Zapisi in dokumenti iz področja prava, človekovih pravic in tehnologije.

Zasebnost v slovenskih bolnišnicah

Ko smo pred kratkim razkrili, da spletišče UKC Ljubljana namenjeno naročanju pacientov na preglede preko spleta ni uporabljalo HTTPS šifriranja, smo opozorili tudi na 14. člen Zakona o varstvu osebnih podatkov, ki določa, da se “pri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom.” UKC Ljubljana je po našem opozorilu na svoje spletišče namestil HTTPS šifriranje, sicer popolnoma neustrezno, a vendarle.

Kako pa je z ostalimi zdravstvenimi ustanovami?

Problema uporabe kriptografskih metod pri prenosu zdravstvenih podatkov preko spleta se je Informacijski pooblaščenec lotil že pred vsaj nekaj leti. Po dostopu do informacij javnega značaja smo namreč pridobili odločbo številka 0612-190/2010/ z dne 1. 3. 2011, kjer je IP-RS neznanemu zavezancu (iz odločbe izhaja, da gre za bolnišnico) odredil, da mora pri elektronskem naročanju na spletni strani zavarovati prenos osebnih podatkov z uporabo uveljavljenih kriptografskih metod.

Državni nadzornik je v okviru inšpekcijskega pregleda ugotovil, da spletna stran zavezanca za elektronsko naročanje ne uporablja uveljavljenih kriptografskih metod za zagotovitev zaupnosti in celovitosti podatkov, se ne izkazuje z zaupanja vrednim digitalnim potrdilom, sam prenos podatkov med brskalnikom uporabnika in spletnih strežnikom zavezanca pa ni
zavarovan HTTPS. Zato po mnenju IP-RS zavarovanje osebnih podatkov pri elektronskem naročanju med prenosom ni
bilo skladno z zahtevami zakona o varstvu osebnih podatkov.

Tako leta 2011. In kakšno je stanje danes?

Hiter pregled spletnih strani slovenskih bolnišnic razkrije, da HTTPS šifriranja pri naročanju pacientov preko spleta ne uporabljajo vsaj tri bolnišnice. Posledično lahko pridemo do zaključka, da se v zadnjih šestih letih na tem področju ni prav veliko spremenilo.

Splošna bolnišnica Celje

Prva bolnišnica, ki ne uporablja HTTPS povezav je Splošna bolnišnica Celje. Med obveznimi podatki, ki jih morajo vnesti pacienti, ki se želijo prijaviti na posege in preglede je med drugim tudi zdravstvena diagnoza. Seveda poleg imena, priimka, naslova, kontaktov ter številke kartice zdravstvenega zavarovanja.

Splošna bolnišnica Celje uporablja samo HTTP.

Splošna bolnišnica Celje uporablja samo HTTP.

Spletna stran sicer sploh nima podpore za HTTPS; če do spletne strani Splošne bolnišnice Celje skušamo dostopati preko HTTPS, nas strežnik preusmeri na spletno stran Inženirske zbornice Slovenije.

Psihiatrična bolnišnica Ormož

Psihiatrična bolnišnica Ormož.

Psihiatrična bolnišnica Ormož.

Naslednja bolnišnica, ki pri naročanju preko spleta nima HTTPS podpore je Psihiatrična bolnišnica Ormož.

Psihiatrična bolnišnica Ormož nima HTTPS podpore.

Psihiatrična bolnišnica Ormož nima HTTPS podpore.

Pri njih je poleg ostalih podatkov potrebno obvezno vnesti tudi EMŠO. Tudi ta spletni strežnik sploh nima podpore za HTTPS. Če skušamo dostopati do korena spletnega strežnika, pa se znajdemo na privzetem Plesk Parallels panelu.

Dostop do korena spletnega strežnika preko HTTPS...

Dostop do korena spletnega strežnika preko HTTPS…

Bolnišnica Postojna

Bolnišnica Postojna uporablja samo HTTP.

Bolnišnica Postojna uporablja samo HTTP.

Tretja bolnišnica, ki smo jo “zalotili” brez HTTPS podpore pa je Bolnišnica Postojna. Pri njih je pri naročanju preko spleta poleg imena, priimka, datuma rojstva, ipd. potrebno obvezno vnesti še datum zadnje menstruacije ter predvideni rok poroda.

Nepodpora HTTPS pri Bolnišnici Postojna.

Nepodpora HTTPS pri Bolnišnici Postojna.

Tudi ta strežnik nima podpore za HTTPS povezave, v primeru, da želimo do korena spletišča dostopati preko HTTPS, pa nas strežnik preusmeri na Plesk upravljalski vmesnik.

Dostop do Bolnišnice Postojna preko HTTPS nas preusmeri na skrbniško stran.

Dostop do Bolnišnice Postojna preko HTTPS nas preusmeri na skrbniško stran.

Prioritete, prioritete…

Po naših neuradnih podatkih, naj bi Informacijski pooblaščenec na področju zdravstva po našem prvem članku na temo HTTPS v zdravstvu že pričel s preverjanjem ali slovenske zdravstvene ustanove v primeru naročanja na preglede preko spleta uporabljajo HTTPS šifriranje. To je vsekakor dobrodošla novost, saj so pri Informacijskem pooblaščencu do sedaj imeli drugačne prioritete.

Iz letnega poročila IP-RS za leto 2015 (letno poročilo za leto 2016 še ni dostopno) namreč izhaja, da so leta 2015 na podlagi prejetih prijav v zasebnem sektorju opravili 57 ogledov spletnih strani in sicer večinoma v zvezi s spletnimi piškotki (glej stran 43). Da se Informacijski pooblaščenec precej ukvarja s spletnimi piškotki je sicer vidno tudi iz dejstva, da so leta 2013 izdali tudi Smernice o uporabi piškotkov na spletnih straneh. Zdi se torej, da so bili za IP-RS (vsaj do nedavnega) spletni piškotki eden glavnih problemov zasebnosti na spletu.

Po drugi strani pa na spletni strani IP-RS najdemo tudi Smernice za zavarovanje osebnih podatkov v informacijskih sistemih bolnišnic. Podrobno branje dokumenta razkrije, da v njem HTTPS šifriranje ni nikjer omenjeno, dolžnost zavarovanja prenosa zdravstvenih podatkov preko spleta pa je omenjena zgolj na splošno.

Bolnisnica Postojna - obvestilo o piškotkih.

Bolnisnica Postojna – obvestilo o piškotkih.

Splošna bolnišnica Celje - obvestilo o piškotkih.

Splošna bolnišnica Celje – obvestilo o piškotkih.

Prioritete našega uradnega varuha zasebnosti smo lahko opazili tudi pri našem pregledu. Dve izmed treh bolnišnic, ki pri naročanju pacientov ne uporabljajo HTTPS, sta na spletu imeli obvestilo o spletnih piškotkih. Obvestila nima le Psihiatrična bolnišnica Ormož, res pa je, da uporablja zgolj sejne piškotke.

Sejni piškotki v Psihiatrični bolnišnici Ormož.

Sejni piškotki v Psihiatrični bolnišnici Ormož.

Očitno so pretekle aktivnosti Informacijskega pooblaščenca v zvezi s piškotki dosegle svoj namen. Zdaj pa je morda čas, da vodstvo IP-RS posveti tudi drugim vidikom spletne varnosti in morda pripravi tudi kakšne smernice na področju uporabe šifrirnih mehanizmov na spletu. Vprašanje je namreč, ali je naša zasebnost na področju zdravstva zaradi obvestil o piškotkih kaj bolj zaščitena, kot bi bila, če obvestil ne bi bilo. Kaj pomaga zagrinjanje oken z zavesami, če pa so vrata odprta na stežaj?

 

Tu pa pridete na vrsto vi. Če je kdo od vas/vaših bližnjih pri kateri od navedenih bolnišnic preko spleta oddal svojo napotnico, potem lahko na Informacijskega pooblaščenca poda prijavo.

 

Članek je bil objavljen na portalu Slo-Tech pod naslovom Piškotki kot dimna zavesa spletne varnosti in zasebnosti.