Akár Orbán egészségügyi állapotára vonatkozó információ is illetéktelen kézbe kerülhetett
Akár állami vezetők érzékeny személyes egészségügyi adataihoz is hozzájuthattak illetéktelenek az EESZT-ből – mondta el portálunknak Alexin Zoltán adatvédelmi szakértő, aki évek óta foglalkozik egészségügyi adatvédelemmel. Közérdekű adatkérés nyomán derült ki, hogy az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) nem biztonságos, 2022-ben több mint 1 millió magyar polgár mintegy 70 millió egészségügyi dokumentumát (leleteket, ambuláns lapokat, zárójelentéseket, műtéti jegyzőkönyveket) másolták le, és adták át. Az ügyben több bejelentést is tett. A tényekből az eredetileg általa vélelmezettnél is sokkal nagyobb botrány bontakozik ki.
„Felmerülhet a gyanú, hogy bűncselekmény történt, ezért bejelentést tettem az adatvédelmi hatóságnál és az alapvető jogok biztosánál” – Ezzel kereste fel portálunkat Alexin Zoltán adatvédelmi szakértő. Egyelőre még nem kapott visszajelzést, amit érthetőnek tart. Az egyértelműen kiderült, hogy az EESZT nem biztonságos, bármikor kikerülhetnek belőle szenzitív egészségügyi adatok, amelyekkel visszaélhetnek, „ez pedig egy óriási nagy skandalum”.
Alexin erős összefüggést vél felfedezni a két évvel ezelőtt történetek (erről itt és itt számoltunk be) és a mostani botrány között. Akkor – ismeretlen okok miatt – az Országos Kórházi Főigazgatóság (OKFŐ) leállította az eProfilra vonatkozó Digitális Önrendelkezési Nyilvántartás (DÖR) működését 2021. október 21-én, és a korábbi beállításokat visszaállíthatatlan módon törölte, amire – szerinte – azért lehetett szükség, hogy ki lehessen menteni tömegesen adatokat az EESZT-ből. Eredetileg az EESZT-t működtető szoftver csak megadott konkrét taj-ra vonatkozó-adatok elérését tette lehetővé. Az eProfil önrendelkezési beállításainak felfüggesztése és a kutatók számára történt tömeges adatkimentés csaknem egyidőben történt. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2022 januárjában visszakapcsoltatta a DÖR-t. 2022. január 14-én indult el újra. Az adatvédelmi hatóság NAIH-113-4/2022. számon hatósági eljárást indított 2022. február 10-én, aminek még nincs eredménye.
A közérdekű adatigénylésre az Országos Kórházi Főigazgatóság által megküldött válaszból (megtekinthető a kimittud.hu oldalon) az állapítható meg: két nagy budapesti egészségügyi intézmény is kapott személyes adatokat kutatás céljából. Az egyik intézménytől konkrét taj-azonosítókat kértek a leválogatáshoz – derítette ki a szakértő. A DÖR visszakapcsolása után azonban más megoldásra volt szükség, bele kellett nyúlni a szoftverbe, amit meg is tettek, kivették belőle a biztonsági korlátokat, s ezek után már taj-szám megadása nélkül is le lehetett válogatni adatokat. A másik intézmény kutatóinak már nem kellett megadniuk a taj- azonosítókat.
Tehát az első intézmény átadott több mint egymillió (1 031 328) taj-azonosítót, és a kutatók megkaptak 69 588 070 darab PDF-állományt az EESZT eKórtörténet alrendszeréből 2017. november 1-jétől, az elindulásától kezdődően 2021. december 14-ig terjedő időszakra – mutatott rá Alexin Zoltán. A PDF-állományokban pedig szinte biztosan benne volt az összes olyan személyes adat, mint a név, anyja neve, születési adatok, lakcím és a taj-azonosító, mivel ezeket nem lehet egyszerűen eltávolítani az állományokból. A szakértő megdöbbentőnek tartja, hogy az EESZT adatkezelési napló fájljában ez a leválogatás nincs rögzítve, titokban megtörténhetett, és hogy az érintettek semmilyen tájékoztatást nem kaptak.
Alexin meggyőződése, hogy mindez komoly nemzetbiztonsági problémát is jelent, mivel nagyon érzékeny és igen fontos információk kerülnek ki így a rendszerből. Példaként mondta, hogy ugyan a legmagasabb állami vezetők kiemelt egészségügyi ellátásban részesülnek, de ha bármelyikük az elmúlt években megfordult az első intézményben vagy az ahhoz tartozó bármely egységben, akkor a taj-azonosítója előfordulhatott az átadott taj-azonosítók között, így az EESZT-ben található (bárhol máshol kapott ellátásainak) teljes kórtörténete ott lehet a majdnem 70 millió PDF-állományban. Így azután akár Orbán Viktor egészségügyi állapotára vonatkozó bármely, az EESZT-be felkerült információ is illetéktelen kézbe kerülhetett (ugyanis a kiemelt egészségügyi szolgáltatók is feltöltik az adatokat az EESZT rendszerbe). Megjegyezte, hogy az EESZT-ben tárolt mintegy 70 millió PDF-fájlban különösen szenzitív egészségügyi adatok vannak: lombikkezelések, genetikai, nőgyógyászati (abortusz is), urológiai, onkológiai ellátások, műtétek adatai stb., amelyek továbbítása ismeretlen idegenek számára a magánszféra rendkívül súlyos megsértése. Az EESZT-ben a taj-azonosítóval rendelkező 10,5 millió (köztük az időközben elhunyt) személyek 99,5 százaléka az alapbeállítást használja, amely semmilyen védelemben nem részesíti a fenti adatokat, „ami egy előre megtervezett körmönfont aljasság”. A kutatók ezeket az adatokat is simán megkapták.
A történetben nagyon sok még a homályos pont, és további kockázatok is azonosíthatók. Például az adatok feltöltése egy harmadik országban található számítógépre akár hazaárulás is lehet, mivel a lakosság több mint tíz százalékának a legféltettebb személyes adatát külföldi adatfeldolgozóhoz juttatják el. Ha egy mesterséges intelligencia szoftvert tanítanak be az adatokkal, akkor egy olyan szoftvert kapnak, amely név szerint listázni tudja a magyar polgárok részletes egészségügyi ellátási adatait. Az adatok a jövőben bármikor (akár tíz-húsz év múlva is) felhasználhatók megfélemlítésre, zsarolásra. Az adatokat eladhatják, aminek következtében az adatok terjedése kontrollálhatatlanná válik. A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézetének törvényben meghatározott feladata megvédeni a kibertámadásoktól a nemzeti adatvagyont – fogalmaz Alexin, akitől megtudtuk: az intézet a panaszára azonban azt válaszolta, hogy az általa leírt ügyben nem tud eljárni, mert erre az esetre nem terjed ki a felhatalmazása. Ez a jövőre nézve rendkívül aggasztó, mert így a nemzeti adatvagyon szanaszét hordható érdemi védelem és felelősségre vonás nélkül. A Btk.-ban sem igazán található olyan bűncselekmény, ami itt megvalósult. Az 1 millió érintett sérelemdíjért azonban indítható per, az adatok érzékenysége függvényében 2-100 millió forintos sérelemdíj megítélése iránt.
A szakértő arra is felhívta a figyelmet, hogy a GDPR 89. cikke rendelkezik a személyes adatok kutatás céljából történő felhasználásáról, de a jelek szerint ennek egyetlen pontját sem tartották be. Például az adattakarékosság helyett a kutatók az összes létező dokumentumot megkapták, ráadásul nem végezték el az adatok álnevesítését vagy anonimizálását. Egyáltalán nem volt átlátható az adatkezelés, az érintettek nem kapták meg az előírt tájékoztatást, sőt, minden eszközzel titkolják még ma is előlük az adattovábbítást, pedig a GDPR 89. cikke szerint az érintetteknek van joguk tiltakozni.
„Valójában az EESZT egy modern kiberfegyver, amit az állam a polgárai ellen használ fel, az összes elérhető információmorzsát kényszerintézkedéssel összegyűjti róluk, majd az adatokat ajándékba adja, vagy pénzért értékesíti. Ahhoz hasonlítható, mint amikor cirkáló rakétákkal támadnak lakóházakra. A polgárok magánszférájának semmilyen értéke nincs, az információs önrendelkezés nyomokban sem létezik” – összegezte a történteket Alexin Zoltán.
