Подаци о лабораторијским анализама, историји болести, ЈМБГ-у и другим личним подацима неке приватне здравствене установе шаљу преко јавне Gmail адресе, што повлачи питање безбедности ове праксе.

Засигурно сте бар једном отишли на приватни здравствени преглед, након којег сте чекали извештај лекара.

Тај извештај је и већини достављен путем email-а – неке здравствене установе имају своје (@име установа.рс), а неке користе Gmail (име установа@gmail.com).

На адресу Н1 редакције стигла је забрињавајућа порука читаоца, који је приметио да приватне клинике користе јавне email сервисе, попут Gmail-а, за комуникацију са пацијентима.

Читалац наглашава да је проблем код јавних email адреса то што “компанија Google или било која друга хостинг компанија може да их одузме кориснику из било ког разлога. Корисник није власник исте, тако да може остати без адресе из било ког разлога. Такође, јавне email адресе могу лако бити хаковане, а јако их је тешко повратити”.

Оваква пракса отвара низ питања о безбедности и законитости, нарочито када се ради о подацима који спадају у посебно осетљиве категорије, као што су здравствени картони.

Да ли је безбедно слати здравствене податке преко Gmail-а?

Ђорђе Кривокапић, сувласник SHARE фондације, упозорава да је оваква пракса показатељ ниског нивоа безбедносне културе.

“Ако се медицинска документација шаље преко Gmail налога, а могуће је да то нису пословни већ приватни налози, то онда представља лошу праксу и показује да те организације немају безбедносну културу”, истиче Кривокапић.

Како даље појашњава, било која организација када управља подацима о личности она мора да користи друге компаније, јер углавном немају своје експертизе – тако користе email за комуникацију са клијентима, различите dropbox-ове и друге online алате, с обзиром да најчешће не поседују своје ресурсе.

Они који пружају услуге су обрађивачи, а они који их користе су руковаоци.

Међутим, избор домена (internet адреса на којој се налази одређен сајт) указује на то да се води рачуна о безбедносној култури, тј. да ли јесу или нису предузете додатне мере како би се ваши лични подаци заштитили.

Саговорник портала Н1 истиче да питање домена само по себи није релевантно за заштиту података о личности, али индиректно указује да Gmail налози показују низак ниво безбедносне културе, који самим тим указује да вероватно на свим другим битнијим местима организација такође нема капацитете да заштити податке о личности.

“У принципу руковаоци треба да имају закључни уговор са сваком обрађивачем, поготово ако су у питању осетљиви подаци, као што су здравствени подаци. Битно је да постоје протоколи и процедуре везане за управљање подацима о организацији. Такође, email комуникација има своја ограничења, али она може бити усаглашена са GDPR-ом и законима”, каже Кривокапић.

Који је најбољи начин да се доставе здравствени подаци?

На питање шта би била најбоља пракса, Кривокапић одговара да би пацијенти требало да буду упућени у процедуру пре самог слања, као и да имају избор.

“Мислим да је најбоље да пацијенти имају избор – и даље могу да кажу “да, желим комфор и желим да ми се доставе подаци на email или SMS”, али треба да имају и опцију да преузму документе физички. Уколико им се доставља, било би добро да се достави енкриптована документација на mail, а да нам на SMS стигне кључ (код) помоћу кога откључавамо тај документ”, сматра он.

Да ли је ово противзаконито?

Адвокат и први Повереник за информације од јавног значаја и заштиту података о личности Родољуб Шабић каже да закон предвиђа посебан третман здравствених података.

Закон о заштити података о личности (ZZPL) и Закон о правима пацијената (ZPP) наводе да су сви ти подаци о пацијентима доступни само изабраним лекарима, и условно речено и њиховом особљу – али ни у ком случају не смеју бити доступни трећим лицима без сагласности (осим на основу одлуке суда).

Он наводи да је обрада медицинских података резервисана за наше лекаре, а све друго је под знаком питања.

“Aко вас је лекар прегледао и дао дијагнозу и то упаковао у један mail и са свог персоналног вам послао, и притом није дао никоме другом – мала је вероватно да би то била незаконита обрада података”, каже Шабић.

Међутим, ако је он то дао својој секретарици или неком трећем лицу да са њиховог mail-а то проследи, онда је то већ друго – јер је омогућио трећем лицу, које нема право на те податке, да их види, наглашава он.

“Нисам му дао запечаћену коверту и рекао му да је однесе тако у пошту, већ је треће лице могло све да види и прочита од документације”, казао је Шабић.

Редакција Н1 послала је и упит Поверенику поводом питања да ли је пракса слања медицинске документације путем Gmail налога у складу са ZZPL и ZPP, али до тренутка објављивања овог текста није стигао одговор.

Како се могу злоупотребити здравствени подаци?

Ђорђе Кривокапић каже да су здравствени подаци посебно осетљиви, поготово када се обрађују у већој количини, а слање email-овима је мали део те слике.

“Повереник мора то континуирано да прати и надзире са посебном пажњом, како се не би злоупотребило”, истиче он.

Како даље наводи, за свакога појединачно је питање о здравственом стању посебно осетљиво.

Апликације на телефону које би требало уклонити – угрожавају приватност и безбедност

“Nеко ко је запослен у фирми и ко је пред унапређење, сазнање да је та особа у другом стању или да има неки озбиљнији здравствени проблем ће директно утицати на одлуку о унапређењу”, каже он.

Такође, наводи и да здравствено стање старије особе које има наследнике директно утиче на однос тих наследника, “ако су они користољубиви”.

“Aко се неко бави послом од јавног интереса или је активиста, друга страна која познаје његове здравствене слабости може то искористити у борби против њега, сетите се читања неких дијагноза на телевизији”, закључује он.

Извор: Н1