Informacijski pooblaščenec je izolski bolnišnici že odredil umik dokumentov s spleta. Foto: BoBo

V izolski bolnišnici so ob tem pojasnili, da ni šlo za uhajanje podatkov iz njihovega internega bolnišničnega informacijskega sistema. Rezultati pri spletnem iskanju so bili povezani z varnostno ranljivostjo spletne strani za storitev spletnega naročanja, ki so jo lani ukinili.

Kot so zapisali v bolnišnici, so bili o tem, da naj bi bili prek spletnega iskalnika Google vidni podatki o njihovih bolnikih, obveščeni v petek. Po takojšnjem temeljitem poizvedovanju bolnišničnih in zunanjih strokovnjakov za informacijsko varnost so ugotovili, da je prijava vezana na v lanskem letu ukinjeno storitev spletnega naročanja.
Ugotovili so, da so bili zadetki, vidni v Googlovem iskalniku, povezani z lani odpravljeno varnostno ranljivostjo njihove spletne strani za storitev spletnega naročanja. Takrat je lahko posameznik ob oddaji naročila za zdravstveno storitev priložil posamezne dokumente. "Zaradi takratne ranljivosti našega spletnega naročanja je Googlov iskalnik samodejno naredil t. i. posnetek spletnega mesta (indeks)," so pojasnili.

Ranljivost bila odpravljena že pred časom
Poudarili so, da so omenjeno ranljivost spletne strani odpravili nemudoma z varnostno nadgradnjo. Že takrat pa je bil eden od ukrepov, da so zahtevali izbris teh podatkov iz Googlovih iskalnih seznamov. Kljub vsemu so se v Googlovem iskalniku ponovno pojavile nekatere povezave na napotnice in druge dokumente, "kjer je Googlov iskalnik vračal zadetke, ki pa so uporabnika obveščale o neobstoječi vsebini". Spletna stran www.sb-izola.si je ob poskusu odpiranja katerega koli izmed najdenih zadetkov vselej vrnila odgovor, da omenjena povezava ni veljavna. Je pa Googlov iskalnik v zadetkih poleg povezav ponudil tudi predogledne sličice, iz katerih po navedbah bolnišnice ni mogoče razbrati izvorne vsebine samega dokumenta.

Bolnišnica je v petek tako ponovno podala zahtevo iskalniku Google, da vse neobstoječe povezave umakne s svoje spletne strani. Povezave so bile odstranjene v manj kot 24 urah, torej v soboto. V skladu z zakonodajo so o omenjenem dogodku ter postopku reševanja sproti obveščali informacijskega pooblaščenca. Podrobna analiza dogodka je pokazala, da ni prišlo do nobenega uhajanja osebnih ali katerih koli drugih podatkov iz njihovega internega bolnišničnega informacijskega sistema, so še zapisali.

Zaradi napake javno dostopni podatki pacientov

Pooblaščenec že opravil nadzor
Informacijski pooblaščenec je bil v petek obveščen, da naj bi bilo mogoče prek iskalnika Google pridobiti večjo količino osebnih in posebne vrste osebnih podatkov, ki so bili v preteklosti dostopni prek spletne strani Splošne bolnišnice Izola. Kot so zapisali, je pooblaščenec takoj ukrepal in zavaroval dokaze, hkrati pa obvestil bolnišnico, naj v čim krajšem času poskrbi za odstranitev datotek iz iskalnika Google."Za zdaj je mogoče povedati le, da niso bile objavljene izvorne datoteke, ampak posnetki datotek, ki jih je naredil iskalnik Google," so še navedli pri pooblaščencu. Bolnišnica po njihovih navedbah uradnih pojasnil, zakaj je do incidenta prišlo, še ni posredovala, "gre pa zelo verjetno za neustrezno zavarovanje njihove spletne strani".

Ukrepala tudi izolska bolnišnica
Je pa izolska bolnišnica takoj, ko je izvedela za objavo posnetkov datotek, ukrepala in od Googla zahtevala umik vseh spornih datotek. V soboto so bile te odstranjene, tako da zdaj do njih ni več mogoče dostopati, so še pojasnili. Informacijski pooblaščenec je zoper bolnišnico uvedel inšpekcijski postopek zaradi neustreznega zavarovanja osebnih in posebne vrste osebnih podatkov. Kot so pojasnili, je namreč postopek takšen, da se zavarujejo dokazi, da obvesti zavezanca o kršitvi za čim hitrejšo odpravo nadaljnjih škodljivih posledic za prizadete posameznike, nato se v inšpekcijskem postopku ugotavlja, kaj se je dejansko zgodilo. Če se izkaže, da je zavezanec kršil zakonodajo s področja varstva osebnih podatkov, se uvede prekrškovni postopek in izreče sankcija.

V podobnih primerih, ko osebni podatki niso več nezavarovano dostopni na spletni strani podjetja, ampak obstajajo le še kot posnetki datotek v iskalniku Google, je pomembno, da podjetje čim prej obvesti Google in zahteva umik podatkov. Google se po dosedanjih izkušnjah praviloma hitro odzove na takšne zahteve, so še zapisali pri pooblaščencu.