Narodowy Fundusz Zdrowia poinformował o poważnym incydencie bezpieczeństwa. Grupa pracowników NFZ, posiadająca legalny dostęp do Centralnego Wykazu Ubezpieczonych (CWU), wykorzystała swoje uprawnienia w sposób niezgodny z prawem, przeglądając dane pacjentów bez podstawy służbowej. Sprawa została zgłoszona do Prezesa Urzędu Ochrony Danych Osobowych (UODO).
Na czym polegało naruszenie?
Jak podano w komunikacie z 17 października, wewnętrzna kontrola w Centrali NFZ wykryła, że grupa pracowników dopuściła się nieuprawnionego wykorzystania Centralnego Wykazu Ubezpieczonych.
Fundusz podkreślił, że baza CWU nie zawiera danych medycznych. Gromadzone są w niej jednak inne wrażliwe informacje, takie jak:
- numer PESEL,
- adres zamieszkania,
- miejsce pracy ubezpieczonego.
NFZ zapowiedział, że osoby, których dotyczy naruszenie, zostaną o tym fakcie indywidualnie poinformowane.
Konsekwencje służbowe i wzmocnienie ochrony
W opublikowanym oświadczeniu nie sprecyzowano, jak liczna grupa pracowników złamała przepisy ani ilu ubezpieczonych dotyczy incydent.
NFZ zapewnił jednak, że podjął „zdecydowane decyzje wobec pracowników” odpowiedzialnych za naruszenie. Konsekwencje służbowe mają obejmować nawet rozwiązanie umowy o pracę.
Fundusz poinformował również o natychmiastowym wdrożeniu dodatkowych środków bezpieczeństwa. Mają one objąć:
- Wprowadzenie alertów wewnętrznych, które będą informować przełożonych o przypadkach sprawdzania danych innego pracownika NFZ w systemie CWU.
- Wzmocnienie i uszczelnienie procesu przyznawania pracownikom dostępu do bazy CWU.
„Insider threat” problemem administracji
Zdarzenie w NFZ nie jest odosobnionym przypadkiem w sektorze publicznym. W ostatnich miesiącach głośno było o podobnym incydencie w Katowicach. Tamtejsze Centrum Usług Wspólnych (CUW) nie odebrało uprawnień do systemu ZUS PUE byłym pracownikom. Doprowadziło to do naruszenia poufności danych (m.in. PESEL, seria i numer dowodu osobistego) obecnych i byłych pracowników dziewięciu katowickich szkół.
We wrześniu opisywano również przypadek włamania na skrzynkę mailową GOPS we Fredropolu, prawdopodobnie na skutek „przełamania hasła”, co dotknęło 36 osób.
Incydent w NFZ dobitnie pokazuje, jak kluczowe jest nie tylko zabezpieczenie przed atakami z zewnątrz, ale także zarządzanie zagrożeniami wewnętrznymi (tzw. „insider threat”). Sprawa podkreśla konieczność ścisłego zarządzania uprawnieniami użytkowników, regularnej weryfikacji dostępów oraz aktywnego monitorowania infrastruktury pod kątem podejrzanych działań – nawet tych podejmowanych przez własnych pracowników.
