamość za pomocą numeru PESEL;
• podjęcie przez osoby trzecie próby wyłudzenia ubezpieczenia (lub środków z ubezpieczenia), co może spowodować dla osoby, której dane dotyczą, negatywne konsekwencje w postaci problemów związanych z próbą przypisania jej odpowiedzialności za dokonanie takiego czynu;
• zarejestrowanie przedpłaconej karty telefonicznej (pre-paid), która może posłużyć do celów przestępczych;
• próby zawarcia przez osoby trzecie umów cywilno-prawnych (np. najmu nieruchomości);
• wykorzystanie danych przez osoby trzecie do ukrycia swojej tożsamości (np. przy otrzymywaniu mandatów).;
• naruszenie dobra osobistego w postaci dyskryminacji z uwagi na stan zdrowia.
ŚRODKI ZASTOSOWANE LUB PROPONOWANE PRZEZ ADMINISTRATORA W CELU ZARADZENIA NARUSZENIU:
Pomimo braku informacji o nieuprawnionym wykorzystaniu danych w celu zabezpieczenia się przed ewentualnymi negatywnymi skutkami zaistniałego naruszenia zalecamy, aby osoby których dane osobowe mogły ulec naruszeniu, rozważyły podjęcie kroków minimalizujących ryzyko wystąpienia negatywnych konsekwencji i nieuprawnionego wykorzystania danych m.in.
1. poprzez założenie konta w systemie informacji kredytowej i gospodarczej celem monitorowania swojej aktywności kredytowej (na rynku dostępne są systemy, instytucje i przedsiębiorstwa, które oferują usługi pozwalające na monitorowanie swojej aktywności kredytowej:
• Biuro Informacji Kredytowej S.A. strona https://www.bik.pl,
• Biuro Informacji Gospodarczej InfoMonitor S.A. strona https://big.pl,
• Krajowy Rejestr Długów Biuro Informacji Gospodarczej S.A. strona https://krd.pl,
• Serwis CHRONPESEL strona https://www.chronpesel.pl
2. poprzez zastrzeżenie dowodu osobistego:
• zastrzeżenie w Systemie DOKUMENTY ZASTRZEŻONE – w swoim banku (osobiście lub poprzez infolinię banku)lub w dowolnym banku przyjmującym zastrzeżenia także od osób niebędących jego klientami. (Wystarczy zgłosić zastrzeżenie tylko w jednym banku, a dane zostaną automatycznie przekazane do wszystkich pozostałych uczestników Systemu DZ).
Można skorzystać z konta na stronie www.bik.pl (tylko pod warunkiem, że osoba zastrzegająca miała tam już wcześniej założone konto z wykorzystaniem danych z utraconego dokumentu).
• zawiadomienie najbliższego organu gminy i wyrobienie nowego dokumentu.
(Informacje dotyczące konieczności zawiadomienia organu gminy o utracie dokumentu, znajdują się na stronie gov.pl.)
W celu zminimalizowania ewentualnych negatywnych skutków naruszenia zalecamy, aby ignorować nieoczekiwane treści wiadomości, w tym telefonicznych, w trakcie których nastąpi próba uzyskania informacji na temat Państwa danych osobowych – w tym w szczególności numeru dowodu osobistego.
W taki przypadku przed podaniem informacji zalecamy zweryfikowanie innym kanałem komunikacji czy dany podmiot np. bank lub policja kontaktował się z Państwem w celu otrzymania takich informacji.
Z KIM NALEŻY KONTAKTOWAĆ SIĘ W SPRAWIE NARUSZENIA:
W celu uzyskania wszelkich informacji związanych z dokonanym naruszeniem i podejmowanymi w związku z nim działaniami, proszę, aby Pani/Pan skontaktował się z:
Tadeuszem Wojciechowskim telefonicznie
• pod numerem: 602-668-182,
• pod adresem e-mail: tw-med@o2.pl
• lub w siedzibie Centrum Medycznego TW-MED (po wcześniejszym umówieniu)
Biuro Informacji Kredytowej to bezpieczeństwo Twoich kredytów. Chroń się przed wyłudzeniem kredytu. Kontroluj kredyt z BIK. Sprawdź historię kredytową.
