Článek
Článek si také můžete poslechnout v audioverzi.
Pražská vinohradská nemocnice řeší závažný incident, při němž se dostala do ohrožení osobní data 1883 pacientů. Včetně velmi citlivých fotografií lidí ve spodním prádle, snímků jejich pohlavních orgánů nebo detailů kožních nálezů.
Jak Seznam Zprávy vypátraly a ověřily na základě důvěryhodných zdrojů a dokumentů, nemocniční „ajťáci“ v polovině března zjistili, že na dermatovenerologické klinice chybí počítač obsluhující celotělový skener. Přístroj umí rozpoznávat nebezpečná mateřská znaménka, z nichž se může vyvinout nádorové onemocnění.
Znovu se počítač obsahující 800 gigabytů dat včetně fotografií a informací o téměř dvou tisících vyšetření na klinice objevil – tak trochu záhadně – až po čtyřech dnech. A protože vedení nemocnice dodnes neví, co se s počítačem v mezidobí přesně dělo a jestli někdo data nestáhl, předalo událost Úřadu pro ochranu osobních údajů.
„Incident mohu potvrdit. Po určitou dobu nevíme, kde se počítač nacházel,“ řekl Seznam Zprávám ředitel nemocnice Jan Votava.
Podle závěru interního vyšetřování je za tento průšvih spoluzodpovědný Petr Arenberger, bývalý ministr zdravotnictví, který dermatovenerologickou kliniku vede.
Počítač byl pryč 96 hodin
Počítač z Arenbergerovy kliniky zmizel v polovině března. Měl tehdy porouchanou dotykovou obrazovku. Nemocnice podle informací Seznam Zpráv ověřených z více zdrojů pracuje s verzí, že ho někdo z kožní kliniky odevzdal servisní firmě. Ovšem bez jakékoli smlouvy nebo předávacího protokolu.
Po 96 hodinách našli zaměstnanci nemocnice počítač opět na svém místě.
„Za těchto okolností není správce schopen vyloučit, že nedošlo ke čtení, kopírování nebo jinému zpracování osobních údajů třetí osobou,“ uvádí se v oficiální prezentaci, kterou vedení nemocnice promítlo minulý týden několika desítkám lékařů na poradě primářů.
Prezentace vycházela ze závěrů interního šetření takzvaného pověřence pro ochranu osobních údajů. To je post, který musí mít každá organizace. Pověřenec dohlíží na to, aby se s citlivými daty lidí zacházelo podle nařízení o GDPR. A v případě incidentu tento pověřenec musí rozjet pátrání, jak k incidentu došlo.
Seznam Zprávy získaly snímky z této prezentace. „Klinika neposkytla relevantní vysvětlení, kde se zařízení po dobu nepřítomnosti nacházelo,“ uvádí rovněž prezentace pověřence pro ochranu osobních údajů.
Šéf kliniky Arenberger podle závěrů šetření nejprve tvrdil, že počítač nikdy kliniku neopustil. Nevysvětlil zároveň, kde se přístroj nacházel.
V pondělí Petr Arenberger nejprve nebral mobil, neodpověděl ani na zprávu s žádostí o rozhovor. Posléze redakci informoval, že sepsal krátké vyjádření, které předal mluvčí nemocnice. Ani po několika hodinách však nedorazilo.
Citlivé snímky nebyly zabezpečeny
Ředitel nemocnice Votava řekl, že neví, jak snímky pacientů vypadají. Tedy nakolik jsou na fotografiích například nahá těla. „Spíš je to fotodokumentace kožních problémů,“ odhadl ředitel.
Dva zdroje Seznam Zpráv však potvrdily, že fotografie – pokud by unikly – by mohly být pro pacienty skutečně kompromitující.
Jak navíc ukázalo vnitřní šetření nemocnice, data pacientů uložená v počítači nebyla nijak zašifrovaná. Snímky a další informace byly jednoduše uložené ve složkách nazvaných jmény pacientů.
Oznámení na hydrantu
Při takovém incidentu musí organizace informovat podle nařízení o ochraně osobních údajů ty, jejichž data se dostala do ohrožení. Podle ředitele Votavy nyní nemocnice řeší, jestli se tak stane e-mailem, nebo klasickými dopisy. Zároveň by měla nemocnice vše oznámit i na webu a také v prostorách Arenbergerovy kliniky.
Na kožní klinice se v polovině května skutečně už objevil vytištěný dokument se základním popisem události. „Velice nás mrzí vzniklá situace,“ stojí v závěru.
Dokument, jak ukazují získané fotografie, někdo vylepil na klinice tak, že nebyl příliš na očích. Jeden visel za reklamními letáky na kožní přípravky, druhý na dvířkách od požárního hydrantu.
Oznámení o incidentu někdo na kožní klinice vylepil tak, že jedno bylo schované za stojánkem na reklamní letáky…
… druhé se v polovině května objevilo na kožní klinice na hydrantu.
Podle zdrojů Seznam Zpráv nešlo o aktivitu vedení nemocnice. Jestli je tam vylepil někdo z Arenbergerova popudu, nebo přímo šéf kliniky, není možné zjistit. Vyjádření Arenbergera, jak už zaznělo, zatím redakce nemá.
Ministr na 48 dní
Přednosta vinohradské dermatovenerologické kliniky Petr Arenberger se stal v roce 2021 ministrem zdravotnictví ve vládě Andreje Babiše (ANO). Předtím od roku 2019 vedl právě vinohradskou nemocnici jako ředitel. Ve funkci ministra vydržel ale pouhých 48 dní.
Rezignoval mimo jiné po sérii zjištění reportérů Seznam Zpráv o tom, že nesedí jeho oficiálně přiznávaný majetek s rozsahem nemovitostí, které nakoupil. A také že pronajímá fakultní nemocnici jednu z desítek svých nemovitostí za 100 tisíc měsíčně.
„Vedení Fakultní nemocnice Královské Vinohrady prošlo opakovaně kontrolami svého hospodaření a nikdy nebyly shledány žádné pochybnosti,“ vysvětloval tehdy Arenberger. Dodával, že žádná z prověrek smlouvu nezpochybnila.
Podle zjištění Seznam Zpráv také Arenberger odkoupil městský byt v Praze 1 na základě nepravdivých údajů. Do žádosti o privatizaci 240metrového bytu v hodnotě 11,5 milionu korun napsal, že nevlastní žádnou jinou nemovitost v Praze.
