Inšpekcijski postopek zoper izolsko bolnišnico: kaj se je dogajalo s podatki bolnikov?
Istra
12. 03. 2019, 06.07
, posodobljeno: 21. 03. 2019, 15.18
Izolska bolnišnica (SBI) zanika, da so (bili) izvidi in napotnice njenih pacientov dostopni na spletu: “Podatki o pacientih niso ogroženi!” Informacijski pooblaščenec je zahteval, naj SBI poskrbi za odstranitev datotek iz iskalnika Google. Zoper SBI je uvedel inšpekcijski postopek zaradi neustreznega zavarovanja osebnih in posebne vrste osebnih podatkov.
Izolska bolnišnica je v inšpekcijskem postopku informacijskega
pooblaščenca zaradi domnevnih podatkov o bolnikih na spletu. Foto: Jasna Arko
IZOLA
> Včeraj je STA povzela poročanje portala Slo-Tech in objavila vest, da so izvidi in napotnice Slovencev, ki so se naročili na pregled v izolski bolnišnici (SBI) od začetka leta 2016, dostopni kar prek Googla. Kaže, da je IT-sistem avtomatično objavljal izvide in napotnice na spletu; do tega je prišlo, je poročal portal, ker Google avtomatično indeksira vso vsebino, ki ni zaščitena na platformah, kot je WordPress, zato je lahko kdorkoli na svetu preverjal zdravstveno stanje Primorcev.
V soboto umik datotek iz iskalnika Google
Informacijski pooblaščenec je bil o tem obveščen v petek. Takoj je zavaroval dokaze in naročil SBI, naj poskrbi za odstranitev datotek iz iskalnika Google. Po dodatni zahtevi SBI je Google to storil v soboto. Zoper SBI je uvedel informacijski pooblaščenec tudi inšpekcijski postopek zaradi neustreznega zavarovanja osebnih in posebne vrste osebnih podatkov.
Eno je indeks, drugo podatki o pacientih
Šlo naj bi za izvide in napotnice pacientov, ki so se v SBI naročili na pregled od leta 2016 dalje. Slo-Tech objavlja še sličice napotnic, ki smo jih na tem portalu skušali prebrati, a povečava ni bila možna in so ostale nečitljive.
Je bolnikom povzročena škoda? So podatki brez njihovega soglasja ušli na svetovni splet? Direktor SBI Radivoj Nardin pravi, da so bili minuli petek obveščeni, da naj bi bili prek spletnega iskalnika Google vidni podatki o pacientih v SBI. Takoj so ukrepali in v temeljitem poizvedovanju strokovnjakov za informacijsko varnost ugotovili, da se prijava nanaša na že lani ukinjeno storitev spletnega naročanja.
“Gre za postopek spletnega naročanja bolnika, ne za naš notranji informacijski sistem z vsemi podatki o bolnikih, diagnozah in zdravljenju! Naš notranji sistem je skrbno zavarovan. Vanj ni nihče vdrl, nihče do teh podatkov ni prišel ali objavil na spletu,” razlaga Nardin in dodaja: “Smo pa lani imeli sistem spletnega naročanja in nekateri pacienti so k napotnici prilepili kakšen skenirani izvid. Za to pot posredovanja podatkov gre. V naši službi informatike poudarjajo, da ne smemo enačiti indeksov (sličic, ki jih omenjate) in jih ni mogoče odpreti z našim notranjim sistemom vseh podatkov o pacientih.”
V SBI so ugotovili, da so v Googlovem iskalniku prisotni zadetki, povezani z že lani odpravljeno varnostno ranljivostjo njihove splošne spletne strani, in to le za takratno storitev naročanja po spletu. To ranljivost so takoj odpravili z varnostno nadgradnjo.
V stiku z Goooglom in informacijskim pooblaščencem
SBI pravijo, da je ta ranljivost obstajala lani, ko so še lahko posamezniki ob napotnici dodali priponke drugih dokumentov. “Googlov iskalnik je samodejno naredil tako imenovani posnetek spletnega mesta (indeks). Skladno s tem smo že lani kot enega od ukrepov zahtevali izbris naših podatkov iz Googlovih iskalnih seznamov. Kljub temu so se v Googlovem iskalniku ponovno pojavile nekatere povezave na napotnice in druge dokumente, jih je pa Googlov iskalnik vračal kot zadetke, ki so obveščali, da ne obstaja vsebina. Spletna stran www.sb-izola.si je namreč že takrat ob poizkusu odpiranja kateregakoli izmed najdenih zadetkov vselej vrnila odgovor, da omenjena povezava ni veljavna! Googlov iskalnik je v zadetkih poleg povezav ponudil še predogledne sličice, iz katerih pa ni mogoče razbrati izvorne vsebine samega dokumenta.”
Minuli petek so znova poslali zahtevo iskalniku Google, naj vse neobstoječe povezave umakne iz svoje spletne strani, kar se je zgodilo dan zatem, v soboto.
SBI je, skladno z zakonodajo, s tem ves čas sproti seznanjala informacijskega pooblaščenca, prav tako s postopkom reševanja zadeve. “Podrobna analiza dogodka je pokazala, da ni prišlo do nobenega uhajanja osebnih ali katerihkoli drugih podatkov iz bolnišničnega informacijskega sistema,” poudarja Nardin. “Kdor meni, da je bilo z njegovimi podatki kaj narobe, naj nas kontaktira. Nič ne skrivamo!”