Dane do logowania powinny być ściśle chronione przez lekarza

Śląski Wojewódzki Inspektor Farmaceutyczny w Katowicach przekazał, że doszło do kradzieży danych osobowych jednego z lekarzy i wykorzystaniu ich do wystawiania sfałszowanych elektronicznych recept w systemie gabinet.gov.pl. To nie pierwsze tego typu zdarzenie. Jak lekarze powinni się chronić przed kradzieżą? 

Kradzieże tożsamości i wykorzystywanie ich w celach dokonywania przestępstw nie są niczym nowym w środowisku medycznym. Już wcześniej Wojewódzki Inspektor Farmaceutyczny w Katowicach informował o tego typu sytuacjach. W tym przypadku, osoba, która dokonała kradzieży danych, wystawiła recepty na OxyContin. 

Postępująca cyfryzacja dokumentacji medycznej, a także innych usług z zakresu ochrony zdrowia, stanowi duże zagrożenie dla naruszeń w zakresie fałszerstw dokumentacji medycznej. W tym konkretnym przypadku, na tym etapie, trudno rozstrzygnąć, co było bezpośrednią przyczyną kradzieży. Mogło to być zarówno oprogramowanie hakerskie typu keylogger sczytujące dane do logowania, jak i nieostrożne dysponowanie danymi do logowania

 – mówi Mateusz Pałka, doradca branży medycznej, właściciel MPP LEX CONSULTING. 

Prawnik podpowiada, by lekarze korzystający z gabinet.gov.pl lub innych systemów informatycznych do tworzenia dokumentacji medycznej, w szczególności uważali na swoje dane do logowania, które są niezbędne do wystawiania e-recept lub e-skierowań.

Gabinet.gov.pl połączony jest z profilem zaufanym, za pomocą którego uzyskuje się dostęp do usług cyfrowych. I tutaj pojawia się pierwsza możliwość nadużyć ze strony osób nieuprawnionych. W przypadku tworzenia dokumentacji medycznej np. e-recept lub e-skierowań, nie wystarczy tylko zalogować się i wystawić dokument. Prawidłowo wystawiony dokument musi być opatrzony podpisem zaufanym lub certyfikatem udostępnionym bezpłatnie przez Zakład Ubezpieczeń Społecznych. Do użycia certyfikatu ZUS w celu opatrzenia dokumentu podpisem kwalifikowanym niezbędne jest użycie numeru PIN, który powinien być znany wyłącznie dysponentowi certyfikatu, czyli lekarzowi wystawcy dokumentu 

– dodaje Mateusz Pałka. 

Aby uchronić się przed negatywnymi skutkami wycieku danych do logowania, należy logować się na bezpiecznych, uwierzytelnionych komputerach, które mają stosowne zabezpieczenia antywirusowe i antyhakerskie.

Nie bez znaczenia jest także zasada czystego ekranu, która w podmiotach leczniczych jest istotnym elementem polityki bezpieczeństwa danych. Lekarz każdorazowo po zakończonej pracy powinien wylogowywać się ze wszystkich domen, w których używał poświadczeń tożsamości. Ponadto, należy uważać na podejrzane linki przesyłane e-mailem, w których może być ukryte złośliwe oprogramowanie 

– mówi. 

W przypadku kradzieży danych, sprawę należy zgłosić na policję i tak też postąpił ten lekarz.

Należy podkreślić, że w tym przypadku mamy miejsce nie tylko z kradzieżą tożsamości, ale także z podrobieniem dokumentu, jakim jest e-recepta. W przypadku wykrycia sprawcy grozić mu może kara pozbawienia wolności oraz grzywna. Na wymiar kary składać się będą okoliczności, które będą ustalone w toku postępowania organów ścigania 

– mówi prawnik.