Postępująca cyfryzacja ochrony zdrowia sprawiła, że coraz więcej spraw związanych z leczeniem można załatwić przez Internet. Internetowe Konto Pacjenta (IKP), aplikacja mojeIKP, e-recepty, e-skierowania czy elektroniczna dokumentacja medyczna znacząco ułatwiają korzystanie z systemu ochrony zdrowia. Jednocześnie rozwój usług elektronicznych sprawił, że pacjenci stali się celem cyberprzestępców, którzy coraz częściej próbują wyłudzić dane logowania do kont zawierających informacje o stanie zdrowia.
Kradzież danych dostępowych do Internetowego Konta Pacjenta nie stanowi wyłącznie zagrożenia dla prywatności. W praktyce może prowadzić do uzyskania dostępu do szczególnie wrażliwych danych medycznych, wykorzystania tożsamości pacjenta, wyłudzenia świadczeń zdrowotnych, a nawet naruszenia jego dóbr osobistych. Warto wiedzieć, jak dochodzi do takich oszustw, jakie prawa przysługują osobie poszkodowanej oraz kiedy możliwe jest dochodzenie odpowiedzialności od podmiotów odpowiedzialnych za bezpieczeństwo danych.
Czym jest kradzież danych dostępowych?
Kradzież danych dostępowych polega na bezprawnym pozyskaniu informacji umożliwiających zalogowanie się do konta internetowego użytkownika. W przypadku Internetowego Konta Pacjenta mogą to być dane wykorzystywane do logowania za pomocą Profilu Zaufanego, bankowości elektronicznej, aplikacji mObywatel lub innych metod uwierzytelniania.
Samo przejęcie loginu i hasła nie zawsze oznacza jeszcze uzyskanie dostępu do konta. Współcześnie większość systemów stosuje dodatkowe zabezpieczenia, takie jak uwierzytelnianie wieloskładnikowe. Nie zmienia to jednak faktu, że cyberprzestępcy nieustannie udoskonalają metody działania i wykorzystują nieuwagę użytkowników, aby ominąć stosowane zabezpieczenia.
Szczególnie niebezpieczne jest przejęcie danych umożliwiających dostęp do Internetowego Konta Pacjenta. Zgromadzone tam informacje należą bowiem do kategorii danych szczególnej kategorii w rozumieniu RODO i podlegają wyjątkowo silnej ochronie prawnej.
Dlaczego dane medyczne są tak cenne?
Dane medyczne należą do najbardziej wrażliwych informacji dotyczących człowieka. Obejmują one między innymi historię leczenia, wyniki badań diagnostycznych, informacje o przebytych hospitalizacjach, przyjmowanych lekach, szczepieniach czy wystawionych zwolnieniach lekarskich.
Ich ujawnienie może prowadzić do bardzo poważnych konsekwencji. Osoba nieuprawniona może poznać informacje dotyczące chorób przewlekłych, zaburzeń psychicznych, leczenia onkologicznego, ciąży czy stosowanej farmakoterapii. Dane te mogą zostać wykorzystane do szantażu, kradzieży tożsamości, wyłudzeń finansowych lub innych działań naruszających prywatność pacjenta.
Nie bez znaczenia pozostaje również fakt, że cyberprzestępcy coraz częściej łączą informacje medyczne z innymi wykradzionymi danymi osobowymi. W efekcie mogą tworzyć kompletne profile konkretnych osób, które następnie są wykorzystywane do kolejnych oszustw lub sprzedawane na nielegalnych platformach internetowych.
W jaki sposób dochodzi do kradzieży danych dostępowych?
Najczęściej wykorzystywaną metodą jest phishing, czyli oszustwo polegające na podszywaniu się pod zaufaną instytucję. Cyberprzestępcy wysyłają wiadomości e-mail lub SMS, które wyglądają jak oficjalna korespondencja Narodowego Funduszu Zdrowia, Centrum e-Zdrowia, placówki medycznej czy laboratorium diagnostycznego.
Treść wiadomości zazwyczaj wywołuje poczucie pilności. Odbiorca otrzymuje informację o rzekomym wyniku badania, konieczności odebrania e-recepty, zwrocie składek zdrowotnych albo konieczności pilnego zalogowania się do Internetowego Konta Pacjenta.
Kliknięcie w przesłany link prowadzi najczęściej do strony do złudzenia przypominającej oficjalny portal. W rzeczywistości jest to fałszywa witryna, której jedynym celem jest przechwycenie wpisanych danych logowania.
Coraz częściej spotykanym zjawiskiem jest także smishing, czyli phishing prowadzony za pomocą wiadomości SMS. Cyberprzestępcy wykorzystują fakt, że użytkownicy znacznie częściej ufają wiadomościom otrzymywanym na telefon niż wiadomościom e-mail.
Zdarza się również, że oszuści podszywają się pod popularne platformy medyczne, laboratoria wykonujące badania diagnostyczne czy prywatne placówki ochrony zdrowia. W wiadomościach informują o dostępnych wynikach badań, konieczności potwierdzenia wizyty albo odebrania skierowania. Celem takich działań jest nakłonienie użytkownika do ujawnienia danych logowania lub pobrania złośliwego oprogramowania.
Jakie informacje znajdują się na Internetowym Koncie Pacjenta?
Internetowe Konto Pacjenta stanowi centralne miejsce gromadzenia informacji dotyczących zdrowia pacjenta. Można w nim znaleźć między innymi:
- historię wystawionych e-recept;
- e-skierowania;
- elektroniczną dokumentację medyczną;
- informacje o udzielonych świadczeniach zdrowotnych;
- historię szczepień;
- zwolnienia lekarskie;
- informacje o kosztach świadczeń finansowanych przez NFZ;
- dane dotyczące ubezpieczenia zdrowotnego.
Dostęp do takich informacji może stanowić poważne zagrożenie dla prywatności pacjenta. Co więcej, osoba nieuprawniona może uzyskać wiedzę o przebytych zabiegach, leczeniu psychiatrycznym, chorobach przewlekłych czy przyjmowanych lekach.
Jakie mogą być skutki przejęcia Internetowego Konta Pacjenta?
Konsekwencje kradzieży danych dostępowych mogą być znacznie poważniejsze niż sama utrata kontroli nad kontem.
W pierwszej kolejności dochodzi do naruszenia poufności danych medycznych. Informacje dotyczące zdrowia należą do najbardziej chronionych kategorii danych osobowych, dlatego ich ujawnienie może powodować istotne szkody niemajątkowe.
Przejęcie konta może również umożliwić wykorzystanie danych pacjenta do popełnienia kolejnych przestępstw. W skrajnych przypadkach możliwe jest posłużenie się cudzą tożsamością przy korzystaniu ze świadczeń zdrowotnych lub podejmowanie prób wyłudzenia recept czy innych dokumentów.
Nie można także wykluczyć szkód finansowych. Jeżeli cyberprzestępca uzyska dostęp do innych usług powiązanych z przejętym kontem lub wykorzysta zdobyte informacje do kolejnych oszustw, pacjent może ponieść wymierne straty majątkowe.
Jak rozpoznać próbę oszustwa?
Pacjenci powinni zachować szczególną ostrożność, jeżeli otrzymują wiadomości:
- zawierające link do rzekomego logowania do IKP;
- informujące o niespodziewanym zwrocie składek zdrowotnych;
- dotyczące wyników badań, których nie wykonywali;
- zawierające liczne błędy językowe lub nietypowe adresy nadawcy;
- nakłaniające do pilnego działania pod groźbą utraty dostępu do konta.
Należy pamiętać, że instytucje publiczne nie przesyłają wiadomości z prośbą o podanie loginu, hasła czy kodów autoryzacyjnych. Logowanie do Internetowego Konta Pacjenta powinno odbywać się wyłącznie za pośrednictwem oficjalnych stron oraz aplikacji.
Co zrobić po utracie danych dostępowych?
Jeżeli istnieje podejrzenie, że dane logowania zostały przejęte przez osoby nieuprawnione, należy działać niezwłocznie.
W pierwszej kolejności warto zmienić hasła do wszystkich usług wykorzystujących te same dane logowania. Następnie należy sprawdzić aktywność na Internetowym Koncie Pacjenta oraz zweryfikować, czy nie pojawiły się nieznane recepty, skierowania lub wpisy dotyczące świadczeń medycznych.
Podejrzenie oszustwa warto zgłosić również do właściwych instytucji, w tym CERT Polska, a w razie podejrzenia popełnienia przestępstwa – organom ścigania.
Jeżeli na Internetowym Koncie Pacjenta pojawiły się cudze dokumenty lub dane medyczne, należy niezwłocznie poinformować placówkę medyczną, która wprowadziła je do systemu. W przypadku błędów wynikających z nieprawidłowego przypisania danych możliwe jest również zgłoszenie sprawy do Narodowego Funduszu Zdrowia albo Centrum e-Zdrowia.
Czy pacjent może dochodzić odszkodowania?
W określonych sytuacjach odpowiedź brzmi – tak.
Jeżeli do naruszenia bezpieczeństwa danych doszło wskutek niewłaściwego zabezpieczenia systemów teleinformatycznych, zaniedbań administratora danych albo naruszenia obowiązków wynikających z przepisów o ochronie danych osobowych, osoba poszkodowana może dochodzić naprawienia szkody.
Roszczenia mogą obejmować zarówno szkodę majątkową, jak i krzywdę wynikającą z naruszenia prywatności, ujawnienia informacji o stanie zdrowia czy utraty kontroli nad własnymi danymi osobowymi.
Każda sprawa wymaga jednak indywidualnej oceny. Kluczowe znaczenie ma ustalenie przyczyny naruszenia, zakresu wycieku danych oraz podmiotu odpowiedzialnego za ich ochronę.
Jak skutecznie chronić swoje dane?
Choć całkowite wyeliminowanie ryzyka cyberprzestępczości nie jest możliwe, pacjent może znacząco ograniczyć prawdopodobieństwo przejęcia swoich danych.
Przede wszystkim należy korzystać wyłącznie z oficjalnych stron internetowych i aplikacji służących do logowania do Internetowego Konta Pacjenta. Warto również stosować silne hasła, regularnie je zmieniać oraz korzystać z uwierzytelniania wieloskładnikowego.
Niezwykle istotne jest zachowanie ostrożności wobec wiadomości e-mail i SMS zawierających linki do logowania lub informacje o niespodziewanych świadczeniach zdrowotnych. Każda wiadomość wywołująca presję czasu powinna wzbudzić szczególną czujność.
Dobrym rozwiązaniem jest również regularne sprawdzanie aktywności na Internetowym Koncie Pacjenta. Pozwala to szybko wykryć nieprawidłowości i podjąć odpowiednie działania jeszcze przed wystąpieniem poważniejszych konsekwencji.
FAQ
Czy ktoś może włamać się na moje Internetowe Konto Pacjenta?
Tak. Najczęściej dochodzi do tego wskutek wyłudzenia danych logowania metodą phishingu lub smishingu, a nie poprzez złamanie zabezpieczeń samego systemu.
Czy dane medyczne są chronione przez RODO?
Tak. Informacje dotyczące zdrowia należą do szczególnej kategorii danych osobowych i podlegają podwyższonej ochronie prawnej.
Czy NFZ wysyła linki do logowania do Internetowego Konta Pacjenta?
Nie. Należy zachować ostrożność wobec wiadomości zawierających linki prowadzące do rzekomego logowania.
Co zrobić, gdy na swoim IKP widzę cudzą receptę?
Należy jak najszybciej zgłosić sprawę placówce medycznej, która wystawiła dokument. Jeżeli problem nie zostanie usunięty, możliwe jest zgłoszenie sprawy do NFZ lub Centrum e-Zdrowia.
Czy za wyciek danych medycznych można otrzymać odszkodowanie?
Tak, jeżeli zostały spełnione przesłanki odpowiedzialności podmiotu zobowiązanego do zapewnienia bezpieczeństwa danych osobowych.
Jak najlepiej chronić swoje dane medyczne?
Należy korzystać wyłącznie z oficjalnych stron internetowych, stosować silne hasła, włączyć uwierzytelnianie wieloskładnikowe oraz nie klikać w podejrzane linki przesyłane w wiadomościach e-mail lub SMS.
Profesjonalna pomoc prawna
Jeżeli podejrzewają Państwo, że doszło do kradzieży danych dostępowych do Internetowego Konta Pacjenta, nieuprawnionego ujawnienia danych medycznych lub naruszenia bezpieczeństwa informacji o stanie zdrowia, warto jak najszybciej skonsultować swoją sytuację z kancelarią specjalizującą się w sprawach z zakresu prawa medycznego oraz ochrony danych osobowych.
Kancelaria Radcy Prawnego dr Tymoteusz Zycha oferuje kompleksową pomoc prawną osobom, których prawa zostały naruszone w związku z wyciekiem lub bezprawnym wykorzystaniem danych medycznych. W szczególności:
- analizujemy okoliczności naruszenia bezpieczeństwa danych;
- oceniamy, czy doszło do naruszenia przepisów dotyczących ochrony danych osobowych lub praw pacjenta;
- pomagamy ustalić podmiot odpowiedzialny za naruszenie;
- wskazujemy możliwe roszczenia oraz szacujemy ich wartość;
- przygotowujemy zgłoszenia, wezwania i pisma procesowe;
- reprezentujemy klientów w postępowaniach przed sądami oraz właściwymi organami.
Kancelaria Radcy Prawnego dr Tymoteusz Zych świadczy pomoc prawną w sprawach dotyczących naruszenia praw pacjenta, wycieku danych medycznych, odpowiedzialności podmiotów leczniczych oraz dochodzenia odszkodowań związanych z naruszeniem bezpieczeństwa danych osobowych.
Zapraszamy do kontaktu pod numerem telefonu: +48 726 003 505.
