Ez súlyosabb ügy, mint a Pegasus, hiszen 9,5 millió magyar állampolgárt érint
„Én is szeretném tudni, hogy kinek és miért volt szüksége a magyar állampolgároknak az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) eProfiljában tárolt egészségügyi adataira” – mondta a Hírklikknek Alexin Zoltán adatvédelmi szakértő, aki először hívta fel a figyelmet portálunk felületén az általa úgy minősített ügyre, hogy az „súlyosabb, mint a Pegasus, mert nem háromszáz embert érintett, hanem 9,5 milliót”. Nem életszerű, hogy a szoftver hibája miatt nem működött október 12-e és január 14-e között az eProfil önrendelkezési (tiltási) funkciója. Több bejelentés és cikk után január közepén visszaállt a törvényes rend, de mindenkinek magának kell ismételten elvégeznie a korlátozások beállítását, miközben nagy kérdés, tudnak-e erről egyáltalán az érintettek, kapnak-e róla értesítést az EESZT üzemeltetőjétől. Időközben törvényellenesen felvitt adatok törlése is elindult.
Először január 15-én foglalkoztunk azzal a botrányos üggyel, amelyet Alexin Zoltán adatvédelmi szakértő vázolt portálunknak. A lényeg, hogy megváltoztatták az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) működésének a rendjét és az eProfilban törölték azt a lehetőséget, amellyel valaki korlátozhatta, hogy mások hozzáférjenek legszemélyesebb egészségügyi adataihoz.
Akkor még csak annyit lehetett tudni, hogy ez valamikor október-november táján történt, mára már kiderült az is, hogy október 12-én kapcsolták ki a funkciót. A beállított korlátozásokat egyszerűen törölték. A kikapcsolás visszamenőleges volt. Annak az állampolgárnak is elérhetővé tették az összes eProfilban tárolt adatát, aki korábban élt az adatkezelés korlátozásának lehetőségével. A változtatásról semmilyen tájékoztatást nem adtak.
Az üggyel utána is többször foglalkoztunk. Először, amikor – első cikkünk megjelenése után – visszaállították az említett önrendelkezési funkciót, másodszor akkor, amikor a szakértő tanácsokat adott arra, hogyan állítsuk be az eProfilunkat, mire ügyeljünk, mik a veszélyek, stb.
Alexin Zoltán – aki már korábban is sokat tett az ügy rendezése érdekében, a többi között bejelentéseket tett, illetve egészségügyi adatvédelemmel foglalkozó Facebook-csoportjában folyamatosan tájékoztatott a fejleményekről – február elején arról számolt be portálunknak, hogy az eProfil önrendelkezési funkciójának a kikapcsolása idején (azaz három hónapig) törvényellenesen felvitt adatainak törlése február 3-án megtörtént. Előző nap kapott egy elektronikus levelet az Országos Kórházi Főigazgatóságtól, amelyben értesítették, hogy kérheti az inkriminált adatok törlését a Magyarország.hu-n keresztül. Miután ez megtörtént, a következő napon törölték a törvénytelenül felvett adatokat.
A dolognak azonban van egy szépséghibája: vele tudatták a teendőket, de másokkal még nem, legalábbis – mint elmondta – érintett családtagjai sem kaptak egyelőre ilyen értesítést, miként a már említett, „Tiltakozunk egészségügyi adataink feltöltése ellen” Facebook-csoport tagjai sem. „Lehet, hogy eddig csak ezt az egy értesítést küldték el – nekem” – vonta le a következtetést.
Kinek, mi lehetett a célja az önrendelkezés leállításával? – kérdeztük Alexin Zoltánt, aki erre nem tudja a választ, mindenesetre a neki küldött tájékoztató levél megfogalmazását érdekesnek tartja. Az üzemeltető hallgat a súlyos adatvédelmi incidens okáról. „Tájékoztatjuk, hogy 2021. október 12. napjától 2022. január 14. napjáig az EESZT Lakossági Portál felületén elérhető eProfil adatkezelés beállítása menüpont nem rendeltetésszerűen működött, melynek következményeként a nevezett időszakban, kifejezetten az eProfil menüpont alatt tett, az eProfil adatok beküldésére és hozzáférésére vonatkozó engedélyező/tiltó rendelkezések nem kerültek eltárolásra a rendszer által, azok alapértelmezett (engedélyező) állapotba kerültek”.
De vajon miért következett be az incidens – vetettük közbe. Alexin maga is kíváncsi lenne a válaszra, mindenesetre az adatvédelmi hatóságnak küldött újabb levelében kérte, hogy tüzetesebben nézzenek utána, mi volt a funkció kiiktatásának az oka.
„Ez az ügy súlyosabb, mint a Pegasus ügy, sőt, rosszabb is, hiszen nem háromszáz, hanem 9,5 millió embert érint” – szögezte le. Kérdésünkre, hogy szerinte kik és mit akartak ezzel elérni, úgy válaszolt: „bizonyítékom nincs rá, de folyamatosan az jár a fejemben, hogy le akarták tölteni a teljes adatmennyiséget, és zavaró volt az a biztonsági funkció, ami csak egyetlen taj-számra engedte meg a lekérdezést – ennek kiiktatásával egyszerűbb volt a teljes adatállomány letöltése”. Mint hozzátette, a 9,5 millió emberre vonatkozó személyes egészségügyi adatmennyiség elfér akár egyetlen pendrive-on is.
Nem lehetett véletlen szoftverhiba, szándékos beavatkozás történt a szoftverbe, hogy miközben a program kiírja, hogy „A beállítások mentése sikeresen megtörtént”, eközben ez eleve ne történhessen meg. További érve, hogy nem lehetett visszaállítani a korábbi tartalmat egy adatmentésből – „olyan pedig nincs, hogy végérvényesen törlik a rendszeresen mentett adatokat is”.