Néhány kattintással bárki le tudja kérni az oldalról, hogy regisztráltunk-e a Covid-oltásra, ha tudja a rajszámunkat és a születési dátumunkat – írja a Telex.
Fotó:Pixabay
Az ilyen adatot jogellenes illetékteleneknek lekérni, de az oldalt felügyelő állami szerv mint adatkezelő is köteles lenne meggyőződni arról, hogy az úgynevezett érintettségi joggal senki nem él vissza
- mondják a szakemberek. Ami még nem jelenti azt, hogy ez az adat meg is felel a valóságnak.
Pénteken jelent meg a hír, miszerint levelet kapott a tanár az Emmitől, hogy még nem regisztrált oltásra, úgyhogy tegye meg. Az csak egy dolog, hogy a tanár állítja, hogy már regisztrált (ezt le is fotózta), csak erről valamiért nem tud róla a regisztrációját ellenőrző oldal, tehát nincs az adatbázisban.
A fenti példa egyszerre jelzi a csütörtökön elindult, az oltási regisztráció lekérésére hivatott kormányzati oldal működésének két komoly adatvédelmi, adatkezelési problémáját.
A Covid elleni védőoltásra való regisztráció során a vakcinainfo.gov.hu oldalon a nevünkön túl még email-címet, telefonszámot, lakcímet, életkort és tajszámot is kérnek. A legegyszerűbb technikai megoldás az lett volna, hogy a megadott elérhetőség valamelyikére lehetett volna lekérni az oltási regisztráció adatait. Vagy, akár egy visszaigazoló e-mailt is kaphattunk volna a megadott adatokkal a regisztráció után.
Ehelyett elindult az új oldal, ami a Nemzeti Egészségbiztosítási Alapkezelő neak.gov.hu doménjén fut, ahol csak a tajszámunkat és a születési dátumunkat kell megadni, és máris lekérdeztük a regisztrációnk státuszát. Pontosabban kapunk egy IGEN vagy egy NEM választ, attól függően, hogy benne vagyunk-e az oltásra jelentkezett adatbázisában vagy sem.
Csakhogy ez két olyan adat, amit több helyen is tárolnak rólunk, így azokkal akár vissza is lehet élni.
Engem nagyon zavar és már írásban tiltakoztam is miatta az oldal üzemeltetőjénél, hogy mindössze a tajszámom és születési dátumom felhasználásával bárki megtudhatja, regisztráltam-e már oltásra vagy sem
– mondta egy neve elhallgatását kérő adatvédelmi szakértő a Telex kérdésére.
Például a munkahelyünkön társadalombiztosítási és adózási okokból mindkét adat megvan – ahogyan egy könyvelőnél, patikában, egészségügyi vagy akár felnőttképzési intézményben is –, és ha teljesen jogszerűen birtokolja is, megteheti, hogy egy-két kattintással lekérdezi: egy adott dolgozója valóban regisztrált-e már a Covid elleni védőoltásra.
Egy ilyen pandémia idején, mint most a koronavírus-járvány, egyébként is feltűnően megnő a munkaadók érzékenysége különféle egészségügyi kérdésben, gondoljunk itt a munkahelyi lázmérésre vagy akár pcr-tesztekre. Arra nincs joga, hogy hivatalosan lekérdezze, a munkavállalói közül ki regisztrált és ki nem oltásra, de ezen az oldalon keresztül most mégis meg tudja tenni.
A szakértő szerint egy ilyen lépéssel persze a munkavállaló is jogellenes adatkezelést követne el, de ettől ez még nem mérsékli az adatkezelő felelősségét.
Hasonló aggályt lát az oldal működésével kapcsolatban egy a lap által megkérdezett másik szakértő, aki szintén kérte az anonimitást.
A legfontosabb kérdés ebben az esetben is az, hogy az adatigénylésnél hogyan ellenőrzi az adatkezelő, hogy valóban az kérdezi le az adatot, aki erre jogosult. Vagyis a vakcinaregisztráció lekérdezése során én magam vagy a saját regisztrációmat kérdezem le, vagy olyan valakiét, aki erre feljogosított
– mondta a Telex kérdésére. Az oldal adatkezelési tájékoztatója szerint ezt a védelmi célt szolgálta, hogy a tajszám mellett a születési dátumot is meg kelljen adni.
Az adatkezelőnek ugyanakkor meg kell tudnia győződnie arról, hogy az érintetti joggal senki nem él vissza.
A szakértő hozzátette
ugyanakkor, hogy ha például a munkaadó visszaélne azzal, hogy az amúgy jogszerűen birtokában lévő adataink (tajszám és születési dátum) birtokában lekéri ezt az adatunkat, akkor azzal jogsértést követne el.
A regisztrációt ellenőrző felületnek a megbízhatatlansági problémája különösen aggasztó. Az ember a lekérdezéskor azt látja – és hogy nem egyedi az esete, azt több, már csütörtökön a laphoz érkezett olvasói levél és munkatársaik személyes tapasztalata is igazolja –, hogy a nyilvántartás szerint még nem regisztrált. Csakhogy amikor átmegy az oltásra regisztrálni hivatott oldalra, a regisztrációs felület nem engedi jelentkezni ugyanazokkal az adatokkal, mert aszerint viszont már egyszer regisztrált. Ráadásul az olvasói visszajelzések szerint voltak olyanok is, akik többszöri ellenőrzés esetén egyszer IGEN, máskor NEM választ kaptak.
Forrás:Telex
Címlapkép:Pixabay
3 hozzászólásarrow_drop_down_circle
Új hozzászólás