Imajući u vidu rapidno širenje koronavirusa, na osnovu odluke Vlade Srbije uspostavljen je informacioni sistem COVID-19, kako bi se izgradio mehanizam praćenja stanja i sveobuhvatne obrade podataka svih građana u vezi sa pandemijom: građani koji su testirani, zaraženi, preminuli, građani kojima je izrečena mera obavezne samoizolacije i druge informacije od značaja u vezi sa kriznim stanjem.
Istraživači Share fondacije koristeći, ključne reči putem google pretrage, došli su do stranice jedne zdravstvene ustanove na kojoj su se nalazili podaci za pristup sistemu, korisničko ime i lozinka. Podaci obolelih građana bili su dostupni od 9. do 17. aprila. Ovakav propust doveo je do nedozvoljenog uvida u podatke o zaraženim građanima, što je nedopustivo. Pvodom ovog pitanja oglasio se i Poverenik za zaštitu podataka o ličnosti koji navodi da su preduzete mere kako bi se utvrdila odgovornost i sprečila dalja zloupotreba, širenje i kompromitacija istih.
Koje podatke obrađuje Informacioni sistem COVID-19?
Nadležne zdravstvene institucije u obavezi su da vode evidencije podataka o ljudima koji su testirani na koronavirus bez obzira da li je rezultat negativan ili pozitivan, podatke o izlečenim i preminulim licima, licima koja su smeštena u privremenim bolnicama sa njihovom lokacijom, i onim licima koja se nalaze u samoizolaciji. Pored navedenih, strogo se vodi računa i o licima koja su potencijalni (pre)nosioci virusa. Imajući to u vidu, sve zdravstvene ustanove u obavezi su da na dnevnom nivou vrše ažuriranje podataka, što je od suštinskog značaja za sačinjavanje sveobuhvatnog izveštaja koji se prezentuje svakoga dana u 15h, baziranog na ovom sistemu.
Đrorđe Krivokapić, osnivač Share fondacije nije želeo da otkrije o kojoj se ustanovi radi iz solidarnosti prema zdravstvenim radnicima koji su i ovako pod velikim stresom. Kako navodi Krivokapić: “Domovi zdravlja i čitav niz ustanova ima obavezu da unosi podatke u taj sistem i da upravlja podacima iz jednog takvog sistema. Šifra i korisničko ime, kao i uputsva za korišćenje takvog sistemom, unos podataka, pregled podataka i tako dalje, je bila javno dostupna na internetu. Nije bilo baš jednostavno da se dođe do toga, ali je činjenica da je osam dana bio moguć pristup. Mi ne znamo šta se desilo za tih osam dana, mi se nadamo da niko to nije našao i zloupotrebio, ali nemamo nikakve garancije za to. Mi smo odmah obavestili državne organe i za sat vremena su oni uspeli da u kontaktu sa ustanovom to sklone”.
Nekadašnji poverenik za zaštitu podataka o ličnosti, Šabić, takođe se oglasio povodom ovog pitanja izjavljujući da je ovakav propust nedopustiv i da opravdanje ne treba tražiti u vanrednom stanju jer je reč o sajtu koji je praktično ustanovila vlada i da su lične baze u svetu ozbiljno i striktno zaštićene, a kazne za slične propuste drakonske.
Koje su posledice?
Moguće posledice ne samo da se ogledaju u obelodanjivanju podataka o licima koja su uključena u zdravstvene mere protiv koronavirusa, što predstavlja zakonsko i ustavno kršenje, već postoji i mogućnost da se promene rezultati testiranja, i da neko ko je bio negativan, bude označen kao pozitivan. To dalje povlači da imamo uzaludno usmereno trošenje i vremena i resursa.
Koje korake treba preduzeti?
Krivokapić je naveo set koraka koji se primenjuju kako bi se utvrdila odgovornost. Institucija kod koje je došlo do kompromitacije podataka u obavezi je da u roku od 72 sata dostavi 2 separatna obaveštenja o incidentu u organizaciji u skladu sa Zakonom o informacionoj bezbednosti i Zakonom o zaštiti podataka o ličnosti. Obaveštavaju se zvanični organi, Poverenik i Ministarstvo telekomunikacija. Navedeni organi sprovode nadzor i kontrolu i prilikom utvrđivanja činjenica, ukoliko postoji elemenata krivičnog dela, svakako se uključuje policija i tužilaštvo.
Nakon utvrđivanja činjenica Poverenik je usmenim putem naložio uklanjanje intrenet stranice i ukidanje pristupne šifre. Pomenutim koracima i preduzimanjem mera sprečena je dalja kompromitacija podataka.