Zasebnost v slovenskih bolnišnicah
Ko smo pred kratkim razkrili, da spletišče UKC Ljubljana namenjeno naročanju pacientov na preglede preko spleta ni uporabljalo HTTPS šifriranja, smo opozorili tudi na 14. člen Zakona o varstvu osebnih podatkov, ki določa, da se “p_ri prenosu občutljivih osebnih podatkov preko telekomunikacijskih omrežij šteje, da so podatki ustrezno zavarovani, če se posredujejo z uporabo kriptografskih metod in elektronskega podpisa tako, da je zagotovljena njihova nečitljivost oziroma neprepoznavnost med prenosom._” UKC Ljubljana je po našem opozorilu na svoje spletišče namestil HTTPS šifriranje, sicer popolnoma neustrezno, a vendarle.
Kako pa je z ostalimi zdravstvenimi ustanovami?
Problema uporabe kriptografskih metod pri prenosu zdravstvenih podatkov preko spleta se je Informacijski pooblaščenec lotil že pred vsaj nekaj leti. Po dostopu do informacij javnega značaja smo namreč pridobili odločbo številka 0612-190/2010/ z dne 1. 3. 2011, kjer je IP-RS neznanemu zavezancu (iz odločbe izhaja, da gre za bolnišnico) odredil, da mora pri elektronskem naročanju na spletni strani zavarovati prenos osebnih podatkov z uporabo uveljavljenih kriptografskih metod.
Državni nadzornik je v okviru inšpekcijskega pregleda ugotovil, da spletna stran zavezanca za elektronsko naročanje ne uporablja uveljavljenih kriptografskih metod za zagotovitev zaupnosti in celovitosti podatkov, se ne izkazuje z zaupanja vrednim digitalnim potrdilom, sam prenos podatkov med brskalnikom uporabnika in spletnih strežnikom zavezanca pa ni
zavarovan HTTPS. Zato po mnenju IP-RS zavarovanje osebnih podatkov pri elektronskem naročanju med prenosom ni
bilo skladno z zahtevami zakona o varstvu osebnih podatkov.
Tako leta 2011. In kakšno je stanje danes?
Hiter pregled spletnih strani slovenskih bolnišnic razkrije, da HTTPS šifriranja pri naročanju pacientov preko spleta ne uporabljajo vsaj tri bolnišnice. Posledično lahko pridemo do zaključka, da se v zadnjih šestih letih na tem področju ni prav veliko spremenilo.
Splošna bolnišnica Celje
Prva bolnišnica, ki ne uporablja HTTPS povezav je Splošna bolnišnica Celje. Med obveznimi podatki, ki jih morajo vnesti pacienti, ki se želijo prijaviti na posege in preglede je med drugim tudi zdravstvena diagnoza. Seveda poleg imena, priimka, naslova, kontaktov ter številke kartice zdravstvenega zavarovanja.
Spletna stran sicer sploh nima podpore za HTTPS; če do spletne strani Splošne bolnišnice Celje skušamo dostopati preko HTTPS, nas strežnik preusmeri na spletno stran Inženirske zbornice Slovenije.
Psihiatrična bolnišnica Ormož
Naslednja bolnišnica, ki pri naročanju preko spleta nima HTTPS podpore je Psihiatrična bolnišnica Ormož.
Pri njih je poleg ostalih podatkov potrebno obvezno vnesti tudi EMŠO. Tudi ta spletni strežnik sploh nima podpore za HTTPS. Če skušamo dostopati do korena spletnega strežnika, pa se znajdemo na privzetem Plesk Parallels panelu.
Bolnišnica Postojna
Tretja bolnišnica, ki smo jo “zalotili” brez HTTPS podpore pa je Bolnišnica Postojna. Pri njih je pri naročanju preko spleta poleg imena, priimka, datuma rojstva, ipd. potrebno obvezno vnesti še datum zadnje menstruacije ter predvideni rok poroda.
Tudi ta strežnik nima podpore za HTTPS povezave, v primeru, da želimo do korena spletišča dostopati preko HTTPS, pa nas strežnik preusmeri na Plesk upravljalski vmesnik.
Prioritete, prioritete…
Po naših neuradnih podatkih, naj bi Informacijski pooblaščenec na področju zdravstva po našem prvem članku na temo HTTPS v zdravstvu že pričel s preverjanjem ali slovenske zdravstvene ustanove v primeru naročanja na preglede preko spleta uporabljajo HTTPS šifriranje. To je vsekakor dobrodošla novost, saj so pri Informacijskem pooblaščencu do sedaj imeli drugačne prioritete.
Iz letnega poročila IP-RS za leto 2015 (letno poročilo za leto 2016 še ni dostopno) namreč izhaja, da so leta 2015 na podlagi prejetih prijav v zasebnem sektorju opravili 57 ogledov spletnih strani in sicer večinoma v zvezi s spletnimi piškotki (glej stran 43). Da se Informacijski pooblaščenec precej ukvarja s spletnimi piškotki je sicer vidno tudi iz dejstva, da so leta 2013 izdali tudi Smernice o uporabi piškotkov na spletnih straneh. Zdi se torej, da so bili za IP-RS (vsaj do nedavnega) spletni piškotki eden glavnih problemov zasebnosti na spletu.
Po drugi strani pa na spletni strani IP-RS najdemo tudi Smernice za zavarovanje osebnih podatkov v informacijskih sistemih bolnišnic. Podrobno branje dokumenta razkrije, da v njem HTTPS šifriranje ni nikjer omenjeno, dolžnost zavarovanja prenosa zdravstvenih podatkov preko spleta pa je omenjena zgolj na splošno.
Prioritete našega uradnega varuha zasebnosti smo lahko opazili tudi pri našem pregledu. Dve izmed treh bolnišnic, ki pri naročanju pacientov ne uporabljajo HTTPS, sta na spletu imeli obvestilo o spletnih piškotkih. Obvestila nima le Psihiatrična bolnišnica Ormož, res pa je, da uporablja zgolj sejne piškotke.
Očitno so pretekle aktivnosti Informacijskega pooblaščenca v zvezi s piškotki dosegle svoj namen. Zdaj pa je morda čas, da vodstvo IP-RS posveti tudi drugim vidikom spletne varnosti in morda pripravi tudi kakšne smernice na področju uporabe šifrirnih mehanizmov na spletu. Vprašanje je namreč, ali je naša zasebnost na področju zdravstva zaradi obvestil o piškotkih kaj bolj zaščitena, kot bi bila, če obvestil ne bi bilo. Kaj pomaga zagrinjanje oken z zavesami, če pa so vrata odprta na stežaj?
Tu pa pridete na vrsto vi. Če je kdo od vas/vaših bližnjih pri kateri od navedenih bolnišnic preko spleta oddal svojo napotnico, potem lahko na Informacijskega pooblaščenca poda prijavo.
Članek je bil objavljen na portalu Slo-Tech pod naslovom Piškotki kot dimna zavesa spletne varnosti in zasebnosti.
Ključne besede: HTTPS, zdravstvo