Svi lični podaci građana Srpske u posjedu privatnih IT kompanija

Nekoliko privatnih IT kompanija kroz izradu i održavanje desetine miliona vrijednih softvera za državne institucije dobilo je pristup svim najpovjerljivijim ličnim podacima građana Republike Srpske. Istraživanje portala CAPITAL o bezbjednosti tih podataka i mogućnosti njihove zloupotrebe pokazalo je da u RS i BiH nema sistemskog nadzora nad radom tih kompanija i da standarde kojih će se pridržavati određuju same firme, a ne država.

Republika Srpska 04.09.2021 | 08:41

Institucije u Srpskoj posljednjih godina su se okrenule digitalizaciji i izradile su informacione sisteme koji su na jednom mjestu objedinili sve podatke. Građane je to koštalo desetine miliona maraka.

Izuzimajući ovaj put cijenu za softvere, za koju mnogi smatraju da je previsoka, činjenica je da je digitalizacija donijela brojne prednosti, ali i nove opasnosti od kojih je svakako najveća kako sačuvati pravo građana na privatnost. U računarskim programima koje su izgradile privatne kompanije nalaze se podaci od zdravstvenih kartona, poreskih kartica, podaci o imovini, ličnih dokumenata, potrošnji električne energije, JMB, adrese stanovanja, pa sve do video-nadzora kretanja na ulicama i podacima o svakom automobilu.

BiH jedina u regionu nema evropski zakon o zaštiti podataka

U Evropskoj uniji se od maja 2018. godine primjenjuje Opšta uredba o zaštiti podataka (GDPR) kojom se reguliše zaštita podataka i privatnost lica unutar EU koja je donijela i propise vezane za iznošenje podataka u treće zemlje.

Ovom uredbom su ojačana prava nosilaca podataka i obaveze onih koji obrađuju lične podatke. Pojačana su nadzorna ovlašćenja, kao i mogućnost izricanja kazni od strane tijela za zaštitu ličnih podataka. Direktivom su po prvi put postavljeni minimalni standardi za obradu podataka u policijske svrhe.

Kompanije koje prikupljaju velike količine podataka poput tehnoloških, maloprodajnih firmi, pružalaca zdravstvenih usluga, banaka, osiguravajućih društava dužne su tačno odrediti koji im podaci zaista trebaju i kako ih zaštititi.

Iako je Sporazumom o stabilizaciji i pridruživanju BiH preuzela obavezu usklađivanja domaćeg sa zakonodavstvom EU, za šta je krajnji rok 1. jun ove godine, Zakon o zaštiti ličnih podataka BiH još nije usklađen sa ovom Uredbom.

Da ovaj rok neće biti ispoštovan za CAPITAL potvrđuje direktor Agencije za zaštitu ličnih podataka u BiH Dragoljub Reljić koji kaže da je razlog za to veliki otpor predstavnika vlasti.

„Ne vidim razlog šta se čeka. Taj zakon treba što prije usvojiti, jer bi se njime obezbijedila veća zaštita ličnih podataka, kao i obaveze za kontrolore i lica koja obrađuju podatke koje se tiču politike privatnosti, obaveznog službenika za zaštitu ličnih podataka u svakoj instituciji. Ogroman problem je što veliki broj institucija i ne zna za postojanje Zakona o zaštiti ličnih podataka“, naglasio je Reljić i dodao da je veliki problem što oni koji treba da daju mišljenje na novi zakon ne razumiju GDPR.

Kazao je da će BiH nakon 1. juna nastaviti da koristi propise koje ima, ali da je to niži nivo zaštite i obaveza koje kontrolori imaju.

Server sa bazom podataka o osiguranicima smješten u Fondu i FZO je vlasnik tog servera

Iako državne institucije i IT kompanije koje smo kontaktirali tvrde da poštuju sve standarde, opravdano se može postaviti pitanje mogu li kompanije garantovati za sve zaposlene koji imaju pristup određenim podacima. Da li je izjava koju sa svojim radnicima potpisuju dovoljna garancija bezbjednosti građanima?

Firme „Prointer“, „Lanaco“, „MMSCODE“ – za koje se u javnosti često može čuti da su bliske vladajućim strankama – radile su neke od najvećih projekata za Vladu RS i vladine institucije.

Integrisani zdravstveni informacioni sistem (IZIS), vrijedan oko 23 miliona KM bez PDV-a, za Fond zdravstvenog osiguranja RS izradili su „MMSCODE“ i „Lanaco“ iz Banjaluke sa firmom „Ericsson Nikola Tesla“ iz Zagreba.

Sve strane projekta IZIS potpisale su izjavu o čuvanju poslovne tajne, pristupu računarskim sistemima, pravima intelektualnog vlasništva, obavezi povrata informacija i pravu nadzora nad njima. Izjava proističe iz ugovora o povjerljivosti koje su strane potpisale i Zakona o zaštiti ličnih podatka.

IZIS podrazumijeva potpunu integraciju, odnosno informacionu uvezanost svih ustanova zdravstvenog sistema RS i upotrebu elektronskih uputnica, recepata, kartica (umjesto knjižica) i elektronskog kartona. Dosadašnji kartoni pacijenata biće zamijenjeni elektronskim zdravstvenim kartonima koji sadrže sve podatke o pacijentu na jednom mjestu. Pored e-kartona i e-kartica, IZIS podrazumijeva i elektronske uputnice i recepte.

U Fondu zdravstvenog osiguranja (FZO) RS tvrde da će lični podaci građana u okviru IZIS-a biti potpuno bezbjedni i da se prilikom izrade i realizacije ovog projekta posebno vodilo računa upravo o sigurnosti ličnih podataka građana.

„Ono što je najvažnije – server sa bazom podataka o osiguranicima je smješten u Fondu i FZO je vlasnik tog servera, a kompanije nemaju pristup ličnim podacima osiguranika. Dobavljač je obavezan da Fondu isporuči izvorni kod za sve softverske komponente i podsisteme IZIS-a. Obezbijeđena je i rezervna lokacija servera u našoj Filijali u Bijeljini. U slučaju da iz bilo kog razloga server u Banjaluci ne funkcioniše, pokrenuo bi se rezervni server. Rezervna lokacija za server je određena kako bi se zaštitili podaci u slučaju prirodnih nepogoda i slično. Takođe, rezervne kopije podataka se rade redovno u skladu sa dobrim praksama“, kažu u FZO.

U Fondu navode da čak i u zdravstvenim ustanovama pojedinim podacima ne mogu da pristupe ni medicinske sestre već isključivo ljekari.

IT kompanije: Imamo ugovore i izjave o povjerljivosti

Direktor firme „MMSCODE“ Slavko Bojić za CAPITAL kaže da su firme koje su radile IZIS mrežno uvezane sa Data centrom koji se nalazi u Fondu i da na određen način imaju pristup podacima, odnosno bazi podataka ili aplikacijama koje se koriste u sakupljanju informacija u zdravstveni karton pacijenta.

„Osim što postoji način monitoringa na mrežnom nivou, odnosno ko i kada je pristupio sistemu, sve strane su potpisale i izjave o čuvanju poslovne tajne, pristupu računarskim sistemima, pravima intelektualnog vlasništva, obavezi povrata informacija i pravu nadzora“, kazao je Bojić.

Kako bi osigurali bezbjednost podataka unutar ove kompanije, kaže on, postoje kontrole pristupa mreži i operativnom sistemu u okviru kojih se sprovodi nadzor i praćenje upotrebe sistema, kao na primjer upravljanje korisničkim nalozima i privilegijama, „access liste“ za kontrolu pristupa resursima, logovanje pristupa sistemu i drugo.

U „Lanacu“ kažu  da su usaglasili internu organizaciju i operativni rad sa važećim standardima na nivou EU (GDPR). Navode i da u radu primjenjuju ISO 27001 međunarodni standard koji definiše upravljanje bezbjednošću podataka, kao i da u kompaniji postoje jasno definisani procesi kontrole rada svakog zaposlenog i pristupa podacima koji su pod nadzorom Chief Information Security Officera.

Ističu i da podaci građana koji se nalaze u informacionom sistemu IZIS imaju identičan tretman zaštite te da je ostvarena potpuna kontrola pristupa podacima uključujući i bezbjednosne polise koje definišu prava pristupa podacima.

„U okviru IZIS-a ’Lanaco’ je odgovoran za uspostavljanje infrastrukture informacionog sistema i shodno tome je zadužen i za njeno normalno funkcionisanje i održavanje tokom trajanja eksploatacije sistema“, ističu u ovoj kompaniji.

Informaciju o pristupu zaštićenim podacima u IZIS-u građani RS mogu da dobiju uvidom kroz android PHR (engl. Personal Health Record) aplikaciju koju mogu besplatno preuzeti i instalirati na telefon ili pristupiti web PHR aplikaciji putem računara. Pored toga, pacijent u ustanovi u kojoj se liječi može od nadležnog porodičnog ljekara tražiti pregled istorije logovanja na njegov karton.

U firmi „Prointer ITSS“, koja posljednjih godina dobija skoro sve veće tendere od institucija Srpske, kažu da su njihovi radnici ugovorom obavezani na tajnost podataka te da je kompanija preduzela sve potrebne mjere u cilju zaštite tajnosti podataka do kojih zaposleni može doći u toku rada u ovoj kompaniji.

„Prointer nije nudio i ne nudi usluge hostinga, odnosno skladištenja korisničkih podataka na infrastrukturi trećih lica. Dakle, naručilac posla je odgovoran za čuvanje, skladištenje i pohranjivanje rezervnih kopija podataka. Isto se odnosi i na slučaj eventualnih katastrofa“, kazali su u „Prointeru“.

Kada je u pitanju video-nadzor, kažu da su oni instalirali pojedinačne aparate za video nadzor, a da je naručilac posla vlasnik sistema video-nadzora.

I u firmi „Sirius“ navode da se pridržavaju klauzula o povjerljivosti podataka, kao i da za svaki projekat imenuju ovlašćena lica koja učestvuju u komunikaciji i implementaciji projekta direktno sa predstavnicima krajnjeg korisnika.

„Prointer“ i „Sirius“ su radili informacioni sistem za Poresku upravu RS u kojoj navode da je obaveza čuvanja povjerljivosti podataka predviđena ugovorom. Takođe, kompanije su morale ispuniti uslove koji su uključivali posjedovanje svojstva autorizovanog partnera proizvođača softvera koji zahtijeva poštovanje Opštih uslova poslovanja o bezbjednosti podataka kompanije SAP te dokazati da posjeduju međunarodno priznati sertifikat ISO 27001.

Izjave o tajnosti nisu dovoljne

Nezavisni stručnjaci iz ove oblasti sa kojima je novinar CAPITAL-a razgovarao kažu da bi institucije morale posvetiti mnogo veću pažnju pitanju bezbjednosti ovako osjetljivih podataka. Ističu da je zabrinjavajuće da standarde u ovoj oblasti određuju same firme, a ne država. To, kažu, nije dovoljno i građanima samo ostaje da se uzdaju u etiku zaposlenih u tim firmama ili u varijantu „neće se desiti“.

Jedan od naših sagovornika kaže da izjave i ugovori o povjerljivosti, na koje se svi redom pozivaju, treba da postoje, ali da nisu garancija bezbjednosti.

„Izjave o tajnosti nisu rješenje. I Edvard Snouden je imao izjavu o tajnosti, ali je iskoristio pristup privatnim podacima i to niko nije opazio. Iznio je sve informacije baš zato što nije bilo kontrole pristupa. Kontrola pristupa se vrši u realnom vremenu i strogo se pazi gdje i kada se pristupa“, kaže naš sagovornik.

Još jedan sagovornik iz ove oblasti kaže da je Agencija za zaštitu ličnih podataka BiH formirana samo da bi ispunila formu.

„Mnogo firmi koje se bave razvojem softvera nemaju sertifikat 27001 koji definiše kako se štite podaci kompanije i njihovih klijenata. To bi trebala biti osnova ukoliko želite bilo čiji podatak. Sve institucije koje upravljaju nečijim podacima, počev od najosnovnijih, od doma zdravlja pa do ostalih, trebalo bi da imaju standard koji definiše zaštitu podataka“, kazao je sagovornik CAPITAL-a.

Ističe da se IT firmi u kojoj je on zaposlen nikada niko iz Agencije nije obratio i rekao da mora da ispuni minimum uslova po pitanju bezbjednosti, niti su imali bilo kakvu kontrolu državnih organa.

„Imamo kontrolu sertifikovanog tijela koje nam je izdalo sertifikat koji definiše zaštitu podataka u informacionim sistemima. Nedopustivo je da firme same određuju standarde i one koje ne žele da nabave te sertifikate to ne moraju da čine, jer im država to ne traži“, kazao je on.

S druge strane, direktor Agencije za bezbjednost ličnih podataka Dragoljub Reljić tvrdi da oni obavljaju kontrole, ali priznaje da su im kapaciteti ograničeni i da to nije u onoj mjeri u kojoj bi trebalo da bude.

„Devet službenika daje mišljenja, vrši inspekcijski nadzor rješava po svim prigovorima. Određene kompanije su sigurno bile podvrgnute kontroli, ali sa ovim kapacitetima se ne mogu sve prekontrolisati. Ako sutra usvojimo novi zakon u skladu sa GDPR, a ostavimo ove kapacitete, nećemo ništa moći. Mi dnevno dobijamo između 50 i 70 predmeta“, kazao je on i dodao da svaka obrada ličnih podataka može predstavljati rizik od moguće zloupotrebe te da aspolutna zaštita ne postoji.

Agencija za zaštitu ličnih podataka lani je najviše prigovora imala u vezi sa objavljivanjem podataka o licima koja su kršila mjere izolacije zbog koronavirusa te je Agencija zabranila objavljivanje tih podataka. Veliki broj prigovora odnosio se i na postavljanje video nadzora.

Kazne su simbolične i u prosjeku za institucije iznose 10.000 KM, a za odgovorno lice 1.000 KM. Reljić kaže da će novim zakonom usklađenim sa EU biti drastično povećane.

Neophodno jačati kapacitete regulatornih tijela

U SHARE Fondaciji iz Srbije, koja je osnovana sa ciljem unapređenja ljudskih prava i internet sloboda, kažu da se sa problemom bezbjednosti podataka o ličnosti susreću i zemlje koje su znatno naprednije u ovoj oblasti, ali da ipak sve počinje sa kvalitetnim pravnim okvirom, prije svega sa Zakonom o zaštiti podataka o ličnosti koji prati najviše standarde zaštite podataka u ovoj oblasti.

„U ovom trenutku to je GDPR, glavni propis u EU u ovoj oblasti. Srbija i Sjeverna Makedonija imaju nove zakone usklađene sa ovom regulativom, dok to i dalje nije slučaj u BiH i tu predstoji veliki posao“, naglasili su u Fondaciji.

Ipak, donošenje propisa je, ističu, samo prvi, ali nedovoljan korak da bi se podigla bezbjednost podataka. Veliki izazov je primjena ovih propisa.

„Mora se raditi na edukaciji svih koji čuvaju naše podatke. Takođe, veoma je bitno jačati kapacitete regulatornih tijela u ovoj oblasti te utvrditi odgovornost onih koji ne poštuju propise i primijeniti adekvatne sankcije. Dok ovo ne postanu pitanja zbog kojih se gube ili dobijaju izbori, neće postojati političke podrške da se društvo bavi njima“, kazali su u Fondaciji.

Da građani ne mogu u potpunosti biti sigurni da su njhovi podaci bezbjedni, bilo da se nalaze u rukama privatnih kompanija ili institucija, pokazuje i izjava člana Predsjedništva BiH Milorada Dodika koji je prošle godine na sjednici Narodne skupštine RS rekao da prisluškuje poslanike opozicije.

Nakon što je ta izjava izazvala burne reakcije javnosti, Dodik je rekao da se šalio i da je to bio njegov performans. Ozbiljnija reakcija institucija po ovom pitanju je izostala i sve se završilo na tome da se Dodik „zezao“.

(Capital)