Jak informuje GIODO, niezwłocznie po opublikowaniu przez serwis Zaufana Trzecia Strona informacji, że w sieci publicznie dostępne są dane osobowe oraz medyczne 50 tysięcy pacjentów oraz pracowników Samodzielnego Publicznego Zakładu Opieki Zdrowotnej w Kole, w tym ich imiona, nazwiska, numery PESEL, adresy zamieszkania i numery ubezpieczenia oraz numery kont bankowych, Generalny Inspektor Ochrony Danych Osobowych (GIODO) niezwłocznie rozpoczął z urzędu kontrolę w siedzibie szpitala.
Ujawniła ona liczne nieprawidłowości i niedopatrzenia, m.in. w obowiązujących w szpitalu rozwiązaniach i procedurach oraz opisujących je dokumentach.
GIODO wskazuje, że poważnym błędem był brak właściwej i szybkiej reakcji na przekazaną szpitalowi informację o dostępności danych w sieci. Wobec tak poważnego wycieku natychmiastowa reakcja osób odpowiedzialnych z zarządzanie placówką jest niezbędna. Niestety, jak wynika z ustaleń inspektorów GIODO, administrator bezpieczeństwa informacji (ABI) oraz dyrektor szpitala zostali poinformowani o incydencie dopiero 7 dni po tym, jak informacja ta dotarła do pracownika szpitala. GIODO zażądał w związku z tym wszczęcia postępowania dyscyplinarnego wobec osoby winnej tego opóźnienia, które uniemożliwiło szybką reakcję na wyciek. Można było bowiem dużo wcześniej podjąć działania naprawcze.
Z ustaleń kontrolerów GIODO wynikało również, że wdrożony w serwerowni szpitala system firewall okazał się niewystarczający, by zapobiec nieuprawnionemu dostępowi do szpitalnych danych. GIODO zalecił więc wprowadzenie w krótkim czasie środków technicznych, które zapewnią dodatkową ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń, co w przyszłości powinno uniemożliwić podobny wyciek.
Kontrola GIODO wykazała też zaniedbania w dokumentacji związanej z przetwarzaniem danych osobowych. Braki stwierdzono np. w polityce bezpieczeństwa szpitala, która m.in. w sposób zbyt ogólny opisywała obszar przetwarzania danych, nie zawierała wyszczególnienia wszystkich zbiorów danych oraz wskazania systemów informatycznych służących do ich przetwarzania, brak też było informacji o sposobie przepływu danych między poszczególnymi systemami. Ponadto stwierdzono, że w trzech przypadkach z firmami, z którymi podpisano umowy na wykonywanie świadczeń zdrowotnych (obejmujących przeprowadzanie badań radiologicznych, tomografii komputerowej, diagnostyki laboratoryjnej i badań patomorfologicznych), nie zawarto umów powierzenia przetwarzania danych osobowych. Także instrukcja zarządzania systemem informatycznym nie zawierała wszystkich niezbędnych elementów.