V začetku marca je bil Informacijski pooblaščenec obveščen, da naj bi bilo mogoče prek iskalnika Google pridobiti večjo količino osebnih in posebne vrste osebnih podatkov, ki so bili v preteklosti dostopni prek spletne strani Splošne bolnišnice Izola.
Spletni portal Slo-Tech je takrat poročal, da so bili prek Googla dostopni izvidi in napotnice Slovencev, ki so se naročili na pregled v bolnišnici od začetka leta 2016. Med izvidi so bili tudi primeri Slovencev z diagnostriciranimi družbeno stigmatiziranimi boleznimi. S spleta je bilo možno na enostaven način razbrati tudi, kdo je HIV pozitiven, ali ima raka in natančne družinske anamneze vseh bolezni v družini.
Kot je v inšpekcijskem postopku ugotovil Informacijski pooblaščenec, je bolnišnica med prenovo spletne strani neustrezno zavarovala dostop do osebnih podatkov ter s tem kršila zakon in splošno uredbo, ki urejata varnost osebnih podatkov. Varnostno ranljivost je bolnišnica sicer odpravila in nadomestila varnostno manj ustrezno aplikacijo Naročanje na preglede z eNaročanjem, ki je del eZdravja, so pojasnili pri informacijskem pooblaščencu.
Informacijski pooblaščenec uvedel prekrškovni postopek
Ne glede na to pa gre za kršitev, ki je glede na obseg in naravo osebnih podatkov nedopustna, zato je informacijski pooblaščenec zoper bolnišnico uvedel prekrškovni postopek, ki pa še ni zaključen.
Ukrepi bolnišnice so po eni strani odpravili kršitev in z ukinitvijo aplikacije Naročanje na preglede dvignili splošno raven informacijske varnosti na prej omenjeni spletni strani. "Kljub temu se je treba zavedati, da izvedeni ukrepi ne morejo v celoti preprečiti podobnih ali drugačnih varnostnih incidentov v zvezi z osebnimi podatki, saj je informacijska varnost proces in ne končno stanje," so ob tem še poudarili pri pooblaščencu.
KOMENTARJI (4)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.