eWUŚ niepokoi GIODO. Zbyt "miękkie" logowanie, "przymusowa" baza

Od 1 stycznia 2013 r. za pomocą systemu Elektronicznej Weryfikacji Uprawnień Świadczeniobiorców (eWUŚ) możliwe jest, po podaniu numeru PESEL, sprawdzenie w placówce ochrony zdrowia naszych uprawnień do bezpłatnej opieki zdrowotnej.

Jak zapowiada NFZ, jeszcze w tym roku pacjenci będą mogli online sprawdzać czy są ubezpieczeni, a ponadto będą mieli dostęp do listy swoich wizyt lekarskich, hospitalizacji i badań diagnostycznych oraz kosztów tych świadczeń.

System budzący wąpliwości

Generalny Inspektor Ochrony Danych Osobowych w środę podczas konferencji prasowej podkreślił, że system eWUŚ, który funkcjonuje od 1 stycznia i umożliwia potwierdzanie na podstawie numeru PESEL prawa pacjenta do bezpłatnych świadczeń zdrowotnych to dobre rozwiązanie, potrzebne pacjentom. - Moje wątpliwości nie odnoszą się do istoty systemu - mówił.

Zaznaczył, że sama informacja o tym, czy ktoś ma prawo do bezpłatnej opieki zdrowotnej nie budzi wątpliwości, ponieważ nie chodzi tu o dostęp do danych medycznych. Jednocześnie zapowiedział, że GIODO będzie prowadził planowe kontrole w placówkach ochrony zdrowia, m.in. dot. archiwizowania potwierdzeń z eWUŚ przez świadczeniodawców.

Niepewne zabezpieczenia

Zwrócił uwagę, że według zapowiedzi NFZ "w 2013 r. ma zostać uruchomiony także II etap systemu eWUŚ, czyli umożliwienie pacjentom dostępu do informacji o udzielonych im świadczeniach medycznych".

- W rozporządzeniu ministra zdrowia, które dotyczy tego rozwiązania, nie uwzględniono uwag GIODO dotyczących m.in. określenia sposobu logowania się do tego systemu - podkreślił Wiewiórowski.

W jego ocenie podstawy prawne regulujące zabezpieczenie systemu są niewystarczające.

- My uważamy, że takich podstaw prawnych nie ma, a powinny być zawarte w rozporządzeniu ministra zdrowia, z kolei resort zdrowia uważa, że wynikają one z ogólnych przepisów obowiązujących w naszym kraju - wyjaśnił GIODO.

- Każdy system informatyczny, który jest dostępny dla osoby, która "miękko" loguje się do niego, używając systemu haseł, jest systemem niebezpiecznym, z którego mogą nastąpić wycieki - ocenił.

- Chcielibyśmy dowiedzieć się znacznie więcej na temat sposobu zabezpieczenia dostępu do systemu NFZ, zanim zostanie on fizycznie uruchomiony - dodał i zapowiedział inspekcję tego systemu, gdy zostanie przygotowany do działania.

Pacjent powinien sam decydować

Wiewiórowski zaznaczył, że nie neguje prawa pacjentów do informacji o udzielonych im świadczeniach, jednak jego niepokój budzi to, że baza takich informacji jest "przymusowa". Pacjenci nie mają bowiem wyboru czy chcą, aby takie dane o nich były gromadzone, czy nie.

- Dostęp do tej bazy będzie możliwy przy pomocy internetu z dowolnego miejsca na świecie, a system logowania będzie "dość delikatny" - mówił Wiewiórowski.

Wyjaśnił, że np. w Holandii wprowadzono podobny system, jednak funkcjonują w nim pacjenci, którzy wyrazili na to zgodę i wiedzą o zagrożeniach związanych z prowadzeniem takiej bazy informatycznej - np. wycieku informacji po ataku hakerskim lub użyciu indywidualnego loginu i hasła przez inną osobę.

Ubezpieczenie na podstawie świadczeń zdrowotnych

Ponadto według GIODO może pojawić się zagrożenie, że ubezpieczyciele będą "prosili" swych potencjalnych klientów o informacje nt. udzielonych im świadczeń zdrowotnych i od tego będą uzależniali podpisanie umowy np. na życie.

- Taka sytuacja byłaby przez GIODO traktowana jako wymuszona zgoda na udostępnienie danych, a więc sprzeczna z prawem - zapowiedział. Dodał, że "trudno byłoby zapisać zakaz takich praktyk np. w kodeksie cywilnym".

Jak powiedział rzecznik prasowy NFZ Andrzej Troszyński, rozwiązania dotyczące systemu eWUŚ były przed jego wprowadzeniem konsultowane w zakresie ochrony danych osobowych. Zapewnił ponadto, że także system dostępu pacjentów online o udzielonych im świadczeniach jest konsultowany w tym obszarze.

- System ten będzie spełniał wszystkie standardy bezpieczeństwa - zapewnił.

Autor: zś//kdj / Źródło: PAP