Autoritatea Naţională de Supraveghere a Datelor a dispus un control la nivelul CJAS Constanţa, după ce breşa de securitate le-a fost semnalată de către reporterii Libertatea. Totodată, reporterii Recorder au semnalat reprezentanţilor CAS „cea mai mare scurgere de date din sistemul medical românesc”, iar aceştia au ascuns / eliminat de pe site fişierele care conţineau date de identificare ale asiguraţilor din sistemul public de sănătate.
Peste o sută de mii de asigurați din sistemul public de sănătate, cu datele personale la vedere
Timp de două săptămâni, datele personale a peste o sută de mii de asiguraţi din sistemul public de sănătate au putut fi accesate de către orice utilizator de internet chiar de pe site-ul Casei de Asigurări de Sănătate Constanţa. Funcţionarii instituţiei au publicat mai multe baze de date care conţineau date de identificare ale asiguraţilor, precum şi bolile de care aceştia suferă.
Astfel, pe site-ul CAS Constanţa, în categoria „Date pentru furnizori”, au putut fi accesate câteva sute de fişiere care conţineau liste cu medicamentele compensate eliberate de 87 de farmacii din Constanţa în perioada 2015-2021.
E vorba de 582 de fişiere, care conţin tratamentele a peste 130.000 de persoane.
Fişierele de tip Excel includeau date precum CNP-urile celor care au cumpărat medicamentele, cantitatea prescrisă, calitatea asiguratului (copil, angajat, pensionar, persoană cu handicap) şi clasificarea bolii de care suferă (cronic, acut). Parola pentru accesarea datelor se afla chiar în interiorul fişierelor pe care ar trebui să le protejeze, reprezentând, de fapt, codul de identificare fiscală al fiecărei farmacii în parte. Practic, orice utilizator de internet putea corela, cu doar câteva click-uri, identitatea unei persoane cu afecţiunea de care aceasta suferă.
„CJAS este obligată să ia măsurile necesare”
Breşa de securitate a fost semnalată redacţiei de către un cititor din judeţul Constanţa. Reporterii Libertatea au cerut Autorităţii Naţionale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) o opinie despre consecinţele legale ale acestui fapt. Reprezentanţii instituţiei au solicitat ca, din motive de securitate, publicarea informaţiilor cu privire la vulnerabilitatea din sistem să fie făcută doar după ce instituţia se asigură că CAS Constanţa a eliminat orice posibilitate ca datele personale ale abonaţilor sistemului de sănătate să ajungă în mâna hackerilor.
„Având în vedere implicaţiile dezvăluirii datelor personale, Casa Judeţeană de Asigurări de Sănătate Constanţa (în calitate de operator de date) este obligată să ia măsurile necesare […] astfel încât să nu se aducă atingere dreptului la protecţia datelor personale ale persoanelor fizice implicate”, au transmis, joi, reprezentanţii ANSPDCP redacţiei Libertatea.
„Aspectele sesizate au fost reţinute în vederea exercitării competenţelor de control”, au mai comunicat aceştia.
Sancţiunea maximă pe care CJAS Constanţa o poate primi după divulgarea CNP-urilor şi a bolilor de care suferă peste o sută de mii de români este, însă, avertismentul, potrivit Legii nr. 190/2018. În plus, organele de control trebuie să întocmească un „plan de remediere” a vulnerabilităţii, arată art. 13 din lege. Acest tip de sancţiune este valabil, însă, doar în cazul autorităţilor şi organismelor publice. Instituţiile private care încalcă legile privind protecţia datelor personale pot fi sancţionate mai uşor cu amenzi, după cum arată site-ul Autorităţii de Supraveghere a Datelor.
Ce spune CJAS Constanța
Directorul general al CJAS Constanţa, Luminiţa Nagy, a transmis, într-un comunicat de presă, că publicarea CNP-urilor a peste o sută de mii de persoane din judeţul Constanța nu încalcă nicio lege, pentru că datele personale „nu prezintă interes pentru publicul larg”.
„Setul de informații publicate pe site-ul instituției noastre se adresau doar furnizorilor de medicamente cu care suntem în relație contractuală. Numele folderelor respective nu prezentau niciun interes pentru publicul larg. Iar cel mai important, informațiile erau arhivate zip și protejate cu parole, care au fost comunicate confidențial fiecărui furnizor în parte căruia i se adresau informațiile. Regulamentul GDPR nu ne interzice postarea informațiilor sensibile, dacă acestea sunt criptate, iar această obligație a fost respectată”, a comunicat Luminiţa Nagy.
Reacţia vine după ce Recorder a publicat un articol în care semnala breşa de securitate de la nivelul CJAS Constanţa şi sublinia greutatea cu care funcţionarii instituţiei au reacţionat pentru remedierea ei.
„Nu e o datorie a presei să facă asta, dar atunci când un angajat al Casei Naționale de Asigurări de Sănătate ne-a sunat să ne întrebe dacă știm cum s-ar putea șterge bazele de date de pe server, i-am explicat care sunt pașii”, au scris jurnaliştii Recorder.
Totodată, directorul CAS Luminiţa Nagy a susţinut că nu publicarea datelor reprezintă o vulnerabilitatea a sistemului, ci divulgarea parolei cu care fişierele pot fi accesate.
„Complexitatea parolei putea fi oricât de mare, atât timp cât a fost divulgată, nu mai are relevanță complexitatea. Orice modalitate de transmitere am fi ales, atât timp cât 2 entități cunoșteau parola, și una o dă și unei terțe, toată infrastructura e vulnerabilă”, a declarat Luminiţa Nagy.
Aceasta a susţinut că a sesizat Autorităţea Naţională de Supraveghere a Datelor, „considerând că incidentul de securitate a constat în divulgarea parolei de către un furnizor”, cu toate că repezentanţii instituţiei au aflat despre breşa de securitate de la reporterii Libertatea.