» DCG Centrum Medyczne pokazuje jak nie informować o kradzieży ...

Otrzymujemy wiadomości od zaniepokojonych Czytelników, że właśnie dostali SMS-a o następującej treści:

Uwaga! DCG Centrum Medyczne sp. z o.o. (DCG) informuje, iz doszlo do naruszenia poufnosci Panstwa danych osobowych poprzez ich bezpodstawne przechowywanie po rozwiazaniu umowy przez podmiot, ktoremu powierzylismy przetwarzanie Panstwa danych (procesor), a nastepnie poprzez kradziez Panstwa danych z systemow informatycznych procesora na skutek ataku hakerskiego oraz ujawnienia tych danych na forum cyberprzestepczym.

Jak widzicie, wiadomość nie jest bogata w szczegóły, pewnie dlatego część z odbiorców zgłaszało nam ją jako …spam. Ale to nie scam, DCG Centrum Medyczne faktycznie odnotowało incydent i wiadomość wysłało do osób, których dane przetwarzało (lub powierzyło do przetwarzania kontrahentowi). Wygląda na to, że część z osób, która otrzymała tę wiadomość po prostu nie pamięta, że korzystało z usług tego wrocławskiego centrum medycznego, które — jak czytamy na ich stronie — specjalizuje się w “zdrowiu intymnym”:

Nie wiemy, czy wysyłka tej wiadomości to własna inwencja DCG Centrum Medyczne, czy nakaz ze strony UODO. Ale wiadomość stworzona jest tak, że można odnieść wrażenie, iż jej celem było “odhaczenie” obowiązku poinformowania poszkodowanych o incydencie. I niestety tylko tyle, bo SMS nie zawiera żadnych szczegółów co do tego:

jakie konkretnie dane zostały skradzione? I czy u każdego takie same? kim jest “procesor”, czyli podmiot któremu DCG Centrum Medyczne udostępniło dane, które zostały skradzione jakie mogą być skutki tego wycieku danych dla poszkodowanych jak wysokie wg IOD jest ryzyko nieuprawnionego użycia danych?

Na stronie kliniki też nie znajdziemy ani słowa o incydencie, a pacjenci w internecie są mocno zdezorientowani. Telefon kliniki nie odpowiada (można się spodziewać, że po takim nieprecyzyjnym sformułowaniu komunikatu, został zadzwoniony na śmierć przez zaniepokojonych pacjentów):

Przygotowaliśmy w tej sprawie pytania do DCG Centrum Medyczne i jeśli otrzymamy na nie odpowiedź, zaktualizujemy ten artykuł.

Jakie dane przetwarza ta klinika?

Z polityki prywatności kliniki wynika, że przetwarza ona następujące dane osobowe:

imię i nazwisko, PESEL lub datę urodzenia, płeć numer telefonu, adres e-mail

ale oczywiście dochodzą do tego jeszcze dane medyczne (obejmują m.in. opis przebiegu procesu leczenia i diagnostyki). Klinika w polityce prywatności informuje, że dane te może przekazywać zewnętrznym podmiotom:

Pani/Pana dane mogą być przekazywane podmiotom przetwarzającym dane osobowe na zlecenie administratora m.in. dostawcom usług IT, podmiotom obsługującym płatności (…) agencjom marketingowym (…) – przy czym takie podmioty przetwarzają dane na podstawie umowy z administratorem i wyłącznie zgodnie z poleceniami administratora.

Byłem pacjentem DCG Centrum Medyczne — co robić, jak żyć?

Jak już wspomnieliśmy, poszkodowani nie zostali poinformowani ani jakie ich dane wykradziono ani od którego z dostawców. Aby to ustalić możecie zadzwonić do administratora danych osobowych kliniki, na numer wskazany w polityce prywatności +48 71 71 88 600 lub napisać do niego e-maila na adres [email protected].

Do momentu ustalenia szczegółów incydentu, sugerujemy założyć najgorsze — że ktoś pozyskał wszystkie Wasze dane.

Aktualizacja (25.03.2024 20:34) Jeden z Czytelników przesłał nam kolejną wiadomość, jaką właśnie otrzymał od DCG (lepiej późno, niż wcale)

Jak widać, nasze pesymistyczne założenia okazały się być poprawne. Wyciekło “wszystko”, a nawet więcej, bo jeszcze adres zamieszkania (którego polityka prywatności nie wskazywała).

Dobrym pomysłem będzie więc:

Zastrzeżenie numeru PESEL Zwiększenie czujności na kontakty telefoniczne/e-mailowe, które mogą mieć na celu wyłudzenie od Was dodatkowych danych w związku z tym incydentem. Pamiętajcie, że oszuści mogą być bardzo wiarygodni, skoro posiadają Wasze dane kontaktowe a być może nawet i historię choroby

Zapoznajcie się też z nagraniem naszego krótkiego szkolenia, pt. “Co robić po wycieku danych?“.

W szczegółach omawiamy w nim różne usługi oraz narzędzia (zarówno te darmowe jak i płatne) pod kątem tego czy warto w ogóle z nich skorzystać, aby zminimalizować negatywne skutki wycieku waszych danych. Z tego materiału dowiecie się też jak namierzyć, jakie Wasze dane już latają po internecie i jak przygotować się na kolejne wycieki danych, jeśli jakimś cudem Wasze dane jeszcze nie wyciekły.

Z kodem DCG otrzymacie 50% zniżki na dostęp do tego tego szkolenia. Kod ważny jest tylko do końca dnia, ale bez obaw, dostęp do nagrania macie na 30 dni, więc spokojnie zdążycie się z nim zapoznać. Oto link wprost do koszyka.

Przeczytaj także: