Torek, 12. 3. 2019, 18.20
5 let, 1 mesec
V Google si moral vtipkati le "ime priimek HIV SB Izola"
Termometer prikazuje, kako vroč je članek. Skupni seštevek je kombinacija števila klikov in komentarjev.
Termometer prikaže, kako vroč je članek. Skupni seštevek je kombinacija števila klikov in komentarjev.
4,91
4
Spletni portal Slo-Tech je poročal, da so bili prek Googla dostopni izvidi in napotnice Slovencev, ki so se naročili na pregled v bolnišnici Izola od začetka leta 2016.
Do občutljivih osebnih podatkov in zdravstvenih izvidov posameznikov, ki so bili naročeni v Splošni bolnišnici Izola, je lahko dostopal vsak, brez kakršnegakoli tehničnega znanja. O pomanjkljivem varnostnem sistemu jih je informacijska pooblaščenka obvestila v petek. V bolnišnici so od Googla isti dan zahtevali umik, ki je bil izveden v soboto, danes pa je bolnišnica informacijski pooblaščenki podala tudi samoprijavo.
Kot je razkril portal Slo Tech, so bili prek spletnega iskalnika Google javno dostopni izvidi in napotnice posameznikov, ki so bili v izolski bolnišnici od začetka leta 2016. Tako je lahko vsak, ki je znal samo osnove računalništva, dostopal do podatkov o tem, kdo ima HIV ali pa kakšni so njegovi ginekološki izvidi.
Vse, kar je bilo treba storiti, je bilo v iskalnik Google vpisati ime in priimek ter ključni besedi "HIV" in "SB Izola". Tako je lahko dokumente videl na primer nekdo, ki je poizvedoval za nekom, kadrovik, ki je preverjal osebo, preden jo je zaposlil, ali pa posameznik, ki ga je zanimalo, kaj o njem najde Google.
"V primeru, da je bila ta oseba res na pregledu za HIV, bi med zadetki pokazal njegov izvid, napotnico oziroma kateri drug zdravniški dokument," razlaga Janez Stušek iz Odvetniške pisarne Stušek, ki pri tem poudari, da zaupni zdravstveni dokumenti še nikdar niso bili tako lahko dostopni. "V preteklosti takšnega primera še nismo imeli. Do zdaj so bili vsi primeri takšni, da si potreboval vsaj nekaj tehničnega znanja."
Podali samoprijavo
Informacijska pooblaščenka Mojca Prelesnik je v letnem poročilu že za leto 2017 zapisala, da je več kršitev zaradi neustreznega zavarovanja osebnih podatkov, ki se zbirajo ali so dostopni prek spletnih omrežij.
Bolnišnica je po izbruhu afere v začetku tedna podala samoprijavo informacijski pooblaščenki (IPRS), kar je po GDPR morala storiti, nam je potrdila informacijska pooblaščenka Mojca Prelesnik.
Za zdaj uradno ni znano, koliko podatkov je bilo dostopnih in kako dolgo so bili dosegljivi. To bo pokazal inšpekcijski nadzor, po prvih podatkih pa "gre zelo verjetno za neustrezno zavarovanje njihove spletne strani."
Datoteke z občutljivimi osebnimi podatki so po posredovanju IPRS in bolnišnice umaknili preteklo soboto in niso več dostopne.
Kaj je že leta 2017 ugotavljala informacijska pooblaščenka?
A težave s pomanjkljivim varovanjem podatkov v bolnišnicah in drugih zdravstvenih ustanovah niso od včeraj, kaže že letno poročilo IPRS za leto 2017.
Med 655 prejetimi pritožbami na področju varstva osebnih podatkov so v poročilih posebej opozorili, da "velja opozoriti na povečanje števila prijav in ugotovljenih kršitev zaradi neustreznega zavarovanja osebnih podatkov, ki se zbirajo ali so dostopni prek spletnih omrežij".
Informacijski pooblaščenec je zoper bolnišnico uvedel inšpekcijski postopek zaradi neustreznega zavarovanja osebnih in posebne vrste osebnih podatkov.
V nadaljevanju pojasnjujejo, da "večje število bolnišnic in drugih zdravstvenih zavodov, ki omogoča elektronsko naročanje, ni zagotavljalo varnih povezav v sistemih za elektronsko naročanje (na primer z uporabo protokola https oziroma ustreznega šifriranja)". Urad je tako, kot navaja, v okviru sistemskega nadzora vse zdravstvene zavode pozval k odpravi pomanjkljivosti.
A vsaj v Izoli očitno pomanjkljivosti niso odpravili. Po mnenju Stuška si tako velika institucija, kot je izolska bolnišnica, takšne napake ne bi smela privoščiti in bi morala imeti varnostne mehanizme. "Da napako zaznaš že interno in to preden jo ostali. Tudi če posameznik naredi napako, morajo v takšnih institucijah obstajati kontrolni mehanizmi, da to preprečijo," je prepričan Stušek.
Če ste bili naročeni v izolski bolnišnici ...
Janez Stušek
In kaj lahko naredi posameznik, ki je bil od začetka leta 2016 na pregledu v izolski bolnišnici?"Lahko preveri pri bolnišnici, če so bili njegovi podatki med tistimi, ki so bili javno objavljeni, lahko zahteva vse relevantne podatke: kdaj, koliko časa so bili podatki dostopni. Obstajati bi morala tudi revizijska sled, ki bi poskušala ugotoviti, koliko in kdo je dostopal do občutljivih osebnih podatkov," svetuje Stušek.
"So pa tudi redna pravna sredstva, torej prijava na IPRS, odškodninski zahtevki in pa tudi, to bodo ugotavljale pristojne institucije, morebitna kazenska odgovornost storilcev. Pri tovrstnih primerih more priti do hotenih objav, česar si v tem primeru skoraj ne morem predstavljati," še dodaja Stušek.
4