Szanowni Państwo,

27 listopada 2023 r. (poniedziałek) w mediach pojawiły się informacje o incydencie bezpieczeństwa, jaki miał miejsce w ALAB laboratoria sp. z o.o.. W wyniku ataku ransomware osoby nieupoważnione uzyskały dostęp do wyników badań, wykonywanych przez ALAB.

Wiemy, że spora część z Państwa współpracuje z tym laboratorium. Dlatego chcemy przekazać Państwu istotne informacje na temat zdarzenia oraz zalecenia dotyczące postępowania w zaistniałej sytuacji.

 

Informacje na temat zdarzenia

Co się wydarzyło?

27 listopada 2023 r. media poinformowały o ataku ransomware, którego ofiarą padła firma ALAB.
W wyniku ataku nieznani sprawcy wykradli dane na temat badań medycznych. Firma otrzymała ofertę zwrotu danych za wpłatę okupu, z której nie skorzystała. Atakujący opublikowali wówczas ok. 50 tysięcy wyników badań, dotyczących kilkunastu tysięcy osób. Jednocześnie zagrozili, że niedługo ujawnią pełen zbiór danych.

Na chwilę obecną firma ALAB nie odniosła się publicznie do informacji o zdarzeniu.

 

Kogo dotyczy zdarzenie?

Zdarzenie dotyczy osób, które wykonywały badania za pośrednictwem ALAB w latach 2017-2023.

Mogą to być zarówno osoby, które korzystały z usług firmy bezpośrednio, jak i te, które realizowały badania za pośrednictwem placówki medycznej.

 

Jakie dane obejmuje wyciek?

Wyciek obejmuje dane osobowe, znajdujące się w wynikach badań: imię, nazwisko, data urodzenia, numer PESEL, adres oraz informacje medyczne.

 

Zalecenia dotyczące postępowania

Czy ALAB ma obowiązek informować placówkę medyczną o wycieku danych?

Firma nie ma takiego obowiązku.

Współpraca placówki medycznej z laboratorium nie jest relacją powierzenia przetwarzania danych osobowych, ale udostępnienia danych osobowych. Laboratorium i placówka medyczna są odrębnymi administratorami danych, z których każdy realizuje swoje własne obowiązki w zakresie przepisów medycznych, RODO itd. W związku z tym w szczególności laboratorium nie ma obowiązku informowania placówki medycznej, z którą współpracuje, o wycieku danych.

Powyższe jest pochodną stanowiska Prezesa Urzędu Ochrony Danych Osobowych z 2020 r.: https://archiwum.uodo.gov.pl/pl/225/1552.

 

Czy mamy informować o wycieku Prezesa UODO lub naszych pacjentów?

Nie.

Państwa placówka medyczna nie jest odpowiedzialna za to wydarzenie. Za tę sytuację odpowiada ALAB i to po stronie tej firmy leży podjęcie takich działań jak zawiadomienie Prezesa UODO, poinformowanie o sprawie poszkodowanych pacjentów, kontakt z kontrahentami itd.

 

Czy jako placówka medyczna mamy podjąć jakieś działania, związane ze zdarzeniem?

Dane objęte wyciekiem mogą być wykorzystywane m.in. do podszywania się pod pacjentów
i wykonywania rzekomo w ich imieniu różnych działań (np. pobierania dokumentacji medycznej lub upoważniania konkretnych osób do informacji medycznej) – nawet jeżeli Państwa placówka medyczna nie współpracuje z ALAB.

Z tego względu konieczne jest, by wszystkie placówki medyczne posiadały odpowiednie procedury, dotyczące weryfikacji tożsamości i weryfikacji uprawnień pacjentów, a także, by personel znał
i stosował te procedury w praktyce. W razie pytań lub wątpliwości należy skonsultować temat
z Państwa inspektorem ochrony danych (IOD) lub prawnikiem.

Przypominamy również, że podstawowe informacje na ten temat zostały wskazane w rozdziałach 9.6
i 12.1 kodeksu RODO dla placówek medycznych (https://kodeksrodo.pl/).

 

Co mają zrobić nasi pacjenci, których wyniki badań realizowała ta firma?

W przypadku pytań od pacjentów, dotyczących zdarzenia, należy ich poinformować, że odpowiedzialność za sytuację spoczywa na ALAB i to do tej firmy należy kierować ewentualne wnioski o wyjaśnienia. Dane kontaktowe ALAB dostępne są na stronie https://www.alablaboratoria.pl/form/formularz-kontaktowy.

Zalecane jest także podjęcie przez pacjentów następujących działań, mających na celu ograniczenie ewentualnych skutków wycieku:

  • założenia konta w systemie informacji gospodarczej (np. BIK) w celu upewnienia się, że na ich dane nie zostały wzięte pożyczka lub kredyt,
  • zastrzeżenia numeru PESEL przez internet lub w urzędzie (https://www.gov.pl/web/gov/zastrzez-swoj-numer-pesel-lub-cofnij-zastrzezenie),
  • kontakt – w ciągu najbliższych kilku miesięcy – z placówkami medycznymi, gdzie znajduje się dotycząca ich dokumentacja medyczna, w celu upewnienia się, że w ich imieniu nie były składane żadne dyspozycje (np. sprzeciw wobec wydania dokumentacji medycznej konkretnej osobie),
  • poinformowanie właściwych organów (np. policji) w sytuacji, gdy dowiedzą się o szkodzie majątkowej, związanej z kradzieżą tożsamości (np. w sytuacji, gdy ktoś wziął kredyt, kupił kartę pre-paid lub zawarł umowę świadczenia usług na ich dane osobowe).