Több mint két év után jelképes bírság az EESZT-t ért incidensért
A korábbi incidenst alacsony jelentőségű programhibának minősítették, bár annak kijavítása három hónapig tartott, írja a Hírklikk.
Az Elektronikus Egészségügyi Szolgáltatási Térben (EESZT) több mint két éve történt incidens nyomán a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egy kisebb összegű bírságot szabott ki – tudta meg a Hírklikk az incidenst anno bejelentő adatvédelmi szakértőtől. Alexin Zoltán a lapnak azt mondta, nem biztos abban, hogy mindent megtudhattunk a NAIH határozatából arról, hogy pontosan mit történt. Egyben felhívta a figyelmet arra, hogy az incidenssel majdnem egyidőben történt egy másik is, mintegy 70 millió pdf állomány kimentése. Arról még továbbra sincs hír – mondta.
A vizsgálat utólag megállapította, hogy 2022. október 12-én az Országos Kórházi Főigazgatóság (OKFŐ), az EESZT akkori üzemeltetője leállította az eProfilra vonatkozó Digitális Önrendelkezési Nyilvántartás (DÖR) működését, és a korábbi beállításokat visszaállíthatatlan módon törölte. A szakértő a bejelentését az EESZT Helpdeskre december 12-én tette meg, amikor maga is észlelte, hogy tiltása ellenére, az e-profiljába adatokat vittek fel. Az incidenst 2021. január 2-án jelentette be a NAIH-nak. A NAIH belépése után 2022 január 14-én az OKFŐ visszakapcsolta a DÖR-t. Az adatvédelmi hatóság NAIH-113-4/2022. számon később hatósági eljárást indított 2022. február 10-én.
A bejelentett adatvédelmi incidenssel kapcsolatban 2023-ban született meg a NAIH határozata. A hatóság megállapította, hogy „a kötelezett nem tett eleget az általános adatvédelmi rendelet 32. cikk (1) bekezdés b) pontjában foglalt kötelezettségeinek, amikor az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT) eProfil részén a Digitális Önrendelkezés (DÖR) nevű portlet módosítása során nem hajtott végre megfelelő tesztelést, melynek következtében sérültek az eProfil célzott rendelkezés beállítások, illetve a problémát jelző, 2021. november 4. napján kapott érintetti bejelentés kivizsgálása során sem sikerült a probléma súlyát helyesen azonosítania, és a feladott hibajegy alacsony prioritása miatt a jogsértő állapot az érintett jelzését követően is még több mint két hónapig fennállt”. A jogsértés miatt az adatkezelőre 1,5 millió forint adatvédelmi bírságot rótt a NAIH.
