Paweł Michalak, Mirosław Sanek: Czy sektor zdrowia przetrwa cyfrową rewolucję?

Ochrona danych medycznych to już nie tylko kwestia regulacji, ale „być albo nie być” dla sektora ochrony zdrowia. Podmioty, które zignorują zagrożenia cybernetyczne i wymagania unijne, mogą nie przetrwać.

Publikacja: 21.03.2025 07:59

Foto: Adobe Stock

Paweł Michalak, Mirosław Sanek

System ochrony zdrowia stoi przed jednym z największych wyzwań w historii. Nie żeby mu brakowało dotychczasowych. Tym jednak razem nie chodzi o kryzys finansowy ani niedobór lekarzy, lecz o nowy front walki – ochronę danych medycznych. W obliczu rosnącego zakresu i wartości takich danych, a w ślad za tym rosnącej liczby cyberataków oraz nadchodzącej rewolucji regulacyjnej, jaką jest Europejska Przestrzeń Danych o Zdrowiu (EHDS), polskie podmioty medyczne muszą podjąć natychmiastowe działania, bo w przeciwnym razie ryzykują katastrofalne skutki finansowe, prawne i wizerunkowe.

Czytaj więcej

W 2024 roku odnotowano 1028 incydentów w ochronie zdrowia.

Ochrona zdrowia

Rośnie liczba incydentów cyberbezpieczeństwa w sektorze ochrony zdrowia

W 2024 roku odnotowano 1028 incydentów w ochronie zdrowia wobec 405 incydentów w 2023 roku – wynika z danych CSIRT CeZ.

Tymczasem świadomości tej perspektywy w branży medycznej brak. Pokazuje to choćby bulwersująca, opisana ostatnio na łamach „Rzeczpospolitej”, prawdziwa katastrofa w zakresie ochrony prywatności i danych medycznych, która miała miejsce w dotychczas prestiżowym Centrum Medycznym Ujastek sp. z o.o. w Krakowie. Stosowano tam od dawna ukryty monitoring wizyjny na oddziale neonatologii, m.in. w zegarach ściennych, a niezaszyfrowane karty pamięci utracono, nie wiadomo zresztą, w jaki sposób. Szpital musi teraz zapłacić ponad 1,1 mln zł kary administracyjnej za m.in. monitoring karmiących matek bez ich wiedzy.

Dane osobowe w służbie zdrowia. To już nie wycieki, to potop

Ale to przecież niejedyny taki drastyczny przypadek. Ubiegłe miesiące przyniosły nam podobne wstrząsy. W listopadzie 2023 roku ALAB Laboratoria, jedna z największych sieci laboratoriów medycznych w Polsce, padła ofiarą ataku hakerskiego. Cyberprzestępcy wykradli około 44,5 GB danych, w tym wyniki badań pacjentów, 187 tys. numerów PESEL oraz 190 GB danych firmowych. Upubliczniono 6,5 GB danych medycznych, 12,5 tys. numerów PESEL oraz 4 GB danych firmowych.

W marcu 2024 roku doszło do wycieku danych z serwerów firmy Medily, dostawcy oprogramowania Aurero do zarządzania wizytami w klinikach. Hakerzy uzyskali dostęp do serwera testowego, na którym znajdowały się dane około 180 tysięcy pacjentów z 40 placówek medycznych. Wyciek obejmował imiona, nazwiska, numery PESEL oraz informacje medyczne pacjentów. W zeszłym roku doszło też do ataku hakerskiego na American Heart of Poland SA, w wyniku którego wykradziono dane około 21 tys. pacjentów. Do tego jeszcze można dodać wyciek danych z centrów medycznych All-Med w Łodzi oraz Nowa 5 w Gorzowie. Chwilę później odkryto, że dane ok. 10 mln pacjentów były narażone na kradzież z powodu luk w aplikacjach używanych przez apteki i lekarzy. Dzięki zgłoszeniu sygnalisty udało się po jakimś czasie te luki załatać, jednak nie ma pewności, czy dane nie zostały wcześniej wykradzione.

Dobrze, że wiemy o tych zdarzeniach, głównie dzięki godnej pochwały działalności prezesa UODO w zakresie stosowania najistotniejszej sankcji administracyjnej. Tyle że to jedynie wierzchołek góry lodowej. Od dłuższego czasu prowadzimy rozmowy w środowisku medycznym i trudno jest nie odnieść wrażenia, że ochrona danych medycznych jest tam uważana nie tylko za nieistotną, ale w zasadzie za utrudniającą dla działalności medycznej. Jest naprawdę traktowana z wrogą nieufnością.

Czytaj więcej

Ochrona zdrowia

Rośnie liczba incydentów cyberbezpieczeństwa w sektorze ochrony zdrowia

W 2024 roku odnotowano 1028 incydentów w ochronie zdrowia wobec 405 incydentów w 2023 roku – wynika z danych CSIRT CeZ.

Majątek, o którym nie chcemy wiedzieć

Szkoda – wielka i niezmiernie realna – że tak się dzieje, zwłaszcza gdy cyberprzestępcy doskonale o tym lekceważeniu wiedzą. Placówki zdrowia są dla nich łatwym celem. Tymczasem dane medyczne już dawno temu stały się twardą walutą darknetu. Według ostrożnych raportów IBM („X-Force Threat Intelligence”), Ponemon Institute („Cost of a Data Breach”) czy analiz firm antywirusowych i zajmujących się cyberbezpieczeństwem (McAfee „The Hidden Data Economy”, Accenture „The Cost of Cybercrime”) pełne rekordy pacjentów, czyli elektroniczne zbiory ich danych medycznych, mogą kosztować od 250 do 1000 dolarów za sztukę – to kilkadziesiąt razy więcej niż dane kart kredytowych. Dzieje się tak dlatego, że dane medyczne są bardziej kompleksowe i zawierają szczegółowe informacje osobowe (PESEL, adresy, wyniki badań, diagnozy, numery ubezpieczeń zdrowotnych), które można łatwo wykorzystać w długoterminowych schematach oszustw. Trzeba też pamiętać, że w przeciwieństwie do kart kredytowych czy haseł, które można zmienić, dane medyczne są trwałe i dlatego mogą być wielokrotnie użyte do celów przestępczych.

Do tego konsekwencje tych wycieków są dramatyczne nie tylko w majątkowym sensie. Dane pacjentów mogą posłużyć do oszustw ubezpieczeniowych, szantażu (np. wobec osób publicznych), a nawet manipulowania wynikami badań. Wszyscy zaś pacjenci mogą być narażeni na wstyd, utratę reputacji lub inne osobiste konsekwencje. Tracą wówczas zaufanie do systemu ochrony zdrowia, a instytucje medyczne muszą zmagać się z wielomilionowymi karami za wyrządzone szkody i krzywdy swoich pacjentów.

EHDS. Rewolucja czy tylko dodatkowy problem?

Unia Europejska nie zamierza pozostawić tej kwestii bez reakcji. Reaguje więc w znany już sobie sposób – konstruując nową regulację prawną. Europejska Przestrzeń Danych o Zdrowiu (EHDS) to jeden z najbardziej ambitnych projektów UE w dziedzinie cyfryzacji zdrowia. Przyniesie on zarówno wymogi, jak i zagrożenia oraz szanse dla podmiotów przetwarzających dane zdrowotne. Regulacja ma na celu ujednolicenie wymiany danych zdrowotnych w UE. Przedstawiana jest więc jako korzyść dla podróżujących po Europie potencjalnych pacjentów i jest to korzyść realna. Tyle że tak radykalne zwiększenie mobilności danych wrażliwych wykładniczo zwiększy i tak już wielkie ryzyko w przetwarzaniu danych medycznych. Stąd też EHDS – nowe RODO dla medycyny – narzuca dodatkowe, surowe wymagania dla podmiotów medycznych.

Czytaj więcej

Debata: „Polityka i profilaktyka zdrowotna w świetle polskiej prezydencji w Radzie UE oraz trendów,

Materiał partnera

Cyfryzacja służby zdrowia? Tak, ale bez pochopnych decyzji

Cyfryzacja, zdrowie psychiczne dzieci i młodzieży oraz promocja profilaktyki - to priorytety polskiej prezydencji w Radzie Unii Europejskiej w dziedzinie ochrony zdrowia.

Będą one musiały wdrożyć m.in. interoperacyjne systemy IT umożliwiające bezpieczny dostęp do danych pacjentów w całej UE, jeszcze bardziej zaawansowane zabezpieczenia cybernetyczne, w tym szyfrowanie i pseudonimizację danych, oraz transparentne mechanizmy wyraźnej zgody pacjenta dające obywatelom pełną kontrolę nad ich danymi. Koszty wdrożenia tych rozwiązań mogą być ogromne, zwłaszcza dla mniejszych placówek. Ale brak dostosowania się do regulacji oznacza ryzyko wysokich kar oraz wykluczenia z europejskiego systemu wymiany danych zdrowotnych.

Czy ochrona zdrowia jest gotowa?

Dane wskazują, że polski sektor zdrowia jest technologicznie zapóźniony w stosunku do aktualnych standardów, a co dopiero tych przyszłych wyśrubowanych na poziomie wymogów EHDS. Problemem jest nie tylko brak środków na nowoczesne systemy IT, bo niewystarczająca świadomość zarządzających placówkami dotyczy także najbogatszych prywatnych klinik. Ochrona danych medycznych to już nie tylko kwestia regulacji, ale „być albo nie być” dla sektora ochrony zdrowia. Podmioty, które zignorują zagrożenia cybernetyczne i wymagania EHDS, mogą nie przetrwać w rzeczywistości cyfrowej medycyny. Wybór jest jasny – albo dostosowanie się do standardów, albo ryzyko bycia na celowniku hakerów i regulatorów.

Paweł Michalak jest radcą prawnym, wspólnikiem zarządzającym w MKZ Partnerzy

Mirosław Sanek jest doktorem nauk prawnych, liderem RODO w MKZ Partnerzy

Organizacje Narodowy Fundusz Zdrowia (NFZ) służba zdrowia

Pozostało jeszcze 93% artykułu

Czas trwania postępowań się wydłuża, a polskie sądownictwo staje się coraz bardziej niereformowalne

Opinie Prawne

Tomasz Pietryga: Sądy z szydła i dratwy skuteczniejsze od AI

W rzeczywistości reformatorskiej odtwarza się cykl: rządy skupiają się na rozliczeniach i imperialnych planach, a zapominają o podstawowej misji sądownictwa – krótkim i sprawiedliwym procesie.

Materiał Promocyjny

Berlingo VAN od 69 900 zł netto - postaw na profesjonalizm w każdym szczególe!

Opinie Prawne

Robert Gwiazdowski: Prokuratura z Popowa

Słynne już przesłuchanie Barbary Skrzypek przez prokuraturę skłoniło mnie do wspomnień – jak to się stało, że jest jak jest.

Czy problemem są nadmiarowe interwencje policji?

Opinie Prawne

Piotr Szymaniak: Fałszywe nauki ze sprawy Barbary Skrzypek

Kwestia dopuszczenia pełnomocnika do przesłuchania świadka to naprawdę nie jest kwestia życia i śmierci. Jest nią za to rozprawienie się z problemem nadmiarowych interwencji policji, które od lat przynoszą krwawe żniwo. Tylko dlatego, że z rąk mundurowych nie giną znajomi polityków, nie jest to sprawa rangi państwowej?

Opinie Prawne

Pietryga: Dlaczego protokoły z przesłuchania Barbary Skrzypek nie pomogą prokuraturze?

Prokuratura w związku ze sprawą Barbary Skrzypek znalazła się w poważnym kryzysie wizerunkowym – lansowana narracja o niezależności i nowych standardach zaczęła się sypać.

Materiał Promocyjny

Warunki rozwoju OZE w samorządach i korzyści z tego płynące

Przesłanki i czynniki efektywnego wdrażania projektów OZE przez JST uwzględniające kwestie ekonomiczne, środowiskowe i społeczne.

Mieczysław Wilczek, przedsiębiorca, chemik, prawnik, minister przemysłu PRL. Zmarł 30 kwietnia 2014

Opinie Prawne

Pietryga: Deregulacja, czyli co łączy wyborców Trzaskowskiego, Mentzena i Nawrockiego?

Grunt poparcia dla deregulacji w Polsce jest solidny. Kluczowe pytanie brzmi jednak: jak przeprowadzić ten proces, aby uniknąć powtarzania błędów z przeszłości.

Materiał Promocyjny

Sezon motocyklowy wkrótce się rozpocznie, a Suzuki rusza z 19. edycją szkoleń

Jazda na motocyklu to z całą pewnością wielka przyjemność, o czym zaświadczy każdy, kto chociaż raz miał okazję – legalnie, podkreślmy – poprowadzić maszynę na dwóch kołach.

Kirsty Coventry stanie na czele Międzynarodowego Komitetu Olimpijskiego (MKOl)

Sport

Dlaczego Kirsty Coventry wygrała wybory i będzie pierwszą kobietą na czele MKOl?

Była pływaczka Kirsty Coventry stanie na czele Międzynarodowego Komitetu Olimpijskiego (MKOl), ale dopiero czas pokaże, czy wybije się na niezależność i ucieknie z cienia poprzednika.

Minister klimatu i środowiska Paulina Hennig-Kloska, sekretarz stanu w MKiŚ Krzysztof Bolesta, preze

Zielone technologie

Rusza nowa odsłona programu Czyste Powietrze: Jak zmienią się zasady?

Nowa edycja programu Czyste Powietrze ma zwiększyć jego efektywność i transparentność. „Zapewniamy, że stanie się on bardziej dostępny dla tych, którzy najbardziej go potrzebują, a dofinansowanie trafi tam, gdzie jest najbardziej potrzebne – mówi Dorota Zawadzka-Stępniak, prezes zarządu Narodowego Funduszu Ochrony Środowiska i Gospodarki Wodnej.

„Jeszcze rok temu o wyniku walk decydowało przede wszystkim zaopatrzenie w amunicję artyleryjską. Dz

Plus Minus

Camille Grand: Ukraina przetrwa wojnę z Rosją. Mimo działań Donalda Trumpa

Straty Moskwy na froncie są tak przerażające, a postęp tak mały, że nawet gdyby Kreml poświęcił wszystkich Rosjan, i tak nie wystarczy ich, aby przejąć kontrolę nad całym państwem ukraińskim - mówi Camille Grand, zastępca sekretarza generalnego NATO w latach 2016–2022.

Plus Minus

Michał Szułdrzyński: Każdy napotkany Izraelczyk zadaje nam to samo pytanie

Oceniając swojego wroga, nie sądź po jego intencjach, ale po jego możliwościach do tego, by cię zaatakować – tak mówią Izraelczycy o swoich nieprzyjaciołach. Czy nie powinniśmy brać z nich przykładu?

Dane osobowe

Uczelnia medyczna zapłaci karę za „upublicznienie” nagrań z egzaminów

Przypadkowe upublicznienie nagrań z egzaminów na jednej z uczelni medycznych na platformie e-learningowej wymagało oficjalnego zgłoszenia oraz poinformowania o tym incydencie osób, których dotyczy naruszenie.

Na zakup okularów można dostać dofinansowanie. Komu przysługuje i ile wynosi?

Prawo dla Ciebie

700 zł do okularów od NFZ. Jakie warunki trzeba spełnić?

Osoby, które korzystają z okularów korekcyjnych, mają prawo do częściowej refundacji ich zakupu z NFZ. Wysokość dofinansowania zależy głównie od tego, jak duża jest wada wzroku. Komu przysługuje i ile wynosi refundacja?

W Izraelu doszło do gwałtownych protestów przeciwko dymisji szefa Szin Bet i wznowieniu wojny z Hama

Polityka

Izrael: Beniamin Netanjahu zwolnił szefa wywiadu. Protesty. „Kraj staje się dyktaturą”

Izraelski gabinet podjął w nocy z czwartku na piątek decyzję o odwołaniu ze stanowiska szefa Szin Bet, izraelskiej agencji bezpieczeństwa wewnętrznego. Ronen Bar odejdzie ze stanowiska 10 kwietnia.

Polityka

Elon Musk pozna tajne plany Pentagonu na wypadek wojny z Chinami? Donald Trump zaprzecza

Elon Musk, najbogatszy człowiek świata i bliski współpracownik prezydenta USA Donalda Trumpa, ma w piątek zapoznać się z niejawnymi planami Pentagonu na wypadek wojny między USA a Chinami - pisze „The New York Times”. Doniesienia dziennika dementuje Trump.