Občutljivi osebni podatki vsem na očeh
Odgovornost za varovanje pacientovih podatkov, čeprav jo zdravstvene ustanove rade prelagajo na druge, je v vsakem primeru na strani naročnika.
Odpri galerijo
Izvidi in napotnice Slovencev, ki so se leta 2016 pri njih naročili na pregled, so bili dostopni prek Googla. FOTO: Leon Vidic/Delo
Vsi bolniki imajo pravico do zasebnosti in upravičeno pričakujejo, da bodo zaupnost njihovih osebnih podatkov varovali vsi, ki delujejo na področju zdravstva. Evropski standardi o zaupnosti in zasebnosti v zdravstvu so jasni, a zadnja afera z nepooblaščenim vpogledom v zdravstvene podatke nekdanje ministrice za zdravje Milojke Kolar Celarc kaže, da v praksi to področje pri nas še zdaleč ni urejeno.
Podatki o zdravstvenem stanju sodijo po naši zakonodaji med občutljive osebne podatke, to pomeni, da za njihovo varovanje veljajo strožja pravila. Milojka Kolar Celarc je potrdila, da noben od pogojev, po katerih se lahko obdelujejo občutljivi podatki, v njenem primeru ni bil izpolnjen. Zaposleni na UKC Ljubljana, gre za šestnajst oseb, od zdravnikov do medicinskih sester, niso imeli nobenega upravičenega razloga, da bi kukali v njene zdravstvene podatke, a so to kljub temu počeli, ker jih je »zanimalo, ali bi sami v podobnem primeru odredili enako zdravljenje«.
Izrednega nadzora v UKC Ljubljana niso izvedli, so pa preverjali dvom o utemeljenosti vpogledov v zdravstveno kartoteko. Izkazalo se je, da nekateri vpogledi najverjetneje res niso bili potrebni za opravljanje dela.
»Dvom se je pojavil pri šestnajstih delavcih. Štiri so bile medicinske sestre, dva zdravnika specializanta in dva zdravnika specialista. Osebam, pri katerih se je pojavil dvom o utemeljenosti vpogledov v podatke, smo izdali opomine glede varstva osebnih podatkov, varovanja uporabniškega imena, gesla za vstop v računalniški sistem in rednega odjavljanja,« so sporočili iz UKC Ljubljana.
To je zadnji v vrsti primerov, ko so občutljivi podatki pricurljali v javnost. Pred dnevi se je na tnalu znašla Splošna bolnišnica Izola. Izvidi in napotnice Slovencev, ki so se leta 2016 pri njih naročili na pregled, so bili namreč dostopni prek Googla. Po hitrem odzivu informacijskega pooblaščenca so podatke umaknili, a grenak priokus je ostal. Kako je mogoče, da tako občutljivi podatki uhajajo po vseh kanalih?
V SB Izola pravijo, da so leta 2018 z varnostno nadgradnjo odpravili ranljivost spletne strani za storitev spletnega naročanja, zaradi katere so se osebni podatki pacientov pojavili na Googlu, in zatrdili, da je »podrobna analiza dogodka pokazala, da se nobeno uhajanje osebnih ali katerih koli drugih podatkov ni zgodilo v njihovem internem bolnišničnem informacijskem sistemu«.
Strokovnjak za informacijsko varnost Matej Kovačič dvomi o navedbah SB Izola, da so bili na spletu dostopni le podatki za leto 2016, pač pa tudi za 2017 in 2018. In nekateri podatki, ki naj bi jih izbrisali v soboto, so bili po njegovih navedbah dostopni tudi še v nedeljo zjutraj. Pri tem dodaja, da se po njegovem mnenju vodstva bolnišnic zavedajo pomembnosti spoštovanja GDPR, a le na papirnati ravni: »Informatika in varovanje osebnih podatkov jim ob vseh težavah, ki jih imajo, verjetno nista prioriteti. Ko so v SB Izola objavili razpis za izvajalca, bi morali vključiti vanj vse specifikacije in pomisliti na to, da bo sistem varen. Nato pa preveriti, ali v resnici deluje.«
Prav Kovačič je »odkril« enega prvih večjih incidentov na področju varstva osebnih podatkov v zdravstvu. Leta 2016 je bila na spletu dostopna zdravniška dokumentacija, vključno z napotnicami, ki so vsebovale zelo občutljive osebne podatke pacientov. Vse skupaj je bilo široko odprto v splet, spletni strežnik zdravstvene ustanove (šlo je za UKC Ljubljana) pa sploh ni uporabljal zaščitene povezave HTTPS. Odgovornost za varovanje pacientovih podatkov, čeprav jo zdravstvene ustanove rade prelagajo na druge, je v vsakem primeru na strani naročnika.
Da se incidenti, kot je bil izolski, ne bi dogajali, je ministrstvo za zdravje zagnalo sistem e-zdravje. A predsednica Zdravniške zbornice Slovenije Zdenka Čebašek-Travnik opozarja, da sistem ne deluje, pa tudi posluha za izboljšave ni. »Računalniška podjetja delujejo vsako po svoje, zato me ne preseneča, da se dogajajo takšne nepravilnosti.« »Odgovorni so zatrjevali, da sistem povsem dobro deluje, a primeri, kot je bil z Milojko Kolar Celarc in s Splošno bolnišnico Izola, kažejo, da ni tako. Minister Samo Fakin, ki je pred dnevi odstopil, pa je dejal, da podpore v koaliciji za ureditev enotnega delujočega sistema nima,« je dodala Čebašek-Travnikova.
Na njene besede so se odzvali tako na Ministrstvu za zdravje (MZ) kot na Nacionalnem inštitutu za javno zdravje (NIJZ) in zatrdili, da navedbe Zdenke Čebašek-Travnik ne držijo in niso resnične. »Pričakovali bi, da predsednica razume razliko med lokalnimi informacijskimi sistemi v javnih zavodih in centralnimi rešitvami e-zdravja in je seznanjena s pristojnostmi in odgovornostmi posameznih deležnikov pri obdelavi zdravstvenih podatkov,« so med drugim zapisali pri NIJZ.
Predsednica zdravniške zbornice je sicer omenila tudi, da je sreča zdajšnjega sistema možnost sledljivosti vpogledov. Takšni nepooblaščeni dostopi po njenem mnenju niso samo neetični, pač pa tudi kaznivi. S tovrstnimi primeri so se na zdravniški zbornici sicer že srečevali, izrečene so bile že tudi kazni, je povedala. Primera, da bi kdo na ta način zlorabil podatke za politične potrebe, pa v njenem mandatu niso obravnavali.
Na vprašanje, ali bodo na zbornici proti osebam, ki so nepooblaščeno dostopale do podatkov nekdanje ministrice, uvedli kakšen postopek, je Čebašek-Travnikova odgovorila, da ga bodo, če bodo dobili prijavo. Na zbornici namreč seznama oseb, ki so vpogledovale, nimajo in ga tudi ne morejo zahtevati. »Ker nisem stranka v postopku, namreč ne morem iti v UKC in zahtevati seznama. S tem bi presegla pooblastila,« je dejala. Po lastni presoji meni, da so bili nedovoljeni vpogledi opravljeni, ker je posameznike zanimalo, ali je ministrica pri obravnavi na urgenci preskočila čakalno vrsto.
V UKC Ljubljana so nam povedali, da »v popolnosti ne morejo zagotoviti, da ne bo več nepooblaščenih vpogledov. To ni tehnološko vprašanje, temveč bolj kulturno. Ključen je dvig zavesti pri vseh zaposlenih. Za ta namen se izvaja permanentno izobraževanje zaposlenih v UKCL. DPO izvaja sekcijska izobraževanja (zdravstvena nega, splošni sektor, po posameznih klinikah …). Prav tako vsi novozaposleni poslušajo predavanje z informacijske varnosti in varstva osebnih podatkov še pred podpisom pogodbe,« so dodali.
Lani so v UKCL izvedli vsaj tri nadzore oziroma preglede dnevniških izpisov (na pediatrični kliniki dva in na ginekološki kliniki enega). En nadzor je bil posledica postopka, ki ga je uvedel Informacijski pooblaščenec RS, eden zaradi suma zlorabe identitete in eden zaradi nepooblaščenega prenosa osebnih podatkov do drugega izvajalca zdravstvenih storitev.
Zakon o varovanju osebnih podatkov (ZVOP-2), ki bi morda nekoliko uredil pomembno področje, je za zdaj še vedno v zakonodajnem postopku, tako ima tudi informacijska pooblaščenka Mojca Prelesnik le malo manevrskega prostora za globe. Za Delo je pojasnila, da ji SB Izola uradnih pojasnil, zakaj se je zgodil incident, še ni posredovala: »Gre pa zelo verjetno za neustrezno zavarovanje njihove spletne strani«. Proti bolnišnici so uvedli inšpekcijski postopek zaradi neustreznega zavarovanja osebnih in posebne vrste osebnih podatkov.
Podatki o zdravstvenem stanju sodijo po naši zakonodaji med občutljive osebne podatke, to pomeni, da za njihovo varovanje veljajo strožja pravila. Milojka Kolar Celarc je potrdila, da noben od pogojev, po katerih se lahko obdelujejo občutljivi podatki, v njenem primeru ni bil izpolnjen. Zaposleni na UKC Ljubljana, gre za šestnajst oseb, od zdravnikov do medicinskih sester, niso imeli nobenega upravičenega razloga, da bi kukali v njene zdravstvene podatke, a so to kljub temu počeli, ker jih je »zanimalo, ali bi sami v podobnem primeru odredili enako zdravljenje«.
Izrednega nadzora v UKC Ljubljana niso izvedli, so pa preverjali dvom o utemeljenosti vpogledov v zdravstveno kartoteko. Izkazalo se je, da nekateri vpogledi najverjetneje res niso bili potrebni za opravljanje dela.
»Dvom se je pojavil pri šestnajstih delavcih. Štiri so bile medicinske sestre, dva zdravnika specializanta in dva zdravnika specialista. Osebam, pri katerih se je pojavil dvom o utemeljenosti vpogledov v podatke, smo izdali opomine glede varstva osebnih podatkov, varovanja uporabniškega imena, gesla za vstop v računalniški sistem in rednega odjavljanja,« so sporočili iz UKC Ljubljana.
V podatke nekdanje zdravstvene ministrice so vpogledale nepooblaščene osebe. FOTO: Jure Eržen/Delo
To je zadnji v vrsti primerov, ko so občutljivi podatki pricurljali v javnost. Pred dnevi se je na tnalu znašla Splošna bolnišnica Izola. Izvidi in napotnice Slovencev, ki so se leta 2016 pri njih naročili na pregled, so bili namreč dostopni prek Googla. Po hitrem odzivu informacijskega pooblaščenca so podatke umaknili, a grenak priokus je ostal. Kako je mogoče, da tako občutljivi podatki uhajajo po vseh kanalih?
V SB Izola pravijo, da so leta 2018 z varnostno nadgradnjo odpravili ranljivost spletne strani za storitev spletnega naročanja, zaradi katere so se osebni podatki pacientov pojavili na Googlu, in zatrdili, da je »podrobna analiza dogodka pokazala, da se nobeno uhajanje osebnih ali katerih koli drugih podatkov ni zgodilo v njihovem internem bolnišničnem informacijskem sistemu«.
Informatika in varovanje podatkov ob vseh težavah nista prioriteti
Strokovnjak za informacijsko varnost Matej Kovačič dvomi o navedbah SB Izola, da so bili na spletu dostopni le podatki za leto 2016, pač pa tudi za 2017 in 2018. In nekateri podatki, ki naj bi jih izbrisali v soboto, so bili po njegovih navedbah dostopni tudi še v nedeljo zjutraj. Pri tem dodaja, da se po njegovem mnenju vodstva bolnišnic zavedajo pomembnosti spoštovanja GDPR, a le na papirnati ravni: »Informatika in varovanje osebnih podatkov jim ob vseh težavah, ki jih imajo, verjetno nista prioriteti. Ko so v SB Izola objavili razpis za izvajalca, bi morali vključiti vanj vse specifikacije in pomisliti na to, da bo sistem varen. Nato pa preveriti, ali v resnici deluje.«
Prav Kovačič je »odkril« enega prvih večjih incidentov na področju varstva osebnih podatkov v zdravstvu. Leta 2016 je bila na spletu dostopna zdravniška dokumentacija, vključno z napotnicami, ki so vsebovale zelo občutljive osebne podatke pacientov. Vse skupaj je bilo široko odprto v splet, spletni strežnik zdravstvene ustanove (šlo je za UKC Ljubljana) pa sploh ni uporabljal zaščitene povezave HTTPS. Odgovornost za varovanje pacientovih podatkov, čeprav jo zdravstvene ustanove rade prelagajo na druge, je v vsakem primeru na strani naročnika.
Več deset oseb, zaposlenih v UKC Ljubljana, je decembra leta 2017 nepooblaščeno vpogledalo v zdravstveno kartoteko tedanje ministrice za zdravje. FOTO: Jure Eržen/Delo
E-zdravje, ki kar kliče po zlorabah?
Da se incidenti, kot je bil izolski, ne bi dogajali, je ministrstvo za zdravje zagnalo sistem e-zdravje. A predsednica Zdravniške zbornice Slovenije Zdenka Čebašek-Travnik opozarja, da sistem ne deluje, pa tudi posluha za izboljšave ni. »Računalniška podjetja delujejo vsako po svoje, zato me ne preseneča, da se dogajajo takšne nepravilnosti.« »Odgovorni so zatrjevali, da sistem povsem dobro deluje, a primeri, kot je bil z Milojko Kolar Celarc in s Splošno bolnišnico Izola, kažejo, da ni tako. Minister Samo Fakin, ki je pred dnevi odstopil, pa je dejal, da podpore v koaliciji za ureditev enotnega delujočega sistema nima,« je dodala Čebašek-Travnikova.
Na njene besede so se odzvali tako na Ministrstvu za zdravje (MZ) kot na Nacionalnem inštitutu za javno zdravje (NIJZ) in zatrdili, da navedbe Zdenke Čebašek-Travnik ne držijo in niso resnične. »Pričakovali bi, da predsednica razume razliko med lokalnimi informacijskimi sistemi v javnih zavodih in centralnimi rešitvami e-zdravja in je seznanjena s pristojnostmi in odgovornostmi posameznih deležnikov pri obdelavi zdravstvenih podatkov,« so med drugim zapisali pri NIJZ.
Predsednica zdravniške zbornice je sicer omenila tudi, da je sreča zdajšnjega sistema možnost sledljivosti vpogledov. Takšni nepooblaščeni dostopi po njenem mnenju niso samo neetični, pač pa tudi kaznivi. S tovrstnimi primeri so se na zdravniški zbornici sicer že srečevali, izrečene so bile že tudi kazni, je povedala. Primera, da bi kdo na ta način zlorabil podatke za politične potrebe, pa v njenem mandatu niso obravnavali.
Lani je sodišče oglobilo zobozdravnico, ki je brez dovoljenja pridobila podatke o svojem nekdanjem pacientu. FOTO: Jože Suhadolnik/Delo
Na vprašanje, ali bodo na zbornici proti osebam, ki so nepooblaščeno dostopale do podatkov nekdanje ministrice, uvedli kakšen postopek, je Čebašek-Travnikova odgovorila, da ga bodo, če bodo dobili prijavo. Na zbornici namreč seznama oseb, ki so vpogledovale, nimajo in ga tudi ne morejo zahtevati. »Ker nisem stranka v postopku, namreč ne morem iti v UKC in zahtevati seznama. S tem bi presegla pooblastila,« je dejala. Po lastni presoji meni, da so bili nedovoljeni vpogledi opravljeni, ker je posameznike zanimalo, ali je ministrica pri obravnavi na urgenci preskočila čakalno vrsto.
Nepooblaščeni vpogledi »kulturno vprašanje«
V UKC Ljubljana so nam povedali, da »v popolnosti ne morejo zagotoviti, da ne bo več nepooblaščenih vpogledov. To ni tehnološko vprašanje, temveč bolj kulturno. Ključen je dvig zavesti pri vseh zaposlenih. Za ta namen se izvaja permanentno izobraževanje zaposlenih v UKCL. DPO izvaja sekcijska izobraževanja (zdravstvena nega, splošni sektor, po posameznih klinikah …). Prav tako vsi novozaposleni poslušajo predavanje z informacijske varnosti in varstva osebnih podatkov še pred podpisom pogodbe,« so dodali.
Lani so v UKCL izvedli vsaj tri nadzore oziroma preglede dnevniških izpisov (na pediatrični kliniki dva in na ginekološki kliniki enega). En nadzor je bil posledica postopka, ki ga je uvedel Informacijski pooblaščenec RS, eden zaradi suma zlorabe identitete in eden zaradi nepooblaščenega prenosa osebnih podatkov do drugega izvajalca zdravstvenih storitev.
Zakon o varovanju osebnih podatkov (ZVOP-2), ki bi morda nekoliko uredil pomembno področje, je za zdaj še vedno v zakonodajnem postopku, tako ima tudi informacijska pooblaščenka Mojca Prelesnik le malo manevrskega prostora za globe. Za Delo je pojasnila, da ji SB Izola uradnih pojasnil, zakaj se je zgodil incident, še ni posredovala: »Gre pa zelo verjetno za neustrezno zavarovanje njihove spletne strani«. Proti bolnišnici so uvedli inšpekcijski postopek zaradi neustreznega zavarovanja osebnih in posebne vrste osebnih podatkov.
