UK: zarzuty dla kobiety po nieuprawnionym dostępie do rekordów pacjentów NHS Lothian

Wprowadzenie do problemu / definicja luki

NHS Lothian (Szkocja) poinformował, iż w wyniku wewnętrznego nadużycia uprawnień doszło do nieuprawnionego dostępu do danych medycznych ok. 100 pacjentów. Rutynowy audyt ujawnił incydent w Edinburgh Royal Infirmary; po dochodzeniu wewnętrznym Police Scotland potwierdziła postawienie zarzutów kobiecie podejrzanej o dostęp do rekordów bez podstawy służbowej. Poszkodowani otrzymali listy z informacją o naruszeniu; zgłoszenia trafiły do Information Commissioner’s Office (ICO). Zdarzenie zgłoszono policji 16 września 2025 r., a o zarzutach poinformowano 31 października 2025 r..

W skrócie

• Skala: ~100 rekordów pacjentów.
• Wektor: dostęp wewnętrzny (insider), „kompletnie nieodpowiedni interes osobisty” – jak wskazano w korespondencji do pacjentów.
• Status prawny: kobiecie postawiono zarzuty; sprawę przekazano do Procurator Fiscal (prokuratura w Szkocji).
• Zgodność/zgłoszenia: powiadomiono ICO oraz policję; pacjenci otrzymali listy.
• Potencjalna kwalifikacja: przestępstwo z Section 170 Data Protection Act 2018 (unlawful obtaining/disclosure of personal data).

Kontekst / historia / powiązania

Naruszenia z udziałem personelu medycznego nie są incydentami odosobnionymi. ICO w 2023 r. informowało o skazaniu byłej sekretarki NHS za nielegalny dostęp do >150 rekordów – precedens potwierdzający, iż indywidualni pracownicy mogą ponosić odpowiedzialność karną za „snooping”.
Serwisy branżowe również akcentują wątek insider threat w NHS Lothian; DataBreaches.net zebrało doniesienia prasowe i wyjaśniło rolę prokuratora (Procurator Fiscal) w szkockim systemie.

Analiza techniczna / szczegóły luki

Na podstawie dostępnych informacji incydent ma charakter niewłaściwego użycia legalnego konta (misuse of legitimate access), a nie włamania z zewnątrz. najważniejsze elementy łańcucha zdarzeń:

1. Wykrycie przez monitoring/audyt – rutynowa kontrola logowań do EHR wskazała dostęp do kart pacjentów bez uzasadnienia klinicznego.
2. Identyfikacja osoby i izolacja – wskazano, iż to działanie pojedynczej osoby; sprawczyni nie jest już zatrudniona w NHS Lothian.
3. Zawiadomienia i ścieżka prawna – NHS zawiadomił ICO i policję, a Policja Szkocji potwierdziła przyjęcie zgłoszenia 16.09.2025 r. i skierowanie sprawy do prokuratury.

Z perspektywy zgodności, takie zachowanie wpisuje się w Section 170 DPA 2018: bezprawne pozyskanie/ujawnienie/retencja danych. Przepis przewiduje m.in. obrony ustawowe (np. interes publiczny lub wykrywanie przestępstw), które w tej sprawie – sądząc z narracji organów – wydają się niezastosowane.

Praktyczne konsekwencje / ryzyko

• Ryzyko dla prywatności pacjentów: ujawnienie wrażliwych danych zdrowotnych (special category data) może skutkować stygmatyzacją, szkodą emocjonalną lub nadużyciem informacji w relacjach osobistych.
• Ryzyko wtórne: choć nie ma sygnałów o dalszym wycieku na zewnątrz, każde nieuprawnione odczytanie w EHR stanowi naruszenie poufności i może wymagać oceny ryzyka oraz – jeżeli uzasadnione – notyfikacji pacjentów (co nastąpiło).
• Ryzyko regulacyjne/karne: pracownikom grożą działania karne z DPA 2018; organizacji – działania nadzorcze ICO i obowiązki wg wytycznych dot. zgłaszania naruszeń w ochronie zdrowia.

Rekomendacje operacyjne / co zrobić teraz

Dla jednostek ochrony zdrowia:

1. Wzmocnić monitoring „break-glass” i anomalii dostępu do EHR (reguły: dostęp do list rodzinnych/znajomych, celebrytów, częste otwieranie rekordów spoza listy opieki, dostęp poza godzinami).
2. Just-in-time access & reautoryzacja – wymagać potwierdzenia celu przy wglądzie do rekordów poza listą przypisanych pacjentów.
3. Regularne audyty i raporty „snooping score” dla kierowników klinicznych; szybkie przeglądy outlierów.
4. Szkolenia scenariuszowe: odpowiedzialność karna z Section 170 DPA 2018 + przypomnienie o Common Law Duty of Confidentiality.
5. Procedury notyfikacyjne zgodne z wytycznymi dla sektora zdrowia (ocena ryzyka, 72h do organu – gdy wymagane, transparentna komunikacja do pacjentów).

Dla zespołów bezpieczeństwa/IT:

• RBAC & least privilege: systematyczny przegląd ról, usuwanie zbędnych uprawnień.
• DLP w kontekście EHR: alerty przy eksportach/drukowaniu, ograniczenia zrzutów ekranu.
• Automaty „peer access check”: blokada lub eskalacja, gdy użytkownik otwiera rekord osoby o tym samym nazwisku/adresie (sygnał potencjalnych powiązań).
• Szybkie wyłączanie kont po odejściu pracownika (incident wskazuje, iż osoba „już nie pracuje” – polityka offboardingu musi być natychmiastowa).

Dla pacjentów (poszkodowanych):

• Zachować korespondencję od NHS Lothian i – w razie potrzeby – skontaktować się z infolinią/ICO, o ile zauważalne są skutki naruszenia (np. dalsze ujawnienia).

Różnice / porównania z innymi przypadkami

ICO wcześniej ścigał podobne incydenty „ciekawskiego wglądu” (tzw. snooping) – np. sprawa byłej sekretarki NHS, która uzyskała dostęp do >150 rekordów. To potwierdza, iż prokuratura/ICO nie ogranicza się do kar administracyjnych dla organizacji, ale pociąga do odpowiedzialności karnej osoby fizyczne. W obecnej sprawie ścieżka jest szkocka (Procurator Fiscal), ale podstawy prawne (DPA 2018 s.170) są wspólne.

Podsumowanie / najważniejsze wnioski

• Incydent w NHS Lothian to klasyczny przykład insider threat w ochronie zdrowia: legalne konto, nielegalny cel.
• Wczesne wykrycie przez audyt logów i sprawne zgłoszenia (policja, ICO, pacjenci) ograniczyły eskalację.
• Jednostki medyczne powinny systemowo przeciwdziałać „snoopingowi”: anomalia dostępu + edukacja + jasne konsekwencje z DPA 2018.

Źródła / bibliografia

1. STV News: „Woman charged after around 100 patient records accessed in data breach”, 31.10.2025. (STV News)
2. PA News (Inverness Courier): „Woman charged after NHS patients’ records accessed in data breach”, 31.10.2025. (Inverness Courier)
3. DataBreaches.net: „UK: Woman charged after NHS patients’ records accessed in data breach”, 01.11.2025. (DataBreaches.Net)
4. UK Legislation: Data Protection Act 2018 – Section 170 (unlawful obtaining etc. of personal data). (Legislation.gov.uk)
5. ICO – „Former NHS secretary found guilty of illegally accessing medical records”, 17.11.2023 (tło orzecznicze). (Information Commissioner’s Office)