Tájékoztatás adatvédelmi incidens bekövetkezéséről

(A dokumentum letöltése/nyomtatása: ITT)

 

 

A Borsod–Abaúj-Zemplén Megyei Központi Kórház és Egyetemi Oktatókórház  által kiadott tájékoztatás adatvédelmi incidens bekövetkezéséről


  A Borsod–Abaúj-Zemplén Megyei Központi Kórház és Egyetemi Oktatókórház jelen tájékoztatásban teszi közzé nyilvánosan, hogy a Kórházban az alábbi adatvédelmi incidens következett be.
2019. május 6-án egy magánszemély telefonon tájékoztatta a Kórházat arról, hogy a miskolci Zsarnai piacon vásárolt egy használt számítógépet (PC). Az eszköz installálása közben észlelte, hogy a számítógépen a Kórház szövettani, kórbonctani leletei, valamint boncolási jegyzőkönyvek és azok hanganyagai találhatóak.

A tudomásra jutást követően a Kórház azonnali intézkedéseket foganatosított az ebből eredő kockázatok csökkentése érdekében, és belső vizsgálatot indított, hogy milyen módon kerülhetett ki a Kórház birtokából a bejelentésben szereplő PC eszköz, illetve azon milyen adatok találhatók.
A lefolytatott vizsgálat a következő megállapításokat tette.
2019. március 08-án sor került a Semmelweis tagkórház és a székhelyen üzemelő Pathológiai Osztályok régi, elavult PC-inek a cseréjére.

A selejtezésre került IT eszközök elszállítására és megsemmisítésére a Kórház egy külső céggel áll szerződéses jogviszonyban. Viszont mielőtt a külső cégnek az IT eszközök átadásra kerültek volna megsemmisítésre, ismeretlen személyek eltulajdonították azokat a selejtezett IT eszközök gyűjtésére rendszeresített konténerből.
Az adatok törlése a szerződött szolgáltatóval történt megállapodás szerint a szállítást követően történt volna meg, azonban a PC eszközök eltulajdonítása miatt a törlés elvégzésére már nem volt lehetőség.

Mivel az eltulajdonított PC eszközökön személyes adatok voltak, emiatt a Kórház az eseményt adatvédelmi incidensnek minősítette.
Az adatvédelmi incidensről a Kórház a tudomásra jutástól számított 72 órán belül bejelentést tett a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felé, továbbá az ügyben rendőrségi feljelentést tett ismeretlen személy ellen lopás gyanúja miatt.

A NAIH NAIH/2019/4422/7. számú, fenti ügyben hozott határozatában rögzítette, hogy a Kórház az adatvédelmi incidens tudomására jutását követően eleget tett az általános adatvédelmi rendelet (GPDR) 33. cikkében előírt kötelezettségeinek: az incidenst bejelentette a Hatóságnak a tudomásszerzést követő 72 órán belül, illetve rögzítette azt az adatvédelmi incidens nyilvántartásában. Emellett megfelelő intézkedéseket tett az incidens orvoslása érdekében.

Az Intézménynek az érintettek felé tájékoztatási kötelezettsége van, tekintettel azonban arra, hogy az incidens körülményeit figyelembe véve az érintetteket és az incidenssel érintett személyes adatok körét nem lehetséges egyértelműen és pontosan megállapítani, és emiatt az érintettek egyenkénti tájékoztatása nem lehetséges, ezért az Intézmény az érintettek tájékoztatását nyilvánosan közzétett információk útján teszi meg.
Jelen tájékoztatásunk célja, hogy biztosítsa az érintettek hatékony és megfelelő tájékoztatását, továbbá felhívja az érintettek figyelmét az incidenssel kapcsolatosan a személyes adataikat érintő kockázatokról.

Az incidensben esetlegesen érintettek számára az Intézmény az Ez az e-mail-cím a szpemrobotok elleni védelem alatt áll. Megtekintéséhez engedélyeznie kell a JavaScript használatát. csatornán biztosít lehetőséget az incidenssel összefüggésbe hozható, az érintettek személyes adataival kapcsolatos események jelzésére illetve további tájékoztatás kérésének céljából.

A Kórház vezetése fenti eset kapcsán szeretné közölni a tisztelt nyilvánossággal, hogy habár a selejtezésre váró számítógépek a selejtezés során eltűntek, és ez a Kórház felelősségi körén kívül esik, de mélységesen együtt érez az érintettekkel, és a Kórház vezetése és dolgozói sajnálatukat fejezik ki, hogy a Kórház területéről olyan PC eszközök tűnhettek el, amelyek számos érintett egészségügyi szenzitív adatait tartalmazták. A Kórház vezetése ezen cselekményt maximálisan elítéli, és a mindennapi munkája során a kórházi vezetőség és a dolgozók is arra törekednek, hogy az érintettek személyes adatai minden esetben jogszabályi előírásoknak megfelelő védettséget élvezzenek.

 

Miskolc, 2019. augusztus 14.

 

                            Dr. Révész János főigazgató sk.