ODZIV IZOLSKE BOLNIŠNICE PO ŠKANDALU Z NAPOTNICAMI: "Do uhajanja osebnih podatkov ni prišlo"

Izola

Po tem, ko je prišlo do škandaloznega razkritja, da so bili izvidi in napotnice Slovencev, ki so se naročili na pregled v Splošni bolnišnici Izola (SBI) od začetka leta 2016, dostopni kar prek Googla, so se oglasili tudi v bolnišnici. Tam pravijo, da so po podrobni analizi ugotovili, da do uhajanja osebnih podatkov ni prišlo. Informacijski pooblaščenec je v petek bolnišnici odredil umik dokumentov s spleta, zoper SBI pa uvedel inšpekcijski postopek. V podjetju, ki je bolnišnici postavilo stran, so pojasnili, da je upravljanje spletnega mesta in strežnika prevzel naročnik, s katerim pa že več let ne sodelujejo. 

Ker Google, kot tudi drugi spletni iskalniki, avtomatično indeksira vso vsebino, ki ni zaščitena na platformah, kot je WordPress, je lahko kdorkoli na svetu preverjal zdravstveno stanje Primorcev, so navedli na portalu Slo tech, kjer so bile tudi objavljene slike napotnic, ki dokazujejo njihove navedbe. Vendar je bila, kot opozarjajo, škoda posameznikom že narejena.

Kot jim je sporočil neznani vir, ki jim je tudi posredoval primere dokumentov, so bili med izvidi tudi primeri Slovencev z diagnosticiranimi družbeno stigmatiziranimi boleznimi. A v SBI trdijo, da do uhajanja osebnih podatkov ni prišlo. 

Direktor SBI Radivoj Nardin

Nardin: "Dogodek je povezan z varnostno ranljivostjo, ki smo jo odpravili lani"

Direktor SBI Radivoj Nardin je v izjavi za javnost pojasnil, da so po "takojšnjem temeljitem poizvedovanju bolnišničnih in zunanjih strokovnjakov za informacijsko varnost" ugotovili, da so zadetki na Googlu povezani z varnostno ranljivostjo njihove spletne strani za storitev spletnega naročanja, ki se je pojavila leta 2018, ko so jo z varnostno nadgradnjo tudi odpravili. 

Posameznik je ob oddaji naročila na zdravstveno storitev takrat lahko priložil nekatere dokumente, ki pa jih je Google zaradi tedajšnje varnostne ranljivosti indeksiral oziroma samodejno naredil posnetek spletnega mesta. Skladno s tem je SBI takrat zahtevala izbris njihovih podatkov iz Googlovih iskalnih seznamov.

Dokumenti so bili prosto dostopni. (Vir: Slo tech)

"Kljub vsemu so se v Googlovem iskalniku ponovno pojavile nekatere povezave na napotnice in druge dokumente, kjer je Googlov iskalnik vračal zadetke, ki pa so uporabnika obveščali o neobstoječi vsebini. Spletna stran www.sb-izola.si je ob poskusu odpiranja katerega koli izmed najdenih zadetkov vselej vrnila odgovor, da omenjena povezava ni veljavna. Googlov iskalnik je v zadetkih poleg povezav ponudil tudi predogledne sličice, iz katerih ni mogoče razbrati izvorne vsebine samega dokumenta," so zapisali v SBI, ki je minuli petek iskalniku Google ponovno podala zahtevo, naj s svoje spletne strani umakne vse neobstoječe povezave. Te so bile odstranjene v manj kot 24 urah.

V skladu z zakonodajo je SBI o dogodku in postopku reševanja sproti obveščala informacijskega pooblaščenca. "Podrobna analiza dogodka je pokazala, da ni prišlo do uhajanja osebnih ali katerih koli drugih podatkov iz našega internega bolnišničnega informacijskega sistema," so še sporočili s SBI.

Na Nacionalnem inštitutu za javno zdravje (NIJZ) so za STA pojasnili, da so za informacijske rešitve v zdravstvenih zavodih odgovorni zdravstveni zavodi, ki so naročniki rešitev. Prek centralnega sistema eNaročanja pa ni mogoče splošno dostopati do e-napotnic. Uporabniki iz bolnišnic do e-naročanja dostopajo posamično, pri čemer so dostopi sledljivi. "Na NIJZ spoštujemo področno zakonodajo in sledimo primerom dobrih praks," so dodali.

Je bilo krivo neustrezno zavarovanje spletne strani?

Informacijski pooblaščenec je bil v petek obveščen, da naj bi bilo mogoče prek iskalnika Google pridobiti večjo količino osebnih in posebne vrste osebnih podatkov, ki so bili v preteklosti dostopni prek spletne strani Splošne bolnišnice Izola. Kot so zapisali, je pooblaščenec takoj ukrepal in zavaroval dokaze, hkrati pa obvestil bolnišnico, naj v čim krajšem času poskrbi za odstranitev datotek iz iskalnika Google.

"Zaenkrat je mogoče povedati le, da niso bile objavljene izvorne datoteke, ampak posnetki datotek, ki jih je naredil iskalnik Google," so še navedli pri pooblaščencu. Bolnišnica po njihovih navedbah uradnih pojasnil, zakaj je do incidenta prišlo, še ni posredovala, "gre pa zelo verjetno za neustrezno zavarovanje njihove spletne strani". 

Informacijski pooblaščenec zoper SBI uvedel inšpekcijski postopek

Informacijski pooblaščenec je zoper bolnišnico uvedel inšpekcijski postopek zaradi neustreznega zavarovanja osebnih in posebne vrste osebnih podatkov. Kot so pojasnili, je namreč postopek takšen, da se zavaruje dokaze, obvesti zavezanca o kršitvi z namenom čim hitrejše odprave nadaljnjih škodljivih posledic za prizadete posameznike, nato se v inšpekcijskem postopku ugotavlja, kaj se je dejansko zgodilo. Če se izkaže, da je zavezanec kršil zakonodajo s področja varstva osebnih podatkov, se uvede prekrškovni postopek in izreče sankcija.

V podobnih primerih, ko osebni podatki niso več nezavarovano dostopni na spletni strani podjetja, ampak obstajajo le še kot posnetki datotek v iskalniku Google, je pomembno, da podjetje čim prej obvesti Google in zahteva umik podatkov. Google se po dosedanjih izkušnjah praviloma hitro odzove na takšne zahteve, so še zapisali pri pooblaščencu.

Podjetje, ki je postavilo stran: "Že več let ne sodelujemo s SBI, spletno mesto in strežnik upravljajo sami"

Računalniški strokovnjaki na spletnih forumih komentirajo, da je krivda za nastalo situacijo na strani izvajalca. Obrnili smo se na podjetje Emigma, ki je na spletni strani SBI navedeno kot avtor. Direktor podjetja Mitja Vatovec nam je po telefonu pojasnil, da so spletno mesto, po tem, ko so ga naredili, na željo SBI predali naročniku.

"Upravljanje spletnega mesta, strežnika, kjer je bilo le-to nameščeno, baze podatkov in odgovornost nad vsemi podatki je tako prevzel naročnikS SBI že več let ne sodelujemo, ne skrbimo za vzdrževanje njihovega spletnega mesta, kot tudi ne strežnika, kjer le-to gostuje. Očitno je prišlo do neprimernega zavarovanja določenih map na nivoju strežnika na strani njihovega izvajalca," je dejal Vatovec.  

Z vprašanji smo se obrnili tudi na Splošno bolnišnico Izola, na njihove odgovore pa še čakamo.

Deli novico:

Komentiraj

Za komentiranje je potrebna  Prijava  oz.  Registracija
Motoviltz |  11 .03. 2019 ob  23: 07
Ta spodrsljaj je tako neumen, da ni za verjet.
Spletni iskalniki iščejo in to kar najdejo je vedno prosto dostopno.
Za ustavit iskalnike je dovolj že en mali tekstovni file, ki mu pove , naj ne gleda naprej.
Tu ni govora o neustrezni zaščiti, tu je govora o popolnoma NEOBSTOJEČI zaščiti.
To je šlkandal brez primere, da taka javna ustanova na tak način shranjuje tako pomembne podatke.
td |  11 .03. 2019 ob  19: 35
10
Kot ob podobnih prilikah se je izkazalo, da so v Sloveniji še vedno najbolj donosni trač časopisi, ki takoj "ekskluzivno" ponujajo nepreverjene, zmedene, zmaličene do nezavesti, ... novice. Tako v tem primeru kot v mnogih podobnih. No, seveda, včasih je lahko tudi res, vendar že dolgo ni več pravih novinarjev, ki bi oz. bi si upali RAZISKATI neko novico in jo objaviti kredibilno. Bi si dosti bolj želel res profesionalnih novinarjev (če že nimamo takšnega pravosodja), ki bi raziskovali res prave svinjarije.
Fošina |  11 .03. 2019 ob  16: 31
Takšne stvari se zgodijo, če pri eni firmi naročiš spletno stran, potem jo daš pa drugi firmi v upravljanje. Še čist vedno je potem prišlo do problemov.