Nov vrhunec digitalne transformacije v slovenskem zdravstvu: do podatkov zdravstvenega stanja Primorcev kar prek Googla

Izvidi in napotnice Slovencev, ki so se naročili na pregled v bolnišnici Izola od začetka leta 2016, so bili do preteklega tedna dostopni kar prek Googla. Kot je razvidno iz priloženih slik, je prišlo do (tudi za slovenske razmere) neverjetne »šlamastike« pri varovanju osebnih zdravstvenih podatkov pacientov bolnišnice. Vse podrobnosti sicer še niso znane, vse pa kaže, da je IT sistem avtomatično objavljal izvide in napotnice na spletu. Ker Google (in seveda drugi spletni iskalniki) avtomatično indeksira vso vsebino, ki ni zaščitena na platformah, kot je WordPress, je lahko kdorkoli na svetu preverjal zdravstveno stanje Primorcev.

Informacijski pooblaščenec je bil o »nepravilnostih« obveščen pretekli petek in je takoj odredil bolnišnici umik dokumentov s spleta. Kar je bolnišnica uspela v soboto vendarle narediti. Vendar, kot lahko preverite v slikah dokumentov v tem članku, je bila škoda posameznikom že narejena. Kot nam je sporočil neznani vir, ki nam je tudi posredoval primere dokumentov, so bili med izvidi tudi primeri Slovencev s hivom in drugimi družbeno stigmatiziranimi boleznimi.

GDPR v praksi

Tokratna šlamastika pa je prva večja afera glede varovanja osebnih podatkov od uveljavitve GDPR. Zato bo zanimivo spremljati, kako bo Informacijski pooblaščenec (katerega delo je potrebno tokrat pohvaliti, saj je inštitucija odreagirala takoj po prejetju obvestila o dogajanju) "teorijo" GDPR spremenil v prakso. Glede na evropsko uredbo bi moral upravljalec o dogajanju obvestiti najprej Informacijskega pooblaščenca, hkrati pa tudi vse žrtve, katerih osebni zdravstveni podatki so se znašli na spletu. Kako bo to potekalo, še ni jasno.

Prav tako bomo tudi v praksi videli, kako Informacijski pooblaščenec vidi standarde sledenja dostopa do občutljivih osebnih podatkov. Glede na uredbo o GDPR bi moral vsak IT sistem, ki dostopa ali hrani občutljive osebne podatke, omogočati popolno sledljivost dostopa do teh informacij. Kako naj bi to izgledalo v praksi, do sedaj pravzaprav nihče ne ve.

Praksa ali naključje?

Tokratni primer seveda ni prvi. Spomnimo le na razkritje iz leta 2017, ko se je izkazalo, da je prek spletne aplikacije Napotnica.si bila dostopna zdravniška dokumentacija UKC Ljubljana, vključno z napotnicami pacientov. Ob tem se lahko samo vprašamo, ali gre pri (ne)varovanju osebnih podatkov s strani Države le za posamične primere, ali za prakso?