“GDPR noćna mora – kad nebriga za podatke ugrožava zdravlje i živote”, naziv je objave udruge Politiscope na LinkedInu, a u kojoj su opisana gruba kršenja zaštite osobnih podataka (GDPR) prilikom nedavnih (sigurnosnih) incidenata u sektoru zdravstva (hakerski napad na KBC Zagreb, česti padovi sustava CEZIH).
- Zakonodavni okvir koji izuzima tijela javne vlasti od novčanih kazni za kršenje GDPR-a rezultirao je slabim institucionalnim kapacitetima za zakonitu i sigurnu obradu podataka. Nažalost, to posebno vrijedi za zdravstveni sustav, gdje učestali propusti u zaštiti podataka mogu imati značajne posljedice po zdravlje i živote ljudi. U danas objavljenom tekstu, mapirali smo propuste u obradi podataka u zdravstvenom sektoru te predložili odgovarajuće mjere – navedeno je na početku teksta koji potpisuju Duje Prkut, izvršni dirketor udruge Politiscope i njegov zamjenik Duje Kozomara.
Evo što je još istaknuto u ovoj analizi:
- Česti padovi CEZIH-a onemogućuju liječnicima izdavanje recepata i pregled nalaza, dok pacijenti ne mogu preuzeti lijekove. Unatoč ozbiljnim rizicima, voditelji obrade ne obavještavaju pravovremeno ispitanike o nedostupnosti sustava, a prve informacije redovito objavljuju mediji, na temelju dojava pacijenata.
CEZIH-ova web stranica uopće nema objavljenu politiku privatnosti, što je jedna od najosnovnijih obveza GDPR-a. Posebno bizaran detalj je nedostatak SSL certifikata na Internet stranici CEZIH-a i upozorenje kako stranica nije sigurna.
- Nedavni hakerski napad na KBC Zagreb, jedan od najopasnijih data breacheva u EU, ugrozio je živote pacijenata oboljelih od raka jer su planovi zračenja pacijenata bili nedostupni. Nedostatak sigurnosnih kopija ključnih zdravstvenih podataka grubo je kršenje GDPR-a, jer nisu poduzete odgovarajuće mjere zaštite podataka.
Umjesto pravovremene komunikacije o posljedicama, kako bi pacijenti mogli umanjiti rizike za svoje zdravlje i život, bolnica je provodila PR aktivnosti uvjeravanja da sustav normalno funkcionira.
- Niz incidenata u zdravstvenom sektoru već je ranije ukazivao na zastarjelu IT infrastrukturu i niske kapacitete za zaštitu osobnih podataka. Primjerice, Digitalni asistent Andrija i portal za registraciju za cijepljenje lansirani su bez Politike privatnosti, a Ured za zdravstvo Grada Zagreba slao je netočne rezultate COVID testova građanima, ugrozivši njihovo zdravlje i slobode”
Nadalje, stručnjaci za zaštitu podataka iz udruge Politiscope ovim putem pozivaju:
- Vladu, nadležno ministarstvo i Hrvatski sabor da ukinu iznimke u novčanom kažnjavanju za javna tijela te osnaže institucionalne kapacitete Agencije za zaštitu osobnih podataka (AZOP).
- AZOP da provodi strogi nadzor nad primjenom Uredbe u državnoj i javnoj upravi, kroz primjenu nenovčanih oblika sankcija (javna opomena, naredba o usklađivanju, naredba o obavještavanju ispitanika, zabrana obrade).
U udruzi Politiscope ističu kako je ove korake nužno poduzeti prije usvajanja nacionalnog zakonskog okvira za umjetnu inteligenciju te pokretanja velikih digitalnih projekata s osobnim podacima građana, poput Registra stanovnika.
-Uz postojeće niske razine povjerenja u institucije, RH nema luksuz pogreške u izgradnji povjerenja u tehnologiju i digitalna rješenja u upravi. Zaštita neotuđivih ljudskih i digitalnih prava građana, uključujući pravo na zaštitu osobnih podataka, vrijednost je na kojoj moramo izgraditi modernu državnu i javnu upravu RH – zaključuju u tekstu.