В редакцию NM обратился читатель, рассказавший, что при сканировании QR-кода с результатами теста на COVID, полученными на специальном бланке в диагностическом центре Invitro, персональные данные клиента оказываются в общем доступе. NM проверил, что не так с QR-кодами этой лаборатории, и как защищают персональные данные в других медцентрах.
Что случилось?
В каждой частной медицинской лаборатории результаты теста на коронавирус выдают на специальных бланках с QR-кодом. Отсканировав его, вы получаете ссылку с доступом к онлайн-версии вашего сертификата. В ссылке указаны дата посещения диагностического центра и специальный номер. Человек, получивший такую ссылку, может в адресной строке самостоятельно изменить цифры этой ссылки.
NM несколько раз изменял последнюю цифру в ссылке с результатами теста, сделанного в Invitro, и получил доступ к результатам анализов двух совершенно посторонних людей. В этом случае отображается вся информация о клиенте медцентра: идентификационный номер, адрес, год рождения и результаты исследований. Можно получить информацию об абсолютно случайном пациенте, то есть ни один сертификат не защищен.
Конечно, чтобы получить данные конкретного человека, нужно знать как минимум дату посещения диагностического центра и долго подбирать нужный номер, а вот попасть на случайного клиента можно довольно легко.
Что говорит закон?
Согласно ст. 3 закона «О защите персональных данных», адрес прописки или проживания, идентификационный номер и медицинские анализы — персональные данные, которые нельзя разглашать без согласия их владельца.
Председатель ассоциации по защите права на частную жизнь Сергей Бозияну объяснил, что каждое учреждение обязано принимать меры для защиты персональных данных. «Медицинская информация — особая категория персональных данных, которая требует дополнительной защиты, так как мы говорим о здоровье человека. Если по ссылке можно узнать чужие данные, то это можно квалифицировать как одно из самых серьезных нарушений с точки зрения защиты персональных данных. Центр защиты персональных данных должен разобраться в ситуации и направить дело в суд. В зависимости от числа и тяжести нарушений суд может наложить штраф до 100 тыс. леев, приостановить деятельность на срок от трех месяцев до года. А каждый пациент, чьи данные были в общем доступе, может потребовать моральную или материальную компенсацию», — отметил Бозияну.
Что сказали в Invitro?
Генеральный директор диагностического центра Invitro Марин Балануцэ сказал NM, что о проблеме ему известно, а ее решением занимается разработчик сайта. «Это проблема разработчика сайта, который отвечает за обработку этих данных. IT-компания и должна решить проблему исходя из своих технических возможностей», — уточнил он.
Балануцэ назвал проблему «не такой серьезной». «У вас в любом случае не получится достать информацию за весь период и получить нашу полную базу данных. Есть определенные стыковки даты посещения и номера, не позволяющие это сделать. Мы выдаем эти бланки с QR-кодом, чтобы человек мог с ними путешествовать», — добавил директор лаборатории.
Как обстоят дела в других клиниках?
NM обзвонил несколько частных лабораторий, чтобы узнать, как они защищают персональные данные пациентов. В Synevo и Clinica Sante, например, при переходе по ссылке надо указывать персонализированный логин и пароль. В таком случае при изменении цифр в ссылке логин и пароль также запросят повторно и не выйдет получить информацию о других пациентах. В Medexpert работают по такому же принципу, что и Invitro, однако подтвердить или опровергнуть возможность получения информации о других пациентах они не смогли. В Alfa diagnostica по ссылке тоже открывается электронный вариант результатов теста, однако изменение цифр и букв в адресной строке не дает перехода на чужие сертификаты.
