Piškotki kot dimna zavesa spletne varnosti in zasebnosti

Ko smo pred kratkim razkrili, da spletišče UKC Ljubljana, namenjeno naročanju pacientov na preglede preko spleta, ni uporabljalo HTTPS šifriranja, smo opozorili tudi na 14. člen Zakona o varstvu osebnih podatkov. Ta določa, da se “pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.” UKC Ljubljana je po našem opozorilu na svoje spletišče namestil HTTPS šifriranje, sicer popolnoma neustrezno, a vendarle.

Kako pa je z ostalimi zdravstvenimi ustanovami?

Problema uporabe kriptografskih metod pri prenosu zdravstvenih podatkov preko spleta se je Informacijski pooblaščenec lotil že pred nekaj leti. Zato smo lahko na Slo-Techu z dostopom do informacij javnega značaja pridobili odločbo številka 0612-190/2010/ z dne 1. 3. 2011. V njej je IP-RS neznanemu zavezancu (iz odločbe izhaja, da gre za bolnišnico) odredil, da mora pri elektronskem naročanju na spletni strani zavarovati prenos osebnih podatkov z uporabo uveljavljenih kriptografskih metod.

Kaj to pomeni v praksi? Državni nadzornik je v okviru inšpekcijskega pregleda ugotovil, da spletna stran zavezanca za elektronsko naročanje ne uporablja uveljavljenih kriptografskih metod za zagotovitev zaupnosti in celovitosti podatkov, se ne izkazuje z zaupanja vrednim digitalnim potrdilom, sam prenos podatkov med brskalnikom uporabnika in spletnim strežnikom zavezanca pa ni zavarovan HTTPS. Zato po mnenju IP-RS zavarovanje osebnih podatkov pri elektronskem naročanju med prenosom ni bilo skladno z zahtevami Zakona o varstvu osebnih podatkov.

Tako leta 2011. In kakšno je stanje danes?

Površen pregled spletnih strani slovenskih bolnišnic razkrije, da HTTPS šifriranja pri naročanju pacientov preko spleta ne uporabljajo vsaj tri bolnišnice. Posledično lahko pridemo do zaključka, da se v zadnjih šestih letih na tem področju ni prav veliko spremenilo.

Splošna bolnišnica Celje
Prva bolnišnica, ki ne uporablja HTTPS povezav je Splošna bolnišnica Celje. Med obveznimi podatki, ki jih morajo vnesti pacienti, ki se želijo prijaviti na posege in preglede, je med drugim tudi zdravstvena diagnoza. Seveda poleg imena, priimka, naslova, kontaktov ter številke kartice zdravstvenega zavarovanja.

Splošna bolnišnica Celje uporablja samo HTTP

Spletna stran sicer sploh nima podpore za HTTPS; če do spletne strani Splošne bolnišnice Celje skušamo dostopati preko HTTPS, nas strežnik preusmeri na spletno stran Inženirske zbornice Slovenije.

Psihiatrična bolnišnica Ormož

Psihiatrična bolnišnica Ormož

Naslednja bolnišnica, ki pri naročanju preko spleta nima HTTPS podpore je Psihiatrična bolnišnica Ormož.

Psihiatrična bolnišnica Ormož nima HTTPS podpore

Pri njih je poleg ostalih podatkov potrebno obvezno vnesti tudi EMŠO. Tudi ta spletni strežnik sploh nima podpore za HTTPS. Če skušamo dostopati do korena spletnega strežnika, pa se znajdemo na privzetem Plesk Parallels panelu.

Dostop do korena spletnega strežnika preko HTTPS...

Bolnišnica Postojna

Bolnišnica Postojna uporablja samo HTTP

Tretja bolnišnica, ki smo jo "zalotili" brez HTTPS podpore, je Bolnišnica Postojna. Pri njih je pri naročanju preko spleta poleg imena, priimka, datuma rojstva, ipd. potrebno obvezno vnesti še datum zadnje menstruacije ter predvideni rok poroda.

Nepodpora HTTPS pri Bolnišnici Postojna

Tudi ta strežnik nima podpore za HTTPS povezave, v primeru, da želimo do korena spletišča dostopati preko HTTPS, pa nas strežnik preusmeri na Plesk upravljalski vmesnik.

Dostop do Bolnišnice Postojna preko HTTPS nas preusmeri na skrbniško stran

Prioritete, prioritete...
Po naših neuradnih podatkih, naj bi Informacijski pooblaščenec na področju zdravstva po našem prvem članku na temo HTTPS v zdravstvu že pričel s preverjanjem, ali slovenske zdravstvene ustanove v primeru naročanja na preglede preko spleta uporabljajo HTTPS šifriranje. To je vsekakor dobrodošla novost, saj so pri Informacijskem pooblaščencu do sedaj imeli drugačne prioritete.

Iz letnega poročila IP-RS za leto 2015 (letno poročilo za leto 2016 še ni dostopno) namreč izhaja, da so leta 2015 na podlagi prejetih prijav v zasebnem sektorju opravili 57 ogledov spletnih strani in sicer večinoma v zvezi s spletnimi piškotki (glej stran 43). Da se Informacijski pooblaščenec precej ukvarja s spletnimi piškotki je sicer vidno tudi iz dejstva, da so leta 2013 izdali tudi Smernice o uporabi piškotkov na spletnih straneh. Zdi se torej, da so bili za IP-RS (vsaj do nedavnega) spletni piškotki eden glavnih problemov zasebnosti na spletu.

Po drugi strani pa na spletni strani IP-RS najdemo tudi Smernice za zavarovanje osebnih podatkov v informacijskih sistemih bolnišnic. Podrobno branje dokumenta razkrije, da v njem HTTPS šifriranje ni nikjer omenjeno, dolžnost zavarovanja prenosa zdravstvenih podatkov preko spleta pa je omenjena zgolj na splošno.

Bolnisnica Postojna - obvestilo o piškotkih

Splošna bolnišnica Celje - obvestilo o piškotkih

Prioritete našega uradnega varuha zasebnosti smo lahko opazili tudi pri našem pregledu. Dve izmed treh bolnišnic, ki pri naročanju pacientov ne uporabljajo nobene zaščite, sta na spletu imeli obvestilo o spletnih piškotkih. Obvestila nima le Psihiatrična bolnišnica Ormož, res pa je, da uporablja zgolj sejne piškotke.

Očitno so pretekle aktivnosti Informacijskega pooblaščenca v zvezi s piškotki dosegle svoj namen. Zdaj pa je morda čas, da vodstvo IP-RS posveti čas tudi drugim vidikom spletne varnosti in morda pripravi tudi kakšne smernice na področju uporabe šifrirnih mehanizmov na spletu. Vprašanje je namreč, ali je naša zasebnost na področju zdravstva zaradi obvestil o piškotkih kaj bolj zaščitena, kot bi bila, če obvestil ne bi bilo. Kaj pomaga zagrinjanje oken z zavesami, če pa so vrata odprta na stežaj?

Tu pa pridete na vrsto vi. Če je kdo od vas/vaših bližnjih pri kateri od navedenih bolnišnic preko spleta oddal svojo napotnico, potem lahko na Informacijskega pooblaščenca poda prijavo.