Zmizel počítač s 1800 intimními snímky pacientů. Selhání, kterému šlo předejít.

Co se stalo 

V květnu 2025 Fakultní nemocnice Královské Vinohrady přiznala, že ztratila počítač obsahující více než 1800 medicínských fotografií pacientů. Šlo o dokumentaci citlivého a často intimního charakteru, která nikdy neměla opustit zabezpečené prostředí nemocnice. Nález či zneužití těchto dat by znamenal vážné ohrožení soukromí pacientů i reputace instituce. Podobné události nejsou v českém zdravotnictví výjimkou. Už v roce 2020 ransomware ochromil Fakultní nemocnici Brno a zastavil její provoz na několik dní. Tehdy byla událost vnímána jako varování. O pět let později vidíme, že se zásadní poučení znovu neproměnilo v praxi. 

Analýza slabin 

1. Nedostatečný dohled a inventarizace
Počítač s citlivými snímky nebyl pod centrálním monitoringem ani inventarizací. Jeho zmizení tak nebylo odhaleno včas a vedení nemocnice ztratilo přehled, kde se zařízení nachází a kdo s ním pracuje. V prostředí zdravotnictví, kde jde o osobní údaje nejvyšší citlivosti, je tento typ kontroly naprostou nutností. 

2. Slabá ochrana dat
Není jasné, zda byla data na disku šifrována. Pokud ne, měl k nim okamžitý přístup kdokoliv, kdo počítač získal. Takové selhání znamená porušení základních standardů informační bezpečnosti – šifrování disků a vícefaktorová autentizace patří k naprosté nezbytnosti. 

3. Absence krizového plánu
Nemocnice neměla připravený scénář, jak postupovat při ztrátě citlivých dat. Komunikace s pacienty a veřejností byla nekoordinovaná a nejasná, což reputační škody ještě prohloubilo. Krize neškodí jen incidentem samotným, ale i tím, jak je zvládnuta. 

4. Nepoučení z minulých incidentů
Po útoku ransomwarem na FN Brno v roce 2020 bylo jasné, že české nemocnice musí posílit ochranu IT i procesů. Událost ve Vinohradech ale ukazuje, že systémové změny neproběhly plošně a bezpečnost je stále vnímána jako podružná. To je krátkozraký přístup – cena za ztrátu důvěry pacientů a možné právní následky je vždy vyšší než investice do prevence. 

Jak tomu šlo předejít 

• AI Dohledové centrum 24/7
Nepřetržitý monitoring by okamžitě zaznamenal, že zařízení bylo odpojeno nebo zmizelo, a spustil reakci do 30 sekund.
• Implementace bezpečnostních opatření
Povinné šifrování disků, centrální správa zařízení a jasně definované procesy pro práci s daty – opatření, která musí být v nemocnicích samozřejmostí.
• Bezpečnostní školení
Personál musí rozumět tomu, jak s daty zacházet, co dělat při ztrátě zařízení a jak reagovat v krizových situacích. Praktický trénink je klíč. 

Poučení pro všechny organizace 

Tento incident není ojedinělý exces, ale ukázka toho, co se stane, když prevence zůstane na papíře. Únik citlivých dat je vždy víc než technický problém – je to zásadní reputační i právní riziko. Důvěra pacientů, zákazníků nebo zaměstnanců se ztrácí v minutách, a její obnova trvá roky. Prevence je přitom vždy levnější než řešení následků. Stačí systematicky nastavit procesy, technologie a lidi.