Illetéktelenek birtokába juttathatták egymillió magyar érzékeny személyes egészségügyi adatait az EESZT-ből.
A fideszes állam titokban legszemélyesebb adatainkat is kiadja, fűnek-fának. Forrás: Pixabay
Alexin Zoltán egészségügyi adatvédelmi szakértő közérdekű adatkérése nyomán derült ki, hogy az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) nem biztonságos. 2022-ben több mint 1 millió magyar polgár mintegy 70 millió egészségügyi dokumentumát (leleteket, ambuláns lapokat, zárójelentéseket, műtéti jegyzőkönyveket) másolták le, és adták át belőle. Alexin emiatt több bejelentést is tett. A tényekből óriási botrány bontakozik ki.
Felmerülhet a gyanú, hogy bűncselekmény történt, ezért bejelentést tettem az adatvédelmi hatóságnál és az alapvető jogok biztosánál
– közölte Alexin, – aki egyelőre még nem kapott visszajelzést – a Hírklikkel. Kiderült, hogy az EESZT nem biztonságos, bármikor kikerülhetnek belőle szenzitív egészségügyi adatok, amelyekkel visszaélhetnek, „ez pedig egy óriási nagy skandalum”.
2021. október 21-én – ismeretlen okok miatt – az Országos Kórházi Főigazgatóság (OKFŐ) leállította az eProfilra vonatkozó Digitális Önrendelkezési Nyilvántartás (DÖR) működését. A korábbi beállításokat visszaállíthatatlan módon törölte, amire Alexin szerint azért lehetett szükség, hogy ki lehessen menteni tömegesen adatokat az EESZT-ből. Eredetileg az EESZT-t működtető szoftver csak megadott konkrét taj-ra vonatkozó-adatok elérését tette lehetővé. Az eProfil önrendelkezési beállításainak felfüggesztése és a kutatók számára történt tömeges adatkimentés csaknem egy időben történt. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2022 január 14-én visszakapcsoltatta a DÖR-t, majd NAIH-113-4/2022. számon hatósági eljárást indított 2022. február 10-én, aminek még nincs eredménye.
A közérdekű adatigénylésre az OKFŐ azt válaszolta, hogy két nagy budapesti egészségügyi intézmény is kapott személyes adatokat kutatás céljából. Az egyik intézménytől konkrét taj-azonosítókat kértek a leválogatáshoz – derítette ki a szakértő. A DÖR visszakapcsolása után azonban más megoldásra volt szükség, bele kellett nyúlni a szoftverbe, amit meg is tettek, kivették belőle a biztonsági korlátokat, s ezek után már taj-szám megadása nélkül is le lehetett válogatni adatokat. A másik intézmény kutatóinak már nem kellett megadniuk a taj- azonosítókat.
Az első intézmény átadott több mint egymillió (1 031 328) taj-azonosítót, és a kutatók megkaptak 69 588 070 darab PDF-állományt az EESZT eKórtörténet alrendszeréből 2017. november 1-jétől, az elindulásától kezdődően 2021. december 14-ig terjedő időszakra – mutatott rá Alexin Zoltán. A PDF-állományokban pedig szinte biztosan benne volt az összes olyan személyes adat, mint a név, anyja neve, születési adatok, lakcím és a taj-azonosító, mivel ezeket nem lehet egyszerűen eltávolítani az állományokból. Az EESZT adatkezelési napló fájljában ez a leválogatás nincs rögzítve, titokban megtörténhetett, és hogy az érintettek semmilyen tájékoztatást nem kaptak.
Ez komoly nemzetbiztonsági problémát is jelent, mivel nagyon érzékeny és igen fontos információk kerülnek ki így a rendszerből. Ha bármelyik magas rangú állami vezető az elmúlt években megfordult az első intézményben vagy az ahhoz tartozó bármely egységben, akkor a taj-azonosítója előfordulhat az átadott taj-azonosítók között. Így az EESZT-ben található teljes kórtörténete ott lehet a majdnem 70 millió PDF-állományban. Akár a miniszterelnök egészségügyi állapotára vonatkozó bármely, az EESZT-be felkerült információ is illetéktelen kézbe kerülhetett. Az EESZT-ben tárolt mintegy 70 millió PDF-fájlban különösen szenzitív egészségügyi adatok vannak: lombikkezelések, genetikai, nőgyógyászati (abortusz is), urológiai, onkológiai ellátások, műtétek adatai stb., amelyek továbbítása ismeretlen idegenek számára a magánszféra rendkívül súlyos megsértése. Az EESZT alapbeállítása semmilyen védelemben nem részesíti a fenti adatokat, „ami egy előre megtervezett körmönfont aljasság”. Az emberek 99,5%-a pedig így használja a rendszert.
Az adatok feltöltése egy harmadik országban található számítógépre akár hazaárulás is lehet, mivel a lakosság több mint tíz százalékának a legféltettebb személyes adatát külföldi adatfeldolgozóhoz juttatják el. Ha egy mesterséges intelligencia szoftvert tanítanak be az adatokkal, akkor egy olyan szoftvert kapnak, amely név szerint listázni tudja a magyar polgárok részletes egészségügyi ellátási adatait. Az adatok a jövőben bármikor (akár tíz-húsz év múlva is) felhasználhatók megfélemlítésre, zsarolásra. Az adatokat eladhatják, aminek következtében az adatok terjedése kontrollálhatatlanná válik. A Btk.-ban nem igazán található olyan bűncselekmény, ami itt megvalósult. Az 1 millió érintett sérelemdíjért azonban indítható per, az adatok érzékenysége függvényében 2-100 millió forintos sérelemdíj megítélése iránt.
Kinek kell egy ilyen? De nemcsak kérdezem, mondom is: a kalandoroknak, a nyerészkedőknek, a mindenkin átgázoló karrieristáknak.