Izolska bolnišnica: Neustrezno zavarovanje osebnih podatkov

Deli novico s tvojimi prijatelji

Informacijski pooblaščenec je zoper izolsko bolnišnico uvedel inšpekcijski postopek zaradi neustreznega zavarovanja osebnih in posebne vrste osebnih podatkov. Pri pooblaščencu so ob tem pojasnili, da so bili o možnosti dostopa do osebnih podatkov bolnikov prek Googla obveščeni v petek, bolnišnica jih je umaknila v soboto.

Informacijski pooblaščenec je bil v petek obveščen, da naj bi bilo mogoče prek iskalnika Google pridobiti večjo količino osebnih in posebne vrste osebnih podatkov, ki so bili v preteklosti dostopni prek spletne strani Splošne bolnišnice Izola. Kot so zapisali, je pooblaščenec takoj ukrepal in zavaroval dokaze, hkrati pa obvestil bolnišnico, naj v čim krajšem času poskrbi za odstranitev datotek iz iskalnika Google.

“Zaenkrat je mogoče povedati le, da niso bile objavljene izvorne datoteke, ampak posnetki datotek, ki jih je naredil iskalnik Google,” so še navedli pri pooblaščencu. Bolnišnica po njihovih navedbah uradnih pojasnil, zakaj je do incidenta prišlo, še ni posredovala, “gre pa zelo verjetno za neustrezno zavarovanje njihove spletne strani”.

Je pa izolska bolnišnica takoj, ko je izvedela za objavo posnetkov datotek, ukrepala in od Googla zahtevala umik vseh spornih datotek. V soboto so bile te odstranjene, tako da zdaj do njih ni več mogoče dostopati, so še pojasnili.

Informacijski pooblaščenec je zoper bolnišnico uvedel inšpekcijski postopek zaradi neustreznega zavarovanja osebnih in posebne vrste osebnih podatkov. Kot so pojasnili, je namreč postopek takšen, da se zavaruje dokaze, obvesti zavezanca o kršitvi z namenom čim hitrejše odprave nadaljnjih škodljivih posledic za prizadete posameznike, nato se v inšpekcijskem postopku ugotavlja, kaj se je dejansko zgodilo. Če se izkaže, da je zavezanec kršil zakonodajo s področja varstva osebnih podatkov, se uvede prekrškovni postopek in izreče sankcija.

V podobnih primerih, ko osebni podatki niso več nezavarovano dostopni na spletni strani podjetja, ampak obstajajo le še kot posnetki datotek v iskalniku Google, je pomembno, da podjetje čim prej obvesti Google in zahteva umik podatkov. Google se po dosedanjih izkušnjah praviloma hitro odzove na takšne zahteve, so še zapisali pri pooblaščencu.

Spletni portal Slo-Tech je poročal, da so bili prek Googla dostopni izvidi in napotnice Slovencev, ki so se naročili na pregled v bolnišnici Izola od začetka leta 2016. Kot jim je sporočil neznani vir, ki jim je tudi posredoval primere dokumentov, so bili med izvidi tudi primeri Slovencev z diagnostriciranimi družbeno stigmatiziranimi boleznimi.

Oglasili so se tudi v bolnišnici Izola, kjer pravijo, da so po podrobni analizi ugotovili, da do uhajanja osebnih podatkov ni prišlo. Iz predoglednih sličic, ki jih je objavil Google, ni mogoče razbrati vsebine samih dokumentov. V podjetju, ki je bolnišnici postavilo stran, so pojasnili, da je upravljanje spletnega mesta in strežnika prevzel naročnik, s katerim pa že več let ne sodelujejo.

Direktor SBI Radivoj Nardin je v izjavi za javnost pojasnil, da so po “takojšnjem temeljitem poizvedovanju bolnišničnih in zunanjih strokovnjakov za informacijsko varnost” ugotovili, da so zadetki na Googlu povezani z varnostno ranljivostjo njihove spletne strani za storitev spletnega naročanja, ki se je pojavila leta 2018, ko so jo z varnostno nadgradnjo tudi odpravili.

“Kljub vsemu so se v Googlovem iskalniku ponovno pojavile nekatere povezave na napotnice in druge dokumente, kjer je Googlov iskalnik vračal zadetke, ki pa so uporabnika obveščali o neobstoječi vsebini. Spletna stran www.sb-izola.si je ob poskusu odpiranja katerega koli izmed najdenih zadetkov vselej vrnila odgovor, da omenjena povezava ni veljavna. Googlov iskalnik je v zadetkih poleg povezav ponudil tudi predogledne sličice, iz katerih ni mogoče razbrati izvorne vsebine samega dokumenta,” so zapisali v SBI.

V skladu z zakonodajo je SBI o dogodku in postopku reševanja sproti obveščala informacijskega pooblaščenca. “Podrobna analiza dogodka je pokazala, da ni prišlo do uhajanja osebnih ali katerih koli drugih podatkov iz našega internega bolnišničnega informacijskega sistema,” so povdarili v SBI.

 

STA