Ponedeljek, 11. 3. 2019, 13.24
5 let, 9 mesecev
Podatki o zdravstvenem stanju Primorcev so bili dostopni kar prek Googla
Izvidi in napotnice Slovencev, ki so se naročili na pregled v bolnišnici Izola od začetka leta 2016, so bili dostopni kar prek Googla, poroča spletni portal Slo-Tech. Kot piše, vse kaže, da je IT-sistem samodejno objavljal izvide in napotnice na spletu. Informacijski pooblaščenec je v petek bolnišnici odredil umik dokumentov s spleta in zoper bolnišnico uvedel inšpekcijski postopek zaradi neustreznega zavarovanja osebnih in posebne vrste osebnih podatkov. V izolski bolnišnici so medtem pojasnili, da ni šlo za uhajanje podatkov iz njihovega internega bolnišničnega informacijskega sistema.
Spletni portal Slo-Tech je poročal, da so bili prek Googla dostopni izvidi in napotnice Slovencev, ki so se naročili na pregled v bolnišnici Izola od začetka leta 2016. Kot jim je sporočil neznani vir, ki jim je tudi posredoval primere dokumentov, so bili med izvidi tudi primeri Slovencev z diagnostriciranimi družbeno stigmatiziranimi boleznimi.
Ker Google, kot tudi drugi spletni iskalniki, samodejno indeksira vso vsebino, ki ni zaščitena na platformah, kot je WordPress, je lahko kdorkoli na svetu lahko preverjal zdravstveno stanje Primorcev, navajajo na omenjenem portalu. Njihove navedbe pa potrjujejo tudi priložene slike napotnic.
Mojca Prelesnik, informacijska pooblaščenka. Informacijski pooblaščenec o nepravilnostih obveščen
Informacijskega pooblaščenca so v petek obvestili, da naj bi bilo mogoče prek iskalnika Google pridobiti večjo količino osebnih in posebne vrste osebnih podatkov, ki so bili v preteklosti dostopni prek spletne strani Splošne bolnišnice Izola. Kot so zapisali, je pooblaščenec takoj ukrepal in zavaroval dokaze, hkrati pa obvestil bolnišnico, naj v čim krajšem času poskrbi za odstranitev datotek iz iskalnika Google.
Vendar je bila, kot opozarjajo v spletnem portalu Slo-Tech, škoda posameznikom že narejena. Kot jim je sporočil neznani vir, ki jim je tudi posredoval primere dokumentov, so bili med izvidi tudi primeri Slovencev z diagnostriciranimi družbeno stigmatiziranimi boleznimi.
Pooblaščenec: Gre za neustrezno zavarovanje njihove spletne strani
"Za zdaj je mogoče povedati le, da niso bile objavljene izvorne datoteke, ampak posnetki datotek, ki jih je naredil iskalnik Google," so še navedli pri pooblaščencu. Bolnišnica po njihovih navedbah uradnih pojasnil, zakaj se je incident zgodil, še ni posredovala, "gre pa zelo verjetno za neustrezno zavarovanje njihove spletne strani".
Je pa izolska bolnišnica takoj, ko je izvedela za objavo posnetkov datotek, ukrepala in od Googla zahtevala umik vseh spornih datotek. V soboto so bile te odstranjene, tako da zdaj do njih ni več mogoče dostopati, so še pojasnili.
Zoper bolnišnico uveden inšpekcijski postopek
Informacijski pooblaščenec je zoper bolnišnico uvedel inšpekcijski postopek zaradi neustreznega zavarovanja osebnih in posebne vrste osebnih podatkov.
Kot so pojasnili, je namreč postopek takšen, da se zavaruje dokaze, obvesti zavezanca o kršitvi z namenom čim hitrejše odprave nadaljnjih škodljivih posledic za prizadete posameznike, nato se v inšpekcijskem postopku ugotavlja, kaj se je v resnici zgodilo. Če se izkaže, da je zavezanec kršil zakonodajo s področja varstva osebnih podatkov, se uvede prekrškovni postopek in izreče sankcija.
V podobnih primerih, ko osebni podatki niso več nezavarovano dostopni na spletni strani podjetja, ampak obstajajo le še kot posnetki datotek v iskalniku Google, je pomembno, da podjetje o tem čim prej obvesti Google in zahteva umik podatkov. Google se po dosedanjih izkušnjah na takšne zahteve praviloma hitro odzove, so še zapisali pri pooblaščencu.
Prijava vezana na ukinjeno storitev spletnega naročanja
Kot so zapisali v bolnišnici, so jih o tem, da naj bi bili prek spletnega iskalnika Google vidni podatki o njihovih bolnikih, obvestili v petek.
Po takojšnjem temeljitem poizvedovanju bolnišničnih in zunanjih strokovnjakov za informacijsko varnost so ugotovili, da je prijava vezana storitev spletnega naročanja, ukinjeno .v lanskem letu.
Ugotovili so, da so bili zadetki, prisotni v Googlovem iskalniku, povezani z lani odpravljeno varnostno ranljivostjo njihove spletne strani za storitev spletnega naročanja. Takrat je lahko posameznik ob oddaji naročila za zdravstveno storitev priložil posamezne dokumente.
"Zaradi takratne ranljivosti našega spletnega naročanja je Googlov iskalnik samodejno naredil tako imenovani posnetek spletnega mesta (indeks)," so pojasnili. Poudarili so, da so omenjeno ranljivost spletne strani odpravili nemudoma z varnostno nadgradnjo. Že takrat pa je bil eden od ukrepov, da so zahtevali izbris njihovih podatkov iz Googlovih iskalnih seznamov.
Iz sličic ni mogoče razbrati vsebine dokumeta
Kljub vsemu so se v Googlovem iskalniku znova pojavile nekatere povezave na napotnice in druge dokumente, "kjer je Googlov iskalnik vračal zadetke, ki pa so uporabnika obveščale o neobstoječi vsebini".
Spletna stran www.sb-izola.si je ob poskusu odpiranja kateregakoli izmed najdenih zadetkov vselej vrnila odgovor, da omenjena povezava ni veljavna. Je pa Googlov iskalnik v zadetkih poleg povezav ponudil tudi predogledne sličice, iz katerih po navedbah bolnišnice ni mogoče razbrati izvorne vsebine dokumenta.
Bolnišnica je v petek tako znova podala zahtevo iskalniku Google, da vse neobstoječe povezave umakne iz svoje spletne strani. Povezave so bile odstranjene v manj kot 24 urah, torej v soboto.
Ni bilo uhajanja osebnih podatkov
V skladu z zakonodajo so o omenjenem dogodku ter postopku reševanja sproti obveščali informacijskega pooblaščenca.
Podrobna analiza dogodka je pokazala, da ni bilo nobenega uhajanja osebnih ali katerihkoli drugih podatkov iz njihovega internega bolnišničnega informacijskega sistema, so še zapisali.
Na Nacionalnem inštitutu za javno zdravje (NIJZ) so za STA pojasnili, da so za informacijske rešitve v zdravstvenih zavodih odgovorni zdravstveni zavodi, ki so naročniki rešitev.
Prek centralnega sistema eNaročanja pa ni mogoče splošno dostopati do e-napotnic. Uporabniki iz bolnišnic do e-naročanja dostopajo posamično, pri čemer so dostopi sledljivi. "Na NIJZ spoštujemo področno zakonodajo in sledimo primerom dobrih praks," so dodali.
1