Kto i kiedy oglądał nasze dane medyczne? Czy na nasze konto wchodziły nieuprawnione osoby? Sprawdziliśmy na własnej skórze, kto był w naszym Internetowym Koncie Pacjenta. Raport rodzi pytania, zamiast dawać odpowiedzi.
Były już minister zdrowia Adam Niedzielski stracił stanowisko po tym, jak ujawnił informację o lekach, jakie wypisywał sobie lekarz. Resort ogłosił wtedy, że wprowadzi narzędzie, dzięki któremu każdy obywatel będzie mógł sprawdzić, kto wchodził na jego konto pacjenta. Już teraz – podkreślono jednocześnie – „pacjent może wystąpić do Centrum e-Zdrowia z wnioskiem o weryfikację, kto miał wgląd w jego dane w systemach informatycznych”.
Wystąpiliśmy z takim wnioskiem. Sprawa była o tyle pilna, że do jednego z naszych kont były próby logowania się przez osoby nieupoważnione. Wiemy to z ostrzeżeń, które przychodziły z Ministerstwa Cyfryzacji na e-maila.
Nocne wizyty
Raport od CEZ po wypełnieniu formalności dostaliśmy. Pierwsza pozycja w nim jest z 1 stycznia: o godz. 3.13 w nocy logował się do konta lekarz rodzinny. Kłopot polega na tym, że nie było wówczas żadnego kontaktu z lekarzem. A wejść w sylwestrową noc jest więcej, odpowiednio po 1 i po 2 sekundach. Sprawdzamy w przychodni – tu pierwsza wizyta w tym roku została odnotowana 10 stycznia godzina 10.10 – wtedy fizycznie doszło do badania, podczas którego lekarka wystawiła receptę. Zaglądamy jeszcze raz do naszego pacjenckiego raportu: tam z kolei nie ma śladu po wizycie, która odbyła się 10 stycznia. Jest za to adnotacja o zdarzeniu medycznym i przekazywaniu danych pacjenta 20 dni później, czyli 30 stycznia.
Śledzimy dalej – w sumie od stycznia do września w naszym raporcie z CEZ jest 25 wejść od jednej lekarki prowadzącej. I znów porównujemy: w jej systemie, do którego mamy możliwość zajrzeć – za zgodą lekarki – jest ich… 10. Czyli ponad dwa razy mniej.
O co chodzi? CEZ tłumaczy, że nie doszło do błędu. Sprawa jest po prostu skomplikowana. Przede wszystkim dlatego, że systemy w gabinetach lekarskich przesyłają często dane z opóźnieniem. – Zdarzają się również takie, które robią to w godzinach, gdy obciążenie systemów placówki i systemu e-zdrowie jest mniejsze – mówi Piotr Olewiński, dyrektor biura komunikacji CEZ. Choć teoretycznie placówka ma dwa dni na raportowanie zdarzeń. A większa liczba wejść, niż ich było fizycznie? To skutek tego, że jedno zdarzenie, ze względów technicznych, jest rozbijane na kilka – system odnotowuje osobno wystawienie leku, zbadanie, skierowanie, zatwierdzenie wizyty. – Niektóre systemy dodatkowo pobierają zapisane zasoby, co mogłoby tłumaczyć liczbę interakcji – mówi. Ponadto, dodaje, nie jest tak, że podczas każdej wizyty ma miejsce pobieranie danych z systemu e-zdrowia. Może natomiast dojść do pobrania danych bez wizyty u lekarza, np. w celu monitorowania prowadzonej terapii lub zapisania kolejnych informacji, które mają referencje do poprzednich. – Nie musi zatem występować ścisła koincydencja wizyty z pobraniem danych z systemu – tłumaczy Olewiński.
Zrozumiałe dla śmiertelników
– To wszystko prawda – mówi jeden z naszych rozmówców, który brał udział w projektowaniu systemu, na którym działa CEZ. Podkreśla, że to dobry i szczelny system. – Podobne są w Niemczech czy Szwajcarii – dodaje. Jednak równocześnie przyznaje, że z perspektywy pacjentów tego rodzaju dostęp jest, dyplomatycznie ujmując, mało przejrzysty i nie daje odpowiedzi na kluczowe pytanie: kto i kiedy wchodził na IKP. – Teoretycznie można by udostępniać dane, kiedy doszło do wizyty. A nie – kiedy doszło do raportowania. To by oznaczało, że trzeba zmienić sposób generowania – dodaje. Jego zdaniem, aby MZ spełniło swoją obietnicę i dało każdemu pacjentowi możliwość śledzenia przepływu danych, należy popracować nad formą.
Doktor Karolina Małagocka, ekspertka ds. cyberbezpieczeństwa z Akademii Leona Koźmińskiego, zwraca uwagę, że zgodnie z ustawą o ochronie danych osobowych każdy obywatel ma prawo wglądu do zbiorów danych zawierających informacje na jego temat. I też się zgadza: powinny być udostępniane w sposób jasny i zrozumiały. – Rozwiązania krajowe idą w kierunku, by obywatel z IKP czy profilu zaufanego korzystać musiał. Jeśli pojawia się choć cień wątpliwości, raport na ich temat wygenerowany przez publiczny podmiot powinien być przejrzysty i dawać odpowiedzi – podkreśla. I zwraca uwagę, że obywatel nie ma obecnie wiedzy, co wygenerowany raport przedstawia.
Urzędnicza kontrola
Czy jeżeli któryś z urzędników, czy polityków chciałby zajrzeć do danych niewygodnego lekarza (tak jak to się stało w przypadku MZ), czy też aktywisty, dziennikarza – sprawdzając, czy jest szczepiony, leczy się psychiatrycznie, czy była ciąża – zostałby po tym ślad? – Tak. Pytanie jednak, czy zostałoby to odnotowane w raporcie przygotowywanym przez CEZ – mówi nasz rozmówca, który zna dobrze państwowy system. Jego zdaniem działania administratorów mogłyby pozostać niewidoczne dla właścicieli danych. W tym przypadku pacjentów.
Jak wygląda bezpieczeństwo IKP z perspektywy UODO? Od 2020 r. trafiło tu pięć skarg dotyczących przetwarzania danych w Internetowym Koncie Pacjenta. – Jedna jest w toku. Pozostałe pozostawiono bez rozpoznania z uwagi na nieuzupełnienie braków formalnych przez osoby skarżące – odpowiada DGP Adam Sanocki, rzecznik tej instytucji. I precyzuje, że skargę na działanie administratora danych do prezesa UODO może złożyć osoba, której dane dotyczą. – Skarg nie należy mylić z naruszeniami ochrony danych osobowych, o których mowa w art. 33 RODO. Do tych należą takie zdarzenia, jak naruszenie poufności danych, a więc nieuprawnione, przypadkowe ujawnienie bądź udostępnienie, naruszenie ich integralności, czyli wprowadzenie nieuprawnionych zmian, oraz naruszenie dostępności danych, co oznacza brak możliwości wykorzystania ich na żądanie. Naruszenia ochrony danych osobowych mają obowiązek zgłaszać administratorzy w ciągu 72 godzin.
Jak to ma się do IKP? – Z uwagi na to, że rocznie do UODO trafia wiele naruszeń (w 2022 r. prawie 13 tys. zgłoszeń), zidentyfikowanie dotyczących IKP wymaga więcej czasu – pada odpowiedź.
O tym, że system nie jest nieomylny, alarmował portal Niebezpiecznik.pl. Opisał przypadek mężczyzny, który na swoim IKP w serwisie Pacjent.gov.pl dopatrzył się nie swojego dziecka. Leczyło się na problemy skórne w pewnej przychodni. I być może trafiło pod skrzydła niedoszłego ojca z uwagi na podobieństwo numeru PESEL. Sprawa została zgłoszona co CEZ. Ale problem długo nie był rozwiązany, a sygnał nie trafił od razu do UODO, choć jak analizował Niebezpiecznik.pl, mogło chodzić o naruszenie danych osobowych.
Odpowiedź nadejdzie
Co z próbą włamań? Na informację z Centralnego Ośrodka Informatyki, który się tym zajmuje, wciąż czekamy. Bo, jak tłumaczy DGP jej rzecznik, „wyjaśnienie sprawy wymaga m.in. wyciągnięcia szczegółowych danych z systemu, a z tym wiążą się konkretne procedury”. ©℗