Błąd w emailu do uczestników badania ujawnia listę osób z problemami z nasieniem
Czasem pomyłka w trakcie wysyłania emaila ujawnia, kto zalega z opłatą za książki lub kto kupił polisę ubezpieczeniową. Czasem jednak konsekwencje mogą być mniej przyjemne – jak ujawnienie niekorzystnych wyników badania nasienia.
Trafia do nas sporo zgłoszeń incydentów, w których nadawca emaila popełnił błąd i do pola „do” lub jawnej kopii wrzucił adresy, które znaleźć się miały w kopii ukrytej. Nie sposób o każdym napisać – ten przypadek jednak zasługuje na nagłośnienie ze względu na charakter wiadomości.
Ma pan problem z nasieniem, a tu lista 47 innych osób z tym samym problemem
Pewna polska uczelnia wyższa prowadzi badania naukowe nad jakością nasienia. Do badania zgłosiła się grupa ochotników, a badacze właśnie rozesłali do nich korespondencję. Tytuł wiadomości był niewinny – nazwa katedry i „nowe badanie”. Gorzej było z treścią.
Piszę do Pana ponieważ w wyniku realizacji projektu dotyczącego badań środowiskowych realizowanych w Katedrze [tu nazwa katedry] przynajmniej jeden parametr analizy nasienia odbiegał od wartości referencyjnej.
Informacja o wyniku odbiegającym od normy, szczególnie w młodym wieku, nie jest dobrą wiadomością. Gorsza jednak kryła się w nagłówku wiadomości – ponieważ identyczny tekst za jednym zamachem otrzymało 48 osób.
Na skutek błędu pracownika katedry cała grupa osób, których wynik odbiegał od normy, mogła poznać swoje dane osobowe. Większość adresów email zawiera imię i nazwisko odbiorcy, a ich wpisanie w Google czy Facebooka pozwala bez problemu zidentyfikować tożsamość odbiorców.
Mamy w tym wypadku niestety do czynienia z wyciekiem danych szczególnie chronionych, dotyczących stanu zdrowia. Takich wycieków do tej pory nie ujawniono zbyt wiele – sami opisywaliśmy przypadek szpitala w Kole, skąd wyciec mogły dane 50 000 pacjentów czy przypadek Luxmedu, gdzie wyciekała treść rozmów pacjentów z lekarzami. Wygląda jednak na to, że tego rodzaju incydenty były zawsze, tylko wraz ze wzrostem świadomości uzytkowników ostatnio więcej z nich jest identyfikowanych i zgłaszanych.
Uczelni, z której wyciekły dane, nie uratowała niestety magiczna stopka w wiadomości:
Dlaczego nie podajemy danych nadawcy
Postanowiliśmy nie ujawniać nazwy uczelni, z której wyciekły dane. Nie sądzimy, by było to dla tej sprawy istotne – odbiorcy wiadomości już mogli sami zauważyć, co się stało a i nadawca wiadomości powinien już wiedzieć o incydencie. Mamy nadzieję, że po tej wpadce zostaną poprawione procedury dotyczące komunikacji wyników badań. Wszystkim osobom zajmującym się komunikacją z pacjentami polecamy wyjątkową rozwagę, a najlepiej kontrolę przeprowadzaną przez drugą osobę przed wysłaniem jakiegokolwiek emaila z wynikami badań do więcej niż 1 odbiorcy.
Jeśli pracujecie w instytucji związanej z rynkiem medycznym, to mamy w naszej ofercie wykład dedykowany dla pracowników tego sektora, gdzie pokazujemy i omawiamy wiele incydentów podobnych do tego opisanego powyżej, by słuchacze zrozumieli, jakie ryzyka wiążą się z ich codzienna pracą.
Podobne wpisy
- Więcej informacji o wycieku danych Polaków – przyczyny, skutki, relacje firm i użytkowników
- Kilka milionów loginów i haseł z Polski wyciekło do sieci
- Jak włamano się do Ubera i dlaczego najwyraźniej nie było to trudne
- Jak złamano hasła ofiar wycieku danych z KSSiP?
- Jak wszystkie polskie media podały dalej fake newsa o włamaniu hakerów do banku
A prawo do informacji, by teraz uważać na tą placówkę/katedrę? Warto to powiedzieć, w końcu to instytucja publiczna i powinna być informacja, by inni uważali i pomyśleli o innym miejscu na badania.
Podanie nazwy może być też dobrą reklamą, w końcu jak ktoś raz dostanie solidny OPR to następny raz będzie się pilnować. A pozostałych placówkach strach się bać co się stanie.
Nie przesadzajmy z tym OPR-em! Od lat w instytucjach, był lekceważący stosunek do przepisów związanych z ochrona danych osobowych. Było i jest to chyba jedynie skutkiem NISKIEJ KARALNOŚCI za udowodnione wycieki! Jakoś nie słychać było nigdy, żeby jakiś administrator danych został ukarany karnie za naruszenia ustawy o ochronie danych osobowych. A skoro kar (grzywna, zakaz pracy na określonych stanowiskach) nie było, to czym się przejmować! WAŻNE, że internet na biurkach pracowników jest, bo bez tego nie mogliby realizować powierzonych obowiązków! I tak uwalono porządek administracyjny opisany w k.p.a. i regulujący przepływ korespondencji w urzędzie!
Myślę że specjalnie nie podali
Badanie nasienia można przeprowadzić w wielu specjalistycznych placówka medycznych. Nie trzeba tego robić w ramach badań naukowych na uczelni. Idziesz do takiej placówki/przychodni czy jak tam zwał, płacisz kasę i nikt Ci nie wysyła pocztą elektroniczną żadnych wiadomości. Po prostu trzeba się wystrzegać polskiej „nauki” i para szkolnictwa wyższego. Renomowane kliniki mają odpowiednie procedury. Nie widzę też sensu w podawaniu nazwy tej uczelni. Po prostu badaj nasienie w klinikach i szpitalach a nie na uniwersytetach.
Takie informacje – bardzo wrażliwe! – nigdy nie powinny być przesyłane e-mailem. Tylko odbiór osobisty albo list polecony.
Jest 21 wiek, nie każdy ma czas na bieganie za papierkami. Zgadzam się, że tego typu informacja nie powinna pójść mailem, zwłaszcza nieszyfrowanym i bez podpisu cyfrowego ale przekazanie jej w formie elektronicznej ma jak najbardziej sens, bo pozwala pacjentowi dotrzeć do wyniku szybciej, co czasem jest kluczowe dla leczenia.
Można, ale by przekazanie informacji szyfrowanym mailem miało sens, trzeba go wysłać z komputera, z którego nie wyciekają informacje do osób trzecich. Komputer z Windowsem 10 z włączoną telemetrią nie spełnia tego warunku.
Jest jeszcze jeden problem: 99% klientów czy pacjentów nie umie korzystać z GPG, więc pozostaje tylko szyfrowanie symetryczne 7zip – trzeba więc przy robieniu badań wręczyć klientowi karteczkę z długim, niesłownikowym, losowo wygenerowanym hasłem, i klient nie może tej karteczki zgubić.
Nie wiem, czy jest w Polsce klinika, która spełnia jednocześnie następujące warunki:
1) przekazuje klientowi odpowiednie hasło przy badaniu,
2) ma zabezpieczone komputery, najlepiej z Linuxem + hardening,
3) pracownicy wysyłający wyniki badań umieją szyfrować maile chociażby przez 7zip i robią to bezbłędnie,
4) kierownictwo rozumie potrzebę najwyższej dbałości o tajemnicę zawodową i prywatność pacjenta.
Wątpię.
> Idziesz do takiej placówki/przychodni czy jak tam zwał,
> płacisz kasę i nikt Ci nie wysyła pocztą elektroniczną
> żadnych wiadomości. (…) Renomowane kliniki mają
> odpowiednie procedury.
:D
Czy to te same kliniki, które informacje o zdrowiu i tożsamości swoich pacjentów przetwarzają na Windows 10 z włączoną pełną telemetrią (każde naciśnięcie klawisza trafia do Microsoftu!), a pocztę trzymają w Google?
Zapewne Microsoft i Google wiedzą więcej na temat Twojego nasienia niż tym sam. Skąd, zapewne są już algorytmy przekładające to czego i kiedy szukasz w sieci oraz jak piszesz na klawiaturze na parametry spermy ale nikt się głośno nie chwali :-) Tak na poważnie to mówimy