Novi problem s CijepiSe. Nadležna agencija, doznajemo, provjerava jesu li zaštitili podatke građana
Nije isključeno ni da je baza osobnih podataka građana koji su se prijavili na CijepiSe sigurnosno ugrožena
Agencija za zaštitu osobnih podataka, tijelo koje kontrolira postupa li se s privatnim podacima građana u skladu s europskim i domaćim propisima, trenutno provodi nadzor u Ministarstvu zdravstva zbog platforme za cijepljenje. Ta je informacija Telegramu potvrđena iz AZOP-a.
“Agencija za zaštitu osobnih podataka, kao neovisno nadzorno tijelo u Republici Hrvatskoj, trenutno provodi nadzorno postupanje nad Ministarstvom zdravstva, kao voditeljem obrade, vezano uz obradu osobnih podataka na internetskoj stranici cijepise.zdravlje.hr”, odgovorili su iz AZOP-a na naš upit.
Osjetljivi medicinski podaci
Građani koji su se prijavili za cijepljenje preko ove web stranice, morali su za registraciju ostaviti svoje osobne podatke, ime i prezime, OIB, kontakt, ali i podatke o svom zdravstvenom stanju, konkretno boluju li od nekih kroničnih i respiratornih bolesti.
Medicinski podaci se općenito smatraju vrlo osjetljivima. Kada je, na primjer, nedavno Europska komisija predložila izdavanje digitalnih zelenih potvrda, tzv. Covid putovnica, iz Bruxellesa su upozorili upravo na to: “s obzirom na to da osobni podaci u potvrdama uključuju osjetljive medicinske podatke, osigurat će se vrlo visoka razina zaštite podataka”, objasnili su tada.
Detaljnije iz AZOP-a nakon postupka
Platforma CijepiSe nema veze s Covid putovnicama, ali također barata potencijalno osjetljivim podacima građana. Stoga smo AZOP pitali na koji način su ti podaci zaštićeni, prikupljaju li se u skladu s važećim propisima te jesu li informacije navedene u uvjetima korištenja stranice također usklađene s propisima.
Iz Agencije nam nisu odgovorili konkretno na ova pitanja, upravo zbog toga što trenutno, kako su napomenuli, provode “nadzorno postupanje”. “Po završetku postupka, obavijestit ćemo vas o svim traženim i relevantnim informacijama”, kažu iz AZOP-a.
Osobne podatke vide Google i MailChimp
Na problem s korištenjem osobnih podataka građana upisanih na platformu CijepiSe ukazao je prije nekoliko dana i glavni programer Telegrama Marko Banušić, naglasivši da se “nigdje ne spominje prosljeđivanje osobnih podataka trećim stranama, iako se to aktivno radi”.
Primjerice, Google preko korištenja usluge reCAPTCHA dobiva uvid u IP adresu korisnika stranice cijepise.zdravlje.hr, a IP adresa ulazi u domenu osobnih podataka. Nadalje, stranica dijeli podatke o aktivnim mail adresama korisnika sa servisom MailChimp, a da ni o tome nigdje ne obavještava korisnike.
Najveći problem – neažurirani WordPress
No, još veći potencijalni problem je onaj sigurnosne prirode. Naime, stranica cijepise.zdravlje.hr je napravljena na starijoj verziji WordPressa, koja nije ažurirana.
Ako se i baza podataka građana prijavljenih za cijepljenje sprema u istom sustavu (što je vrlo vjerojatno), postoji najmanje jedan veliki i dokumentirani sigurnosni propust koji bi mogao omogućiti da cijela baza podataka dođe u neželjene ruke.
Jesu li podaci hrvatskih građana već na crnom tržištu?
“Radi se o jasnoj opasnosti da bi podaci mogli iscuriti iz te baze, štoviše, nije isključeno da se to već nije i dogodilo”, kaže nam Banušić. Motiva za takav upad ne bi trebalo nedostajati – podaci o aktivnoj mail adresi i broju telefona imaju svoju tržišnu vrijednost.
A kad se tome pridodaju informacije o kroničnim zdravstvenim stanjima, te OIB, stvar postaje još eksplozivnija. “To su podaci s kojima se može jako puno toga napraviti, primjerice, s OIB-om i datumom rođenja je moguće otvoriti račun u bilo kojoj banci”, objašnjava Banušić.
Pitanja o tome zbog čega se korisnici ne obavještavaju o prosljeđivanju osobnih podataka trećim stranama, te sprema li se doista i baza podataka stranice cijepise.zdravlje.hr u WordPress, što bi bio priličan sigurnosni rizik, postavili smo jutros i Ministarstvu zdravstva. Odgovore ćemo objaviti čim ih dobijemo.