Osobni podaci građana u posjedu nekoliko privatnih IT tvrtki
Nekoliko privatnih IT tvrtki kroz izradu i održavanje desetine milijuna vrijednih softvera za državne institucije dobilo je pristup svim najpovjerljivijim osobnim podacima građana Republike Srpske. Istraživanje portala CAPITAL o sigurnosti tih podataka i mogućnosti njihove zloupotrebe pokazalo je da u RS i BiH nema sustavnog nadzora nad radom tih tvrtki i da standarde kojih će se pridržavati određuju same tvrtke, a ne država.
Institucije u Republici Srpskoj (RS) posljednjih godina su se okrenule digitalizaciji i izradile su informacijske sustave koji su na jednom mjestu objedinili sve podatke. Građane je to koštalo desetine milijuna maraka.
Izuzimajući ovaj put cijenu za softvere, za koju mnogi smatraju da je previsoka, činjenica je da je digitalizacija donijela brojne prednosti, ali i nove opasnosti od kojih je svakako najveća kako sačuvati pravo građana na privatnost. U računalnim programima koje su izgradile privatne tvrtke nalaze se podaci od zdravstvenih kartona, poreznih kartica, podaci o imovini, osobnih dokumenata, potrošnji električne energije, JMBG, adrese stanovanja, pa sve do video-nadzora kretanja na ulicama i podacima o svakom automobilu.
BiH jedina u regiji nema europski zakon o zaštiti podataka
U Europskoj uniji se od svibnja 2018. godine primjenjuje Opća uredba o zaštiti podataka (GDPR) kojom se regulira zaštita podataka i privatnost osoba unutar EU koja je donijela i propise vezane za iznošenje podataka u treće zemlje.
Ovom uredbom su ojačana prava nositelja podataka i obaveze onih koji obrađuju osobne podatke. Pojačana su nadzorna ovlaštenja, kao i mogućnost izricanja kazni od strane tijela za zaštitu osobnih podataka. Direktivom su po prvi put postavljeni minimalni standardi za obradu podataka u policijske svrhe.
Tvrtke koje prikupljaju velike količine podataka poput tehnoloških, maloprodajnih tvrtki, pružatelja zdravstvenih usluga, banaka, osiguravajućih društava dužne su točno odrediti koji im podaci zaista trebaju i kako ih zaštititi.
Iako je Sporazumom o stabilizaciji i pridruživanju BiH preuzela obavezu usklađivanja domaćeg sa zakonodavstvom EU, za što je krajnji rok 1. lipanj ove godine, Zakon o zaštiti osobnih podataka BiH još nije usklađen s ovom Uredbom.
Da ovaj rok neće biti ispoštovan za Capital potvrđuje direktor Agencije za zaštitu osobnih podataka u BiH Dragoljub Reljić koji kaže da je razlog za to veliki otpor predstavnika vlasti.
"Ne vidim razlog što se čeka. Taj zakon treba što prije usvojiti, jer bi se njime osigurala veća zaštita osobnih podataka, kao i obaveze za kontrolore i osoba koja obrađuju podatke koje se tiču politike privatnosti, obaveznog službenika za zaštitu osobnih podataka u svakoj instituciji. Ogroman problem je što veliki broj institucija i ne zna za postojanje Zakona o zaštiti osobnih podataka“, naglasio je Reljić i dodao da je veliki problem što oni koji treba da daju mišljenje na novi zakon ne razumiju GDPR.
Kazao je da će BiH nakon 1. lipnja nastaviti koristiti propise koje ima, ali da je to nižu razinu zaštite i obaveza koje kontrolori imaju.
Server s bazom podataka o osiguranicima smješten u Fondu i FZO je vlasnik tog servera
Iako državne institucije i IT kompanije koje su kontaktirane tvrde da poštuju sve standarde, opravdano se može postaviti pitanje mogu li tvrtke garantirati za sve zaposlene koji imaju pristup određenim podacima. Je li izjava koju sa svojim radnicima potpisuju dovoljna garancija sigurnosti građanima?
Tvrtke 'Prointer', 'Lanaco', 'MMSCODE' – za koje se u javnosti često može čuti da su bliske vladajućim strankama – radile su neke od najvećih projekata za Vladu RS i vladine institucije.
Integrirani zdravstveni informacijski sustav (IZIS), vrijedan oko 23 milijuna KM bez PDV-a, za Fond zdravstvenog osiguranja RS izradili su 'MMSCODE' i 'Lanaco' iz Banja Luke s tvrtkom 'Ericsson Nikola Tesla' iz Zagreba.
Sve strane projekta IZIS potpisale su izjavu o čuvanju poslovne tajne, pristupu računalnim sustavima, pravima intelektualnog vlasništva, obavezi povrata informacija i pravu nadzora nad njima. Izjava proistječe iz ugovora o povjerljivosti koje su strane potpisale i Zakona o zaštiti osobnih podataka.
IZIS podrazumijeva potpunu integraciju, odnosno informacijsku uvezanost svih ustanova zdravstvenog sustava RS i upotrebu elektronskih uputnica, recepata, kartica (umjesto knjižica) i elektronskog kartona. Dosadašnji kartoni pacijenata bit će zamijenjeni elektronskim zdravstvenim kartonima koji sadrže sve podatke o pacijentu na jednom mjestu. Pored e-kartona i e-kartica, IZIS podrazumijeva i elektronske uputnice i recepte.
U Fondu zdravstvenog osiguranja (FZO) RS tvrde da će osobni podaci građana u okviru IZIS-a biti potpuno sigurni i da se prilikom izrade i realizacije ovog projekta posebno vodilo računa upravo o sigurnosti osobnih podataka građana.
"Ono što je najvažnije – server s bazom podataka o osiguranicima je smješten u Fondu i FZO je vlasnik tog servera, a tvrtke nemaju pristup osobnim podacima osiguranika. Dobavljač je obavezan Fondu isporučiti izvorni kod za sve softverske komponente i podsustave IZIS-a. Osigurana je i zamjenska lokacija servera u našoj Filijali u Bijeljini. U slučaju da iz bilo kog razloga server u Banja Luci ne funkcionira, pokrenuo bi se zamjenski server. Zamjenska lokacija za server je određena kako bi se zaštitili podaci u slučaju prirodnih nepogoda i slično. Također, rezervne kopije podataka se rade redovno u skladu s dobrim praksama", kažu u FZO.
U Fondu navode da čak i u zdravstvenim ustanovama pojedinim podacima ne mogu pristupiti ni medicinske sestre već isključivo liječnici.
IT tvrke: Imamo ugovore i izjave o povjerljivosti
Direktor tvrtke 'MMSCODE' Slavko Bojić za Capital kaže da su tvrtke koje su radile IZIS mrežno uvezane s Data centrom koji se nalazi u Fondu i da na određen način imaju pristup podacima, odnosno bazi podataka ili aplikacijama koje se koriste u sakupljanju informacija u zdravstveni karton pacijenta.
Foto: MMSCODE
"Osim što postoji način monitoringa na mrežnoj razini, odnosno tko i kada je pristupio sustavu, sve strane su potpisale i izjave o čuvanju poslovne tajne, pristupu računalnim sustavima, pravima intelektualnog vlasništva, obavezi povrata informacija i pravu nadzora", kazao je Bojić.
Kako bi osigurali sigurnost podataka unutar ove tvrtke, kaže on, postoje kontrole pristupa mreži i operativnom sustavu u okviru kojih se sprovodi nadzor i praćenje upotrebe sustava, kao na primjer upravljanje korisničkim nalozima i privilegijama, 'access liste' za kontrolu pristupa resursima, logiranje pristupa sustavu i drugo.
U 'Lanacu' kažu da su usuglasili internu organizaciju i operativni rad s važećim standardima na razini EU (GDPR). Navode i da u radu primjenjuju ISO 27001 međunarodni standard koji definira upravljanje sigurnošću podataka, kao i da u tvrtki postoje jasno definirani procesi kontrole rada svakog zaposlenog i pristupa podacima koji su pod nadzorom Chief Information Security Officera.
Ističu i da podaci građana koji se nalaze u informacijskom sustavu IZIS imaju identičan tretman zaštite te da je ostvarena potpuna kontrola pristupa podacima uključujući i sigurnosne police koje definiraju prava pristupa podacima.
"U okviru IZIS-a ’Lanaco’ je odgovoran za uspostavljanje infrastrukture informacijskog sustava i shodno tome je zadužen i za njeno normalno funkcioniranje i održavanje tijekom trajanja eksploatacije sustava", ističu iz te tvrtke.
Informaciju o pristupu zaštićenim podacima u IZIS-u, građani RS mogu dobiti uvidom kroz android PHR (engl. Personal Health Record) aplikaciju koju mogu besplatno preuzeti i instalirati na telefon ili pristupiti web PHR aplikaciji putem računala. Pored toga, pacijent u ustanovi u kojoj se liječi može od nadležnog obiteljskog liječnika tražiti pregled povijesti logiranja na njegov karton.
U tvrtki 'Prointer ITSS', koja posljednjih godina dobiva skoro sve veće natječaje od institucija Srpske, kažu da su njihovi radnici ugovorom obavezani na tajnost podataka te da je kompanija poduzela sve potrebne mjere u cilju zaštite tajnosti podataka do kojih zaposleni mogu doći tijekom rada u ovoj kompaniji.
FOTO: Pixabay
"Prointer nije nudio i ne nudi usluge hostinga, odnosno skladištenja korisničkih podataka na infrastrukturi trećih osoba. Dakle, naručitelj posla je odgovoran za čuvanje, skladištenje i pohranjivanje rezervnih kopija podataka. Isto se odnosi i na slučaj eventualnih katastrofa", kazali su u 'Prointeru'.
Kada je u pitanju video-nadzor, kažu da su oni instalirali pojedinačne aparate za video nadzor, a da je naručitelj posla vlasnik sustava video-nadzora.
I u tvrtki 'Sirius' navode da se pridržavaju klauzula o povjerljivosti podataka, kao i da za svaki projekt imenuju ovlaštene osobe koja sudjeluju u komunikaciji i implementaciji projekta izravno s predstavnicima krajnjeg korisnika.
'Prointer' i 'Sirius' su radili informacijski sustav za Poreznu upravu RS u kojoj navode da je obaveza čuvanja povjerljivosti podataka predviđena ugovorom. Također, kompanije su morale ispuniti uvjete koji su uključivali posjedovanje svojstva autoriziranog partnera proizvođača softvera koji zahtijeva poštovanje Općih uvjeta poslovanja o sigurnosti podataka kompanije SAP te dokazati da posjeduju međunarodno priznati certifikat ISO 27001.
Izjave o tajnosti nisu dovoljne
Nezavisni stručnjaci iz ove oblasti sa kojima je novinar Capital-a razgovarao kažu da bi institucije morale posvetiti mnogo veću pozornost pitanju sigurnosti ovako osjetljivih podataka. Ističu da je zabrinjavajuće da standarde u ovoj oblasti određuju same tvrtke, a ne država. To, kažu, nije dovoljno i građanima samo ostaje da se uzdaju u etiku zaposlenih u tim tvrkama ili u varijantu 'neće se dogoditi'.
Jedan od sugovornika kaže da izjave i ugovori o povjerljivosti, na koje se svi redom pozivaju, trebaju postojati, ali da nisu jamac sigurnosti.
"Izjave o tajnosti nisu rješenje. I Edvard Snouden je imao izjavu o tajnosti, ali je iskoristio pristup privatnim podacima i to nitko nije opazio. Iznio je sve informacije baš zato što nije bilo kontrole pristupa. Kontrola pristupa se vrši u realnom vremenu i strogo se pazi gdje i kada se pristupa", kaže sugovornik.
Još jedan sugovornik iz ove oblasti kaže da je Agencija za zaštitu osobnih podataka BiH formirana samo da bi ispunila formu.
"Mnogo tvrtki koje se bave razvojem softvera nemaju certifikat 27001 koji definira kako se štite podaci tvrtke i njihovih klijenata. To bi trebala biti osnova ukoliko želite bilo čiji podatak. Sve institucije koje upravljaju nečijim podacima, počev od najosnovnijih, od doma zdravlja pa do ostalih, trebale bi imati standard koji definira zaštitu podataka", kazao je sugovornik Capital-a.
Ističe da se IT tvrtki u kojoj je on zaposlen nikada ntiko iz Agencije nije obratio i rekao da mora ispuniti minimum uvjeta po pitanju sigurnosti, niti su imali bilo kakvu kontrolu državnih organa.
"Imamo kontrolu certificiranog tijela koje nam je izdalo certifikat koji definira zaštitu podataka u informacijskim sustavima. Nedopustivo je da tvrtke same određuju standarde i one koje ne žele nabaviti te certifikate to ne moraju činiti, jer im država to ne traži", kazao je on.
S druge strane, direktor Agencije za sigurnost osobnih podataka Dragoljub Reljić tvrdi da oni obavljaju kontrole, ali priznaje da su im kapaciteti ograničeni i da to nije u onoj mjeri u kojoj bi trebalo biti.
"Devet službenika daje mišljenja, vrši inspekcijski nadzor rješava po svim prigovorima. Određene tvrtke su sigurno bile podvrgnute kontroli, ali s ovim kapacitetima se ne mogu sve prekontrolirati. Ako sutra usvojimo novi zakon u skladu s GDPR, a ostavimo ove kapacitete, nećemo ništa moći. Mi dnevno dobivamo između 50 i 70 predmeta", kazao je on i dodao da svaka obrada osobnih podataka može predstavljati rizik od moguće zloupotrebe te da apsolutna zaštita ne postoji.
Agencija za zaštitu osobnih podataka lani je najviše prigovora imala u vezi s objavljivanjem podataka o osobama koje su kršila mjere izolacije zbog koronavirusa te je Agencija zabranila objavljivanje tih podataka. Veliki broj prigovora odnosio se i na postavljanje video nadzora.
Kazne su simbolične i u prosjeku za institucije iznose 10.000 KM, a za odgovornu osobu 1.000 KM. Reljić kaže da će novim zakonom usklađenim s EU biti drastično povećane.
Neophodno jačati kapacitete regulatornih tijela.
U SHARE Fondaciji iz Srbije, koja je osnovana s ciljem unapređenja ljudskih prava i internet sloboda, kažu da se s problemom sigurnosti podataka o osobi susreću i zemlje koje su znatno naprednije u ovoj oblasti, ali da ipak sve počinje s kvalitetnim pravnim okvirom, prije svega sa Zakonom o zaštiti podataka o osobi koji prati najviše standarde zaštite podataka u ovoj oblasti.
"U ovom trenutku to je GDPR, glavni propis u EU u ovoj oblasti. Srbija i Sjeverna Makedonija imaju nove zakone usklađene s ovom regulativom, dok to i dalje nije slučaj u BiH i tu predstoji veliki posao", naglasili su u Fondaciji.
Ipak, donošenje propisa je, ističu, samo prvi, ali nedovoljan korak da bi se podigla sigurnost podataka. Veliki izazov je primjena ovih propisa.
"Mora se raditi na edukaciji svih koji čuvaju naše podatke. Također, vrlo je bitno jačati kapacitete regulatornih tijela u ovoj oblasti te utvrditi odgovornost onih koji ne poštuju propise i primijeniti adekvatne sankcije. Dok ovo ne postanu pitanja zbog kojih se gube ili dobivaju izbori, neće postojati političke podrške da se društvo bavi njima", kazali su u Fondaciji.
Da građani ne mogu u potpunosti biti sigurni da su njihovi podaci sigurni, bilo da se nalaze u rukama privatnih tvrtki ili institucija, pokazuje i izjava člana Predsjedništva BiH Milorada Dodika koji je prošle godine na sjednici Narodne skupštine RS rekao da prisluškuje zastupnike oporbe.
Nakon što je ta izjava izazvala burne reakcije javnosti, Dodik je rekao da se šalio i da je to bio njegov performans. Ozbiljnija reakcija institucija po ovom pitanju je izostala i sve se završilo na tome da se Dodik 'zezao'.