7:56
5/12/2017

Setki zrzutów ekranu i dokumentów z danymi osobowymi i medycznymi pacjentów oraz dane finansowe należące do dziesiątek szpitali, w tym dane dostępowe do różnych systemów informatycznych oraz dane osobowe pracowników szpitali — takie informacje znajdowały się w publicznie dostępnym katalogu systemu stosowanego do obsługi placówek opieki zdrowotnej, utrzymywanego przez firmę Konsultant IT. Pobrać je mógł każdy. Ilość ujawnionych danych jest znaczna i może dotyczyć wielu szpitali z całej Polski, w tym szpitali psychiatrycznych.

O sprawie w ubiegłym tygodniu poinformował nas jeden z Czytelników. Zauważył on, że każdy mógł podejrzeć pliki, jakie do zgłoszeń problemów z obsługą m.in. systemu Eskulap załączali pracownicy szpitali, w których system ten działa i jest obsługiwany przez firmę Konsultant IT.

UWAGA! Eskulapa obsługiwać mogą też inne firmy — problem opisywany w tym artykule dotyczy jednak tylko tych przypadków, w których zgłoszenia helpdeskowe obsługiwała firma Konsultant IT. System helpdeskowy, którego dotyczył problem, jest niezależny od oprogramowania Eskulap i błąd konfiguracyjny dotyczył właśnie systemu helpdeskowego, a nie samego oprogramowania Eskulap, które jest autorstwa firmy MedHub, a nie Konsultant IT.

Wśród plików-załączników znajdowały się nie tylko zrzuty ekranu z danymi medycznymi pacjentów, ale również inne dokumenty szpitali zawierające poufne informacje. Znajdowały się one w publicznie dostępnym katalogu pod adresem w domenie firmy Konsultant IT

 

Bardzo wrażliwe dane

Oczywiście obsługa skomplikowanych systemów dla służby zdrowia wiąże się z różnymi problemami i pytaniami użytkowników. A wtedy do akcji wkracza helpdesk. Zgłoszenia do helpdesku mogą zawierać dodatkowe załączniki, np. zrzuty z ekranu robione przez pracowników szpitali jako dowód na występowanie problemu.

I to właśnie załączniki do zgłoszeń błędów były dostępne na serwerze. Niestety, pracownicy wielu szpitali wykonywali zrzuty ekranu na których widoczne były dane medyczne pacjentów — i danych tych nie usuwali. Ktoś, kto uzyskałby dostęp do tych plików mógłby poznać nie tylko dane osobowe pacjentów, wraz z informacją o tym gdzie byli leczeni i/lub na co byli leczeni, ale szereg innych informacji:

Oprócz licznych zrzutów ekranowych, w katalogu znajdowały się pliki arkuszy kalkulacyjnych. Dotyczyły one finansów szpitali, ale niektóre z nich również zawierały dane pacjentów.

Takich plików było na serwerze mnóstwo. Ponadto udostępnione zostały dane dostępowe VPN do szpitali, pliki SQL (można podejrzewać, że chodzi o jakieś eksporty z baz), skany dokumentów. Aż dziwne, że ich źródłem były zgłoszenia do helpdesku. Może w tym katalogu znajdowały się także pliki pochodzące z innych źródeł?

Dane o zdrowiu są danymi szczególnie chronionymi. Część danych dotyczyła szpitali psychiatrycznych, a dla pacjentów takich szpitali wyciek może być szczególnie dotkliwy. Dlatego – przyznamy – niezbyt dużo czasu poświęciliśmy badaniu zawartości otwartego katalogu. Uznaliśmy, że lepiej nie tracić czasu i zadzwonić do firmy Konsultant IT, która jest jedną z firm obsługujących wdrożenia systemów informatycznych w części szpitali. Niedługo później dostęp do katalogu został ograniczony, a my otrzymaliśmy telefon z obietnicą uzyskania wyjaśnień po weekendzie.

Zdaniem naszego informatora powstało zagrożenie dla 90 szpitali lub ich pacjentów, ale także pracowników szpitali. Nasz informator przekazał nam listę szpitali, których potencjalnie mógł dotyczyć problem. W pierwotnej wersji niniejszego tekstu publikowaliśmy tę listę. Zdecydowaliśmy się ją usunąć, bo znalazły się na niej podmioty niebędące klientami Konsultant IT (zob. aktualizację poniżej).

Konsultant IT: To był błąd przy migracji

Wczoraj wiceprezes Konsultant IT Tomasz Kuncewicz przesłał nam odpowiedzi na pytania. Zaznaczył, że wiadomość od nas była pierwszym w historii firmy sygnałem o niewłaściwym zabezpieczeniu informacji. Dowiedzieliśmy się, że…

System helpdesk zainstalowany jest na zewnętrznym serwerze, stworzyła go dla nas i realizuje nadzór autorski Firma DIMIMO. Do udostępnienia danych doszło na skutek błędu podczas migracji przez DIMIMO helpdesku, na nowy serwer. Katalog, który był zabezpieczony w oparciu o plik .htaccess został przeniesiony na serwer, na którym konfiguracja serwera www nie dopuszczała zmian w oparciu o ten plik. W ten sposób zabezpieczenie zostało zniwelowane. Po migracji zweryfikowano wiele zabezpieczeń, niestety prawdopodobnie z powodu rutyny popełniono błąd.

Tomasz Kuncewicz zadeklarował, że Konsultant IT zrezygnuje ze współpracy z DIMIMO. Ma zamiar również zlecić pełny audyt bezpieczeństwa swojej firmy.

Problem od dwóch miesięcy?

Firma DIMIMO poinformowała Konsultant IT, że migracja serwera nastąpiła w październiku 2017 roku i prawdopodobnie od tego czasu dane były niewłaściwie zabezpieczone. W przesłanym do nas oświadczeniu przyznano, że mogło dojść do masowego pobierania danych, ale logi są jeszcze analizowane.

Nasz informator twierdził, że luka istniała od 2015 roku!

Co gorsze jest tam dużo aktualizacji do systemu medycznego jak wywnioskowałem HIS Eskulap w postaci czystych plików SQL. Wszedzie występuje ten sam user bazy danych ri_owner.
Dziura jest bardzo stara na pewno już nie jeden bot ja znalazł.

Podkreślamy, że Konsultant IT zaprzecza tak długiemu istnieniu luki (zob. aktualizację poniżej).

Patrząc na znaczniki czasu, przyrost danych to po kilkanaście-kilkadziesiąt plików dziennie:

Ponieważ dane mogły być dostępne przez dłuższy czas, wyciek powinien zainteresować zwłaszcza jednostki służby zdrowia. Zalecamy szpitalom zmianę haseł dostępowych do swoich systemów!  A pacjentom, no cóż, życzymy powrotu do zdrowia. Bo w ich przypadku, niczego innego niż zdrowie odzyskać nie będą w stanie.

W całym tym zdarzeniu mocno uderza brak świadomości istoty danych, do jakich dostęp mają lekarze, pielęgniarki i inni pracownicy szpitali. Dość beztrosko przekazywali oni informacje do helpdesku, choć sam fakt tego, że Kowalski choruje na X wcale nie zawsze był ważny do zilustrowania problemu z systemem informatycznym. Pozostaje mieć nadzieję, że w innych sytuacjach pracownicy szpitali dane pacjentów chronią zdecydowanie lepiej.


Aktualizacja 5.12.2017, 11:20
Otrzymaliśmy dodatkowe oświadczenie od Tomasza Kuncewicza, które wyjaśnia kilka kwestii.

Jesteśmy w trakcie informowania wszystkich naszych Klientów o powstałym zagrożeniu oraz przygotowujemy pełną legalną procedurę dla takich przypadków. Ponieważ jednak w przekazanych przez Informatora informacji jest wiele nieprawdziwych
i niemożliwych faktach, uprzejmie proszę o przygotowanie sprostowania, w którym trzeba zwrócić uwagę na fakty:

1) To nie jest „wyciek danych ze systemu Eskulap”. Proszę w żadnym wypadku nie łączyć portalu komunikacyjnego ze systemem Eskulap. To nie system był nieszczelny a Helpdesk wykonany i utrzymywany przed DIMIMO.

2) System Helpdesk został uruchomiony testowo w marcu 2016 a produkcyjnie w sierpniu 2016 roku, a więc nie jest możliwe, żeby luka istniała od 2015 roku.

3) W skryptach o których Państwo wspominają istotnie występuje jeden użytkownik, konstrukcja tego skryptu jest następująca:

“accept OWNER_RI default RI_OWNER prompt ‘Podaj nazwę użytkownika – właściciela schematu modułu RUCH CHORYCH [RI_OWNER] : ” Widać więc, że na czas wykonywania skryptu od zmiennej OWNER_RI przypisywana jest nazwa właściciela schematu modułu RUCH CHORYCH. W nawiasach kwadratowych jest wartość domyślna co nie zdradza informacji o rzeczywistej nazwie właściciela schematu.

4) Wyjaśnienia również wymaga przedstawiona lista – obejmuje ona bardzo wiele podmiotów, które nigdy nie były Klientami Konsultant IT. Proszę zweryfikowanie lub usunięcie tego wykazu, ponieważ obejmuje on szpitale, które nie mogły mieć dostępu do naszego portalu HelpDesk

W związku z powyższymi wyjaśnieniami, w tekście w kilku zdaniach doprecyzowaliśmy, że problem dotyczył tylko tych szpitali, w których zgłoszenia helpdeskowe były obsługiwane przez firmę Konsultant IT, a nie inne firmy. Z tego samego powodu usunęliśmy też listę szpitali, które korzystają z systemu Eskulap — nie każdy z nich jest bowiem obsługiwany przez firmę Konsultant IT, której helpdesku dotyczył problem.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

87 komentarzy

Dodaj komentarz
  1. Fajnie, że tak szybko poinformowaliście o błędzie, bo wyciek danych medycznych faktycznie może mieć nieprzyjemne skutki dla poszkodowanego…

  2. Moje pytanie brzmi: jakim prawem ktokolwiek wysyła SZCZEGÓLNIE CHRONIONE dane pacjentów do helpdesku. Czy procedury nie powinny być tak stworzone, że żaden lekarz czy pielęgniarka nie ma prawa wysyłać screenów na których znajdują się jakiekolwiek poufne dane?

    Nawet jeśli supporterzy podpisują NDA, przecież taka tajemnica lekarska jest szczególnym przypadkiem, bo zabrania dzielenia się nią z kimkolwiek.

    • Bo u nas ochrona danych osobowych to tylko pozory. Dlaczego? Bo jak coś wypłynie, to nigdy nikt nie ponosi konsekwencji. Może gdyby firmy czy nawet pracownicy byli świadomi konsekwencji i odpowiedzialności finansowej (której nie ma), choćby w wysokości 10% dochodów, to przykładaliby większą wagę do kwestii bezpieczeństwa.
      Ale stan rzeczy jest jaki jest i na dzień dzisiejszy nie dziwię się, że zwykły lekarz czy pielęgniarka mogą popełniać takie błędy. Tylko czemu help desk podczas zgłoszenia nie uświadomi takiego człowieka? Powinni mieć dedykowane narzędzia do anonimizacji danych by nie bawić się w paincie.

    • Do 25 maja :)

    • > Moje pytanie brzmi: jakim prawem ktokolwiek wysyła SZCZEGÓLNIE
      > CHRONIONE dane pacjentów do helpdesku. Czy procedury nie
      > powinny być tak stworzone, że żaden lekarz czy pielęgniarka nie ma
      > prawa wysyłać screenów na których znajdują się jakiekolwiek poufne dane?

      Procedury nie są potrzebne. Zrzuty ekranu nie były niezbędne do diagnozy usterki, więc każdy kto wysłał takiego printscreena złamał IMHO tajemnicę lekarską/tajemnicę zawodu pielęgniarki. I ci lekarze i pielęgniarki powinni ponieść odpowiedzialność, bo złamali tajemnicę *zawodową*. To coś znacznie gorszego niż niedopilnowanie ochrony danych *osobowych* – tutaj były dane *o stanie zdrowia* – więc szczególnie chronione.

    • Sto procent racji. Dane finansowe mogą sobie wysyłać gdzie chcą- najwyżej ich wyleją z roboty. Ale wysyłanie danych pacjentów do helpdesku IT? To chyba najgrubszy temat w kategorii wyciek danych w Polsce w ostatnich latach.

    • Czy wy myślicie że na HD problem zgłasza lekarz czy pielęgniarka? U tych pierwszych ( chociaż nie wszystkich) problemem jest prowadzenie dokumentacji w wersji elektronicznej a już nie mówiąc o pisaniu w word lub wymiany tonera od tego jest dział IT:) i też dział IT zgłasza problemy do firm.Jak się zatrudnia informatyka i płaci się mu 2000 zł to później tak jest…. A w szpitalach przetwarzane są dane jedne z bardziej wrażliwych przetwarzane w Polsce. W takich jednostkach informatyk to tylko koszt, co chwile potrzebuje coś kupować, wymieniać… a priorytety są zawsze inne…

    • Jest lepszy numer: za złego PRL jak jakaś SB chciała dane pacjentów, to musiała przyjść z sądowym nakazem i dostała tylko tych pacjentów, na których miała nakaz, a jakby chciała nielegalnie wywieź resztę, to na papierowe kartoteki potrzebowałaby TiRa i każdy by to widział.

      W “Nowym Wspaniałym Świecie” administrator sieci placówki medycznej ma obowiązek udostępnić na zewnątrz dostęp do tych kartotek… każdemu, kto ma odpowiedni klucz i nie ma ŻADNYCH możliwości sprawdzenia, czy osoba dysponująca tym kluczem (a może to być zwykła biurwa z NFZ, bez dyplomu lekarza) ma prawo zaglądać do kartotek medycznych i osoba z takim kluczem ustawowo może sobie przeglądać co chce i jak chce i TO NIE ADMINISTRATOR PLACÓWKI MEDYCZNEJ WYDAJE TAKIE KLUCZE TYLKO MINISTERSTWO.

      Na razie to nie działa z prozaicznego powodu: choć od 2014 jest zakaz prowadzenia dokumentacji medycznej w formie papierowej, to by powyższy system działał, potrzebne jest UJEDNOLICENIE FORMATU DANYCH MEDYCZNYCH (to JEDYNA zaleta tej ustawy, bo zerwie vendor lock, którym jak na razie placówki medyczne są szantażowane przez producentów oprogramowania medycznego. Nota bene można dostać szału z wczytywaniem np. RVG, które niby używa “znormalizowanego” DICOM, tyle że każdy producent RVG dba, by DICOM z ich softu nie dało się odczytać w sofcie konkurencji…) no i różne podmioty teraz żrą się pod dywanem by zagarnąć władzę nad definicją standardu. Oby jak najdłużej, bo nie podobają mi się wynalazki do których dąży to państwo – ani dostępne z sieci dane medyczne bez zgody podmiotu medycznego, ani “dowody osobiste” i “portfele” w telefonach, ani samochody z lokalizacją i siecią podpiętą w niejawny sposób do samochodowej elektroniki sterującej wszystkich, ani dążenie bankstera Morawieckiego do eliminacji gotówki z obrotu…

    • Józef co ty opowiadasz od 2014 roku nie można prowadzić dokumentacji papierowej? Chyba nigdy w szpitalu nie byłeś. Termin został przesunięty już kilkakrotnie obecnie od 2019 roku ma być prowadzona dokumentacja w wersji elektronicznej a w kolejnych latach stopniowo będą wprowadzane E – recepty, – e-skierowania itd.
      Co do udostępniania dla osób posiadających odpowiedni klucz pierwsze słyszę żeby coś takiego funkcjonowało bo u mnie nie, a w szczególności żeby odbywało się to bez nadzoru ?( chyba że szpitale ministerialne MSWiA mają takie obowiązki). Jak już ruszy platforma P1 to wysyłane będą informację o zdarzeniach medycznych a nie całe dokumentację medyczne i nikt nie będzie sobie przeglądał bazę danych w na serwerach w szpitalu.

    • @D:
      Od 2014 NIE WOLNO prowadzić dokumentacji medycznej w formie papierowej. Do 2019 natomiast ma być przeniesiona do wersji elektronicznej wytworzona wcześniej dokumentacja papierowa, którą jeszcze wolno używać, ale pod warunkiem, że była wytworzona wcześniej.
      Przeczytaj ustawę – ten dostęp z kluczem wydawanym nie przez placówkę medyczną oczywiście jeszcze nie funkcjonuje, ale docelowo tak ma być wg ustawy, a obecnie nie jest, bo jak podałem – ministerstwo nie ogłosiło rozporządzenia określającego format danych, więc cały system na szczęście jeszcze nie działa, bo bez rozporządzenia nawet się nie da do tego napisać softu.

    • @Józef “Od 2014 NIE WOLNO prowadzić dokumentacji medycznej w formie papierowej.”

      To że oficjalnie i formalnie nie wolno nie zmienia faktu, że praktycznie nadal jest tak prowadzona (przynajmniej w części placówek/lekarzy).

    • Stąd morał – należy powrócić do papierowej dokumentacji medycznej. Też się żyło, też funkcjonowały szpitale, a dane nie wyciekały bo były pod kluczem z brakiem wejścia z zewnątrz przez anonima.

    • To jak jest prowadzona dokumentacja i kogo objęła ustawa zależy od typu placówki. Indywidualne praktyki i małe podmioty mają przeważnie właśnie czas do 2019. Ten 2014 to zapewne szpitale itp. Także obaj macie rację w pewnym sensie. ;)

    • @Kraina Grzybów TV Najlepszym rozwiązaniem jakie było w tej materii (dane o leczeniu) to były wojskowe książeczki zdrowia żołnierza zawodowego lub jego żony albo dzieci. Książeczka miała format chyba B5 i ze sto kartek. Było w niej wszystko o pacjencie! Osobista karta zdrowia. Ta karta była własnością pacjenta, a żaden szpital wojskowy nie produkował ton makulatury! Każdy makulaturę woził u przysłowiowej własnej d…. To rozwiązanie było o kilka generacji wyprzedzające obecne rozwiązania! A co najważniejsze, to działało, podając informacje nawet przy świetle zapałki! Wystarczył jeden warunek, że lekarz potrafił czytać oraz pisać wyraźnie! Bo zapis wyraźny był istotny ze względu na innych potencjalnych czytających. Niestety to rozwiązanie w dzisiejszej dobie powszechnego rozwoju cyfrowego państwa (czyt. onanizmu cyfryzacyjnego), nie ma szans! Drukowanie książeczek do trzymania w domu nie UZASADNIA wydatków na serwerownie, oraz oprogramowanie klienckie oraz ich modyfikacje.

  3. Kiedy w końcu w Polsce zakazane będzie podawanie nazwy “firmy” bez podmiotu odpowiedzialnego.
    Konsultant IT Sp.z.o.o. – swoją drogą firma nie podaje podmiotu rejesturjącego na własnej WWW co jest wykroczeniem.

    DIMIMO – takie coś nawet w CEiDG nie istnieje

    • Owszem, istnieje w CEIDG a konkretnie jako MAŁGORZATA MARKOWSKA DIMIMO, NIP: 7791146004, REGON: 634551670, ul. Wołczyńska 18, 60-003 Poznań.

    • Patrząc na te powiązania to chyba pracuje tam pół poznania ;)

    • Znalezione w CEIDG
      Imię
      MAŁGORZATA
      Nazwisko
      MARKOWSKA
      Numer NIP
      7791146004
      Numer REGON
      634551670
      Firma przedsiębiorcy
      MAŁGORZATA MARKOWSKA DIMIMO

      Adres poczty elektronicznej
      info@dimimo.pl
      Adres strony internetowej
      http://www.dimimo.pl

      Przeważająca działalność gospodarcza (kod PKD)
      63.11.Z Przetwarzanie danych; zarządzanie stronami internetowymi (hosting) i podobna działalność
      Wykonywana działalność gospodarcza (kody PKD)
      63.11.Z, 47.41.Z, 47.71.Z, 58.29.Z, 59.12.Z, 61.10.Z, 61.30.Z, 61.90.Z, 62.01.Z, 63.12.Z, 73.11.Z, 73.12.A, 73.12.B, 73.12.C, 73.12.D, 73.20.Z, 74.20.Z, 74.30.Z, 74.90.Z, 95.11.Z, 95.12.Z

  4. “z powodu rutyny popełniono błąd” Z powodu takich błedów stosuje się testowanie białkowe i automatyczne. Ale kto by tracił czas na takie duperele kiedy terminy gonią a słupki spadają :/

  5. Nie wiem, czy w każdej branży jest tak samo, ale bezpieczeństwo systemów IT w służbie zdrowia (pracowałem wiele lat w tej branży) to jedna wielka ściema. Problemy są zarówno po stronie szpitali (kartki z hasłami na monitorach, niewylogowywanie się, komputery stojące na widoku/w zasięgu pacjentów, wspólne loginy itp) a także po stronie producentów – każdy z kilkudziesięciu testerów/programistów/kogokolwiek ma dostęp do danych produkcyjnych czy to przez VPN (jeden user dla całego zespołu, więc nie wiadomo, kto się de facto logował), czy to do zrzutów bazy pobieranych od klienta i leżących na jakimś publicznym firmowym zasobie. Oczywiście certyfikaty bezpieczeństwa, ISO itp są po obu stronach i wszystko gra. W teorii.

  6. Prawo sobie a życie sobie. Niby tajemnica lekarska a dane pacjentów ślą jak leci do helpdesku.

  7. Po prostu szok ???

  8. Niestety przedstawiona przez was lista szpitali ma się nijak do problemu. Przedstawiliście listę wszystkich szpitali w których jest coś z eskulapa a nie listę szpitali obsługiwanych przez firmę Konsultant IT, a to własne jak wynika z waszych informacji ich dotyczy problem.
    Bardzo proszę skorygujcie listę bo nasz ABI dzisiaj prawie zawału dostał.

    • Konsultant serwisuje tez system Simple.ERP i pewnie jeszcze kilka innych, więc pytanie brzmi ile innych systemów obsługiwali tym helpdeskiem. Co do samego Eskulapa to wiele szpitali jest obsługiwanych przez MedHub, a nie KonsultantIT.

  9. To sie ma zmienic –> 25.05.2018. Czy tak faktycznie bedzie? Czas pokaze :)

    • Na pewno nie w sektorze publicznym. Za to, że pracownicy nie umieją się obchodzić z wrażliwymi danymi pacjentów i je rozsyłają gdzieś na zewnątrz po różnych helpdeskach i innych podejrzanych systemach, karę ma zapłacić szpital. A ten albo zbankrutuje albo wyciągnie rączki do NFZ! Tak więc karę, która miała stanowić dochód państwa zapłaci… państwo! Czyli przelewanie z prawej do lewej kieszeni. :)

  10. Kurde, właśnie wyszedłem ze szpitala ;(

  11. Nic się nie stało – Polacy nic się nie stało, nic się nie staaałoooo…

  12. T.Kuncewicz: “Jesteśmy w trakcie informowania wszystkich naszych Klientów o powstałym zagrożeniu”. Nie zapomnijcie poinformować PACJENTÓW! Każdego jednego, którego da się zidentyfikować, wraz z udostępnieniem pliku, który go dotyczy.

    T.Kuncewicz: “Wykaz obejmuje szpitale, które nie mogły mieć dostępu do naszego portalu HelpDesk”. To które szpitale miały?! Nie zapomnijcie podzielić się tą informacją.

    • Właśnie! bardzo chciałbym móc ise dowiedzieć, czy i moje dane wyciekły.

    • Możesz sam poszukać które przetargi wygrała ta firma, ale nie wyciągaj pochopnie wniosków, jeszcze może sporo wyjść:
      http://www.przetargi.egospodarka.pl/kto-wygral/14042233,konsultant-it-sp-z-o-o.html

      Za dane pacjentów odpowiedzialne są już ośrodki zdrowia. To, że ktoś był klientem tej firmy to nie oznacza, że wyciekły dane osobowe pacjenta. Przed wysłaniem screena powinny one być zanonimizowane, co niestety nie zawsze ma miejsce ale jednak ma. Znam branżę i wiem, że wbrew temu co jest w komentarzach są szpitale, które prawidłowo dane zabezpieczają. Nadal jednak panuje zasada najsłabszego ogniwa i to przez pracowników tymczasowych, technicznych często dochodzi do ‘wpadek’. ABI OZ już pewnie przeglądają umowy i klauzury poufności danych dołączone do umów ;)

  13. Powrotu do zdrowia to przede wszystkim życzymy… służbie zdrowia!:)

  14. Byłem w marcu w szpitalu. Prosty zabieg wycięcia jakiejś narośli na karku w znieczuleniu miejscowym. Byłem przyjęty na oddział około godziny 13, nocowałem, o 7 miałem zabieg i o 13 wyszedłem. Raptem 24 godziny tam spędziłem. Jeszcze tego samego dnia wieczorem, w którym mnie przyjmowali, dzwoni żona i pyta jak tam, bo jakaś jej koleżanka widziała mnie na liście do zabiegu. Ta koleżanka trochę się wystraszyła, bo wyczytała, że mam mieć operację na karku. Wywnioskowała, że to jakiś poważny zabieg na kręgosłup. A koleżanka wcale nie jest chirurgiem, a panią w rejestracji. W szpitalu wszyscy wiedzą wszystko. Nawet pani w rejestracji wie jakie zabiegi są zaplanowane. A potem sieją panikę u znajomych.

    • Hehe, równa doba w szpitalu dla piętnastominutoego zabiegu… Tak się doi podatników…

  15. O ile się założymy, że nikt nie poniesie odpowiedzialności ? :)
    Poszkodowani nawet nie dowiedzą się o tym że ich dane fruwają gdzie chcą. Nikt ich przecież o tym nie poinformuje.
    Żenua.

  16. I dlatego wszystkie dane osobowe powinny być ogólnie dostępne.

    • Możesz rozwinąć i uzasadnić?

    • Nic nie stoi na przeszkodzie abyś swoje danie udostępnił publicznie tu i teraz.

    • Spróbuję rozwinąć. Co by się stało gdyby dane osobowe stały się jawne, gdyby odwrócić zasadę, gdyby każdy miał dostęp do informacji o innym człowieku? Co prawda każdy by wiedział gdzie mieszkam, gdzie pracuję, na co choruję, a może i jakie strony przeglądam i na co wydaję pieniądze ale jednocześnie ja miałbym dostęp do takich informacji. Ktokolwiek chciałby wykorzystać takie dane przeciwko mnie miałby świadomość istnienia symetrii. Oczywiście aby to zadziałało konieczne jest odtajnienie ogólne zarówno osób prywatnych jak i urzędników, polityków, lekarzy itd. Należałoby umożliwić skuteczną, bezpieczną identyfikację konkretnych osób, instytucji ale nie na podstawie danych osobowych które są teraz do tego używane. W wielu przypadkach konieczność i potrzeba ukrywania informacji by zniknęła z powodu powszechnego dostępu do nich.
      Z drugiej strony zakaz ujawniania i możliwość ukrycia byłyby zastąpione nakazem – nadal potrzeba by było instytucji i ludzi pilnujących tego. Ciekawe jak takie rozwiązanie zmieniłoby życie :) Czy taka wiedza popchnęłaby rozwój społeczeństwa czy wręcz przeciwnie?

    • mietek:L nie chodzi o to, żeby udostępniać. Chodzi o to by nie ukrywać. Wyobraź sobie, że mógłbyś dowiedzieć się o mnie wszystkiego po wpisaniu mojego id w wyszukiwarce, a jednocześnie ja mógłby zrobić to samo. Co by się zmieniło? Jakich informacji na mój temat potrzebujesz? Jak je wykorzystasz?

    • “Wyobraź sobie, że mógłbyś dowiedzieć się o mnie wszystkiego po wpisaniu mojego id w wyszukiwarce, a jednocześnie ja mógłby zrobić to samo. Co by się zmieniło?” – pojawiłaby się DYSKRYMINACJA! Ona już na Zachodzie, np. w Kanadzie czy USA, gdzie praktycznie nie ma ochrony danych osobistych, istnieje.

      Przykłady:

      Klient do ubezpieczyciela – “Dlaczego ja płacę za polisę zdrowotną 500$ drożej od sąsiada w tym samym wieku”? Klik, klik, klik. Ubezpieczyciel do klienta – “Bo z danych kart kredytowych sąsiada i Pana widzę, że sąsiad nie pali, nie pije, żywi się tofu i płatkami owsianymi, uprawia jogging a Pan żre golonki, popija piwem, obala tygodniowo 5 butelek wina i 1 whisky i wciąga karton papierosów tygodniowo, nie mówiąc o pierdzeniu w kanapę przed telewizorem po 12 godzin dziennie, zamiast się poruszać – nie widzi Pan jaki ma Pan bandzioch?”.

      Pracownik do szefa – “Dlaczego nie zostałem skierowany do szkolenia, jak kolega, co zamyka mi drogę awansu”? Klik, klik, klik. Szef do pracownika – “Bo z analizy odwiedzanych przez Pana stron internetowych wynika, że interesuje się Pan chorobami nowotworowymi. Widzę też, że Pana matka zmarła na raka piersi w wieku 45 lat a Pana ojciec na raka trzustki w wieku 52 lat. Naszej korporacji nie stać na marnowanie środków w inwestowanie w pracownika, który z prawdopodobieństwem 70% zachoruje na raka przed 55 rokiem życia. W zasadzie to powinienem Pana zwolnić, ale mam miękkie serce – mój szwagier, którego lubiłem, zmarł na raka i tylko dlatego tu Pan jeszcze pracuje”.

      Dalej uważasz, że każdy o każdym powinien wiedzieć wszystko?

    • Józef: ale przecież tak się dzieje teraz pomimo tej całej ochrony i nie sądzę, że się to zmieni od maja przyszłego roku. Ba, dzieje się tak, bo często sami takie rzeczy publikujemy. Swoją drogą mówi się, że każdy ma w sobie komórki rakowe, więc w czym problem? Po takich przykładach to ten Twój szef nigdy nie zostałby szefem, bo też na niego coś znajdą :)

    • Józef: widzisz tylko wady a nie zalety i patrzysz na temat jednostronnie. Czy uważasz, że wszyscy ludzie powinni mieć takie same stawki ubezpieczeniowe niezależnie od ryzyka? Czy obecnie kierowca rajdowy ma takie same warunki ubezpieczenia jak programista? Skoro ktoś dba o swoje zdrowie to nie powinien mieć z tego korzyści? Co do drugiego przykładu to możliwe, że w tej firmy nie stać ich na takie ryzyko ale pewnie znajdą się inne gdzie korzyści z pracy takiej osoby będą wyższe niż koszty wynikające z ryzyka. Tak czy inaczej dzięki dostępowi do informacji o szefie i innych pracownikach będzie można zweryfikować prawdomówność i powody takiej decyzji. A może będzie tak : szef do pracownika – tak wiemy, że ryzyko zachorowania przez Pana na raka to 70%, ale w przeciwieństwie do innych pracowników dba Pan o swoje zdrowie, nie marnuje Pan czasu na bezproduktywne przeglądanie stron pornograficznych i jest Pan zaangażowany w sprawy firmy dlatego dostaje Pan podwyżkę a w przyszłym miesiącu może Pan skorzystać ze szkolenia, które odbędzie się na Karaibach.

  17. Czy w przypadku takiego wycieku pacjenci nie powinni zostać poinformowani o tym fakcie? Wiadomo o które szpitale chodzi?

  18. ciekawe czy ktoś z helpdesku dostał screena ze swoimi danymi :P

  19. Zgaduję, że chodzi to ograniczenie kosztów utrzymywania fikcji.
    Ochrona danych osobowych kosztuje – pan płaci, pani płaci i ja płacę – wszyscy płacimy.
    Problem w tym, że te dane i tak są bez przerwy powielane, sprzedawane i agregowane.

  20. Jak patrzę na te screeny to mi się 3.11 przypomina.

    • No bez przesady, 95!

    • Gdybyś wiedział ilu studentów politechniki i w jakim stylu pisało tego eskulapa na zaliczenie, to byś się nie dziwił ;)

  21. “Dane setek pacjentów i szpitali wyciekły z helpdesku zewnętrznej firmy. …”
    Zadziwiająco wygodne

  22. Tak to jest, gdy do zdalnego wsparcia technicznego używa się badziewia, a nie profesjonalnego systemu i gdy nikt nie przygląda się temu, w jaki sposób to wsparcie się odbywa. Chcieli zaoszczędzić, to mają.

    • kryterium cena 100%

  23. Zezwalam na udostępnianie zdjęć moich wrzodów żołądka publicznie! ;)

    • A zdjęcia z obserwacji psychiatrycznej?

    • > Zezwalam na udostępnianie zdjęć moich wrzodów żołądka publicznie! ;)

      Ale nie wszyscy się zgadzają i jest zasranym obowiązkiem lekarzy i pielęgniarek to szanować i danych nie udostępniać.

  24. Komentują sami święci? Katechetom życzę dalej optymizmu, dla uzdrowienia przepracujcie pare dni w małej polskiej firmie lub jakiej jednostce samorządowej. Nikt z Was nigdy nie piracił, wszystko co możliwe pewnie szyfrujecie, audytujecie, kupujecie tylko pro soft i w ogóle jesteście świadomymi userami. Nabijacie się z DIMIMO i bez żadnych skrupułów przerzucacie dane osobowe właściela w komentarzach nie znając jej zdania na ten temat. Popieram Wss w kwesti publiczności danych, bo nieoficjalnie pewnie i tak moje i Twoje dane krążą w necie. Codziennie z telefonów wysyłacie więcej danych o sobie niż jesteście w stanie sobie uświadomić, ale do negowania innych dajemy sobie pełne prawo. Zawsze mnie zastanawia, że piętnuje się “amatorów” informatyków, bo jakiś zasób dali do publicznego wglądu z Waszymi jakże cennymi danymi (ot chociażby wrzody na żołądku ;)), a jak zostawicie otwarty dom/kluczyki w stacyjce to kto jest winny włamaniu/kradzieży? jakim prawem ktoś korzysta z moich dóbr, tylko dlatego, że mam otwarty dom i nie mam krat w oknach? Na jakiej podstawie informator przegląd dane, które go nie dotyczyły? W imię poprawy bezpieczeństwa? Nie, ciekawość go zjadła, szukał sensacji. W małym powiatowym szpitalu, gdzie wszyscy się znają nie może być wywieszonej listy z pacjentami do danego lekarza, bo to jest niezgodne z ochroną danych osobowych. Ciul, że siedzimy w tej samej kolejce i widzimy kto wchodzi do lekarza, znamy się przecież od piaskownicy.

    • Pozdrawiamy, Pani Małgorzato! ;)

    • Z takim podejściem do tematu to nie dziwi, że się potem takie rzeczy dzieją.

    • > Komentują sami święci?

      Nie, ale to że ktoś – albo nawet wielu ludzi – robi coś złego, nie znaczy, że staje się to dobre i nie znaczy, że wolno mi robić tak samo. Elementarne w naszej cywilizacji.

      > Nikt z Was nigdy nie piracił, wszystko co możliwe pewnie
      > szyfrujecie, audytujecie, kupujecie tylko pro soft i w ogóle
      > jesteście świadomymi userami.

      Piracenie jest z pewnością nieładne, ale nie gwałci godności pacjenta. A puszczanie w sieć jego danych – w tym medycznych – gwałci. I dlatego się oburzamy…

      > Nabijacie się z DIMIMO i bez żadnych skrupułów przerzucacie
      > dane osobowe właściela w komentarzach nie znając jej zdania
      > na ten temat.

      Dane w CEIDG są publiczne, i p. Małgorzata wiedziała o tym, rejestrując w Polsce działalność. A danych poufnych – np. adresu zamieszkania p. Małgorzaty – nikt tu nie opublikował. O co zatem chodzi?

      > Popieram Wss w kwesti publiczności danych,
      > bo nieoficjalnie pewnie i tak moje i Twoje dane
      > krążą w necie.

      Proszę mówić za siebie i publikować *SWOJE* dane, jeśli ma się na to ochotę. Od cudzych danych – wara.

      > Codziennie z telefonów wysyłacie więcej danych o sobie
      > niż jesteście w stanie sobie uświadomić

      Akurat na tej stronie jest bardzo wielu świadomych użytkowników, którzy wiedzą jak działają smartfony czy nawet klasyczne telefony komórkowe i wiedzą, jakie dane są rozsyłane i jak temu przeciwdziałać. I nie, nie wszyscy z nich korzystają z telefonu tak jak przeciętny Polak.

      A nawet jeśli – to znów: non sequituur.

      > ale do negowania innych dajemy sobie pełne prawo

      Co to znaczy “negować innych”?????

      > Zawsze mnie zastanawia, że piętnuje się “amatorów”
      > informatyków, bo jakiś zasób dali do publicznego
      > wglądu z Waszymi jakże cennymi danymi (ot
      > chociażby wrzody na żołądku ;))

      Nic w tym dziwnego. Sam fakt pobytu danej osoby w szpitalu jest informacją poufną, a co dopiero mówić o danych o stanie zdrowia. Powtarzam: jeśli ktoś chce, niech sobie swoje zdjęcia z kolonoskopii wrzuca nawet na stronę główną onetu. Ale niech się odczepi od tych, którzy idą do szpitala i mają święte prawo – gwarantowane ustawami – że personel medyczny będzie trzymał buzię na kłódkę i że nic ze szpitala – ani z NFZ, ani z innych baz – nie wycieknie.

      Tak, jak wiem, jak jest. Ale to nie znaczy, że tak być powinno, na miłość Boską. Albo staramy się dobrze spełńiać swoje obowiązki zawodowe, albo nie. I wtedy wychodzi taka amatorszczyzna…

      > W małym powiatowym szpitalu, gdzie wszyscy się znają nie
      > może być wywieszonej listy z pacjentami do danego lekarza,
      > bo to jest niezgodne z ochroną danych osobowych.
      > Ciul, że siedzimy w tej samej kolejce i widzimy
      > kto wchodzi do lekarza, znamy się przecież od piaskownicy.

      Nie wszyscy, ja bywam w powiatowym szpitalu daleko od mojego miejsca urodzenia i zamieszkania i nie życzę sobie, by ktokolwiek się o tym dowiedział. Więc należy to szanować. Zresztą nie będę się powtarzał, tę kwestię objaśniłem już wyżej.

    • mietek: z jakim podejściem?

      >>Nie, ale to że ktoś – albo nawet wielu ludzi – robi coś złego, nie znaczy, że staje się to >>dobre i nie znaczy, że wolno mi robić tak samo. Elementarne w naszej cywilizacji.

      No zrozumiałem, że nie znam podstaw. W związku z tym zadam pytanie co(jakie przepisy/normy) wg Pawła reguluje w polskich szpitalach bezpieczeństwo? Jaki dokument wyznacza zasady bezpiecznego przetwarzania dokumentacji pacjenta?

      >>Piracenie jest z pewnością nieładne, ale nie gwałci godności pacjenta. A puszczanie w >>sieć jego danych – w tym medycznych – gwałci. I dlatego się oburzamy…
      Słabe, w mojej subiektywnie ocenie ten komentarz odczytuje, że kradzież programu jest nieładne, ale gdyby ktoś ukradł Pawłowi samochód to byłby już gwałt. Zarówno piracenie jak i publikowanie danych pacjenta regulują przepisy prawa. To jak to jest Pawle z tym oburzeniem?

      >Dane w CEIDG są publiczne, i p. Małgorzata wiedziała o tym, rejestrując w Polsce >działalność. A danych poufnych – np. adresu zamieszkania p. Małgorzaty – nikt tu nie >opublikował. O co zatem chodzi?

      W CEDIGU owszem, ale skopiowanie danych i używanie ich w celach innych niż mówi ustawa odo nakłada już pewne obowiązki. Być może dane właściciela DIMIMO są tymi sami co jej prywatny adres? Chciałbyś Pawle, żeby Twoje dane choćby publiczne pojawiały się w kontekście takiej sprawy jak ta, tylko dlatego, że pracownik Konsultant IT tak wskazał?

      >Akurat na tej stronie jest bardzo wielu świadomych użytkowników, którzy wiedzą jak >działają smartfony czy nawet klasyczne telefony komórkowe i wiedzą, jakie dane są >rozsyłane i jak temu przeciwdziałać. I nie, nie wszyscy z nich korzystają z telefonu tak >jak przeciętny Polak.

      Gratuluje takiej wiedzy, wydawało mi się, że też sporo wiem o telefonach, ale jakoś nie jestem przekonany, że mam kontrole nad tym co się dzieje w tle aplikacji, nawet tych całkowicie legalnych.

      >A nawet jeśli – to znów: non sequituur.
      Aż sobie musiałem przetłumaczyć, bo muszę Ci pocieszyć, że taki gość jak ja, nie znał tego wyrażenia po łacinie. To w którym miejscu tkwił mój błąd?

      >Co to znaczy “negować innych”?????
      W tym przypadku miałem na myśli, że z daleko zza ekranu łatwo nam krytykować, przerzucać się słowami, toczyć dyskusje zawsze z poziomu, że nie szanuje osoby po drugiej stronie, choćby to był informatyk amator z minimalną pensją.

      >Tak, jak wiem, jak jest. Ale to nie znaczy, że tak być powinno, na miłość Boską. Albo >staramy się dobrze spełńiać swoje obowiązki zawodowe, albo nie. I wtedy wychodzi taka >amatorszczyzna…
      Jestem ciekawy gdzie Ty Paweł pracujesz, ale wiem wiem…. Twoja sprawa.

      >Nie wszyscy, ja bywam w powiatowym szpitalu daleko od mojego miejsca urodzenia i >zamieszkania i nie życzę sobie, by ktokolwiek się o tym dowiedział. Więc należy to >szanować.
      Poważnie jeździsz do odległych szpitali tylko dlatego, że nie chcesz być rozpoznany? Ja rozumiem, że wybierasz poradnie do której w KOLCACH są krótsze terminy, ale żeby aż do tego stopnia ;). Oczywiście ironizuje. No ale jakoś nie daje mi to spokoju i zapytam Cię, gdybyś był ABI tego powiatowego szpitala to co jest za różnica czy ta lista wisi czy jej nie ma? Oczywiście przy założeniu, że prawie wszyscy się znają? Ja widzę tylko same problemy – ludzie się kłócą, ściemniają jakie mają numerki, albo na którą godzinę są umówieni (i nie ma systemu biletowego, bo kosztuje z 50 000zł, więc szpitala na to znowu nie stać). Szpital jest miejscem publicznym, przechodzisz przez korytarz obok poradni AOS, widzisz znajomą? Co myślisz? Idzie do tego lekarza, czy może czeka na kogoś? Czy w takim przypadku ustawa gwarantuje ochronę danych osobowych? Przecież w praktyce lista papierowa = lista rzeczywistych ludzi w kolejce. Po lewej stronie równania ustawa, a właściwie odpowiedź GIODO zabrania takiej publikacji, a po prawej stronie równania już tego nie reguluje.
      I żeby nie było, ja też jestem za przestrzeganiem prawa, ale nie ma nic gorszego niż nadgorliwy i bezduszny urzędnik i bezmyślne powielanie przepisów, które są absurdalne.

    • > No zrozumiałem, że nie znam podstaw

      Jeżeli uważasz, że tłumaczenie “bo wszyscy tak robią” albo tylko “bo inni tak robią” usprawiedliwia, to faktycznie nie znasz podstaw, obawiam się.

      > zadam pytanie co(jakie przepisy/normy) wg Pawła
      > reguluje w polskich szpitalach bezpieczeństwo?
      > Jaki dokument wyznacza zasady bezpiecznego
      > przetwarzania dokumentacji pacjenta?

      Proszę mnie zrozumieć – NIE CHODZI tu o przepisy: te bywają dobre, średnie, złe i bardzo złe, i to jest temat na oddzielną dyskusję. Nie chodzi o to, by kierować się wyłącznie literą prawa: mamy ISO, mamy ABI, mamy to czy tamto – często zresztą tylko jako tzw. dupochron.

      Chodzi o *cel* jaki chcemy osiągnąć: aby nikt poza leczącymi pacjenta lekarzami i zajmującymi się nim pielęgniarkami nie dowiedział się *nic* o jego stanie zdrowia – poza uznanymi wyjątkami typu rodzina albo po zwolnieniu przez sąd z tajemnicy zawodowej w przypadkach nadzwyczajnych. Bo to dobro chorego jest nadrzędne, a nie wygoda dyrekcji czy administracji szpitala.

      I to dobro zostało naruszone, bo z danymi medycznymi pacjenta zapoznały się osoby nieupoważnione, co zaszło z powodu ignorancji i nonszalancji ludzi odpowiedzialnych za systemy IT w szpitalu.

      >> Piracenie jest z pewnością nieładne, ale nie gwałci
      >> godności pacjenta. A puszczanie w sieć jego
      >> danych – w tym medycznych – gwałci.
      >> I dlatego się oburzamy…
      >
      > Słabe, w mojej subiektywnie ocenie ten komentarz
      > odczytuje, że kradzież programu jest nieładne,
      > ale gdyby ktoś ukradł Pawłowi samochód to byłby
      > już gwałt.

      Nie. Piractwo – rzecz naganna – to zupełnie inna sprawa przecież. To czy ktoś piraci czy nie nie ma wpływu na to, że pacjent ma prawo do intymności. Chyba nie uważa Pan, że tylko ci ludzie, którzy nie piracą, nie przeklinają, nie biją żon, itd. mają prawo do prywatności w szpitalu?? Byłoby to absurdalne.

      > Zarówno piracenie jak i publikowanie danych pacjenta
      > regulują przepisy prawa. To jak to jest Pawle z tym
      > oburzeniem?

      Jedno i drugie jest złamaniem prawa, przecież tego nie neguję. Ale łamanie prawa w jednym miejscu nie upoważnia do łamania go gdzie indziej. A poza tym ochrona prywatności chorego to coś więcej niż tylko prawo stanowione – to zasady etyki obecne w naszej cywilizacji od wieków. Przypominam o treści przysięgi Hipokratesa.

      W CEDIGU owszem, ale skopiowanie danych i używanie ich w celach innych niż mówi ustawa odo nakłada już pewne obowiązki.

      > Być może dane właściciela DIMIMO są tymi sami
      > co jej prywatny adres?

      Być może, ale trzeba było to przewidzieć przy otwieraniu działalności i zarejestrować firmę w wirtualnym biurze. Jest wyraźne ostrzeżenie w formularzu, że adres wykonywania działalności będzie upubliczniony, nawet jeżeli jest tożsamy z adresem zamieszkania.

      I na marginesie: zgadzam się że dostępny publicznie zakres danych w CEIDG jest zbyt duży, ale tego się nawet porównać nie da z szastaniem danymi medycznymi w Internecie.

      > Chciałbyś Pawle, żeby Twoje dane choćby publiczne
      > pojawiały się w kontekście takiej sprawy jak ta,
      > tylko dlatego, że pracownik Konsultant IT tak wskazał?

      Nie, ale to chyba już sprawa do Konsultanta IT i ew. pozwu o pomówienie, czyż nie?

      > nie jestem przekonany, że mam kontrole nad tym co się
      > dzieje w tle aplikacji, nawet tych całkowicie legalnych.

      Masz rację, i są tacy co nie używają smartfonów. Albo wyciągają baterię, albo robią jeszcze inne różne rzeczy… temat rzeka. Ciągle jednak nie rozumiem, dlaczego miałoby to zmieniać ocenę niedbalstwa w szpitalach.

      > To w którym miejscu tkwił mój błąd?

      Przywołujesz niemerytoryczne argumenty: “a czy wy dbacie o swoje dane… czy używacie telefonu” itd. Nie ma to znaczenia. Dane pacjenta trzeba chronić i basta. To elementarny wymóg etyki lekarskiej.

      > W tym przypadku miałem na myśli, że z daleko zza ekranu
      > łatwo nam krytykować, przerzucać się słowami, toczyć
      > dyskusje zawsze z poziomu, że nie szanuje osoby po
      > drugiej stronie, choćby to był informatyk amator z
      > minimalną pensją.

      Pracę swoją trzeba się starać wykonywać jak najlepiej, jeżeli jest dobrowolna. Nawet jeśli mało nam płacą. Inaczej popadniemy w absurd.

      A skoro informatyk jest amatorem, to dlaczego podjął się tak odpowiedzialnych zadań? Nie umiesz zabezpieczyć danych, to nie zajmujesz się ich administracją. Są proste fizyczne prace, często nawet i lepiej płatne, gdzie odpowiedzialności jest minimum.

      > Poważnie jeździsz do odległych szpitali tylko
      > dlatego, że nie chcesz być rozpoznany?

      Nie, bywam w innym szpitalu bo sporo podróżuję.
      Potrafię sobie aczkolwiek wyobrazić ludzi, którzy specjalnie pojadą gdzieś dalej – np. do poradni psychiatrycznej albo chorób wenerycznych.

      > gdybyś był ABI tego powiatowego szpitala to co
      > jest za różnica czy ta lista wisi czy jej nie ma?
      > Oczywiście przy założeniu, że prawie wszyscy
      > się znają?

      “prawie” robi zasadniczą różnicę, więc założenie jest błędne.

      Na temat list pacjentów: dzisiaj tę listę b. łatwo powielić – raz coś jest wywieszone publicznie, to zaraz trafi do sieci. A nazwiska bywają bardzo unikalne…

      > Ja widzę tylko same problemy – ludzie się kłócą,
      > ściemniają jakie mają numerki, albo na którą godzinę
      > są umówieni (i nie ma systemu biletowego, bo kosztuje
      > z 50 000zł, więc szpitala na to znowu nie stać).

      Rozumiem że automat do numerków jest drogi, ale jaki to problem dla pani w rejestracji wydać ludziom wydrukowaną małą karteczkę z pieczątką i wpisaną datą i godziną wizyty? Przy odrobinie dobrej woli to naprawdę nic trudnego. Oczywiście zdaję sobie sprawę, jakie lenie pracują w administracji szpitalnej i wiem, że ostanią rzeczą o którą się troszczą jest sprawna obsługa pacjentów.

    • Paweł:
      Jeśli wszyscy coś robią i wszyscy się na to zgadzają, ale jest to sprzeczne z jakimiś przepisami, czy podstawami to gdzie jest problem? Ja myślę, że nie w ludziach tylko w tych przepisach.

      Cel który przedstawiłeś: ‘aby nikt poza leczącymi pacjenta lekarzami i zajmującymi się nim pielęgniarkami nie dowiedział się *nic* o jego stanie zdrowia’ jest wg mnie równie bezsensowny jak jak cel: aby nikt nie przeszedł przez jezdnię przy czerwonym świetle. Jak rozumiesz dobro pacjenta? Mi się wydaje, że w skrócie chodzi to by zdrowie pacjenta po wizycie u lekarza i po leczeniu było lepsze niż przed, a w najgorszym przypadku by nie było gorsze. Co ma zatem dobro pacjenta do informacji o tym do jakiego lekarza przyszedł? Gdzie jest granica poufności przy korzystaniu ze służby zdrowia?

      Napisz jak zarabiasz na życie a odpiszę, że oczywiście zdaję sobie sprawę, jakie lenie pracują w … i wiem, że ostatnią rzeczą o którą się troszczą jest sprawna obsługa …

    • > Paweł:
      > Jeśli wszyscy coś robią i wszyscy się na to zgadzają,
      > ale jest to sprzeczne z jakimiś przepisami, czy
      > podstawami to gdzie jest problem? Ja myślę, że nie w
      > ludziach tylko w tych przepisach.

      Chyba nie zrozumiałeś tego, co napisałem. Te “jakieś podstawy” to zasady etyki zawodowej lekarza i pielęgniarki. Jeżeli uważasz, że można je łamać, bo “wszyscy tak robią” to dalsza dyskusja nie ma sensu – mamy inne wartości w życiu, nic na to nie poradzę poza próbami przekonania Ciebie.

      Nie jest prawdą to co piszesz, że “wszyscy się na to zgadzają”. Pacjent nie wyraził zgody na wysyłanie innym informacji o jego stanie zdrowia, więc nie wolno tak robić. Jak dla mnie jest to oczywiste.

      > Cel (…) jest wg mnie równie bezsensowny jak jak
      > cel: aby nikt nie przeszedł przez jezdnię przy czerwonym
      > świetle.

      Ręce opadają. Przejście na czerwonym świetle może być nieszkodliwe (w środku nocy przy pustej drodze), uciążliwe (wejście na jezdnię, gdy jest korek i mnóstwo samochodów musi się zatrzymać), jak i tragiczne (wpadnięcie pod nadjeżdżający pojazd).

      A złamanie tajemnicy zawodowej jest zawsze złe, bo jest nieetyczne. Przeprasza, ale nie rozumiesz tego? Jestem przerażony, jeśli ludzie z takim rozumowaniem, jak Ty, mają do czynienia z danymi medycznymi.

      I jeszcze jeden argument: kłamstwo można odwołać, ukradzione pieniądze oddać z odsetkami. A zdradzonej tajemnicy cofnąć się nie da.

      > Jak rozumiesz dobro pacjenta? Mi się wydaje, że w skrócie
      > chodzi to by zdrowie pacjenta po wizycie u lekarza i po
      > leczeniu było lepsze niż przed, a w najgorszym przypadku
      > by nie było gorsze.
      > (…)
      > Co ma zatem dobro pacjenta do informacji o tym do jakiego
      > lekarza przyszedł?

      To dwie różne, ale powiązane ze sobą rzeczy. Dobro pacjenta to zarówno jego zdrowie, jak i informacje o stanie tego zdrowia.

      Lekarz ma nie tylko leczyć, ale też trzymać język za zębami na temat zarówno stanu zdrowia pacjenta, jak i wszystkiego, co się przy tej okazji dowiedział. Podobnie jak pielęgniarki, ratownicy i cały personel szpitala. Ponownie odsyłam do tekstu przysięgi Hipokratesa jak i współczesnego przyrzeczenia lekarskiego.

      > Napisz jak zarabiasz na życie a odpiszę, że oczywiście zdaję
      > sobie sprawę, jakie lenie pracują w … i wiem, że ostatnią
      > rzeczą o którą się troszczą jest sprawna obsługa …

      Co to ma do rzeczy? Nie odniosłeś się do moich argumentów. W mojej ocenie starasz się przerzucić dyskusję na tematy “ad personam”.

      W każdym zawodzie są lenie, tylko problem w tym, że – w mojej ocenie – tych leni w dziale IT szpitala usprawiedliwiasz.

    • >>Jeżeli uważasz, że tłumaczenie “bo wszyscy tak robią” albo tylko “bo inni tak robią” usprawiedliwia, to >>faktycznie nie znasz podstaw, obawiam się.
      Przede wszystkim chciałbym zaprotestować, żeby nie wmawiać mi (cytować), czegoś czego nie napisałem/powiedziałem.

      >> temat rzeka. Ciągle jednak nie rozumiem, dlaczego miałoby to zmieniać ocenę niedbalstwa w szpitalach.

      Myślę, że to niedbalstwo wynika z życia… podobnie jak jedna z minister ;) powiedziała, że sorry, ale pociągi będą się spóźniać, bo taki mamy klimat, jest zima.

      Próbuje sprawę zbagateliować… dlaczego? bo właśnie idziemy w stronę absurdu. Powiedzmy, że jestem informatykiem w szpitalu, przypada na mnie ok. 250 różnych urządzeń sieciowych, właśnie robie kolejne tabelki dla urzędów nadrzędnych. Woła mnie lekarz i mówi – nie działa mi wydruk historii choroby, jakiś komunikat mam.
      Co robić?

      A. Podejść do lekarza (ewentulnie podłączyć się zdalnie), sprawdzić komunikat, przy okazji widzisz, że to rzeczywisty opis wizyty pacjenta, widzisz nawet jego dane, rozwiązujesz problem, sprawdzasz czy historia choroby się drukuje, przekazuje wydruk lekarzowi.

      B. Poprosić o przeczytanie dokładnie komunikatu, lekarz Ci mówi, że ma to w d…, bo od kwestii techniczny to jest IT, więc musisz prosić ABI o dostep do tych danych, bo na codzień są Ci nie potrzebne, czas leci, aaa może by tak zrobić na danych testowych, zasymulować, i przekazać procedurę rozwiązania problemu lekarzowi, ale on znowu umywa ręcę, więc i tak te dane musisz zobaczyć. No a na koniec najlepsze… bo zrobiła się już spora kolejka, pacjenci nerwowi, wchodzisz do gabinetu – od razu do ludzi w poczekalni… nie, nie ja nie do lekarza, ja w sprawie problemu technicznego… wychodzisz po kilku minutach i mówisz, będzie ok… i ta wdzięczność pacjentów, jesteś wręcz bohaterem, znowu mogą wchodzić do gabinetu… bezcenne. I wiesz, gdzie Ci pacjenci mają, że widziałem przez chwilę ich dane? Tam gdzie lekarz…
      Podobnie jest z tymi ftpami, wysyłaniem maili ze zrzutami ekranów – uczestnicy mają to w d…, liczy się jak najszybsze rozwiążanie problemu. jak się szyfruje to po to, żebym był właśnie dupochron, bo jaki masz wpływ na to, że Ci hakerzy podatność zerową zastosują, też będzie niedbalstwo?
      W przypadku Eskulapa, może to niedbalistwo, a może normalny błąd ludzki, nigdy takich nie popełniasz… no pewnie nie, bo to dane osobowe, nie ma mowy, zbyt poważna sprawa… a ja Ci mówię, że gdyby ten informator zadzwonił do konsultanta IT i powiedział, co widział, to by było dawno po sprawie, nie musieliby Panowie z portalu tylu pacjentów przeglądać :)

      >Proszę mnie zrozumieć – NIE CHODZI tu o przepisy: te bywają dobre, średnie, złe i bardzo złe, i to jest temat na >oddzielną dyskusję. Nie chodzi o to, by kierować się wyłącznie literą prawa: mamy ISO, mamy ABI, mamy to czy tamto >– często zresztą tylko jako tzw. dupochron.

      A ja myślałem, że chodzi właśnie o przestrzeganie przepisów, reguł, dobrych praktyk, robienie zgodnie z dostępną wiedzą techniczną. Paweł (sorry, że tak bezpośrednio, ale neoetyka chyba na to pozwala ;)) powiedz mi, czy wiesz dlaczego Pacjenci na Izbie Przyjęć, nie chcą dawać dowodów do kserowania? Odpowiem, bo znam statyczyną odpowiedź… boją się, że ksero zostanie wykorzystane do udzielenia kredytu, zaciągnięcia innych zobowiązań…. 9 na 10 pacjentów tak odpowiada, bo w TV słyszeli i ja to rozumiem. Nie rozumiem tylko dlaczego wolno było kiedykolwiek brać kredyt na ksero dowodu albo na dane z dowodu bez okazania oryginału? Nie chodzi im strike o to, że poznam ich pesel, albo gdzie mieszkają (to i tak zresztą muszą podać). I o takie absudy mi chodzi, że musisz każdemu pacjentowi tłumaczyć, że nie zrobisz sobie ksera, że spiszesz niezbędne dane i oddasz mu dokument, że będziesz go trzymał na widoku….

      >Chyba nie uważa Pan, że tylko ci ludzie, którzy nie piracą, nie przeklinają, nie biją żon, itd. mają prawo do >prywatności w szpitalu?? Byłoby to absurdalne.

      Nie, piractwa użyłem do porównania, że obie rzeczy są niedozwolone, ale kradzieć Twoich danych bardziej Cię oburza, bo Ty coś straciłeś. Absurdalne jest to, że procedury zrobiły się ważniejsze w szpitalu od pacjenta i to właśnie dzięki postawie, jaką Ty reprezentujesz. To nie niedbalstwo obsługi IT tylko wydumane ego pacjenta, jego prawo do intymności… na salach odwrócone karty gorączkowe, lekarz nie wie czy może się po imieniu zwracać do chorego, w salach wieloosobowych rozstawiane parawany albo wszyscy na korytarz, bo trwa badanie, pacjent może sobie na obchodzie wyprosić personle medyczny i konsultować stan zdrowia ze swoim lekarzem (bez udziału pielęgniarek). Nie rozumie, że takie obchody to też nauka dla innych, że to doświadczenie może mu kiedyś życie uratować. Nie czujesz tego?

      >Przypominam o treści przysięgi Hipokratesa.
      No to tutaj akurat jest więcej lepszych przykładów na łamanie tej przysięgi :)

      >Być może, ale trzeba było to przewidzieć przy otwieraniu działalności i zarejestrować firmę w wirtualnym biurze. >Jest wyraźne ostrzeżenie w formularzu, że adres wykonywania działalności będzie upubliczniony, nawet jeżeli jest >tożsamy z adresem zamieszkania.

      No gdyby dostosować ochronę danych w szpitalu do standardu CEDIG to też można by tłumaczyć pacjentowi, że trzeba było przewidzić, że się zachoruje a teraz proszę podać dane, bo musimy Pana zarejestrować do poradni. CEDIG upublicznia dane osób, jednocześnie inne przepisy zmuszają, że Te same osoby do chrony danych innych firm bo inaczej kaaarrrry… i to oczekiwanie, że już w mają takie firmy jak Konsultant IT pożałują i zapłacą za niedbalstwo. Ale radocha będzie…

      >danych w CEIDG jest zbyt duży, ale tego się nawet porównać nie da z szastaniem danymi medycznymi w Internecie.
      Rozumiem, że Konsultant IT w Pawła mniemaniu dopuścił się szastana danymi medycznymi.

      >Pracę swoją trzeba się starać wykonywać jak najlepiej, jeżeli jest dobrowolna. Nawet jeśli mało nam płacą. Inaczej >popadniemy w absurd.
      Czyli brawo dla ustawodawców… :)

      >Nie umiesz zabezpieczyć danych, to nie zajmujesz się ich administracją.
      Dostałeś kiedyś złą ocenę w szkole? I co nauczyciel powiedział Ci, żebyś sobie podarował, czy żebyś wziął się do nauki? Bardzo często porażkę, można przekuć na sukces. Wierzę, że za chwilę serwery Konsultanta będą jednymi z lepiej zabezpiecznonymi w Polsce :)
      No nie, ja sobie tutaj głupie żarty robie, a to przecież o dane osobowe chodziło… nie, w ogóle tematu nie czuje… ;)

      >Potrafię sobie aczkolwiek wyobrazić ludzi, którzy specjalnie pojadą gdzieś dalej – np. do poradni psychiatrycznej >albo chorób wenerycznych.
      Ja w sumie też znam dziewczyny co wolą kobietę ginekolog, a inne facetów i specjalnie dla tych lekarzy jadą do innego miasta, no ale tak zawsze było… nie koniecznie w kontekście ochrony ich danych osobowych…

      >“prawie” robi zasadniczą różnicę, więc założenie jest błędne.
      Ok, zamienie prawie wszystkich na jednego, znam jednego z tej poczekalni. Robi Ci to różnice? Temu jednemu raczej nie robi, że jest jednym spośród prawie wszystkich, których znam, bo to właśnie jego znam.

      >Na temat list pacjentów: dzisiaj tę listę b. łatwo powielić – raz coś jest wywieszone publicznie, to zaraz trafi >do sieci. A nazwiska bywają bardzo unikalne…
      Do listy muszę podejść, zerwać, zrobić fotkę, łatwiej mi będzie zrobić fotkę zza pazuchy całej poczekalni i ludzi tam siedzących. Jakbym chciał to upublicznić to zdjęcie na pewno łatwiej będzie zrobić, niż z aparatem parodiować przed drzwami do gabinetu lekarza.

      >Rozumiem że automat do numerków jest drogi, ale jaki to problem dla pani w rejestracji wydać ludziom wydrukowaną >małą karteczkę z pieczątką i wpisaną datą i godziną wizyty? Przy odrobinie dobrej woli to naprawdę nic trudnego. >Oczywiście zdaję sobie sprawę, jakie lenie pracują w administracji szpitalnej i wiem, że ostanią rzeczą o którą >się troszczą jest sprawna obsługa pacjentów.
      No widzisz Paweł i tutaj wychodzi na to, że nie jesteś informatykiem w szpitalu. Problem polega na tym, że karteczka musi być unikalna (przynajmniej żeby pieczątka była lub druk firmowy), bo jak odręcznie to każdy podrobi. No ale to jest jeden problem, inny to taki, że sporo pacjentów rejestruje się telefonicznie i jak im te lenie z administracji maja przekazać karteczkę? Często te lenie są też pielęgniarkami, które asystują np. chirurgom. No i bywa, że rejestracje w soboty są nieczynne, a lekarz przyjmuje i kto ma wtedy taką karteczkę wydać?
      Też przyjdziesz do pracy, jak Ci nie zapłacą i to w sobote? No pewnie, gdyby chodziło o dane osobowe to tak.

      Z Twojego komenatrza do innego uczestnika:
      >A złamanie tajemnicy zawodowej jest zawsze złe, bo jest nieetyczne. Przeprasza, ale nie rozumiesz tego? Jestem >przerażony, jeśli ludzie z takim rozumowaniem, jak Ty, mają do czynienia z danymi medycznymi.
      Czy Ty naprawdę uważasz, że osoby, które wrzucały materiały na serwer Konsultanta IT są nieetyczni? Czy sam Konsultant IT jest nieetyczny? Przecież obie strony obowiązywały umowy, popełniły błąd i to muszą sobie wyjaśnić. Dla mnie nieetycznie zachował się ten kto poszedł do “gazety” i nakablował… to jest nieetyczne, ale chyba się już powtarzam.
      Przerażające może być to, że skoro podróżujesz to jest szansa, że się spotkamy w jakimś szpitalu… muszę uważać, jak pacjentem będzie Paweł to od razu czujność musi być na 100% ;)

      >A zdradzonej tajemnicy cofnąć się nie da.
      Co się nie da? Można jakiegoś faka zawsze puścić dla zmyłki i ten co miał dostęp do danych zwątpi co jest prawdą, a co nie :) Można również po ludzku przeprosić za zainstaniały fakt, jesteśmy tylko (aż) ludźmi.

      Paweł, przepraszam, całkiem szczerze, za niektóre ironiczne wstawki, ale pod wpływem emocji w niektórych miejsach po prostu nie mogłem się powstrzymać. Nie będę również dalej kontynuował swoich komentarzy w Tym wątku z racji innych czynności, które w tym czasie mógłbym zrobić. Dlatego nawet jeśli ostro mnie objedziesz i nie będę się z tym zgadzał to już nie odpiszę.. mimo wszystko powodzenia. Aaa i przepraszam, za wszelkie literówki, bo widzę, że się zdarzają.

    • @Szymon: Akurat byłem kiedyś informatykiem w szpitalu, więc trochę o tym wiem. Ale to nie ma znaczenia. Z chęcią bym Ci odpisał i kontynuował wymianę zdań, ale skoro mówisz, że nie masz czasu/ochoty na dalszą dyskusję, to nie będę się narzucał.

    • @Szymon:
      PS. Jeśli opadną Ci “emocje” i będziesz chciał gadać, to daj znać w tym wątku, możemy dalej pisać tu albo dokończyć dyskusję mailem.

    • Paweł:
      Potraktowałem stwierdzenie “bo wszyscy tak robią” dosłownie. Dla mnie wszyscy to naprawdę wszyscy lub wszyscy z nielicznymi wyjątkami np. jeden na milion. Nadal uważam, że w przypadku gdy wszyscy nie przestragają pewnej zasady to należy ją zmienić, zapomnieć, przestać powoływać się na nią, niezależnie czy dotyczy to etyki, konstytucji, tajemnicy lekarskie czy regulaminu korzystania z piaskownicy. Po prostu mam skrzywienie odnośnie uogólnień typu wszyscy, nikt, zawsze itp.
      Cieszę się, że rozwinąłeś przykład z przejściem na czerwonym świetle. Analogicznie upubliczniona informacja o tym, że pan Kowalski leczy sie psychiatrycznie może być nieszkodliwa (nikogo to nie zainteresuje), uciążliwa (ktoś sobie jednorazowo niewybrednie zażartuje), tragiczna (zostanie zaszczuty w miejscu pracy i popełni samobójstwo), a nawet o dziwo korzystna (zadziała empatia i pan Kowalski otrzyma wsparcie od rodziny lub kolegów z pracy).
      Uważam, że zasady powinny być zmienione i dostosowane do rzeczywistości bo wg mnie tak jak w przypadku przejścia na czerwonym świetle, ujawnienia danych osobowych, posiadania broni i narkotyków oceniane, karane i piętnowane powinny być czyny i konsekwencje, a nie samo posiadanie/ujawnienie.
      Przekazuję moje uwagi bo nie oceniam i nie usprawiedliwiam ludzi którzy nie przestrzegają obecnych zasad dotyczących ochrony danych osobowych, również wrażliwych. Wiem, że w przypadku niektórych osób powinien być stosowany zamordyzm ale mam nadzieję, że w zdrowym społeczeństwie jest ich mniejszość, a pozostała większość potrafi ocenić czy swoimi działaniami szkodzi innym.
      Nie podoba mi się kierunek w którym to wszystko zmierza: z jednej strony totalna tajemnica i wmawianie, że dla dobra jednostki, z drugiej totalna inwigilacja przez wybrańców (różne słuzby,korporacje). W tej chwili masz problem z listą osób oczekających na wizytę w szpitalu po uważasz, że jest to szkodliwe, być może dlatego że ktoś Ci to wmówił. Za chwilę zażądasz aby pogotowie podjeżdżało do domu nieoznakowanym samochodem w cywilnym ubraniu, a do urzędu skarbowego będziesz przychodził w kominiarce.
      Gdzie są granice? Jedną z metod walki z szantażystą jest ujawnienie danych, może zamiast walczyć o ochronę wielu informacji lepiej jest je odtajnić.
      Odnośnie leni to przepraszam jeśli odebrałeś to tak mocno. Zgadzam się, że w każdym zawodzie są lenie, ale postanowiłem być trochę uszczypliwy po Twoich niesprawiedliwych uwagach odnośnie pracowników administracji szpitalnej (i nie jestem jednym z nich :).

    • > uważam, że w przypadku gdy wszyscy nie przestragają
      > pewnej zasady to należy ją zmienić, zapomnieć, przestać
      > powoływać się na nią, niezależnie czy dotyczy to etyki,
      > konstytucji, tajemnicy lekarskie czy regulaminu
      > korzystania z piaskownicy

      I tutaj różnimy się o 180 stopni. Jeśli takie są Twoje poglądy, no to z całym szacunkiem, ale nie dogadamy się. Uważam wprost przeciwnie: zasady etyki obowiązują zawsze; co więcej – i to już jest fakt, a nie moja opinia – na tym została zbudowana cywilizacja łacińska. Uważam, że warto ratować ją przed upadkiem.

      > Cieszę się, że rozwinąłeś przykład z przejściem na
      > czerwonym świetle. Analogicznie upubliczniona informacja
      > o tym, że pan Kowalski leczy sie psychiatrycznie może
      > być nieszkodliwa (nikogo to nie zainteresuje), uciążliwa
      > (ktoś sobie jednorazowo niewybrednie zażartuje), tragiczna
      > (zostanie zaszczuty w miejscu pracy i popełni
      > samobójstwo), a nawet o dziwo korzystna (zadziała
      > empatia i pan Kowalski otrzyma wsparcie od rodziny lub
      > kolegów z pracy).

      Nietrafione porównanie. Znów: według zasad *etyki* lekarskiej Kowalski ma prawo do tajemnicy o stanie jego zdrowia, więc niezależnie czy konsekwencje będą małe czy duże, doszło do naruszenia jego praw jako pacjenta. Co jest złe i kropka.

      > posiadania broni i narkotyków

      Moim zdaniem porównanie do narkotyków nie ma sensu. Nie można tych kwestii porówniać do kwestii ochrony prywatności, bo narkotyki wyrządzają szkodę temu, kto je bierze, a nie innym (analogicznie przecież nie jest nieetyczne upublicznianie informacji o *swoim* zdrowiu!). Podobnie jak księdzu nie wolno opowiadać, co usłyszał na spowiedzi. Ale temu, kto się spowiadał, już wolno. Różnica jest zatem zasadnicza.

      A broń sama nie strzela – szkoda się dzieje, gdy ktoś używa broni *bezprawnie*.

      > Nie podoba mi się kierunek w którym to wszystko zmierza:
      > z jednej strony totalna tajemnica i wmawianie, że dla dobra
      > jednostki, z drugiej totalna inwigilacja przez wybrańców\
      > (różne słuzby,korporacje).

      Mi też się to strasznie nie podoba. Ale na Boga, rozwiązaniem jest walka z inwigilacją, a nie usunięcie prywatności z życia ludzi! Przecież tego właśnie owe służby i korporacje chcą.

      > Za chwilę zażądasz aby pogotowie podjeżdżało do domu
      > nieoznakowanym samochodem w cywilnym ubraniu

      Na marginesie: co bogatsi ludzie potrafią sobie załatwić zespół ratowniczy, który incognito przyjedzie np. opatrzyć rany pana prezesa po bójce z mafią/mężem kochanki/etc. czy w innych kompromitujących sytuacjach :)

      A tak na serio: znów to jest sytuacja nadzwyczajna (zagrożenie życia), a i porównanie słabe: przecież nikt z karetki nie krzyczy na ulicy, jakie to choroby ma właśnie wieziony pacjent i nie wyrzuca jego dokumentacji medycznej na ulicę.

      > a do urzędu skarbowego będziesz przychodził w kominiarce

      Przecież nie mam nazwiska ani numeru sprawy w urzędzie wytatuowanego na czole, prawda? I PIT-y też obejmuje tajemnica skarbowa…
      Poza tym nie ma w Polsce zakazu zasłaniania twarzy w miejscach publicznych.

      > Gdzie są granice? Jedną z metod walki z szantażystą jest
      > ujawnienie danych, może zamiast walczyć o ochronę wielu
      > informacji lepiej jest je odtajnić.

      Tak bywa, ale zawsze trzeba raczej zapobiegać niż leczyć!

      > postanowiłem być trochę uszczypliwy po Twoich
      > niesprawiedliwych uwagach odnośnie pracowników
      > administracji szpitalnej

      Podtrzymuję moje uwagi: jest tam wielu leni. Nie piszę, że wszyscy, ale wielu.

      Twoje podejście – raz jeszcze powtórzę, z całym szacunkiem – uważam za bardzo groźne. W mojej ocenie Twoja postawa (którą przejawia całkiem wielu ludzi) jest jedną z przyczyn, dlaczego w naszym (i nie tylko) państwie tak wiele rzeczy działa tak źle.

    • Paweł:
      Dwa razy użyłeś zwrotu ‘z całym szacunkiem’ i proszę byś tego więcej nie czynił. Mam już swoje lata i uważam, że szacunek należy po prostu okazywać, a zastosowanie tych słów w takim kontekście jest obraźliwe. Taki zwrot pojawia się niestety w dyskusjach gdy brakuje komuś argumentów ale ma jeszcze na tyle kultury by nie powiedzieć ‘ty tępy debilu to ja mam rację’.
      Co do zasad i etyki – to są sprawy umowne. Zasady zmieniają się w czasie, co więcej w tym samym czasie są inne w różnych miejscach. To co było etyczne 300 lat temu nie jest etyczne dzisiaj i na odwrót. Ślepe, bezkrytyczne stosowanie się do zasad prowadzi do zniewolenia gdyż wielu ludzi wprowadzi i wykorzysta je do własnych celów. Zdaję sobie sprawę, że pewne minimum zasad (np. przepisów prawa), musi być aby nie zapanowała anarchia i bezprawie, ale należy je ograniczać co swoją drogą jest równoznaczne z ograniczaniem wpływu państwa na życie obywateli co z kolei jest jednym z filarów naszej cywilizacji :). Myślę że gdyby przemyśleć niektóre z zasad to spokojnie można by je znieść i np. utajnienie danych o pacjentach jest tematem który całkiem dobrze nadaje się do dyskusji.
      Napisałeś, że cel do osiągnięcia jest taki aby nikt nie dowiedział się o stanie zdrowia pacjenta. ALE DLACZEGO? Dlaczego ludzie nie chcą tego ujawnić? Myślę, że wynika to ze strachu. Boją się, że zostanie użyte to przeciwko nim, że stracą pracę, przyjaciół, rodzinę, że zostaną odtrąceni, że ktoś im zaszkodzi w inny sposób. Boją się wstydu. To trudne, ale według mnie trzeba zapewnić im poczucie bezpieczeństwa odpowiednimi przepisami niezależnie od dostępu do tych informacji. Spróbuj wyobrazić sobie, że od jutra wszystkie twoje dane medyczne będą dostępne, ale również twoich dzieci (jeśli posiadasz), twojego szefa, prezydenta, premiera, twojej żony, twojego kolegi z pracy. Jak wykorzystasz te informacje? Jak inni wykorzystają te informacje? Co stracisz? A może coś zyskasz? Może dzięki nim ktoś ci pomoże? Może ty pomożesz innym? Nadal będziesz chciał je utajnić? Zdaję sobie sprawę, że jest to utopia, ale bardziej mi się podoba taka wizją niż walka z wiatrakami jaką jest zaciekłe bronienie poufności.
      Napisałeś, że zawsze trzeba raczej zapobiegać niż leczyć. Ja nie chcę ani ‘zapobiegać’, ani ‘leczyć’. Ja chcę zlikwidować ‘chorobę’ poufności danych medycznych przez ich upublicznienie. Oczywiście nadal trzeba będzie ‘zapobiegać’ i ‘leczyć’ w przypadkach wykorzystania tych danych co i tak obecnie się dzieje.
      Zauważ, że poświęcamy nie wiadomo jakie środki materialne i ludzkie na zabezpieczenie danych, na wykrywanie przecieków, na ściganie ludzi którzy dopuścili do tego nieświadomie lub świadomie a nawet celowo. Co chwilę dochodzi do takich przypadków i niezależnie od działań będzie dochodziło więc kolejne zasoby idą na ściganie tych, którzy zrobili nielegalny użytek z informacji. Gdyby doprowadzić do jawności to ogromne środki można by przeznaczyć na rozwój i nadal można by tępić tych co wykorzystują takie informacje nieetycznie, nielegalnie być może skuteczniej niż teraz.
      Twoje kontrargumenty niestety są nietrafione, może wynikają z tego że nie rozumiesz o co mi chodzi. Tak czy inaczej ja porównuję SZKODLIWOŚĆ przejścia przy czerwonym świetle i ujawnienia danych medycznych, a Ty powołujesz się na etykę i łamanie prawa. Co ma piernik do wiatraka – czy złamanie prawa lub etyki musi wiązać się ze szkodliwością, czy każde działanie zgodnie z prawem czy etyką gwarantuje brak szkodliwości? Podobnie przy narkotykach w jednym zdaniu mieszasz ich szkodliwość z nieetycznym upublicznianiem informacji. W przypadku broni podajesz argument absurdalny. Informacja też nie strzela! Szkoda dzieje się, gdy ktoś używa informacji *bezprawnie*. Czy naprawdę nie widzisz analogii w posiadaniu broni i informacji, a zarazem różnicy między posiadaniem broni/informacji od ich użycia? Co do spowiedzi to lepiej nie używać tego argumentu. Dla jednych tajemnica spowiedzi to bezpieczeństwo, dla innych to zapewnienie lepszego samopoczucia, a dla innych to mechanizm inwigilacji, wykorzystywania informacji do sprawowania władzy, wpływania na działania wierzących. Podajesz przykłady wyjątków – fajnie tylko parafrazując: Ale na Boga albo wymyślamy zasady i stosujemy je bezwzględnie, albo zmieńmy zasady. Jeśli Nowak zobaczy nazwisko Kowalskiego w szpitalu to źle, ale jeśli przyjedzie karetka do Kowalskiego i cała wieś się o tym dowie to wszystko jest w porządku? Przecież to jest zwyczajna hipokryzja, a argument o sytuacji nadzwyczajnej jest beznadziejny bo w sumie to chodzi tylko o koszty – jeśli wydaje się, że w miarę łatwo zapewnić poufność to ok, ale jeśli trochę trudniej to nazwijmy to ‘sytuacja nadzwyczajna’ i miejmy poufność głęboko gdzieś. Nie wiem co masz wytatuowanego na czole idąc do US, ale zakładam, że to samo co idąc do szpitala. Boisz się, że ktoś dowie się o wizycie u lekarza, ale nie przeszkadza ci, że sąsiad rozpozna cię w US? Przecież skoro tam byłeś, to pewnie cię wezwali, skoro wezwali to pewnie odkryli jakieś przekręty, zatem jesteś złodziejem, a jak złodziej to pijak. Nie przeszkadza ci to? Co inni powiedzą? Tak dbasz o swoją prywatność? Twoje podejście uważam za groźne :)
      I na koniec rozumiem, że moje podejście może budzić obawy, ale naprawdę nie jest ono tożsame z bagatelizowaniem i hasłem ‘to po co mam chronić swoją prywatność’. Myślę, że jeśli wszyscy będą mieli TAKI SAM DOSTĘP do informacji to będą czuli się bezpieczniej, nie będą się bali i jednocześnie nie będą wykorzystywali tego przeciwko innym. Nie czyń drugiemu co tobie niemiłe, kto mieczem wojuje ten od miecza ginie itd :)

  25. Strona helpdesk.konsultant-it.pl nadal stoi na zabytkowym Apache 2.2.22, o czym bardzo chętnie informuje, więc w tym kontekście dosyć podejrzanie brzmią wyjaśnienia wiceprezesa, że “Do udostępnienia danych doszło na skutek błędu podczas migracji przez DIMIMO helpdesku, na nowy serwer”. Apache w wersji 2.2.22 został udostępniony w styczniu 2012 r. więc aż strach pomyśleć na czym stał ten “stary” serwer, z którego odbyła się migracja… Z drugiej strony nie ma się co dziwić, jeżeli wybiera się do migracji na “nowy serwer” VPS od dostawcy, który udostępnia tylko Debiana 7 i Ubuntu 14.

    W tym przypadku winnych jest kilku: po pierwsze użytkownicy, którzy nie animizowali wysyłanych na helpdesk danych, firma migrująca helpdesk, firma, która użyła na produkcji niesprawdzony pod względem bezpieczeństwa system do przetwarzania danych wrażliwych oraz firma, która udostępnia VPS z zabytkowymi systemami operacyjnymi (choć nikt nikogo nie zmusza, do kupowania akurat takiej usługi).

  26. Pytanie co z instytucjami odpowiedzialnymi za kontrole takich firm. Nie dochowanie tajemnicy lekarskiej to chyba już prokurator powinien nad tym pracować, identycznie z danymi osobowymi. Gdzie Giodo, Uokik itp.. ktoś ich w ogóle powiadomił ?

  27. Dlaczego nie publikujwcie nazw szpitali w których doszło do wycieku danych?
    Dlaczego choenicie placówki,zamiasf zadbać o dobro pacjenta?
    Gdzie sprawdzić czy nasze dane wyciekły?

  28. https://i.imgur.com/jz9zxuv.jpg

    A co tutaj się stało? Popsuło się czy celowe działanie?

  29. „W nawiązaniu do pojawiających się w mediach informacji o wycieku danych z systemu helpdesk obsługującego zgłoszenia serwisowe dotyczące Systemu Informatycznego Eskulap informujemy, że problem nie dotyczy serwisu prowadzonego przez firmę MedHub Sp. z o.o. (producenta Systemu Eskulap)
    W związku z powyższym uprzejmie informujemy, że problem opisany w mediach nie dotyczy klientów obsługiwanych bezpośrednio przez naszą spółkę.
    Informujemy również, że spółka nasza podjęła działania zmierzające do wyjaśnienia nieścisłości i sprostowania nierzetelnych informacji zamieszczonych w mediach”.
    Zarząd MedHub

  30. Ciekawe – mają szczęście, że “zdążyli” zaliczyć przed RODO. Może to testy “security”, bo z bezpieczeństwem to nie ma nic wspólnego.

  31. Luz… Pewna firma obsługująca systemy informatyczne placówek medycznych używa ftp i robi ich kopie tym kanałem…
    Zasadniczo ma w d sugestie że tak być nie powinno.
    Ale oni są duzi i się znają a ja jestem płotką i się nie znam :D

    • co jest niby złego w FTP (zwłaszcza FTPS), zwłaszcza przy zastosowaniu pewnych zasad bezpieczeństwa takich jak 1) każdy user ma własne konto bez uprawnienia delete i z dostępem tylko do własnego katalogu; 2) przesyłaniu na ftp paczki danych spakowanej z hasłem?

  32. Ja nie wiem co Konsultant IT chce u siebie audytowac jak oni maja samych podwykonawcow praktycznie :D
    Miekko tez zwalili wine na podwykonawce. A samemu to juz nie laska zweryfikowac co robia zatrudnieni z zewnatrz robole?

    I jescze pytanie czy za zabezpieczenie przekazywanych danych powinien dbac pracownik szpitala, helpdesk, czy moze obie strony (wiemy ze nie kazdy pracownik szpitala ogarnia komputery, ale kazdy pracownik helpdeska powinien ogarniac – w tym takze kwestie bezpieczenstwa).

    Tak czy siak Konsyltant IT powinno dostac ostro po mordzie za ta akcje – az zal ze nie ma jeszcze RODO :P – a to czy czesc bolu przeniosa na podwykonawcow to juz ich problem…

  33. Niedługo nikt nie będzie musiał niczego wykradać wszystko będzie dostępne dla każdego.
    Nowa ustawa o POZ pozwala placówką zdrowia na indywidualnie podpisywanie umów z kim chcą i przekazywanie im danych o pacjentach, bez zgody samego pacjenta. Pacjent ma prawo wyboru placówki ale nie ma wglądu w to komu dana placówka przekazuje informacje. A mogą to być instytucje każdego typu, np zajmujące się transplantologią, ubezpieczeniami, banki itd.

  34. @Szymon:
    PS. Jeśli opadną Ci “emocje” i będziesz chciał gadać, to daj znać w tym wątku, możemy dalej pisać tu albo dokończyć dyskusję mailem.

  35. “legalną procedurę” – tyle dobrze! Mogli użyć nielegalnej ;) Och, te kalki językowe. Czepiam się cytatu, więc to nie przytyk w stronę redakcji.

  36. Jedno jest pewne … cała ta informatyzacja życia społecznego zaczyna ludzi po prostu przerastać :D Aż strach pomyśleć co będzie za kilka lat, może się okazać, że w tym całym informatycznym burdelu żywy człowiek jest całkowicie zbędny :D

    • Moim skromnym zdaniem problem leży gdzie indziej: po prostu jako ludzie mamy taką mentalność, że wszystko co nie jest nasze i nie dotyczy nas mamy w 4 literach. Z tym człowiek się rodzi, dopiero odpowiednie wykształcenie ma wpoić inne zachowania. W efekcie nad czyjąś własnością intelektualną bądź prawną często dana osoba nawet się nie zastanowi, a gdyby w ręce nagle wpadły tej samej osobie jej własne wyniki, już zachowa się zupełnie inaczej. Tak jesteśmy skonstruowani + zepsuci przez ciągły pośpiech oraz kasiorę.

  37. Bo ktoś jest świadkiem koronnym? A mafia za jego głowę daje milion dolarów? Bo jakiś psychopata zakochał się w mojej córce widząc jej zdjęcie na FB? Bo pedofile będą mieli ułatwione zadanie? Bo wyłudzą na mnie wszystko – zasięgnijcie trochę TORA – co ludzie tam robią, jak handlują waszymi danymi, do czego wykorzystują i jak opisują jak portwać dziecko i przewozić je odurzone w walizce przez granicę…. – Dlatego moje dane i mój adres zamieszkania mam mieć tylko – ja osobiście dla bezpieczeństwa posiadam dwa adresy, jeden ukryty – tylko dla siebie, jeden oficjalny dla wszystkich instytucji. Sam czasami patrząc na niektóre sklepy internetowe i znajdując błędy w sql – rezygnuję z zakupu, Rocky Balboa mówił do swojego syna “Świat to nie motylki i tęcza” – niestety to jest prawda, ludzie codziennie są mordowani, inni porywani, a na nasze dane i pozytywną historię kredytową czycha masa oszustów. A Wy macie pomysł by je udostępnić? 10 tysięcy USD kupicie paszport z waszym zdjęciem i danymi siąsiada – 1:1 – przechodzi na lotnisku i w kazdym banku, firme można niego założyć albo spółkę. Więc udostępnijcie swoje wszystkie dane a potem czekajcie aż odezwą się do Was urząd skarbowy, oszukani ludzie i inni.

  38. […] Incydent, miejmy nadzieję, finalnie nie okaże się taki straszny na jaki wygląda i raczej na pewno nie będzie tak potężny jak opisywany przez nas kiedyś Wyciek danych pacjentów z wielu szpitali. […]

  39. […] (jak ostatni wyciek z Telemedi.co) albo po stronie firm współpracujących (jak opisywany niegdyś wyciek z firmy obsługującej szpitale z zakresie helpdesku). Zdarzają się też historie nieco zabawne (zob. Wyszukiwała wyniki swoich badań… wśród […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: