Informacioni sistem COVID-19 namenjen obradi ličnih podataka građana u vezi sa pandemijom bio je osam dana (od 9. do 17. aprila) izložen neovlašćenom pristupu na veb stranici do koje se moglo doći gugl pretragom, saopštila je Share fondacija.
Moguće posledice ovakvog propusta su nedozvoljeni uvid ili unos podataka o zaraženima koronavirusom. Aktuelni povernik za zaštitu podataka o ličnosti kaže da je sprečena dalja kompromitacija podataka, a bivši poverenik ocenjuje da je reč o skandalu i traži odgovornost.
Sistem je uspostavljen na osnovu odluke Vlade Srbije, a namenjen je unosu, analizi i čuvanju podataka o svim građanima koji su testirani, oboleli i preminuli, kao i o građanima kojima je izrečena mera obavezne samoizolacije ili su upućeni u neku od privremenih bolnica, sa podacima o lokaciji.
Pretragom na guglu po ključnim rečima, istraživači Share fondacije došli su do stranice jedne zdravstvene ustanove na kojoj su se nalazili podaci za pristup sistemu, korisničko ime i lozinka.
Šta je sve u Informacionom sistemu Covid 19
Prema Zaključku vlade o uspostavljanju Informacionog sistema Covid-19, čitav niz nadležnih zdravstvenih institucija obavezan je da u ovom programu vodi podatke o ljudima koji su izlečeni, preminuli i testirani (bilo da su pozitivni ili negativni), kao i o ljudima na lečenju, onima kojima je izrečena mera samoizolacije ili smeštaja u privremenim bolnicama, sa podacima o njihovoj lokaciji.
U sistemu se takođe nalaze podaci o osobama koje su mogući nosioci virusa zbog kontakta sa obolelima. Ustanove su obavezne da podatke ažuriraju na dnevnom nivou, a izveštaj koji se čita svaki dan u 15h se bazira na podacima iz ovog sistema.
Osnivač Share fondacije Đorđe Krivokapić, u izjavi za Nova.rs, objašnjava da je reč o najosetljivijim podacima.
„Domovi zdravlja i čitav niz ustanova ima obavezu da unosi podatke u taj sistem i da upravlja podacima iz jednog takvog sistema. Šifra i korisničko ime, kao i uputsva za korišćenje takvog sistemom, unos podataka, pregled podataka i tako dalje, je bila javno dostupna na internetu. Nije bilo baš jednostavno da se dođe do toga, ali je činjenica da je osam dana bio moguć pristup. Mi ne znamo šta se desilo za tih osam dana, mi se nadamo da niko to nije našao i zloupotrebio, ali nemamo nikakve garancije za to. Mi smo odmah obavestili državne organe i za sat vremena su oni uspeli da u kontaktu sa ustanovom to sklone“, navodi Krivokapić.
On nije želeo da otkrije o kojoj ustanovi je konkretno reč reč i gde je zapravo došlo do kompromitacije podataka.
„Mi nećemo sada, iz solidarnosti prema zdravstvenim radnicima koji rade u toj ustanovi, da vršimo pritisak na njih. Oni su već pod velikim pritiskom i msilimo da u ovoj situaciji nije ni bitno koja je ustanova“, kaže Krivokapić.
Naš sagovornik objašnjava i kakve bi posledice zloupotrebe takve vrste podataka mogle da budu.
„Svi državni organi su sada uključeni u taj sistem i kada vi jednom osvanete kao pozitivni, kao kontakt, ili kao lice u nadzoru, jako je teško da se utvrdi da vi to zapravo niste. Na vas će se već primenjivati ćitav niz mera, dok vi uopšte dobijete mogućnost da reagujete i stignete dotle da se stvari preispitaju“, zabrinut je Krivokapić.
Nekadašnji poverenik za zaštitu podataka o ličnosti u jednoj reči objašnjava sve što se dogodilo – skandalozno.
„Ti podaci o zdravstvenom stanju su posebno osetljivi i iziskuju posebnu zaštitu i brigu. To je skandal, ozbiljan skandal. Ne može biti nikakvih opravdanja u tome što je vanredna situacija, verovatno će neko pokušati i na to da se vadi. Da se sa takvom bazom podataka desi to što se desilo i to preko sajta koji je praktično ustanovila vlada, to je nedopustivo“, ocenjuje Šabić.
Ističe i da nije prvi put da država pokazuje tako nebrižljivo postupa prema ličnim i osetljivim podacima. I ranije smo imali ozbiljne upade u velike baze podaka.
„Podsetiću vas na skandal Ministarstva zdravlja sa bazom podataka zdravstvenih osiguranika. Ja sam u tim situacijama podnosio i prekršajne i krivične prijave, ali je po pravilu odgovornost izostajala. Primetan je bio i napor da se to zataška. Vlast je činila sve da od takvih stvari napravi samo neku beznačajnu aferu. Ne znam da li će neko konačno za to neko odgovara, ali zaista je krajnje vreme. Ako i sada izostane odgovornost, onda možemo stalno da se nadamo sličnim problemima“, upozorava Šabić.
Dodaje i da nisu uzalud slične baze u svetu ozbiljno i striktno zaštićene, a kazne za slične propuste su drakonske.
Đorđe Krivokapić iz Share fondacije dodaje da je sada na državnim organima da obave nadzor i utvrde da li se nešto desilo, da li je neko izvukao te podatke i sada zna ko je pozitivan ili je neko, pak, uneo podatke i nekog označio pozitivnim.
„Institucija kod koje je došlo do kompromitacije podataka, ona bi trebalo da pošalje dva odvojena obaveštenja o incidentu u roku od 72 sata. To se čini u skladu sa Zakonom o informacionoj bezbednosti i zakonu o zaštiti podataka o ličnosti. Ona sada mora da obavesti zvanične organe, poverenika i Ministarstvo telekomunikacija o tome šta se desilo u njihovoj organizaciji. Nakon toga ti organi treba da obave nadzor i utvrde činjenice. Ako ima karaktera krivičnog dela uključuju se policija i tužilaštvo“, objašnjava Krivokapić procedure koje sada treba da uslede.
Iz službe Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti Milana Marinovića za Nova.rs odgovaraju da su odmah reagovali i da je sprečena dalja kompromitacija podataka iz informacionog sistema COVID-19.
„Poverenik će, u skladu sa prikupljenim činjenicama iz obaveštenja o povredi podataka o ličnosti, sprovesti postupak nadzora, kako bi preduzeo dalje mere, u skladu sa zakonom“, navode iz kabineta Poverenika Milana Marinovića.
Informacioni sistem sa podacima o zaraženima koronavirusom uspostavio je i vodi Institut za javno zdravlje „Dr Milan Jovanović Batut“, uz tehničku podršku Kancelarije za informacione tehnologije i elektronsku upravu i Republičkog fonda za zdravstveno osiguranje, a u skladu sa Zaključkom Vlade Srbije od 28.marta.
„Odmah nakon utvrđivanja svih činjenica, Poverenik je telefonom kontaktirao lice za zaštitu podataka o ličnosti u istoj zdravstvenoj ustanovi, te usmeno naložio da se internet stranica ukloni i istovremeno zahteva od RFZO da se pristupna lozinka ukine. Nakon što je lice za zaštitu podataka zdravstvene ustanove obavestilo Poverenika da je veb stranica uklonjena i lozinka ukinuta, Poverenik je telefonom kontaktirao i lice za zaštitu podataka RFZO.
Istom licu je objašnjeno šta se dogodilo, te precizirano da RFZO, kao obrađivač podataka, mora u skladu sa Zakonom o zaštiti podataka o ličnosti, bez odlaganja obavestiti Instititut za javno zdravlje ‘Dr Milan Jovanović Batut’ o povredi podataka o ličnosti, kao i da isti institut, kao rukovalac, mora o tome obavestiti Poverenika, u roku od 72 časa od saznanja za povredu“, objašnjavaju iz kancelarije Poverenika proceduru koju su preduzeli.