Po razkritju tehnološke platforme slotech, da je Googlov spletni iskalnik na spletnih straneh Splošne bolnišnice Izola našel tudi napotnice in druge zdravstvene podatke pacientov, so iz bolnišnice sporočili, da so podatki že umaknjeni. »Dne 8. marca smo ponovno podali zahtevo pri Googlu, da vse neobstoječe povezave umakne s svoje spletne strani. Povezave so bile odstranjene v manj kot 24 urah, torej v soboto, 9. marca 2019,« je sporočil direktor Radivoj Nardin.
V današnjem daljšem zapisu je Nardin pojasnil, kako je do objav na googlu sploh prišlo: na spletni strani bolnišnice Izola je bilo v preteklosti mogoče ob oddaji naročila zdravstvene storitve priložiti tudi dokumente, na primer fotografije napotnic. Zaradi »varnostne ranljivosti«, kot pravi Nardin, pa je Googlov iskalnik samodejno naredil posnetek spletnega mesta, na katerem so bili shranjeni napotnice in drugi dokumenti. To so v bolnišnici odkrili že lani, dokumente so skrili, od Googla pa zahtevali odstranitev podatkov z iskalnih seznamov. »Kljub vsemu so se v Googlovem iskalniku ponovno pojavile nekatere povezave na napotnice in druge dokumente,« je pojasnil Nardin.
»O obstoju dokumentov na googlu nas je neki uporabnik obvestil minuli petek,« pravi Tadej Hren iz nacionalnega odzivnega centra za kibernetsko varnost SI-CERT. »Mapa, v katero so se skenirani dokumenti shranjevali, bi sicer morala biti zaprta in za google nedostopna. Možno pa je, da je v nekem trenutku prišlo do spremembe v nastavitvah spletne strani, da je vsebina postala dostopna za brskanje,« pravi Hren. Ali se je to zgodilo namerno ali nenamerno, Hren ne more soditi. Opozoril pa je, da gre skoraj zagotovo za človeški faktor, saj računalniški sistem sam od sebe ne spreminja nastavitev.
Google je kot predogled ponudil tudi sličice, iz katerih je bilo med drugim mogoče prepoznati, da gre za slike napotnic. Vendar direktor izolske bolnišnice Radivoj Nardin trdi, da iz sličic vsebine napotnic ni bilo mogoče prepoznati.
Kaj se je res videlo na sličicah, ki jih je Google dokončno izbrisal v soboto, ni povsem jasno. »Kot je razvidno iz priloženih slik, je prišlo do (tudi za slovenske razmere) neverjetne ’šlamastike’ pri varovanju osebnih zdravstvenih podatkov pacientov bolnišnice,« je zapisal anonimni odkritelj na portalu Slotech. K članku je pripel posnetek zaslona, na katerem je videti obrise napotnic, osebnih podatkov pa ne. »Vse podrobnosti sicer še niso znane, vse pa kaže, da je informacijsko-tehnološki sistem avtomatično objavljal izvide in napotnice na spletu. Ker google in seveda drugi spletni iskalniki avtomatično indeksirajo vso vsebino, ki ni zaščitena na platformah, kot je WordPress (to uporablja izolska bolnišnica, op. p.), je lahko kdor koli na svetu preverjal zdravstveno stanje Primorcev,« zatrjuje avtor.
Inšpekcijski nadzor že uveden
Nardin nasprotno trdi, da »ni prišlo do nobenega uhajanja osebnih ali katerih koli drugih podatkov«. Pojasnil je še, da so o dogajanju obvestili urad informacijske pooblaščenke Mojce Prelesnik. »Informacijski pooblaščenec je nemudoma ukrepal in zavaroval dokaze, hkrati pa obvestili Splošno bolnišnico Izola, naj v čim krajšem času poskrbi za odstranitev datotek iz Googlovega iskalnika,« je danes pojasnila pooblaščenka. »Za zdaj je mogoče povedati le, da niso bile objavljene izvorne datoteke, ampak posnetki datotek, ki jih je naredil Googlov iskalnik,« je dodala.
Informacijski pooblaščenec je zoper Splošno bolnišnico Izola uvedel inšpekcijski postopek zaradi neustreznega zavarovanja osebnih in posebne vrste osebnih podatkov. »V takšnih primerih se ukrepa tako, da se zavaruje dokaze, obvesti zavezanca o kršitvi z namenom čim hitrejše odprave nadaljnjih škodljivih posledic za prizadete posameznike, nato se v inšpekcijskem postopku ugotavlja, kaj se je dejansko zgodilo, in če se izkaže, da je zavezanec kršil zakonodajo s področja varstva osebnih podatkov, se uvede prekrškovni postopek in izreče sankcija,« pravi Prelesnikova. Po lanski uveljavitvi evropske uredbe GDPR, ki varuje osebne podatke, so lahko kazni za kršitelje uredbe tudi zelo visoke. »V podobnih primerih, ko osebni podatki niso več nezavarovano dostopni na spletni strani podjetja – v tem primeru bolnišnice, ampak obstajajo le še kot posnetki datotek v Googlovem iskalniku, je pomembno, da podjetje čim prej obvesti Google in zahteva umik podatkov. Google se po dosedanjih izkušnjah praviloma hitro odzove na takšne zahteve,« je še povedala pooblaščenka.
