коронавирус, анализ, тест, пациент

Беззащитный тест на ковид. Как в Молдове из частной лаборатории «утекли» личные данные

В редакцию NM обратился читатель, рассказавший, что при сканировании QR-кода с результатами теста на COVID, полученными на специальном бланке в диагностическом центре Invitro, персональные данные клиента оказываются в общем доступе. NM проверил, что не так с QR-кодами этой лаборатории, и как защищают персональные данные в других медцентрах.

Что случилось?

В каждой частной медицинской лаборатории результаты теста на коронавирус выдают на специальных бланках с QR-кодом. Отсканировав его, вы получаете ссылку с доступом к онлайн-версии вашего сертификата. В ссылке указаны дата посещения диагностического центра и специальный номер. Человек, получивший такую ссылку, может в адресной строке самостоятельно изменить цифры этой ссылки.

NM несколько раз изменял последнюю цифру в ссылке с результатами теста, сделанного в Invitro, и получил доступ к результатам анализов двух совершенно посторонних людей. В этом случае отображается вся информация о клиенте медцентра: идентификационный номер, адрес, год рождения и результаты исследований. Можно получить информацию об абсолютно случайном пациенте, то есть ни один сертификат не защищен.

Конечно, чтобы получить данные конкретного человека, нужно знать как минимум дату посещения диагностического центра и долго подбирать нужный номер, а вот попасть на случайного клиента можно довольно легко.

Что говорит закон?

Согласно ст. 3 закона «О защите персональных данных», адрес прописки или проживания, идентификационный номер и медицинские анализы — персональные данные, которые нельзя разглашать без согласия их владельца.

Председатель ассоциации по защите права на частную жизнь Сергей Бозияну объяснил, что каждое учреждение обязано принимать меры для  защиты персональных данных. «Медицинская информация — особая категория персональных данных, которая требует дополнительной защиты, так как мы говорим о здоровье человека. Если по ссылке можно узнать чужие данные, то это можно квалифицировать как одно из самых серьезных нарушений с точки зрения защиты персональных данных. Центр защиты персональных данных должен разобраться в ситуации и направить дело в суд. В зависимости от числа и тяжести нарушений суд может наложить штраф до 100 тыс. леев, приостановить деятельность на срок от трех месяцев до года. А каждый пациент, чьи данные были в общем доступе, может потребовать моральную или материальную компенсацию», — отметил Бозияну.

Что сказали в Invitro?

Генеральный директор диагностического центра Invitro Марин Балануцэ сказал NM, что о проблеме ему известно, а ее решением занимается разработчик сайта. «Это проблема разработчика сайта, который отвечает за  обработку этих данных. IT-компания и должна решить проблему исходя из своих технических возможностей», — уточнил он.

Балануцэ назвал проблему «не такой серьезной». «У вас в любом случае не получится достать информацию за весь период и получить нашу полную базу данных. Есть определенные стыковки даты посещения и номера, не позволяющие это сделать. Мы выдаем эти бланки с QR-кодом, чтобы человек мог с ними путешествовать», — добавил директор лаборатории.

Как обстоят дела в других клиниках?

NM обзвонил несколько частных лабораторий, чтобы узнать, как они защищают персональные данные пациентов. В Synevo и Clinica Sante, например, при переходе по ссылке надо указывать персонализированный логин и пароль. В таком случае при изменении цифр в ссылке логин и пароль также запросят повторно и не выйдет получить информацию о других пациентах. В Medexpert работают по такому же принципу, что и Invitro, однако подтвердить или опровергнуть возможность получения информации о других пациентах они не смогли. В Alfa diagnostica по ссылке тоже открывается электронный вариант результатов теста, однако изменение цифр и букв в адресной строке не дает перехода на чужие сертификаты.

 

Похожие материалы

5
Опрос по умолчанию

Вам понравился наш плагин?

moldtelecom
Максим Андреев, NewsMaker

Конкурс на должность главы Moldtelecom приостановили после требования Мунтяну

Конкурс на должность генерального директора Moldtelecom приостановили после требования премьер-министра Александра Мунтяну. Как сообщило 6 июля Агентство публичной собственности, такое решение на заседании 3 июля приняла комиссия, проводившая отбор кандидатов.

В комиссии подчеркнули, что приостановка носит процедурный характер и не является оценкой законности или корректности уже проведенных этапов. Члены комиссии подчеркнули, что процедура соответствовала регламенту и требованиям законодательства об информировании общественности.

Зарегистрированных кандидатов уведомят о приостановке конкурса. Он останется замороженным «до выяснения всех обстоятельств», после чего комиссия определит порядок возобновления конкурса.

Напомним, на заседании правительства 1 июля премьер-министр Александр Мунтяну потребовал приостановить конкурс «до выяснения всех аспектов, появившихся в публичном пространстве». Говоря о проблемах в управлении государственными предприятиями и работе их административных советов, он упомянул скандалы вокруг MoldATSA и Metalferos.

***

Напомним, MoldATSA оказалась в центре скандала после публикации нескольких журналистских расследований о сотрудниках госпредприятия и их зарплатах. Так, выяснилось, что директор MoldATSA Вангели получал там зарплату около 110 тыс. леев, а при устройстве на работу указал в резюме ложные данные. Кроме того, стало известно, что двоюродная сестра президента Майи Санду Анастасия Табурчану за год работы в MoldATSA получила более миллиона леев (120 тыс. леев в месяц). После появления этой информации Табурчану объявила об уходе из MoldATSA и сообщила, что вернет все полученные надбавки и доплаты. 

После этого и инициированного Агентством госсобственности расследования депутат от партии PAS Раду Мариан 29 июня объявил, что уходит с поста председателя парламентской комиссии по экономике, бюджету и финансам. Он объяснил это тем, что ошибся, когда рекомендовал Думитру Вангели на должность главы MoldATSA, что «ударило по репутации всей команды». Мариан также признал в соцсетях, что был неправ, продвигая Вангели на пост главы предприятия, не проверив информацию из его резюме. Позже он назвал «абсурдом» требования расследовать его роль в назначении Думитру Вангели на должность главы MoldATSA.

30 июня Национальный центр борьбы с коррупцией (НЦБК) завершил обыски в госпредприятии MoldATSA. По итогам проверки правоохранители выявили несколько нарушений в работе предприятия. В Антикоррупционной прокуратуре 3 июля сообщили NM, что уголовное дело находится на стадии расследования. В ведомстве не уточнили, есть ли в деле подозреваемые, объяснив, что разглашение дополнительной информации может помешать расследованию.


Подписывайтесь на наш Telegram-канал @newsmakerlive. Там оперативно появляется все, что важно знать прямо сейчас о Молдове и регионе.



Хотите поддержать то, что мы делаем?

Вы можете внести вклад в качественную журналистику, поддержав нас единоразово через систему E-commerce от банка maib или оформить ежемесячную подписку на Patreon! Так вы станете частью изменения Молдовы к лучшему. Благодаря вашей поддержке мы сможем реализовывать еще больше новых и важных проектов и оставаться независимыми. Независимо от того, как вы нас поддержите, вы получите небольшой подарок. Переходите по ссылке, чтобы стать нашим соучастником. Это не сложно и даже приятно.

Поддержи NewsMaker!
Больше нет статей для показа
5
Опрос по умолчанию

Вам понравился наш плагин?

x
x

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: