Izolska bolnišnica: Uhajanja podatkov ni bilo

Izvidi in napotnice Slovencev, ki so se naročili na pregled v bolnišnici Izola od začetka leta 2016, so bili do preteklega tedna dostopni kar prek Googla, razkriva spletni portal Slo-Tech.

"Kot je razvidno iz priloženih slik, je prišlo do (tudi za slovenske razmere) neverjetne šlamastike pri varovanju osebnih zdravstvenih podatkov pacientov bolnišnice. Vse podrobnosti sicer še niso znane, vse pa kaže, da je IT sistem avtomatično objavljal izvide in napotnice na spletu. Ker Google (in seveda drugi spletni iskalniki) avtomatično indeksira vso vsebino, ki ni zaščitena na platformah, kot je WordPress, je lahko kdorkoli na svetu preverjal zdravstveno stanje Primorcev," so zapisali.

Informacijska pooblaščenka, ki je bila o težavi obveščena pretekli petek, je bolnišnici takoj odredila umik dokumentov s spleta, kar je ta uspela narediti v soboto. A škoda posameznikom je bila že storjena. "Kot nam je sporočil neznani vir, ki nam je tudi posredoval primere dokumentov, so bili med izvidi tudi primeri Slovencev s hivom in drugimi družbeno stigmatiziranimi boleznimi," še pišejo pri Slo-Tech.

Informacijska pooblaščenka uvedla inšpekcijski postopek

Kot so sporočili iz Urada informacijskega pooblaščenca, je ta takoj potem, ko je bil obveščen, ukrepal in zavaroval dokaze, hkrati pa obvestil bolnišnico, naj v čim krajšem času poskrbi za odstranitev datotek iz iskalnika Google.

"Zaenkrat je mogoče povedati le, da niso bile objavljene izvorne datoteke, ampak posnetki datotek, ki jih je naredil iskalnik Google," so navedli.

Zoper bolnišnico so uvedli inšpekcijski postopek zaradi neustreznega zavarovanja osebnih in posebne vrste osebnih podatkov. Kot so pojasnili, je namreč postopek takšen, da se zavaruje dokaze, obvesti zavezanca o kršitvi z namenom čim hitrejše odprave nadaljnjih škodljivih posledic za prizadete posameznike, nato se v inšpekcijskem postopku ugotavlja, kaj se je dejansko zgodilo. Če se izkaže, da je zavezanec kršil zakonodajo s področja varstva osebnih podatkov, se uvede prekrškovni postopek in izreče sankcija.

Izolska bolnišnica: Uhajanja podatkov ni bilo

Iz izolske bolnišnice so nam sporočili, da so bili o zadevi obveščeni v petek, 8. marca. "Po takojšnjem temeljitem poizvedovanju bolnišničnih in zunanjih strokovnjakov za informacijsko varnost smo ugotovili, da so bili v Googlovem iskalniku prisotni zadetki, povezani z v letu 2018 opravljeno varnostjo ranljivostjo naše spletne strani za storitev spletnega naročanja."

Kot pravijo, so omenjeno ranljivost odpravili nemudoma z varnostno nadgradnjo. "Takrat je lahko posameznik ob oddaji naročila za zdravstveno storitev priložil posamezne dokumente. Zaradi takratne ranljivosti našega spletnega naročanja je Googlov iskalnik samodejno naredil tako imenovani posnetek spletnega mesta (indeks). Skladno s tem smo takrat kot enega izmed ukrepov zahtevali izbris naših podatkov iz Googlovih iskalnih seznamov," so pojasnili.

Kljub vsemu so se v Googlovem iskalniku ponovno pojavile nekatere povezave na napotnice in druge dokumente, kjer je Googlov iskalnik vračal zadetke, ki pa so uporabnika obveščale o neobstoječi vsebini. Spletna stran www.sb-izola.si je ob poizkusu odpiranja kateregakoli izmed najdenih zadetkov vselej vrnila odgovor, da omenjena povezav ni veljavna. Googlov iskalnik je v zadetkih poleg povezav ponudil tudi predogledne sličice, iz katerih ni mogoče razbrati izvorne vsebine samega dokumenta.

"Dne 8.3.2019 smo ponovno podali zahtevo iskalniku Google, da vse neobstoječe povezave umakne iz svoje spletne strani. Povezave so bile odstranjene v manj kot 24 urah, torej v soboto 9.3.2019."

V skladu z zakonodajo so o omenjenem dogodku ter postopku reševanja sproti obveščali informacijskega pooblaščenca. "Podrobna analiza dogodka je pokazala, da ni prišlo do nobenega uhajanja osebnih ali katerihkoli drugih podatkov iz našega internega bolnišničnega informacijskega sistema," so zatrdili.