Tisztelt Pácienseink!
A Hungária Med-M Kft. (székhely: 1132 Budapest, Csanády u. 6. B. ép- V. em. 2.; cégjegyzékszám: 01-09-688789; adószám: 12489477-2-41; nyilvántartó hatóság: Fővárosi Törvényszék Cégbírósága; vezető tisztségviselő: dr. Magyar Judit Katalin) (a továbbiakban: Társaság) ezúton tájékoztatja a Pácienseket (mint érintetteket) az Önök személyes adatait érintő adatvédelmi incidensről.
Szolgáltatás:Foglalkozás-egészségügyi szolgálatatás nyújtása.
Adatvédelmi incidensselérintett oldalak:https://www.bejelentkezes.hungariamed.hu/doc/ és a https://fogleu.hungariamed.hu/doc/honlapok.
Adatvédelmi incidenst észlelő megnevezése: A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH, Hatóság) közérdekű bejelentés alapján.
Adatvédelmi incidenssel érintett adatok:Orvosi leleteken és beutalókon szereplő személyes adatok, így Partnereink munkavállalóinak neve, TAJ száma, e-mail címe, telefonszáma, lakcíme, munkaköre és laborvizsgálati- szakorvosi-, illetve foglalkozásegészségügyi vizsgálatok szerinti egészségügyi adatai.
További tájékoztatás nyújtására jogosult személy: dr. Magyar Judit(elérhetőség: hungariamed@hungarimed.hu
Esemény részletei: A NAIH 2019. július 18-án kelt, hatósági ellenőrzés indítása, tényállás tisztázása tárgyú végzésében tájékoztatta Társaságunkat arról, hogy Társaságunk weboldalának időpontfoglaló rendszerében tárolt orvosi leletek és beutalók jogosultsággal nem rendelkező személyek által nyilvánosan letölthetők. Ezt követően Társaságunk haladéktalanul belső IT biztonsági auditot indított, majd megtette az elhárítás érdekében szükséges, a II. pontban részletezett intézkedéseket.A Hatóság ezt követően 2019. október 14-én adatvédelmi hatósági eljárást indított, amelyről értesítette Társaságunkat és a tényállás tisztázása érdekében további nyilatkozattételre hívott fel. A lefolytatott vizsgálat során NAIH nem tartotta elfogadhatónak Társaságunk kockázatértékelését, amely szerint az adatvédelmi incidens valószínűsíthetően nem járt kockázattal az érintett személyes jogaira és szabadságaira nézve, tekintettel arra, hogy Társaságunknak nem állt rendelkezésére arra vonatkozó bizonyítéka, hogy az informatikai rendszerben fennálló sérülékenységet arra jogosulatlan személyek ténylegesen kihasználták volna. A Hatóság szerint e tény önmagában nem elegendő annak a megállapításához, hogy személyes adatokhoz való jogosulatlan hozzáférés nem történt. A továbbiakban a Hatóság az eljárása során azt is megállapította, hogy Társaságunk naplózási rendszere nem volt alkalmas a külső hozzáférések kimutatására, mivel a Hatóság IT biztonsági munkatársának, valamint a közérdekű bejelentőnek hozzáférését sem észlelte. A Hatóság nem fogadta el Társaságunk azon érvelését sem, miszerint az incidens azért nem járt kockázattal, mert a feltárt sérülékenységet annak észlelését követően azonnal kijavította, mivel a sérülékenység fennállásának idejét Társaságunk nem tudta megállapítani naplózási időintervallumon kívül.
A NAIH IT biztonsági munkatársa megállapította, hogy az incidenst Társaságunk szerverének nem megfelelő konfigurációs beállításai okozhatták. A Hatóság döntését tartalmazó határozata 2020. április 27-én került kézbesítésre Társaságunk részére.
Adatvédelmi incidens alatt megtett közvetlen kijavító intézkedések
Társaságunk a 2019. július 19-i tudomásszerzéstől azonnali intézkedéseket foganosított és elhárította az észlelt hiányosságokat, e körben a szerveren nem csak az azonosító, hanem a bejelentkezett felhasználó is ellenőrzésre került, amely következtébenaz azonosító átírásával a továbbiakban nem lehet lekérdezni a más felhasználókhoz tartozó dokumentumokat.
Az adatvédelmi incidens részletes vizsgálata során elemzésre kerültek az informatikai rendszer naplófájljai - mint utóbb kiderülthibásan.
Az incidens rögzítésre került a Társaságunk által vezetett incidens nyilvántartásban.
Emellett Társaságunk
Adatvédelmi incidenst követő kijavító intézkedések
Az informatikai vizsgálat eredménye megállapította, hogy az adatvédelmi incidens feltehetőleg 9000 fő személyes adatait érintette. Az ennek megfelelően módosított incidensnyilvántartást Társaságunk megküldte a NAIH részére.
A külső IT biztonsági audit során ellenőrzésre kerültek a Társaságunk által használt rendszerek adatlekérdezésre alkalmas funkciói annak érdekében, hogy a további adatszivárgási kockázatok elhárításra kerüljenek. E vizsgálat során társaságunk megállapította, hogy a NAIH IT biztonsági szakértői véleményében megállapított biztonsági résen kívül nem volt megállapítható más sérülékenységre, jogosulatlan hozzáférésre, lekérdezésre, információszivárgásra vonatkozó információ.
Társaságunk további intézkedése eredményeként a bejelentkező rendszer php alapú kódjai Társaságunk által újratervezésre kerültek, a korábbi procedurális megközelítés objektumorientáltra került átdolgozásra, ami még nagyobb biztonságot nyújt az adatok tárolására. Társaságunk könyvtárak titkosítása/tiltása, jogosultsági szintek és felhasználói hozzáférések szigorítását is eszközölte, ezzel kiküszöbölte az esetleges rendszer hibától független adatvisszaéléseket.
Emellett Társaságunk felülvizsgálta fejlesztési elveit és politikáit, valamint a fejlesztéssel foglalkozó kollégák infomációbiztonsági továbbképzését rendelte el annak érdekében, hogy bármilyen saját rendszerfejlesztés csak az információbiztonsági követelmények maradéktalan érvényesülésével valósuljon meg.
A fentiek alapján a Hatóság NAIH/2020/952/10 és NAIH 2019/5606 ügyszámú határozatával (a továbbiakban: határozat) megállapította, hogy Társaságunk nem tett eleget a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (a továbbiakban: általános adatvédelmi rendelet) 32. cikk (1) bekezdés b) pontjában foglalt kötelezettségének, valamint a 33. cikk (1) bekezdés és a 34. cikk (1) bekezdés alapján fennálló tájékoztatási kötelezettségének. A Hatóság megállapította, hogy az általános adatvédelmi rendelet (75) preambulumbekezdése alapján az incidensből személyazonosság-lopás, vagy személyazonossággal való visszaélés fakadhat, úgy alapvetően kockázatosnak minősül. A Hatóság megállapította továbbá, hogy az érintettek jogaira jelentett magas kockázati besorolást továbbá önmagában is megalapozza az, hogy Társaságunk az incidenssel érintett rendszerben nagyszámú (körülbelül 15.000) személyes adat között egészségügyi adatokat is kezel, amelyek különleges személyes adat kategóriájába tartoznak, így az ilyen információk az érintett életének érzékenyebb aspektusaira vonatkoznak, ezért az ilyen információk illetéktelen személyek általi megismerésének, nyilvánosságra kerülésének lehetősége is különösen sérelmes lehet az érintettek számára.
A határozat többek között elrendelteaz érintettek tájékoztatását, amelynek Társaságunk jelen tájékoztató közzétételével eleget tesz. A NAIH adatvédelmi incidenssel kapcsolatos teljes határozatát az alábbi linken keresztül érhetik el.
A Hungária Med-M Kft. sajnálattal tájékoztatja Önöket a fenti adatvédelmi incidensről. Ezúton is megerősítjük, hogy Pácienseink adatainak védelme a továbbiakban is kiemelten fontos számunkra.
Kelt, Budapest, 2020. május 12.
Tisztelettel:
dr. Magyar Judit ügyvezető
Hungária Med-M Kft.
