To, co miało być jednym z najbezpieczniejszych systemów obsługi dokumentacji medycznej w Polsce, okazało się podatne na błąd o poważnych konsekwencjach. Wyciek danych z Internetowego Konta Pacjenta oraz systemu P1 został oficjalnie potwierdzony, a odpowiednie instytucje państwowe przyznały, że doszło do naruszenia ochrony danych osobowych. Sprawa budzi szczególne emocje, ponieważ nie chodziło o dane statystyczne czy anonimowe rekordy, lecz o realne informacje dotyczące konkretnych pacjentów, w tym dane identyfikacyjne oraz wrażliwe informacje zdrowotne.
Systemy cyfrowe w ochronie zdrowia miały zwiększyć bezpieczeństwo i kontrolę nad dostępem do dokumentacji. Tymczasem incydent pokazał, że nawet rozbudowana infrastruktura państwowa może zawieść, jeśli zawodzi jeden z jej elementów. Właśnie dlatego wyciek danych z IKP stał się punktem wyjścia do szerszej dyskusji o realnym poziomie ochrony danych medycznych w Polsce.
Jak doszło do wycieku danych z Internetowego Konta Pacjenta?
Zgodnie z oficjalnymi informacjami luka bezpieczeństwa występowała w okresie od 19 kwietnia do 25 maja 2025 roku. Problem nie dotyczył centralnego mechanizmu logowania do IKP, lecz oprogramowania wykorzystywanego przez jeden z podmiotów leczniczych, który integrował się z systemem P1. Kluczowym błędem była nieprawidłowa weryfikacja uprawnień użytkownika, co w praktyce oznaczało, że system nie sprawdzał poprawnie, czy dana osoba ma prawo dostępu do konkretnej dokumentacji.
W efekcie możliwa była sytuacja, w której po ręcznej edycji adresu URL w przeglądarce pacjent uzyskiwał dostęp do dokumentów innych osób. Co istotne, luka została wykryta nie przez audyt techniczny, lecz przez samego użytkownika Internetowego Konta Pacjenta, który zauważył nieprawidłowości i zgłosił je odpowiednim instytucjom.
Dalsza analiza potwierdziła, że doszło do ujawnienia danych czterech pacjentów. Choć liczba ta nie jest wysoka, sam mechanizm naruszenia uznano za szczególnie niebezpieczny, ponieważ w sprzyjających okolicznościach mógł prowadzić do szerszego i trudnego do wykrycia wycieku.
Czytaj też: Wyciekły dane z Internetowego Konta Pacjenta. Ministerstwo Zdrowia potwierdza incydent
Jakie dane pacjentów zostały ujawnione i dlaczego to tak poważne?
Zakres ujawnionych informacji wykraczał daleko poza podstawowe dane identyfikacyjne. W dokumentach, do których uzyskano nieuprawniony dostęp, znajdowały się imiona i nazwiska, numery PESEL, adresy zamieszkania, dane z dowodów osobistych, a także informacje dotyczące stanu zdrowia i historii leczenia.
Dane medyczne podlegają w polskim i europejskim prawie szczególnej ochronie, ponieważ ich ujawnienie może prowadzić do poważnych konsekwencji osobistych, zawodowych i finansowych. Informacje o stanie zdrowia należą do kategorii danych wrażliwych, a ich nieuprawnione wykorzystanie może naruszać prywatność w sposób trudny do odwrócenia.
W tym przypadku analiza wykazała, że źródłem problemu był błąd programistyczny po stronie konkretnego dostawcy systemu, który nie wdrożył pełnego mechanizmu autoryzacji. Incydent unaocznił, jak duże znaczenie ma jakość integracji systemów zewnętrznych z centralnymi rejestrami państwowymi.
Reakcja instytucji państwowych po wykryciu naruszenia
O incydencie poinformowano odpowiednie organy pod koniec kwietnia. Centrum e-Zdrowia przekazało informację, a następnie zgłoszono naruszenie do Urzędu Ochrony Danych Osobowych. Zgłoszenie nastąpiło w wymaganym terminie, co jest istotne z punktu widzenia przepisów o ochronie danych osobowych.
Dostawca wadliwego oprogramowania usunął błąd, a poprawki wdrożono jeszcze przed końcem maja. Jednocześnie rozpoczęto analizę procedur bezpieczeństwa oraz zalecono dodatkowe działania kontrolne. W oficjalnych komunikatach nie ukrywano, że incydent pokazał słabe punkty w nadzorze nad systemami współpracującymi z P1.
Resort zdrowia podkreślił, że sprawa nie została zamknięta wyłącznie na poziomie technicznym. Wskazano na konieczność dalszego monitorowania sytuacji oraz informowania pacjentów o potencjalnych zagrożeniach związanych z nieuprawnionym wykorzystaniem danych.
Jakie realne zagrożenia niesie wyciek danych medycznych?
Wyciek danych z systemów ochrony zdrowia to nie tylko problem wizerunkowy czy formalny. W praktyce może on prowadzić do kradzieży tożsamości, podszywania się pod pacjenta, wyłudzania świadczeń lub zaciągania zobowiązań finansowych. Dane medyczne, w połączeniu z numerem PESEL i adresem, tworzą pełny profil umożliwiający nadużycia na wielu poziomach.
Szczególnie niebezpieczna jest możliwość wykorzystania danych do działań, o których poszkodowana osoba dowiaduje się dopiero po czasie. Może to być fałszywe konto w systemie, próba uzyskania recepty, skierowania lub ubezpieczenia zdrowotnego. W skrajnych przypadkach takie działania mogą mieć konsekwencje prawne dla osoby, której dane zostały użyte bez jej wiedzy.
Problem polega również na tym, że skutki wycieku danych mogą ujawniać się stopniowo, a nie jednorazowo. Dlatego eksperci podkreślają, że nawet ograniczony incydent wymaga długofalowej czujności.
Co możesz zrobić, jeśli obawiasz się o bezpieczeństwo swoich danych?
Po ujawnieniu incydentu zalecono pacjentom szereg działań prewencyjnych. Wśród nich znajduje się zastrzeżenie numeru PESEL, monitorowanie aktywności kredytowej oraz zwiększona ostrożność przy kontaktach telefonicznych i mailowych, zwłaszcza gdy rozmówca prosi o podanie danych osobowych.
Warto również okresowo weryfikować swoją dokumentację medyczną oraz zwracać uwagę na wszelkie nieznane wpisy, recepty lub skierowania. Każda nieprawidłowość powinna być zgłaszana do placówki medycznej oraz odpowiednich instytucji nadzorczych.
Osoby, które obawiają się, że mogły zostać objęte skutkami naruszenia, mają możliwość kontaktu z Inspektorem Ochrony Danych w Centrum e-Zdrowia lub w Ministerstwie Zdrowia. Kluczowe jest również śledzenie oficjalnych komunikatów i zaleceń, ponieważ sprawy związane z bezpieczeństwem danych często mają charakter rozwojowy i wymagają aktualizowania działań ochronnych.
Zobacz też: E-skierowanie na badania – przez internet
Źródła:
- Ministerstwo Zdrowia. Komunikat o naruszeniu ochrony danych osobowych w systemie P1 i Internetowym Koncie Pacjenta.
- Urząd Ochrony Danych Osobowych. Naruszenia ochrony danych osobowych w sektorze ochrony zdrowia – obowiązki administratorów i prawa osób, których dane dotyczą.
Artykuł ma charakter informacyjny i edukacyjny. Nie zastępuje porady lekarskiej ani konsultacji ze specjalistą. Treść została opracowana na podstawie aktualnej wiedzy medycznej oraz dostępnych wytycznych i publikacji naukowych.
