Šabić ponovo upozorava na nedostatke IZIS-a

Rodoljub Šabić je doneo rešenje kojim je Ministarstvu zdravlja naložio da u roku od osam dana preduzme sve mere za zaštitu podataka o ličnosti koje obrađuje u okviru IZIS-a.

Poverenik je saopštio da je u toku nadzora utvrdio da je Ministarstvo zaposlenima u ustanovama gde je uveden IZIS dodelio korisnička imena i lozinke koje su takve da se mogu lako otkriti i dovesti do neovlašćenih pristupa.

Lozinke se zaposlenima dostavljaju putem elektronske pošte, često na adrese koje se ne vode pod serverima koji su pod kontrolom ustanova u kojima rade lica kojima su dodeljene.

Ti serveri su najčešće u masovnoj upotrebi na primer, gmail, hotmail, yahoo, a pošto nije zahtevano od lica koji pristupaju IZIS-u da promene lozinku više lekara u istoj zdravstvenoj ustanovi koristi istu lozinku.

Ukoliko se lozinka zaboravi nova lozinka se elektronskom poštom dostavlja administratoru, a ne neposredno licu koje će je koristiti a ova komunikacija opet se vrši preko nedovoljno sigurnih kanala poput gmail, hotmail, yahoo.

Poverenik je na sve ovo upozorio Ministarstvo u oktobru 2016. godine, a Ministarstvo je dopisom od 01.12.2016. godine obavestilo Poverenika da je implementiran sistem zaštite kojim su otklonjeni nedostaci u zaštiti podataka o ličnosti u okviru IZIS.

Nakon ovoga, ovlašćena lica Poverenika su u više navrata, sukcesivno, do dana donošenja ovog Rešenja izvršila proveru pristupa podacima o ličnosti u okviru IZIS korišćenjem lozinki koje je Ministarstvo inicijalno dodelilo lekarima u istoj zdravstvenoj ustanovi i utvrdila da Ministarstvo nije otklonilo navedene propuste u zaštiti podataka o ličnosti.

Podaci koji se mogu neovlašćeno preuzeti su ime i prezime i JMBG pacijenta, ali i dijagnoza, anamneza, terapija u svim mogućim slučajevima, uključujući i one koje važe za najdelikatnije (psihijatrijske, ginekološke, dermatološke i sl.).

Ministarstvo se do sada povodom ovih pitanja oglašavalo saopštenjima u kojima se navodi da "svaki neovlašćeni pristup (čak i ako se desio) nije posledica pasivnosti i nemarnosti Ministarstva zdravlja, već pojedinaca u zdravstvenoj ustanovi koji nisu znali da pravilno koriste dodeljenu šifru".

Poverenik podseća da je Ministarstvo uspostavilo IZIS, te da je shodno tome bilo dužno da preduzme sve tehničke, kadrovske, organizacione mere zaštite podataka, uključujući tu i odgovarajuću edukaciju pojedinaca uključenih u sistem.

Poverenik očekuje da Ministarstvo preduzme odgovarajuće mere i upozorava da postojeći propusti mogu dovesti do nesagledivih štetnih posledica po građane.