Opomena Batutu zbog bezbednosnog incidenta sa ličnim podacima građana

Autor: sharefoundation.info

Info

31.07.2020.

15:59 > 19:24

Institut Batut dobio je opomenu zbog niza propusta u upravljanju Informacionim sistemom Covid-19, utvrđenih tokom nadzora Poverenika za zaštitu podataka nakon bezbednosnog incidenta sredinom aprila.

Opomena Batutu zbog bezbednosnog incidenta sa ličnim podacima građana

Foto: Pixabay

Kao rukovalac posebno osetljivih podataka o zdravlju građana, Batut nije ispunio obaveze predviđene Zakonom o zaštiti podataka o ličnosti pre uspostavljanja sistema, dok neke od ovih obaveza nisu do kraja ispunjene ni nakon opomene Poverenika, piše portal sharefoundation.info.

Istraživači Share Fondacije su 17. aprila pretragom na Guglu došli do javno dostupne stranice sa lozinkom za pristup Informacionom sistemu Covid-19, namenjenom prikupljanju i obradi podataka o testiranju, praćenju kontakata i lečenju građana. Nakon njihove intervencije, stranica je uklonjena, dok je Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti pokrenuo postupak nadzora nad sprovođenjem Zakona o zaštiti podataka o ličnosti.

Na osnovu zahteva za pristup informacijama od javnog značaja, SHARE Fondacija je od Poverenika dobila celokupnu dokumentaciju nastalu tokom postupka nadzora.

Zbog propusta u rukovođenju sistemom koji su doveli do povreda zakona, Poverenik je izrekao opomenu rukovaocu sistema, Institutu za javno zdravlje "Dr Milan Jovanović Batut".

Između ostalog, Institut Batut nije zaključio ugovor sa obrađivačima sistema, pre svega Republičkim fondom za zdravstveno osiguranje koji je zadužen da pruža tehničku podršku korisnicima. Takvim ugovorom uređuju se prava i obaveze u vezi sa obradom ličnih podataka građana. Takođe, nisu bile preduzete odgovarajuće mere zaštite sistema, usled čega je i došlo do ovog incidenta, niti je bila urađena procena uticaja na zaštitu podataka, koja je prema Zakonu u ovom slučaju bila obavezna pre nego što je sistem pušten u rad.

Tokom trajanja nadzora, Institut Batut je izvršio neke od ovih obaveza, bar formalno, te sada postoji ugovor sa RFZO, dok je još uvek nepoznat status ugovora između Instituta Batut kao rukovaoca i institucija koje su korisnici sistema kao obrađivača. Izrađena je procena uticaja, na koju je pozitivno mišljenje dalo i lice za zaštitu podataka o ličnosti Instituta Batut. Međutim, uvidom u ovu procenu može se zaključiti da je njena sadržina još uvek sporna, jer ne ispunjava sve uslove koje Zakon predviđa, pre svega zbog površnog i šturog opisa svih relevantnih okolnosti koje prate jedan ovako kompleksan sistem, namenjenog obradi osetljivih podataka o zdravlju stanovništva, piše ovaj portal.

"Na osnovu dokumentacije koja je prikupljena u okviru postupka nadzora, takođe saznajemo okolnosti koje su pratile, ili još uvek prate rad IS COVID-19, a koje su razlog za zabrinutost", navodi Share fondacija.

Pre svega, u svom obaveštenju o incidentu, Institut Batut tvrdi da "nije zabeležen pokušaj logovanja" pre nego što su promenjeni pristupni podaci zbog incidenta. RFZO u izjašnjenju na dopis Poverenika navodi da "nije došlo do kompromitacije podataka".

"Međutim, iz službene beleške Poverenika i korespondencije sa Nacionalnim CERT-om, saznajemo da su pripadnici obe službe po prijavi incidenta pristupali sistemu pomoću javno dostupnih kredencijala. To znači da se u okviru Informacionog sistema Covid-19 ne evidentiraju pristupi, što je pravna obaveza propisana Zakonom o informacionoj bezbednosti", navode u ovoj fondaciji.

Sa stanovišta bezbednosti sistema, takođe je u najmanju ruku problematično to što se iz navoda Doma zdravlja na čijem je sajtu došlo do incidenta, može videti da se sistemu po pravilu pristupa sa nepersonalizovanim šiframa, dok korisnici sistema koji su obrađivači imaju slobodu da odluče da li će tražiti dodatne personalizovane naloge, što se saznaje od RFZO.

Rizik da lica koja unose podatke u sistem mogu neovlašćeno preuzeti ostale podatke, prepoznat je kao glavni rizik u proceni uticaja Instituta Batut.

Kako navode u Share fondaciji, ostaje nejasno kako će u praksi funkcionisati bilo koja od svih navedenih mera, a pogotovo šta podrazumeva "snimanje rada" lica koja unose podatke u sistem, posebno u svetlu sporne činjenice da li se uopšte registruju i čuvaju logovi na sistem. Takođe, pitanje je da li ove mere mogu biti prekomerne i dovesti do povrede privatnosti lica koja koriste sistem.

Mere koje su planirane u cilju povećanja bezbednosti sistema, a o kojima je Institut Batut obavestio Poverenika, trebalo bi da direktno adresiraju navedene probleme. Međutim, ostaje veliko pitanje pouzdanosti sistema i tačnosti podataka u inicijalnom periodu njegovog rada, a što je u direktnoj vezi i sa pravom javnosti da ima uvid u statističke i istorijske podatke o pandemiji, dodaju u Share fondaciji.

Komentari 4

Hronološki Najpopularniji

artist

01.08.2020 • 08:35

I nas u evropi neko treba da shvati ozbiljno?

1 1 0
Nebrica

31.07.2020 • 23:24

diplomac

Koja smejuurija... i deca se smeju ovoj sprdnji od zemlje..

6 6 0
Veljko

31.07.2020 • 23:01

Tra la la

Poverenik kao nešto brine o ličnim podacima građana? Tek toliko da se vidi da postoje, ali samo zamlaćuju narod!
Evo, recimo, zašto sve lične podatke o građanima ima RTS i RTV? Zar nije dovoljno da ih ima EPS koji vrši naplatu za njih? Pa kad treba tužba, izvolite zahtevajte pojedinačno, a ne 100% građana! Samo da bi mogli neovlašćeno manipulisati putem svojih partijskih poslušnika!

3 3 0

Komentari čitalaca na objavljene vesti nisu stavovi redakcije portala 021 i predstavljaju privatno mišljenje anonimnog autora.

Redakcija 021 zadržava pravo izbora i modifikacije pristiglih komentara i nema nikakvu obavezu obrazlaganja svojih odluka.

Ukoliko je vaše mišljenje napisano bez gramatičkih i pravopisnih grešaka imaće veće šanse da bude objavljeno. Komentare pisane velikim slovima u većini slučajeva ne objavljujemo.

Pisanje komentara je ograničeno na 1.500 karaktera.