Článek
Článek si také můžete poslechnout v audioverzi.
Víc než 1800 pacientů Fakultní nemocnice Královské Vinohrady může v nejbližší době čekat oficiální oznámení: Vaše citlivé osobní údaje se ocitly v ohrožení.
Seznam Zprávy v pondělí napsaly, že v této pražské nemocnici na čtyři dny zmizel počítač se snímky pacientů - mnohdy nahých nebo ve spodním prádle. V některých případech včetně detailů pohlavních orgánů. Stalo se to na kožní klinice přednosty Petra Arenbergera, což potvrdilo podrobné interní vyšetřování nemocnice.
Uznávaný odborník, který byl v minulosti necelé dva měsíce i ve funkci ministra zdravotnictví, teď ale tvrdí, že k žádnému incidentu nedošlo.
„Pro začátek je z medicínského hlediska postačující, když jako významné médium ubezpečíte naše pacienty, že jsou k dispozici důkazy, že jsme nad počítačem v inkriminovanou dobu neztratili kontrolu,“ napsal Arenberger reportérovi Seznam Zpráv jako odpověď na opakovanou žádost o vyjádření.
Širší rozhovor na tohle téma odmítl v pondělí i v úterý se zdůvodněním, že je zkoušejícím u atestací a nemá čas.
Přednosta: Neměli přesné informace
Podle pondělního zjištění Seznam Zpráv si v nemocnici letošního 17. března všimli, že u tělového skeneru odhalujícího nebezpečná mateřská znaménka chybí důležitá část: počítač s dotykovým displejem. V přístroji byla uložena data k téměř dvěma tisícům vyšetření, celkem se jednalo o osobní údaje 1883 lidí.
Počítač se po čtyřech dnech zase objevil na klinice - řádně zavěšený na příslušném stojanu, který byl umístěn před zmizením. I tak se podle interního šetření jednalo z pohledu GDPR o incident. A nemocnice ho oznámila Úřadu pro ochranu osobních údajů.
„Za těchto okolností není správce schopen vyloučit, že nedošlo ke čtení, kopírování nebo jinému zpracování osobních údajů třetí osobou. A protože nelze zaručit, že důvěrnost dat zůstala zachována, jedná se o rizikový stav, který již sám o sobě zakládá incident,“ stojí v oficiální prezentaci, kterou vedení nemocnice minulý týden promítlo na poradě primářů a jejíž snímky Seznam Zprávy získaly.
Vnitřní šetření rovněž konstatovalo, že incident jde na vrub především přednosty dermatovenerologické kliniky Arenbergera.
Ten v úterý napsal, že šetření nemocnice pracovalo „s neúplnými a nepřesnými podklady. „Jsme přesvědčeni, že Úřad na ochranu osobních údajů dojde ke stejnému závěru,“ odpověděl Arenberger na dotazy Seznam Zpráv.
A v úterý také poslal redakci dva dokumenty, které označil za důkazy, že data z počítače zůstala v bezpečí.
Prvním je prohlášení s oslovením „Milí pacienti“, v němž čtyři lékaři - Arenbergerovi podřízení - ujišťují, že počítač byl po celou dobu na svém místě. Datované je pondělím 26. května, kdy Seznam Zprávy o případu napsaly.
Čtyři lékaři v prohlášení tvrdí, že počítač neopustil kliniku. Ačkoli interní šetření tvrdí opak.
Druhým dokumentem je dopis servisní firmy adresovaný přednostovi Arenbergerovi.
Firma měla v době, kdy se počítač podle vnitřního šetření ztratil, opravit nefunkční displej. Jednatel firmy Miroslav Schmidt v dopise uvádí, že počítač ve skutečnosti uložil do krabice a ta zůstala ležet v ordinaci. Po několika dnech, když vázla jednání s nemocnicí o opravě, pak prý zase počítač připevnil na stojan.
V rozhovoru se Seznam Zprávami v úterý Schmidt potvrdil, že o napsání dopisu ho požádal přednosta Arenberger. A to zhruba s týdenním zpožděním od chvíle, co nemocniční kontrola potvrdila ohrožení osobních dat pacientů.
Jak si vysvětluje, že při kontrole v nemocnici se počítač v krabici nenašel - navíc když krabice se měla nacházet ve stejné místnosti jako skener, Schmidt nedokázal říci.
„To se mě neptejte, já tam nebydlím. Mohu se domnívat, že nehledali důkladně,“ reagoval na otázku.
Incident potvrdil i ředitel
Závěry nemocničního šetření přitom nepřipouštějí pochybnosti, že se počítač na čas skutečně ztratil.„Byla prokazatelně ztracena kontrola nad zařízením s osobními údaji,“ shrnuje prezentace výsledků prověrky určená pro poradu primářů.
Totéž pro Seznam Zprávy potvrdil v pondělí i ředitel nemocnice Jan Votava. „Nepodařilo se jednoznačně potvrdit, že (počítač) byl celou dobu plně v moci nemocnice,“ řekl .
Podle ředitele neexistují jasné důkazy, že si někdo snímky pacientů a další data zkopíroval. „Nicméně nemůžeme únik vyloučit,“ připustil rovněž šéf nemocnice.
Z pohledu GDPR je však navíc problémem už jen to, že organizace typu nemocnice po nějaký čas neví, co se s údaji dělo.
Šetření odhalilo i další nesrovnalosti ve vztahu k osobním údajům: Data v počítači nebyla zašifrovaná a neodesílala se na server, jak bývá zvykem. Ale všechna vyšetření zůstávala v počítači ve složkách nazvaných jmény jednotlivých pacientů. Nebylo možné ani zpětně zjistit, kdo měl k datům přístup.
Nemocnice nyní podle ředitele Votavy hledá způsob, jak podle závazného nařízení o GDPR informovat pacienty, aby si dali pozor na možný únik osobních údajů. Některé zřejmě osloví klasickými dopisy, jiné e-maily.
