ΠΑΣΙΔΙΚ
Προς: Αξιότιμο κ. Γεώργιο Αγγούρη
Kοιν. - Πρόεδρο ΕΟΠΥΥ κ. Σωτήριο Μπερσίμη
- DPO ΕΟΠΥΥ κα Αναστασία Σεϊτανίδου
- ΑΠΔΠΧ
Αθήνα, 29/10/2018
Αρ. Πρωτ. : 62
Αξιότιμε κ. Αγγούρη,
Θέμα: Ανακοίνωση ΕΟΠΥΥ 26.10.2018 για αποστολή εξετάσεων
Με την 26.10.2018 ανακοίνωσή σας ζητάτε την αποστολή ευαίσθητων ιατρικών δεδομένων (αποτελέσματα απεικονιστικών εξετάσεων) σε σκληρό δίσκο, όπως επί λέξει αναφέρετε:
«Οι εξωτερικοί σκληροί δίσκοι θα πρέπει να προσκομιστούν για έλεγχο από τους εντεταλμένους θεράποντες ιατρούς και τους ελεγκτικούς μηχανισμού του Οργανισμού έως την Παρασκευή 16 Νοεμβρίου 2018 με συστημένο δέμα στην παρακάτω ταχυδρομική διεύθυνση:
«Λεωφόρος Ειρήνης 54, 15121 Πεύκη Αττικής» με την ένδειξη προς «Διεύθυνση Πληροφορικής ΕΟΠΥΥ – CT/MRI/DM».
Σε ευδιάκριτο σημείο στο εξωτερικό μέρος του δέματος θα πρέπει να αναγράφονται ευκρινώς τα εξής: Επωνυμία Παρόχου, ΑΦΜ Παρόχου, Αριθμός σύμβασης Παρόχου και στοιχεία υπευθύνου επικοινωνίας Παρόχου».
Ο ανωτέρω τρόπος διενέργειας του ελέγχου (μέσω της μεταφοράς δεδομένων σε σκληρό δίσκο) δημιουργεί εύλογες αμφιβολίες ως προς την νομιμότητα της μεταφοράς των στοιχείων, δεδομένου ότι δεν λαμβάνετε κανένα τεχνικό μέτρο προστασίας των ευαίσθητων προσωπικών δεδομένων τα οποία ζητάτε.
Ενδεικτικά αναφέρουμε την μη κρυπτογραφημένη αποθήκευσή τους, την παντελή έλλειψη προστασίας των δεδομένων από αντιγραφή, την μεταφορά τους σε κινητά αποθηκευτικά μέσα (τα οποία είναι εξόχως επικίνδυνα) καθώς και την αποστολή τους μέσω συστημένου δέματος.
Επιπλέον, δεν υπάρχει καμία διασφάλιση της προστασίας των προσωπικών δεδομένων και από πλευράς οργανωτικών μέτρων. Ενδεικτικά και πάλι, δεν περιγράφετε καν τον υπεύθυνο παραλήπτη των δεδομένων (πακέτου) έτσι ώστε να προβλέπεται σαφώς η βεβαίωση παραλαβής από ειδικά εξουσιοδοτημένο υπάλληλο, δεν έχετε προβλέψει κανένα μέτρο προστασίας των δεμάτων αυτών, ούτε και έχουμε συνάψει την σχετική Σύμβαση.
Αντιλαμβανόμαστε ότι η διενέργεια ελέγχου είναι εντός των πλαισίων αρμοδιότητάς σας και φυσικά δεσμευόμαστε να βοηθήσουμε σε αυτόν. Όμως ο έλεγχος θα πρέπει να διενεργείται νομίμως. Η ίδια η Υπουργική Απόφαση που επικαλείστε, προβλέπει την ασφαλή απομακρυσμένη διασύνδεση των ελεγκτών του Οργανισμού σας και όχι την μεταφορά των δεδομένων μέσω αποσπώμενων εξωτερικών αποθηκευτικών μέσων.
Άλλωστε, ο Οργανισμός σας έχει αφενός ορίσει υπεύθυνη προστασίας προσωπικών δεδομένων (την δικηγόρο κα Αναστασία Σεϊτανίδου) και αφετέρου έχει διεξάγει έργο συμμόρφωσης με τον Κανονισμό προστασίας προσωπικών δεδομένων (με την εταιρεία PROFILE ΑΝΩΝΥΜΟΣ ΕΜΠΟΡΙΚΗ ΚΑΙ ΒΙΟΜΗΧΑΝΙΚΗ ΕΤΑΙΡΕΙΑ ΠΛΗΡΟΦΟΡΙΚΗΣ). Θα περιμέναμε συνεπώς τα θέματα προστασίας προσωπικών δεδομένων να έχουν προβλεφθεί.
Παρακαλούμε συνεπώς για τις δικές σας άμεσες ενέργειες, δεδομένου ότι έχετε ζητήσει την αποστολή των εξετάσεων μέχρι την Παρασκευή 16 Νοεμβρίου 2018.
Με τιμή,
Ο Πρόεδρος Ο Γεν. Γραμματέας
Δρ Γεώργιος Βουγιούκας Ιωάννης Καραμηνάς
Ιατρός Ακτινολόγος Βιοχημικός
Προς: Αξιότιμο κ. Γεώργιο Αγγούρη
Kοιν. - Πρόεδρο ΕΟΠΥΥ κ. Σωτήριο Μπερσίμη
- DPO ΕΟΠΥΥ κα Αναστασία Σεϊτανίδου
- ΑΠΔΠΧ
Αθήνα, 29/10/2018
Αρ. Πρωτ. : 62
Αξιότιμε κ. Αγγούρη,
Θέμα: Ανακοίνωση ΕΟΠΥΥ 26.10.2018 για αποστολή εξετάσεων
Με την 26.10.2018 ανακοίνωσή σας ζητάτε την αποστολή ευαίσθητων ιατρικών δεδομένων (αποτελέσματα απεικονιστικών εξετάσεων) σε σκληρό δίσκο, όπως επί λέξει αναφέρετε:
«Οι εξωτερικοί σκληροί δίσκοι θα πρέπει να προσκομιστούν για έλεγχο από τους εντεταλμένους θεράποντες ιατρούς και τους ελεγκτικούς μηχανισμού του Οργανισμού έως την Παρασκευή 16 Νοεμβρίου 2018 με συστημένο δέμα στην παρακάτω ταχυδρομική διεύθυνση:
«Λεωφόρος Ειρήνης 54, 15121 Πεύκη Αττικής» με την ένδειξη προς «Διεύθυνση Πληροφορικής ΕΟΠΥΥ – CT/MRI/DM».
Σε ευδιάκριτο σημείο στο εξωτερικό μέρος του δέματος θα πρέπει να αναγράφονται ευκρινώς τα εξής: Επωνυμία Παρόχου, ΑΦΜ Παρόχου, Αριθμός σύμβασης Παρόχου και στοιχεία υπευθύνου επικοινωνίας Παρόχου».
Ο ανωτέρω τρόπος διενέργειας του ελέγχου (μέσω της μεταφοράς δεδομένων σε σκληρό δίσκο) δημιουργεί εύλογες αμφιβολίες ως προς την νομιμότητα της μεταφοράς των στοιχείων, δεδομένου ότι δεν λαμβάνετε κανένα τεχνικό μέτρο προστασίας των ευαίσθητων προσωπικών δεδομένων τα οποία ζητάτε.
Ενδεικτικά αναφέρουμε την μη κρυπτογραφημένη αποθήκευσή τους, την παντελή έλλειψη προστασίας των δεδομένων από αντιγραφή, την μεταφορά τους σε κινητά αποθηκευτικά μέσα (τα οποία είναι εξόχως επικίνδυνα) καθώς και την αποστολή τους μέσω συστημένου δέματος.
Επιπλέον, δεν υπάρχει καμία διασφάλιση της προστασίας των προσωπικών δεδομένων και από πλευράς οργανωτικών μέτρων. Ενδεικτικά και πάλι, δεν περιγράφετε καν τον υπεύθυνο παραλήπτη των δεδομένων (πακέτου) έτσι ώστε να προβλέπεται σαφώς η βεβαίωση παραλαβής από ειδικά εξουσιοδοτημένο υπάλληλο, δεν έχετε προβλέψει κανένα μέτρο προστασίας των δεμάτων αυτών, ούτε και έχουμε συνάψει την σχετική Σύμβαση.
Αντιλαμβανόμαστε ότι η διενέργεια ελέγχου είναι εντός των πλαισίων αρμοδιότητάς σας και φυσικά δεσμευόμαστε να βοηθήσουμε σε αυτόν. Όμως ο έλεγχος θα πρέπει να διενεργείται νομίμως. Η ίδια η Υπουργική Απόφαση που επικαλείστε, προβλέπει την ασφαλή απομακρυσμένη διασύνδεση των ελεγκτών του Οργανισμού σας και όχι την μεταφορά των δεδομένων μέσω αποσπώμενων εξωτερικών αποθηκευτικών μέσων.
Άλλωστε, ο Οργανισμός σας έχει αφενός ορίσει υπεύθυνη προστασίας προσωπικών δεδομένων (την δικηγόρο κα Αναστασία Σεϊτανίδου) και αφετέρου έχει διεξάγει έργο συμμόρφωσης με τον Κανονισμό προστασίας προσωπικών δεδομένων (με την εταιρεία PROFILE ΑΝΩΝΥΜΟΣ ΕΜΠΟΡΙΚΗ ΚΑΙ ΒΙΟΜΗΧΑΝΙΚΗ ΕΤΑΙΡΕΙΑ ΠΛΗΡΟΦΟΡΙΚΗΣ). Θα περιμέναμε συνεπώς τα θέματα προστασίας προσωπικών δεδομένων να έχουν προβλεφθεί.
Παρακαλούμε συνεπώς για τις δικές σας άμεσες ενέργειες, δεδομένου ότι έχετε ζητήσει την αποστολή των εξετάσεων μέχρι την Παρασκευή 16 Νοεμβρίου 2018.
Με τιμή,
Ο Πρόεδρος Ο Γεν. Γραμματέας
Δρ Γεώργιος Βουγιούκας Ιωάννης Καραμηνάς
Ιατρός Ακτινολόγος Βιοχημικός
Δεν υπάρχουν σχόλια
Δημοσίευση σχολίου