Lietuvoje

2020.06.08 10:01

Greitosios pagalbos medikai skambina pavojaus varpais: iš stoties duomenų bazės „iššluoti“ pacientų duomenys

Vilniaus savivaldybė pradėjo tyrimą; atnaujinta 18.24
Asta Martišiūtė, LRT RADIJAS, LRT.lt2020.06.08 10:01

Vilniaus greitosios medicinos pagalbos stoties medikai nuogąstauja dėl to, kad jų serverio duomenų bazė liko tuščia. Medikai sako, kad pacientų kortelėse buvo itin jautri informacija apie pacientus, jų ligas, skirtus vaistus ir kontaktiniai duomenys: pacientų gimimo metai, telefonai, namų adresai. Šeimos gydytojai nebežino, ar saugu perduoti greitajai pagalbai pacientų duomenis, todėl prašo Valstybinės duomenų apsaugos inspekcijos imtis tyrimo. 

Jautriausiems duomenims – grėsmė

„Greitoji pagalba dažnai kviečiama kritiniais gyvenimo momentais. Ar galite įsivaizduoti, jeigu žmogus bandė nusižudyti ir buvo išgelbėtas, dabar visa ši informacija gali būti vieša“, – taip pokalbį su LRT RADIJO žurnaliste pradėjo Vilniaus greitosios medicinos pagalbos stoties paramedikė Violeta Seiliuvienė. Ji yra ir Greitosios medicinos pagalbos stoties darbuotojų profesinės sąjungos tarybos narė. Būtent šios profsąjungos taryba nusprendė, kad ilgiau negalima nutylėti tai, kas vyksta su pacientų duomenimis ir kreiptis į teisėsaugą.

Anot jos, medikams ir dispečeriams išsami informacija neteikiama, tačiau pastebėta, kad, dispečeriams kviečiant pagalbą, negaunamos kai kurių pacientų medicininės kortelės, kuriose turi būti nurodyti paciento adresas, telefonas, ligos istorija.

„Kaip galima nukopijuoti (duomenis, – red. past.), – stebisi V. Seiliuvienė. – Kaip galima, kad tokie ligonių duomenys nebūtų saugomi.“

Anot pašnekovės, atsivertus paciento kortelę, asmuo matomas kaip ant delno.

„Ten rašoma, kokia liga žmogus serga, kokius vaistus vartoja, kokios traumos, gal savižudybės, alkoholio vartojimas, – LRT RADIJUI kalbėjo medikė. – Tokie duomenys gali nueiti į darbovietę. O gal žmogus epilepsija serga ir tai slepia? Vis tiek žmogus turi savo ligos istoriją, kuri tik jam turėtų būti žinoma, ne visai plačiajai visuomenei.“ Anot jos, tokių grėsmių dėl pacientų duomenų dabar kyla.

Medikai sutrikę

Dėl galimo netinkamo pacientų duomenų tvarkymo tyrimą Duomenų apsaugos inspekcijos paprašė pradėti šeimos gydytojas Igoris Bunkus. Jis teigia, kad dažnai savo pacientams kviečia greitąją pagalbą nuvežti į ligoninę. „Kviesdamas greitąją, suteikiu Greitosios medicinos pagalbos stočiai paciento asmens duomenis, konfidencialią informaciją apie jo sveikatos būklę. Tai atsispindi GMP kvietimo kortelėje ir saugoma kompiuterinėje programoje. Neseniai išgirdau apie tai, kad elektroniniai duomenys iš Greitosios medicinos pagalbos stoties buvo pavogti aptarnaujančios kompanijos. Noriu Jūsų pasiteirauti, ar yra saugu teikti Greitajai medicinos pagalbai pacientų duomenis, ar nebus apkaltinti šeimos gydytojai, jei jų pacientų duomenys nutekės per greitąją“, – rašoma šeimos gydytojo kreipimesi į Duomenų apsaugos inspekciją.

I. Bunkus tvirtina, kad atsakymai yra aktualūs ne tik jam, bet ir kitiems gydytojams bei tūkstančiams pacientų.

Audito išvada: duomenų bazė tuščia

Kad dingsta pacientų duomenys, Vilniaus greitosios medicinos pagalbos stoties darbuotojai pastebėjo dar vasarį, kai dispečeriai negalėjo peržiūrėti pagalbą kviečiančių pacientų kortelių. Taip pat įtarta, kad prie duomenų galbūt gali prieiti tretieji asmenys. Atliktas nepriklausomas auditas. Auditoriai konstatavo, kad stoties serverio duomenų bazė tuščia, duomenys nukopijuoti.

„Išvada turėtų būti traktuojama taip, kad duomenys iš Greitosios medicinos pagalbos stoties esančio serverio perkelti į kitą serverį. Kiek suprantu, prie jų (duomenų, – red. past.) gavo prieigą ir tretieji asmenys“, – taip audito išvadas LRT RADIJUI pakomentavo IT saugumo ekspertas Darius Povilaitis. Anot jo, grėsmė yra. „Jeigu lankotės medicinos įstaigoje, kažkas, kiek suprantu, jūsų duomenimis pasidalijo be jūsų sutikimo“, – sakė IT saugumo ekspertas.

Paprašė ne tyrimo, o patarimo

Vilniaus greitosios medicinos pagalbos stoties vadovas Zdislavas Skvarciany dėl prarastų duomenų pagalbos kreipėsi į Valstybinę duomenų apsaugos inspekciją.

„Nežinau, ar pavogė, ar kaip čia yra – tai klausimas, kadangi įtarimai tokie yra. Bet kadangi koronavirusas, mes pasirašėme susitarimą nepradėti visų tų (veiksmų, – red. past.). Bet artimiausiu metu mes bandysime su jais susisiekti ir spręsti problemą“, – sakė Greitosios medicinos pagalbos stoties vadovas Z. Skvarciany.

Valstybinė duomenų apsaugos inspekcija tyrimo nepradėjo, nes Greitosios medicinos pagalbos stoties vadovas paprašė tik patarimo, ką daryti. Inspekcija nurodė laikytis teisės aktų. „Iš jūsų pateiktos informacijos matyti, kad galimai buvo padarytas konfidencialumo ir prieinamumo pažeidimas“, – rašoma Valstybinės duomenų apsaugos inspekcijos direktoriaus pavaduotojos Danguolės Morkūnienės pasirašytame rašte. Čia taip pat nurodyta, kad konfidencialumo pažeidimas yra, kai be leidimo ar neteisėtai atskleidžiami asmens duomenys arba sunaikinami asmens duomenys.

Duomenų apsaugos inspekcijos atstovė ryšiams su visuomene Raminta Sinkevičiūtė-Šečkuvienė duomenų subjektams priminė, kad jie patys gali kreiptis į jų duomenis tvarkančią įstaigą prašydami pateikti atsakymus, ar duomenys tvarkomi tinkamai.

„Taip pat turite galimybę kreiptis pagalbos į mus, kad mes galėtume padėti užtikrinti tas teises. Galite kreiptis mums pateikdami skundą, tokią teisę žmonės visuomet turi“, – LRT RADIJUI kalbėjo R. Sinkevičiūtė-Šečkuvienė.

Kreiptis į teisėsaugą sutrukdė karantinas

Jeigu daiktas pavogtas arba dingo, įprastai žmonės apie tai praneša teisėsaugai. Vilniaus greitosios medicinos pagalbos stoties vadovai į teisėsaugą dėl ištuštintos duomenų bazės nesikreipė teisindamiesi karantinu. Duomenų apsaugos reglamentas įpareigoja apie asmens duomenų pažeidimus pranešti ir patiems duomenų subjektams, tačiau Greitosios medicinos pagalbos stotis savo pacientų apie tai, kad jų duomenys gali būti prieinami ir tretiesiems asmenims, neinformavo.

Advokatas Karolis Rugys svarstė, kad galbūt informuoti asmens duomenų subjektus sunku dėl jų gausos, be to, įstaiga duomenų bazėje galbūt nebeturi jų duomenų. Tačiau šios aplinkybės vis tiek negali užkirsti kelio teisei į žalos atlyginimą.

„Bet kuris asmuo, patyręs turtinę ir neturtinę žalą, turi teisę iš duomenų valdytojo gauti kompensaciją“, – teigė advokatas K. Rugys. Anot jo, dėmesio nukentėjusiems asmenims turėtų būti daugiau, nes gal jie net nežino, kad neteisėtai tvarkomi jų duomenys arba yra kažkokie pažeidimai. „Jeigu sužinotų tokią informaciją, asmuo turi teisę kreiptis tiek dėl turtinės, tiek dėl neturtinės žalos atlyginimo, bet gal tiesiog nepranešta, kad duomenis kažkas galbūt netinkamai valdo“, – svarstė advokatas.

Steigėjas nieko nežino

Nieko apie ištuštėjusią pacientų duomenų bazę nežino ir steigėjas – Vilniaus miesto savivaldybė. Už sveikatą atsakinga vicemerė Edita Tamošiūnaitė stebisi, kodėl apie iškilusias problemas dėl duomenų saugumo Greitosios medicinos pagalbos stoties vadovybė net neužsiminė.

„Turėjome praėjusią savaitę posėdį su visais vadovas, iš Greitosios medicinos pagalbos stoties direktoriaus Z. Skvarciany net jokio signalo negavome, kad tai vyksta, ar yra problema, ar toks klausimas, – absoliučiai apie tai nėra net užsiminta“, – sakė Vilniaus vicemerė E. Tamošiūnaitė.

Ji pažadėjo viską išsiaiškinti dar praėjusį penktadienį, tačiau jokios informacijos nepateikė.

Bendrovės paaiškinimas

Greitosios medicinos pagalbos stočiai programinės įrangos priežiūros paslaugas teikiančios bendrovės „Atvira karta“ atsiųstame atsakyme į klausimus teigiama, kad jie nesupranta, apie kokią ištuštintą duomenų bazę klausiama.

„UAB „Atvira karta“ nesupranta, apie kokią duomenų bazę Jūs klausiate.

Papildomai pažymime, kad duomenys, VšĮ Greitosios medicinos pagalbos stoties darbuotojų suvesti į 110/a formos informacinę sistemą, yra pasiekiami šios informacinės sistemos techninėmis priemonėmis“, – rašoma niekieno nepasirašytame bendrovės elektroniniu paštu atsiųstame atsakyme.

„Galime tik nurodyti, kad UAB „Atvira karta“ vykdo savo veiklą vadovaudamasi BDAR nurodymais ir jokių itin jautrių pacientų duomenų neperduoda jokiems tretiesiems asmenims. Atvirkščiai, galime pažymėti, kad ne kartą kreipėmės į VšĮ Greitosios medicinos pagalbos stoties administraciją su raginimais be jokios aiškios priežasties pačiai įstaigai nesuteikinėti itin aukštų teisių tretiesiems asmenims, kurie nedirba VšĮ Greitosios medicinos pagalbos stotyje. Įspėjome, kad tokių teisių suteikimas tretiesiems asmenims gali sąlygoti neteisėtą duomenų nutekėjimą. Tačiau tokie vartotojai ir toliau buvo kuriami VšĮ Greitosios medicinos pagalbos stoties IT administratoriaus, toleruojant tokius veiksmus ir įstaigos vadovui“, – rašo UAB „Atvira karta“.

Bendrovė laiške nurodo: „Šiuo metu VšĮ Greitosios medicinos pagalbos stotis vykdo viešąjį pirkimą, kuriame UAB „Atvira karta“ yra galimai pateikusi geriausią pasiūlymą. Tačiau VšĮ Greitosios medicinos pagalbos stotis galimai stengiasi visais būdais (net ir galimai pažeidžiančiais Viešųjų pirkimų įstatymo nuostatas) pašalinti UAB „Atvira karta“ iš šio viešojo pirkimo ir tokiu būdu nukreipti visuomenės dėmesį, pasirenkant brangesnį tiekėją.“

Beje, audito išvados, kai aptikta, kad Greitosios medicinos pagalbos stoties duomenų bazė tuščia, parengtos šių metų kovo 6 dieną. Tą patį mėnesį Valstybinė duomenų apsaugos inspekcija gavo Z. Skvarciany pasirašytą užklausą. Viešas konkursas elektroninių pacientų kortelių priežiūros paslaugoms pirkti paskelbtas balandžio 9 dieną.

Vilniaus greitosios medicinos pagalbos stoties dispečerinė aptarnauja Vilniaus miesto ir rajono, Šalčininkų, Trakų, Elektrėnų, Visagino, Zarasų ir Utenos bei Molėtų rajonų gyventojus. Iš viso dispečerinės paslaugomis gali naudotis per milijoną žmonių.

Vilniaus savivaldybė pranešė pradedanti tyrimą dėl situacijos Vilniaus greitosios medicinos pagalbos stotyje, kai paiškėjo, kad stoties serverio duomenų bazė liko tuščia, duomenys nukopijuoti, o prie jų galėjo gauti prieigą tretieji asmenys.

„Yra įpareigotas administracijos direktorius ir taip pat savivaldybės Duomenų apsaugos skyrius išnagrinėti, atlikti tyrimą ir duoti atsakymą į keliamus klausimus. Tai turi padaryti kompetentingi specialistai“, – pirmadienį sakė Vilniaus vicemerė E. Tamošiūnaitė. Anot vicemerės, tyrimas turi būti atliktas per savaitę.

Pasak jos, taip pat turi būti atsakyta į klausimą, ar Greitosios medicinos pagalbos stoties vadovas Z. Skvarciany nepažeidė tvarkos neinformuodamas steigėjo apie tai, kad iš greitosios pagalbos serverio buvo perkelti duomenys.

„Turime išsamiau atlikti tyrimą, bus atsakyta, ar direktorius pažeidė (tvarką, – red. past.), o kad informacijos nepateikė, apie tokius atvejus reikia signalizuoti, kad yra audito išvados, ir jis privalėjo spręsti šią problemą. Steigėjas tokius dalykus turėjo sužinoti ne iš žiniasklaidos, o iš direktoriaus lūpų“, – kalbėjo vicemerė.

Valstybinė duomenų apsaugos inspekcija pirmadienį pranešė, kad šiuo klausimu domisi. „Greitosios medicinos pagalbos stočiai bus išsiųstas raštas pateikti informaciją, ar po gautos Duomenų inspekcijos konsultacijos imtasi veiksmų ir įsivertinta, ar šis atvejis yra asmens duomenų saugumo pažeidimas. Ar įvertino, dokumentavo šį atvejį kaip duomenų saugumo pažeidimą“, – pirmadienį, pasirodžius publikacijai, pranešė Duomenų apsaugos inspekcijos atstovė R. Sinkevičiūtė-Šečkuvienė.

Beje, Valstybinės duomenų apsaugos inspekcijos tarnybos vadovas Raimondas Andrijauskas yra buvęs dabartinės Greitosios medicinos pagalbos stoties vadovo Z. Skvarciany pavaldinys, abu jie dirbo Neįgalumo ir darbingumo nustatymo tarnyboje. Z. Skvarciany buvo tarnybos vadovas, R. Andrijauskas – vyriausiasis specialistas. R. Andrijauskas dirbo 4 metus Z. Skvarciany vadovaujamoje Neįgalumo ir darbingumo nustatymo tarnyboje. Dabar R. Andrijauskas turėtų tirti savo buvusio vadovo veiklą ir sprendimus, susijusius su duomenų apsauga.

Mums svarbus tikslumas ir sklandi tekstų kalba. Jei pastebėjote klaidų, praneškite portalas@lrt.lt