Specjaliści ds. bezpieczeństwa wewnętrznego NFZ wykryli naruszenie zasad ochrony danych w Centrali Funduszu. Kilku pracowników, posiadających dostęp do Centralnego Wykazu Ubezpieczonych (CWU), wykorzystało system w sposób niezgodny z jego przeznaczeniem. Fundusz poinformował o incydencie Urząd Ochrony Danych Osobowych i natychmiast zareagował wobec winnych.
Z tego artykułu dowiesz się…
- Jakie dane zawiera Centralny Wykaz Ubezpieczonych i kto ma do nich dostęp.
- Co wykryły służby bezpieczeństwa NFZ.
- Jakie działania podjął NFZ wobec pracowników naruszających procedury.
- Jakie zmiany w systemie bezpieczeństwa planuje Fundusz, by zapobiec podobnym incydentom.
Dane osobowe bez danych medycznych – czym jest CWU?
Centralny Wykaz Ubezpieczonych (CWU) to baza danych zawierająca informacje o osobach ubezpieczonych w Polsce. W systemie znajdują się takie dane jak imię, nazwisko, numer PESEL, data urodzenia, miejsce zamieszkania czy miejsce zatrudnienia. CWU nie zawiera informacji o stanie zdrowia czy historii leczenia – dostęp do niego nie oznacza możliwości wglądu w dokumentację medyczną pacjentów.
Nieautoryzowane sprawdzenia – co się wydarzyło?
Wewnętrzny zespół bezpieczeństwa NFZ wykrył przypadki nieuprawnionego korzystania z CWU przez część pracowników Centrali. Nie podano liczby osób, których dane zostały naruszone, ale Fundusz zapewnia, że wszyscy zostaną o tym poinformowani zgodnie z obowiązującymi przepisami.
Po potwierdzeniu naruszeń, kierownictwo NFZ odebrało winnym pracownikom dostęp do systemu CWU i podjęło działania dyscyplinarne. Wśród nich znalazły się m.in. rozwiązania umów o pracę. O incydencie poinformowano Prezesa Urzędu Ochrony Danych Osobowych.
Nowe procedury bezpieczeństwa w NFZ
NFZ zapowiada wzmocnienie systemu zabezpieczeń. Wprowadzony zostanie m.in. wewnętrzny system alertów – jeśli pracownik sprawdzi dane innego pracownika Funduszu, jego przełożony zostanie automatycznie poinformowany. Dodatkowo wszyscy upoważnieni użytkownicy CWU przejdą szkolenia z zakresu prawidłowego korzystania z systemu. Zmianie ulegną także procedury nadawania dostępu do CWU – proces ten ma być bardziej restrykcyjny.
Główne wnioski
- Pracownicy Centrali NFZ nieuprawnienie korzystali z CWU – system zawiera dane osobowe ubezpieczonych, ale nie gromadzi informacji medycznych.
- NFZ natychmiast zareagował – osoby odpowiedzialne zostały odcięte od systemu, a wobec niektórych rozwiązano umowy o pracę.
- Fundusz poinformował Prezesa UODO i zapowiada powiadomienie wszystkich osób, których dane zostały sprawdzone nielegalnie.
- Planowane jest wdrożenie środków zabezpieczających – alerty wewnętrzne dla przełożonych oraz obowiązkowe szkolenia dla użytkowników CWU.
Źródło:
- NFZ
