Informacijski pooblaščenec je v inšpekcijskem postopku zoper izolsko bolnišnico zaradi neustreznega zavarovanja osebnih podatkov ugotovil, da je bolnišnica med prenovo spletne strani neustrezno zavarovala dostop do podatkov. Varnostno ranljivost so odpravili, informacijski pooblaščenec pa je zaradi nedpoustne kršitve uvedel prekrškovni postopek.
V začetku marca je bil Informacijski pooblaščenec namreč obveščen, da naj bi bilo mogoče prek iskalnika Google pridobiti večjo količino osebnih in posebne vrste osebnih podatkov, ki so bili v preteklosti dostopni prek spletne strani Splošne bolnišnice Izola.
Spletni portal Slo-Tech je takrat poročal, da so bili prek Googla dostopni izvidi in napotnice Slovencev, ki so se naročili na pregled v bolnišnici od začetka leta 2016. Med izvidi so bili tudi primeri Slovencev z diagnostriciranimi družbeno stigmatiziranimi boleznimi.
Kot je v inšpekcijskem postopku ugotovil Informacijski pooblaščenec, je bolnišnica med prenovo spletne strani neustrezno zavarovala dostop do osebnih podatkov ter s tem kršila zakon in splošno uredbo, ki urejata varnost osebnih podatkov. Varnostno ranljivost je bolnišnica sicer odpravila in nadomestila varnostno manj ustrezno aplikacijo Naročanje na preglede z eNaročanjem, ki je del eZdravja, so pojasnili pri informacijskem pooblaščencu.
Ne glede na to pa gre za kršitev, ki je glede na obseg in naravo osebnih podatkov nedopustna, zato je informacijski pooblaščenec zoper bolnišnico uvedel prekrškovni postopek, ki pa še ni zaključen, so sporočili za STA.
Ukrepi bolnišnice so po eni strani odpravili kršitev in z ukinitvijo aplikacije Naročanje na preglede dvignili splošno raven informacijske varnosti na prej omenjeni spletni strani. "Kljub temu se je treba zavedati, da izvedeni ukrepi ne morejo v celoti preprečiti podobnih ali drugačnih varnostnih incidentov v zvezi z osebnimi podatki, saj je informacijska varnost proces in ne končno stanje," so ob tem še poudarili pri pooblaščencu.
