Odtekanje občutljivih podatkov iz javnih informacijskih sistemov je posledica nestrokovne in slabo vodene digitalne preobrazbe javne uprave

Forum za digitalno družbo izraža zaskrbljenost zaradi nestrokovne in slabo vodene digitalne preobrazbe javne uprave, ki povečuje varnostna tveganja za državo in za pravice ter svoboščine posameznikov, katerih osebni podatki odtekajo v javnost ali prihaja do njihovih zlorab. Forum poziva pristojne v javnem sektorju, da odgovorno pristopajo k digitalizaciji. Pri projektih naj zagotovijo preglednost postopkov, sledijo dobrim praksam informacijske in organizacijske stroke ter zagotovijo visoko raven omrežne in informacijske varnosti in varnosti podatkov.

Medijske objave o odtekanju osebnih podatkov iz javnega sektorja in o težavah pri uvajanju novih informacijskih sistemov kažejo na nestrokovno vodenje procesov digitalne preobrazbe v javnem sektorju in predvsem na pomanjkljivo upravljanje informacijskih tveganj, ki omogočajo zlorabe pri dostopu do zaupnih informacij in osebnih podatkov, ki naj bi bili dostopni le pooblaščenim osebam. Medijsko poročanje kaže tudi na druge težave pri uvajanju in uporabi informacijskih sistemov v javni upravi.

Primeri objav:

  • objava podatkov o zdravstvenem stanju pacientov Splošne bolnišnice Izola (vir: Slo-tech1, Slo-tech2). Vse informacije kažejo na to, da je informacijski sistem objavljal osebne zdravstvene podatke pacientov (slike napotnic in izvidov) na javnem delu spleta in posledično so lahko spletni iskalniki kot sta Google in Bing indeksirali podatke in omogočali javni dostop do njih;
  • nepooblaščen dostop do zdravstvenih podatkov bolnikov v okviru zdravstvenega informacijskega sistema zVem, razvitega v okviru projekta eZdravje. Več kot deset oseb je nezakonito dostopalo do podatkov v zdravstveni kartoteki nekdanje ministrice Milojke Kolar Celarc ob njenem sprejemu na urgenci UKC Ljubljana decembra 2017. Preiskava je potrdila, da ni šlo za osamljen primer vpogleda v zdravstvene kartoteke javnih oseb (vir: SiolNET);
  • katastrofalno stanje kopice razdrobljenih informacijskih sistemov v javnem zdravstvu. Celo v eni sami ustanovi — UKC Ljubljana — deluje kar 38 različnih, med seboj nepovezanih ali nekompatibilnih sistemov (vir: Pod črto). Zdravniki imajo težave pri pridobivanju nujno potrebnih podatkov o pacientih, delo je neučinkovito in vodi celo v podvajanje preiskav. Zaposleni so bolj obremenjeni z administrativnimi opravili in možnost zdravniških napak je večja. Takšno stanje je eklatanten primer slabega vodenja UKC. Brez enotne politike in brez celovitega upravljanja varnosti podatkov, so številni informacijski sistemi in razdrobljeni podatki lahka tarča zlorab;
  • težave pri objavi ažurnih podatkov volilnih rezultatov lokalnih volitev 2018 in pri ugotavljanju volilnega izida na spletu, ki jih objavlja Volilna komisija Republike Slovenije oziroma Ministrstvo za javno upravo. (Vir: MMC RTV Slovenija);
  • Težave ob uvajanju novih informacijskih sistemov v centrih za socialno delo (vir: Dnevnik), na katere je v svojem Poročilu k Predlogu zakona o spremembah in dopolnitvi Zakona o uveljavljanju pravic iz javnih sredstev opozorila že Komisija za socialno varstvo, delo, zdravstvo in invalide Državnega zbora RS. Po odzivih pristojnih se lahko vprašamo, ali uvedba novih tehnologij res zahteva več sto dodatnih zaposlitev?

Omenjeni primeri kažejo, da v procesu digitalizacije javne uprave (in izvedbe projektov načrtovanja in razvoja informacijskih rešitev) prihaja do nedopustnih napak pri načrtovanju celovitega upravljanja informacijskih sistemov in poslovnih procesov. Načrtovalci premalo pozornosti posvečajo varovanju podatkov in informacij.

Ko mediji poročajo o primerih zlorab osebnih podatkov, ko se varnostni incidenti nekritično in laično analizirajo in komentirajo, se v javnosti ustvarja mnenje, da digitalizacija prinaša nesprejemljiva tveganja za delovanje družbe in varovanje pravic ter zasebnosti državljanov. Med državljane in uporabnike seje dvom, strah in odpor do uporabe sodobnih informacijskih tehnologij.

Forum za digitalno družbo opozarja, da sodobne informacijske tehnologije in strokovni sistemski pristopi pri načrtovanju rešitev, ki upoštevajo vse projektne, varnostne, procesne in družbene vidike, omogočajo izgradnjo varnih in učinkovitih digitalnih rešitev, ki zmanjšujejo možnosti zlorab in predvsem omogočajo ustrezno obvladovanje varnostnih tveganj in ustrezno poročanje o varnostnih incidentih. Še posebej je to pomembno za digitalne sisteme nacionalnega pomena, kot so na primer sistemi e-zdravja, spletnega ali dokumentnega poslovanja javnega sektorja.

Na podlagi javno dostopnih informacij o primerih zlorab in drugih nepravilnosti pri uvajanju ali upravljanju informacijskih sistemov javnega sektorja, Forum sklepa, da se v postopkih načrtovanja, izbora, izgradnje in upravljanje informacijskih sistemov v javni upravi ne upoštevajo (ali vsaj ne v zadostni meri) vsi vidiki in dobre prakse informacijske in organizacijske stroke.

Merilo najnižje cene, ki se večinoma uporablja v postopkih javnega naročanja, je neustrezno, saj ne upošteva (potrebne) kakovosti informacijskega inženirskega dela, razvrednoti domačo inženirsko stroko, vodi v neprimerne rešitve in nenazadnje omogoča omenjene nedopustne (zlo)rabe digitalnih sistemov, storitev in aplikacij. Očitno je, da se pozornost posveča izboru dobaviteljev in tehnologije po drugih (neustreznih) merilih. Nenazadnje na zlorabe sistema javnega naročanja kažejo nedavno razkrite nepravilnosti, povezane z drugimi infrastrukturnimi projekti.

Forum za digitalno družbo izraža zaskrbljenost zaradi neustreznega obvladovanja varnostnih tveganj v javni upravi, zaradi katerih (lahko) prihaja do zlorab podatkov in informacij, ki krnijo ne le zasebnost posameznikov in njihove človekove pravice in temeljne svoboščine, ampak lahko ogrožajo celo varnost kritične infrastrukture in države nasploh. Prav tako izraža zaskrbljenost zaradi (ne)strokovnosti in (ne)preglednosti postopkov digitalizacije v javni upravi ter zaradi odsotnostjo strokovnega dialoga in sodelovanja vseh deležnikov pri digitalizaciji družbe.

Forum je v mnenju »Digitalna Slovenija« že podal kritično oceno stanja digitalizacije javne uprave in izpostavil preveliko odvisnost od interesnih skupin, ki predstavljajo veliko varnostno tveganje za državo. V mnenju je Forum izpostavil tudi ključne izzive za državo in cilje digitalne preobrazbe, ki pa so za javno upravo očitno prevelik zalogaj.

Forum za digitalno družbo poziva pristojne organe k temeljiti prevetritvi vseh vidikov digitalizacije in vključitvi dobrih praks informacijske in organizacijske stroke. V nasprotnem primeru se bodo varnostna tveganja le povečevala in prihajalo bo do novih, še večjih zlorab podatkov in informacij. Nadaljevali se bodo neustrezni procesi načrtovanja, naročanja in uvajanja sodobnih informacijskih sistemov, storitev in aplikacij.