Csak jelképes bírságot kapott az OKFŐ az EESZT-t ért incidensért

A vizsgálat utólag megállapította, hogy 2021. október 12-én az Országos Kórházi Főigazgatóság (OKFŐ), az EESZT akkori üzemeltetője leállította az eProfilra vonatkozó Digitális Önrendelkezési Nyilvántartás (DÖR) működését, és a korábbi beállításokat visszaállíthatatlan módon törölte. A szakértő a bejelentését az EESZT Helpdeskre december 12-én tette meg, amikor maga is észlelte, hogy tiltása ellenére, az e-profiljába adatokat vittek fel. Az incidenst 2022. január 2-án jelentette be a NAIH-nak. A NAIH belépése után 2022 január 14-én az OKFŐ visszakapcsolta a DÖR-t. Az adatvédelmi hatóság NAIH-113-4/2022. számon később hatósági eljárást indított 2022. február 10-én.

A bejelentett adatvédelmi incidenssel kapcsolatban 2023-ban született meg a NAIH határozata. A hatóság megállapította, hogy „a kötelezett nem tett eleget az általános adatvédelmi rendelet 32. cikk (1) bekezdés b) pontjában foglalt kötelezettségeinek, amikor az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) eProfil részén a Digitális Önrendelkezés (DÖR) nevű portlet módosítása során nem hajtott végre megfelelő tesztelést, melynek következtében sérültek az eProfil célzott rendelkezés beállítások, illetve a problémát jelző, 2021. november 4. napján kapott érintetti bejelentés kivizsgálása során sem sikerült a probléma súlyát helyesen azonosítania, és a feladott hibajegy alacsony prioritása miatt a jogsértő állapot az érintett jelzését követően is még több mint két hónapig fennállt”. A jogsértés miatt az adatkezelőre 1,5 millió forint adatvédelmi bírságot rótt a NAIH. Az incidensről az EESZT Helpdesk az állampolgároktól négy bejelentést kapott, az első már novemberben megérkezett hozzá.

Az OKFŐ-nél az illetékesek egyébként alacsony jelentőségű programhibának minősítették az incidenst, s három hónapig tartott a kijavítása. Alexin szerint azonban minimum nem professzionális hozzáállás ez egy ilyen komoly biztonsági előírások mentén működő szervezet részéről. Korábban úgy vélte, hogy összefüggés lehet a most bírsággal zárult incidens és aközött, hogy (miként az az Országos Kórházi Főigazgatóság által egy közérdekű adatigénylésre küldött válaszból kiderült) ezzel nagyjából egyidőben két nagy budapesti egészségügyi intézmény is kapott szenzitív személyes adatokat az EESZT-ből kutatás céljára. Az egyik intézménytől még konkrét taj-azonosítókat kértek a leválogatáshoz. A másik intézmény esetében már nem volt szükség taj-azonosítókra, addigra ez a biztonsági korlát már megszűnt.

Az azóta elhunyt dr. Falus Ferenc, korábbi tisztifőorvos által „Hosszú bájtok éjszakájának” nevezett adatkimentésnek a Hírklikk több cikket is szentelt. Ahogy – Alexin Zoltántól kapott információk alapján – a többi között itt is beszámoltunk róla, kiderült, hogy az EESZT nem biztonságos, bármikor kikerülhetnek belőle szenzitív egészségügyi adatok, amelyekkel visszaélhetnek. „Ez pedig egy óriási nagy skandalum” – fogalmazott akkor az adatvédelmi szakértő, aki bejelentést tett az ügyben az adatvédelmi hatóságnál, az alapvető jogok biztosánál és a Nemzeti Kibervédelmi Intézetnél is.

Az egyik intézmény átadott több mint egymillió (1 031 328) taj-azonosítót (zömmel budapesti lakosokról), és a kutatók megkaptak 69 588 070 darab PDF-állományt, az EESZT e-Kórtörténet alrendszeréből 2017. november 1-jétől, az elindulásától kezdődően 2021. december 14-ig terjedő időszakra kiterjedően. A négy terabájtnyi PDF-állományban pedig szinte biztosan benne volt az összes olyan személyes adat, mint a név, anyja neve, születési adatok, lakcím és a taj-azonosító, mivel ezeket nem lehet egyszerűen eltávolítani az állományokból. A szakértő megdöbbentőnek találta, hogy az EESZT adatkezelési napló fájljában ez a leválogatás nincs rögzítve, tehát titokban történhetett, és hogy az érintettek semmilyen tájékoztatást nem kaptak.

Ez egyébként komoly nemzetbiztonsági problémát is jelent, mivel nagyon érzékeny információk kerülhettek ki így a rendszerből. Példaként mondta, hogy ugyan a legmagasabb állami vezetők kiemelt egészségügyi ellátásban részesülnek, de ha bármelyikük az elmúlt években megfordult az első intézményben vagy az ahhoz tartozó bármely ellátó szervezetben, akkor a taj-azonosítója előfordulhatott az átadott taj-azonosítók között, így az EESZT-ben található (bárhol máshol az országban kapott ellátásainak) teljes története ott lehet a majdnem 70 millió PDF-állományban. Így azután akár Orbán Viktor egészségügyi állapotára vonatkozó bármely, az EESZT-be felkerült információ is illetéktelen kézbe kerülhetett (ugyanis a kiemelt egészségügyi szolgáltatók is feltöltik az adatokat az EESZT rendszerbe). Megjegyezte, hogy az EESZT-ben tárolt mintegy 70 millió PDF-fájlban különösen szenzitív egészségügyi adatok vannak: lombikkezelések, genetikai, nőgyógyászati (abortusz is), urológiai, onkológiai ellátások, műtétek adatai stb., amelyek továbbítása ismeretlen idegenek számára a magánszféra rendkívül súlyos megsértése. Az EESZT-ben a taj-azonosítóval rendelkező 10,5 millió (köztük az időközben elhunyt) személyek 99,5 százaléka az alapbeállítást használja, amely semmilyen védelemben nem részesíti ezeket az adatokat, „ami egy előre megtervezett körmönfont aljasság”. A kutatók ezeket az adatokat is simán megkapták.

A további kockázatok között említette a többi között az adatok feltöltését egy harmadik országban található számítógépre, ami akár hazaárulás is lehet, mivel a lakosság több mint tíz százalékának a legféltettebb személyes adatát külföldi adatfeldolgozóhoz juttatják el. Ha egy mesterséges intelligencia szoftvert tanítanak be az adatokkal, akkor egy olyan szoftvert kapnak, amely név szerint listázni tudja a magyar polgárok részletes egészségügyi ellátási adatait. Az adatok a jövőben bármikor (akár tíz-húsz év múlva is) felhasználhatók megfélemlítésre, zsarolásra. Az adatokat eladhatják, aminek következtében az adatok terjedése kontrollálhatatlanná válik. 

„Valójában az EESZT egy modern kiberfegyver, amit az állam a polgárai ellen használ fel, az összes elérhető információmorzsát kényszerintézkedéssel összegyűjti róluk, majd az adatokat ajándékba adja, vagy pénzért értékesíti. Ahhoz hasonlítható, mint amikor cirkáló rakétákkal támadnak lakóházakra. A polgárok magánszférájának semmilyen értéke nincs, az információs önrendelkezés nyomokban sem létezik” – összegezte korábban a történteket Alexin Zoltán a Hírklikknek.