Niz propusta u radu korona baze

To je ukratko Batut naveo u svom dopisu Povereniku za informacije od javnog značaja nakon što je poverenik izrekao opomenu ovoj ustanovi zbog propusta u radu kovid sistema.

Kako za Danas objašnjava poverenik Milan Marinović, Batut je u svom dopisu od 6. jula između ostalog naveo da će svi koji budu pristupali informacionom sistemu prolaziti tri nivoa provere, umesto dosadašnjeg jednog koji je podrazumevao da lekari i ostalo osoblje može da se uloguje na sistem koristeći samo lozinku.

– Batut je naveo da se predviđa nadogradnja sistema, a kada će to biti urađeno, ja ne znam – kaže Marinović, objašnjavajući da kancelarija poverenika može ponovo da izvrši nadzor, kako bi se videlo da li je Batut ispunio svoje najave.

Opomena Poverenika Batutu usledila je nakon što je Share fondacija prostom pretragom na Guglu polovinom aprila došla do javno dostupnih podataka o šifri za pristup informacionom sistemu kovid 19, koji su bili objavljeni na sajtu Doma zdravlja u Rakovici.

Jelena Adamović iz Share fondacije objašnjava da se tada videlo da osobe koje unose podatke u sistem u pojedinačnim ustanovama imaju istu šifru, što otvara prostor za niz zloupotreba ali i onemogućava da se utvrdi ko je odgovoran ako dođe do povrede podataka o ličnosti.

– Bilo je potrebno od početka da svaki lekar ima personalizovan nalog, sa svojom šifrom. Pošto to nije urađeno, bilo je nemoguće pratiti ko i kada pristupa sistemu, što praktično znači da kada se desi neki propust, vi ne znate ko je za to odgovoran – kaže Adamović.

Primer jednog takvog propusta navodi i sam Poverenik u svojoj opomeni. Poverenik je naime početkom juna podneo krivičnu prijavu Višem javnom tužilaštvu u Beogradu protiv N. N. službenog  lica, zbog sumnje da je dao lične podatke 24 osobe neovlašćenim licima, uključujući njihova imena i  prezimena, JMBG, broj telefona, koji su sadržani u informacionom sistemu. Ti podaci na kraju su završili na Fejsbuku.

Milan Marinović kaže da se na sreću slična stvar nije desila u slučaju Doma zdravlja u Rakovici.

– Šifra za kovid informacioni sistem jeste bila javno dostupna osam dana. Mi smo odmah reagovali kada smo za to saznali i koliko mi imamo informacije, niko osim nas iz kancelarije i ljudi iz Share fondacije nije koristio tu šifru da pristupi informacionom sistemu – kaže sagovornik Danasa.

On objašnjava da je pored Batuta, kancelarija Poverenika izvršila nadzor i nad DZ Rakovica, kao i nad RFZO-om. Kako RFZO kreira korisničke naloge za lekare i ostalo osoblje koje pristupa informacionom sistemu, jedna od stvari na koju je Poverenik ukazao jeste da je neophodno da se naprave personalizovani nalozi, odnosno da svaki lekar u jednoj ustanovi ima svoju šifru. Marinović dodaje da se još uvek čeka odgovor RFZO.

Inače, Poverenik je samom Batutu izrekao opomenu iz više razloga. Jedan je taj što Batut, kao rukovodilac sistema, nije zaključio ugovor sa RFZO, koji obrađuje pomenute podatke, zatim što nije preduzeo odgovarajuće mere zaštite i na kraju zato što  nije izradio procenu studije uticaja informacionog sistema. Batut je naknadno neke od svojih obaveza ispunio sklopivši ugovor sa RFZO-om, i izradivši procenu uticaja.

Jelena Adamović objašnjava da je ugovor između Batuta i RFZO bio jedan od najformalnijih uslova koje je trebalo odmah na početku sačiniti, a činjenica da to nije urađeno pokazuje kako se pristupilo celom poslu.

– U ovakvim ugovorima jasno piše da obrađivač podataka (u ovom slučaju RFZO) mora da postupa u skladu sa pisanim instrukcijama rukovodioca sistema (Batut). Na taj način postaje jasno ko je za šta odgovoran ako dođe do nekog propusta i povrede prava građana – navodi Adamović. Ona dodaje da sličan ugovor treba da postoji između Batuta i ustanova iz kojih se unose podaci, kao što su laboratorije, kovid bolnice i zavodi, odnosno instituti za javno zdravlje.

Prema rečima naše sagovornice, podjednako je bilo važno na početku izraditi procenu uticaja informacionog sistema jer bi se tada jasno videlo na koje sve načine lični podaci građana mogu biti ugroženi.

– Da je ta procena uticaja urađena kako valja i na vreme, onda bi bilo jasno da imate sistem kome će pristupati 1.000 lekara koji će unositi podatke, i da je neophodno pratiti ko je i kada pristupio sistemu, i šta je u njega uneto. Studija uticaja jeste naknadno urađena. Međutim ona je napisana laičkim jezikom, data su neka tri rizika i nema smislenog objašnjenja kako sa tim rizicima izaći na kraj  – dodaje Adamović. Jedan od rizika koji se inače navodi u samoj studiji i koji je ocenjen kao najopasniji jeste mogućnost neautorizovanog pristupa sistemu i neovlašćeno preuzimanje podataka o ličnosti.

– Niko ne spori da ovakav sistem treba da postoji. Niti mi tvrdimo da se u ovom sistemu prikuplja više podataka o ličnosti nego što je neophodno. Ono što je međutim problem jeste nedovoljna zaštićenost sistema, jer smo videli, bar u aprilu, da je njemu mogao da pristupi ko god je hteo, što onda dalje dovodi u pitanje pouzdanost i bezbednost podataka – zaključuje Adamović.

Sistem

Centralizovani Informacioni sistem kovid 19 formiran je na osnovu Zaključka Vlade od 16. aprila. Ovim zaključkom određeno je da sistem  uspostavlja i vodi Institut za javno zdravlje „Dr Milan Jovanović Batut“, uz tehničku podršku Kancelarije za informacione tehnologije i elektronsku upravu i Republičkog fonda za zdravstveno osiguranje.