Interjú: egymillió betegadat volt elérhető

Tegnap járta be a magyar sajtót a hír, hogy a BSoft Informatikai Kft. figyelmetlenségéből adódóan bárki által hozzáférhető volt közel 1 millió betegadat, amiből a TAJ számok, illetve a BNO kódok alapján az ellátásban részesült személy és a betegség  is kiderült. Így tehát például a munkáltatók (vagy bárki, aki tisztában volt a TAJ számunkkal) hozzáférhetett ezekhez az adatokhoz. A Victorism blog szerzője talált rá az adatbázisra.

Először a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) részére küldte el észrevételeit még márciusban, de az automatikus visszaigazoláson kívül az országos médiában megjelenő információkig nem kapott választ. A szerdai események után a mai napon a NAIH válaszában azt írta, hogy nem érik el az inkriminált fájlt. Ezek fényében az eredményes hatósági eljárás esélye csekély. A témában megkerestük a BSoftot, akik későbbre ígértek tájékoztatást. Az ügyet kirobbantó blogger viszont interjút adott lapunknak, melyben az olvasóink kérdéseire is igyekezett válaszolni.


(forrás: irmka.scic.com)

Nem ez az első ügye a Victorism blognak. Mi az írások motivációja? Mi a webnapló célja?

Célom a korrupció feltárása a tények megismerését követően. Bár jelenleg kormánykritikus hangvételűnek tűnhet blog, de ez pusztán a korrupcióról szól. Mert attól, hogy a politika vezérlőelve a győzelem (victorism), attól a közéleté még lehet az igazság.

Hogyan bukkant rá a közel 1 millió betegadatot tartalmazó adatbázisra?

A hazai egészségügyi ellátórendszer közbeszerzéseivel kapcsolatos témámhoz kerestem információkat.

Még márciusban jelezte a NAIH felé, hogy aggályosnak találja a szabadon elérhető információkat. Mi történt?

A NAIH-nak, mint a levelem csatolmányaként is megküldött dokumentum igazolja, 2015.03.29-én szóltam, a levelem befogadásáról 2015.03.30. hajnalán kaptam automatikus válaszüzenetet. A NAIH részéről semmilyen visszajelzés vagy megkeresés nem történt a mai napig, amikor arról tájékoztattak, hogy nem érik el a tartalmat.

A TV2 megkereste a BSoft Kft-t, akik vállalták a felelősséget, azt nyilatkozták hogy „nem figyeltek oda, ezért kerülhettek ki az adatok”.

A fájl mellett több száz dokumentum volt elérhető. A mappa nem egy átmeneti tároló volt, hanem a "Letolt" mappa.

Volt valamilyen titkosítás ezen a dokumentumon? Hogyan lehetett hozzáférni?

A folyamat: megnyitottam az oldalt, rákattintottam a fájl linkjére, FTP-n letöltődött, kitömörítettem. Az MS Access megnyitotta, nem kért jelszót.

Mit kerestek a BSoftnál ezek a személyes adatok?

Közbeszerzések során gyakran előfordul, hogy külsős cégek adatkezelést és adminisztrációs tevékenységet végeznek kórházaknak, közben elkészítik az egyedi szoftverüket, ehhez írnak más, egyedi szoftvereket, azután eladják egy kórháznak (miközben rajtuk tesztelik is), majd eladják a többieknek is versenytárs nélkül.

Ettől függetlenül nincs rálátásom arra, hogy a szoftvereik használata során esetleg közvetlenül bármilyen egyéb adatbázissal, OEP adatbázisokkal kapcsolatban állnának. Maga a nyers adatbázis kitömörítve több mint 500 MB-os volt, így el lehet képzelni az adatmennyiséget. És ez csak egyetlen fájl volt a mappából.

A blogon egy olyan részlet is szerepel, ami szélesebb körben eddig nem került nyilvánosságra. Méghozzá az, hogy a szoftver és a hardverbeszerzés együtt történik, az szállítja a gépeket, akinek egyedi szoftvere van.

Ezen szoftverek zöme általános adatbázis-kezelő, esetleg integrált ügyviteli szoftverek, amik bármilyen számítógépen futtathatóak. Tehát nem hardvervezérlő vagy bármilyen egyéb integrált szoftverről van szó, de egyszerűbb őket egyben beszerezni.

Milyen szabályok szerint kell eljárnia egy külsős vállalkozónak, mit tehet(ett volna) a NAIH?

Az egészségügyi adatok kezelésére az adatvédelmi törvény szigorú előírásokat tartalmaz, és különleges adatnak minősíti. Az adatkezelőknek magas szintű védelemmel kell ellátni ezeket az adatbázisokat, de természetesen feltörhetetlen védelemről sajnos nem beszélhetünk. A szóban forgó eset azonban annyira banális volt, ami mellett nem lehet szó nélkül elmenni. Jelen eset kapcsán leginkább jogsértő, de ezt végső soron csak a NAIH eljárása tudja megerősíteni vagy megcáfolni, bár a TV2 riportja alapján a cég elismerte a felelősségét.

Azóta történt

Előzmények