Az intézményesített shadow IT – háziorvosi praxisok

Már most szeretném kihangsúlyozni, hogy nem támadni akarom a háziorvosokat. Hősök ők a jelen viharos tengerén és rá vannak kényszerítve a jelen helyzetre. Legjobb tudásuk szerint teszik a dolgukat és minden ahhoz szükséges járulékos dolgot.

A koronavírus okozta hullám engem is kapcsolatba hozott a háziorvosommal, pedig eddig még sosem találkoztam vele. Úgy 16 éve hunyt el akinél voltam és hát valamilyen logika mentén kötöttem ki a jelenleginél.

Az EESZT – mikor éppen nem volt túlterheléses támadva(bullshit) – segítségével kiderírtettem kinél is vagyok bejegyezve. Facebook-on meg is találtam a praxis oldalát és nagy meglepetésemre egy telefonszám és egy gmail.com végződésű cím a kapcsolattartás módja. Az oldalalán több bejegyzés is volt a közelgő oltási lehetőségre, melyre jelentkezni telefonon vagy a gmail-en lehetséges. Na de mi azonosít engem aki bármilyen email-cím mögött lehetek a praxisában ellátott személy?

Természetesen a nevem, születési dátummal és hát TAJ számmal – esetleg anyám nevével.

És itt ugrott fel a szemöldököm. Ezek itt személyes adatok, sőt ha éppen nem oltásra jelentkeznék, hanem mondjuk írnék neki, hogy nagyon fáj lúdtalpam, akkor máris különleges adatnak minősülne az információ.

A következő személyes adatok „különlegesnek” minősülnek, és különleges adatkezelési feltételek vonatkoznak rájuk:

  • a faji vagy etnikai hovatartozásra, a politikai véleményre, a vallási vagy világnézeti meggyőződésre utaló személyes adatok;
  • szakszervezeti tagság;
  • személyazonosításra használt genetikai adatok és biometrikus adatok;
  • egészségügyi adatok;
  • a nemi életre vagy a nemi irányultságra vonatkozó személyes adatok.

Tehát alapvetően személyes, sőt különleges adatot küldök neki egy publikus szolgáltatásba. Aláírom hogy a Google/Microsoft rendelkezik mindenféle plecsnivel, de ez nem at jelenti, hogy bármiféle józan ész és beállítás nélkül, minden szabálynak alapértelmezettem meg lehet felelni. Aki ezzel kapcsolatban nem érez semmi problémát, az nyugodtan ugorjon el erről az oldalról. Nem azzal van a probléma hogy én gmail-ről küldök neki ilyen adatot, hanem az hogy egy gmail postafiókban központosul(hat) több páciens adata. Szóval ha utóbbit törik fel, utóbbi marad magára, akkor az nagyobb probléma, mint ha mondjuk az enyémből kerül ki adat, tekinve hogy az enyémben csak rólam van információ.

Ki vizsgálja a következőket:

– ki ellenőrzi hogy nem Start123 a jelszó egy ilyen postafiókban?
– ki ellenőrzi hogy legalább az elvárható biztonsági szintet megüti pl második faktor?
– mi történik mikor egy orvos kilép az adott ellátási körből – vagy nyugdíjba megy? Ebben a pillanatban mint adatkezelő megszűnik. Hogy törli az adatokat? Törli azokat egyáltalán? Bizonyítható?

Gondoltam elidulok az bürökrácia útvesztőjében és kiderítem magam, hogy én vagyok ennyire kukacos és valójában nincs itt semmi probléma vagy éppen van csak nem veszünk tudomást róla. Írtam hát a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, hogy auditálták-e a háziorvosi praxisok adatkezelését a publikus szolgáltatások kapcsán. Alig négy nap alatt érkezett is válasz, ami nagyon meglepett.

Tehát a Hatóság audit tevékenysége már nem lértezik, kötelezettsége sincs. Aztán az adatkezelő képes annak megítélésére, hogy ő maga helyesen jár-e el. Szóval kérjek hatásvizsgálatot? Ez a feladatuk, hogy vizsgálják azt amit kell. Ha az oltási igazolványt kell felmutatni, ha valakit más színű tálcával szolgálnak ki mert oltott vagy nem az. Tökéletesen arról beszélünk, hogy itt nem kellene ilyen-olyan egyéb folyamat, ezeket bejelentés nékül kellene vizsgálni. Ez olyan mintha a rendőr járőrözés közben mondjuk rablást lát, de nem lép közbe mert nem történt bejelentés.

Bocsánat de mi?

Én adatot kezelek és én döntöm el, hogy ez jó-e úgy ahogy csinálom. Nem baj hogy lehet nem is értek hozzá és megítélni sem tudom jó e a “Password” jelszó, de kit is érdekelne, mikor senki sem kérhet számon.

Ezen a ponton újfent védelmembe veszem a háziorvosokat, mert ők teszik amit kell és azt a megoldást használják, ami rendelkezésükre áll. Rá vannak kényszerítve arra, hogy maguk oldják meg a levelezést és a páciensekkel való kapcsolattartást a digitális világban úgy, hogy senki sem biztosít nekik semmi auditált, biztonságos és törvényekkel/szabályzatokkal körülzárt megoldást. Ez a shadow IT. Ez az amivel százával küzdenek a vállalatok. Erre itt van a legnagyobb inzézményesített shadow IT, a háziorvosi praxisok ügyfélkezelése.

Mit kéne tenni?

Ismereteim szerint összesen 6500 háziorvosi praxis van hazánkban, bár van igen sok betöltetlen is. Nem vagyok a levelezési megoldásokban nagy guru, de ezt a mennyiséget úgy 5-6 kiszolgáló simán kibírja az állami adatközpontban, az állami tűzfal mögött, az állami titkosított tárolón. Biztosan arra is van állami megoldás, hogy hogyan lehet a biztonsági beállításokat valamilyen állami MDM rendszerrel erősen keretek közé, de mindenképpen kontrollárt módon kialakítani. Tehát ne lehessen belépni bármely számítógépről, amely az internethez fér az egészségügyi adatokat tartalmazó szolgáltatásba. Szintén vannak második faktoros megoldások, de ha nem akarunk ilyenre pénzt költeni, akkor minden orvosnál ott van a kártyája, amivel amúgy az EESZT-be is authentikál. Ez is pipa, használható is lehet akkor.

Az egész megoldást simán landoltatom 30 millió forintból, ami évente mondjuk legyen 10 millió üzemeltetési költséggel megfejelve – nem tudom mennyibe kerül 10 unit egy állami adatközpontban.

De nincs ennyi pénzem és végképp nincs annyi jogi tudásom, hogy egy ilyen projektnek a körülbelül 80%-át kitevő jogászkodást saját magam meg tudnám – nem mintha tehetném – csinálni.

Itt vállalom a bármely háziovosi praxis teljes informatikai rendszerének díjmentes vizsgálatát és legjobb tudásom szerint a lehető legbiztonságosabb irányba történő módosítását. Titkosított-e a PC amin dolgoznak, milyen a jó jelszó? Tuti-e a wifi a rendelőben? Jó-e a TP-link router beállítása stb.

Csattanó

Nem is én lennék, ha a NAIH válaszára nem küldtem volna vissza egy ilyen választ.

Választ nem várok…..