Έρευνα in στο Νοσοκομείο ΑΧΕΠΑ: Αναπάντητα ερωτήματα για πιθανή διαρροή ευαίσθητων προσωπικών δεδομένων ασθενών | in.gr

Πριν από μερικές μέρες, ένας πολίτης από ένα χωριό της Ημαθίας (τα στοιχεία του βρίσκονται στη διάθεση του in) απευθύνθηκε στο πανεπιστημιακό νοσοκομείο ΑΧΕΠΑ της Θεσσαλονίκης προκειμένου να του παράσχει αντίγραφα των εξετάσεων της συζύγου του. Τον Φεβρουάριο του 2023 η σύζυγός του είχε νοσηλευτεί στο εν λόγω νοσοκομείο για μία εβδομάδα προκειμένου να υποβληθεί σε σειρά εξετάσεων για ένα σοβαρό πρόβλημα υγείας που αντιμετωπίζει.

«Δεν έχουμε πρόσβαση»

Το νοσοκομείο και συγκεκριμένα η Ακτινολογική κλινική απάντησε πως δεν μπορεί να του χορηγήσει κανένα αντίγραφο καθώς δεν υπήρχε «πρόσβαση στο ηλεκτρονικό σύστημα πριν τις 3 Νοεμβρίου του 2024, λόγω κυβερνοεπίθεσης». Σαν την περίπτωση του συγκεκριμένου πολίτη υπάρχουν κι άλλες, όπου το νοσοκομείο αδυνατεί να παρέχει αντίγραφα εξετάσεων και ιστορικού ασθενών, με την ίδια ακριβώς αιτιολογία.

Το θέμα είναι εξόχως σοβαρό καθώς εδώ έχουμε να κάνουμε όχι μόνο με προσωπικά δεδομένα όπως είναι π.χ. ο αριθμός ΑΜΚΑ ενός ασθενούς, αλλά με ευαίσθητα προσωπικά δεδομένα ασθενών, καθώς περιλαμβάνουν αναλυτικές πληροφορίες για τα θέματα υγείας που αντιμετωπίζουν, για τη φαρμακευτική αγωγή που λαμβάνουν, για την πορεία της ασθένειάς τους κλπ.

Τα ερωτήματα προς το ΑΧΕΠΑ

Κατά συνέπεια τα ερωτήματα που προκύπτουν είναι πολλά. Από το ρεπορτάζ προκύπτει ότι το ηλεκτρονικό σύστημα του νοσοκομείου έχει σίγουρα πρόβλημα πρόσβασης στο αρχείο του από το διάστημα 3 Νοεμβρίου 2024 με 24 Ιανουαρίου 2025, δηλαδή σχεδόν επί δυόμισι μήνες.

Αυτό αποδεικνύεται από το απαντητικό έγγραφο του ΑΧΕΠΑ προς τον πολίτη, το οποίο του εστάλη στις 24 Γενάρη. Μάλιστα, σύμφωνα με πληροφορίες του in μέσα από το νοσοκομείο, το πρόβλημα δεν αφορούσε μόνο στο κομμάτι του αρχείου, αλλά επηρέασε και τη μισθοδοσία του προσωπικού, όπως επίσης και τις εφημερίες των γιατρών.

Το in έστειλε ερωτήματα τόσο στο διοικητή του ΑΧΕΠΑ, όσο και στον προϊστάμενο πληροφορικής του νοσοκομείου, με τα οποία ζητούσαμε να μάθουμε τα εξής:

1. Αν υπάρχουν πρωτόκολλα ασφαλείας που να ενεργοποιούνται σε περίπτωση κυβερνοεπίθεσης ώστε να διασφαλίζεται το απόρρητο του ηλεκτρονικού αρχείου.

2. Γιατί δεν υπάρχουν αντίγραφα ασφαλείας (back up) των εξετάσεων των ασθενών ώστε ακόμα και στην περίπτωση κυβερνοεπίθεσης να διασφαλίζεται η πρόσβαση στο αρχειακό υλικό.
3. Αν η διοίκηση έχει σαφή εικόνα του συνόλου των εξετάσεων και των προσωπικών δεδομένων που έχουν χαθεί από την κυβερνοεπίθεση της 3ης Νοεμβρίου.

Στα ερωτήματά μας δεν λάβαμε απάντηση.

Έρευνα από την Αρχή Προστασίας Δεδομένων

Εν συνεχεία επικοινωνήσαμε την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και τους θέσαμε το ερώτημα αν είναι σε γνώση τους το περιστατικό και τι προβλέπεται σε αυτές τις περιπτώσεις. Η απάντηση ήταν πως «η Αρχή είχε ενημερωθεί από το Νοσοκομείο. Η υπόθεση είναι υπό εξέταση και ως εκ τούτου δεν μπορούν, σε αυτή τη φάση, να δοθούν περισσότερες πληροφορίες».

Την ίδια ώρα εγείρεται και άλλο ένα ζήτημα που έχει να κάνει με την ενημέρωση των πολιτών. Όπως διαβάζουμε στον ιστότοπο της Αρχής, σε περιπτώσεις γνωστοποίησης περιστατικών παραβίασης δεδομένων, «σύμφωνα με το άρθρο 34 του ΓΚΠΔ, όταν η παραβίαση ενδέχεται να θέσει σε υψηλό κίνδυνο τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων τα οποία αφορά το περιστατικό, τότε ο υπεύθυνος επεξεργασίας οφείλει να ανακοινώνει αμελλητί την παραβίαση και στα πρόσωπα αυτά».

Επιπρόσθετα σημειώνεται πως «αυτή η ανακοίνωση είναι ανεξάρτητη της προαναφερθείσας γνωστοποίησης στην Αρχή (η οποία γνωστοποίηση στην Αρχή υποβάλλεται ακόμα και αν ο σχετικός κίνδυνος δεν κρίνεται ως υψηλός). Η ανακοίνωση στα φυσικά πρόσωπα θα πρέπει να γίνει με τον πλέον πρόσφορο και αποτελεσματικό τρόπο, με τη μορφή προσωποποιημένης πληροφόρησης και όχι μέσω κάποιας γενικού χαρακτήρα ανακοίνωσης, στο βαθμό που αυτό είναι εφικτό».

Καμία ενημέρωση

Από το ρεπορτάζ προκύπτει ότι το ΑΧΕΠΑ δεν έχει ενημερώσει τους πολίτες 2,5 μήνες μετά το περιστατικό. Η μοναδική ενημέρωση έγινε, όπως αναφέραμε και πιο πάνω, στην περίπτωση που οι ασθενείς με δική τους πρωτοβουλία απευθύνθηκαν στο ΑΧΕΠΑ και ενημερώθηκαν ότι δεν είναι δυνατή η πρόσβαση στο ηλεκτρονικό αρχείο και στα δεδομένα τους.

Για την ιστορία αξίζει να σημειωθεί ότι το 2022, σε αντίστοιχη περίπτωση διαρροής προσωπικών δεδομένων από μεγάλη εταιρεία κινητής τηλεφωνίας -όπου επί ένα 4ήμερο τα προσωπικά δεδομένα συνδρομητών είχαν εκτεθεί σε κυβερνοεπίθεση- η Αρχή είχε επιβάλει πρόστιμο ύψους 6 εκατ. ευρώ.

Ερωτήματα και για το ενημερωτικό έγγραφο

Ωστόσο, πέραν του ζητήματος με τα προσωπικά δεδομένα, ερωτήματα υπάρχουν και για άλλο ένα έγγραφο που δόθηκε στον πολίτη από το ΑΧΕΠΑ.

Πρόκειται για το «ενημερωτικό σημείωμα» που δίνεται σε κάθε ασθενή που έχει νοσηλευτεί σ’ ένα νοσοκομείο μαζί με το εξιτήριο. Σε αυτό αναγράφονται ένα σύντομο ιστορικό της ασθένειάς του, η φαρμακευτική αγωγή που λαμβάνει, ποιες εξετάσεις έκανε κατά τη νοσηλεία του (χωρίς τ’ αποτελέσματα) και οι οδηγίες που προτείνεται ν΄ακολουθήσει μετά την έξοδό του.

Δύο σημειώματα

Ο πολίτης του ρεπορτάζ μας πήρε ένα τέτοιο έγγραφο στις 15 Φεβρουαρίου του 2023 όταν και έληξε η νοσηλεία της συζύγου του στο ΑΧΕΠΑ. Πριν από λίγες μέρες, σχεδόν δύο χρόνια μετά τη νοσηλεία και αφού είχε ζητήσει τ’ αντίγραφα των εξετάσεων, μαζί με την αρνητική απάντηση γι’ αυτές έλαβε κι ένα νέο ενημερωτικό σημείωμα με ημερομηνία 20 Δεκεμβρίου 2024. Το ενδιαφέρον εδώ έχει να κάνει με τις διαφορές που εντοπίζονται στα δύο σημειώματα.

Η πρώτη είναι πως το κάθε ενημερωτικό υπογράφεται από διαφορετικό γιατρό. Αυτό ίσως να μην είναι και τόσο σημαντικό, ωστόσο επισημαίνεται.

Από εκεί και πέρα όμως τα πράγματα γίνονται πιο σοβαρά καθώς στο δεύτερο ενημερωτικό, περιλαμβάνεται στην αγωγή που προτείνεται ν’ ακολουθήσει η ασθενής ακόμα ένα φάρμακο που δεν είχε συμπεριληφθεί στο πρώτο.

Επιπλέον, στο πρώτο ενημερωτικό γίνεται σύσταση για παρακολούθηση της ασθενούς «στο ιατρείο επιληψίας της Β’ νευρολογικής κλινικής». Στο δεύτερο ενημερωτικό, η σύσταση απουσιάζει.

Αλλαγή διατύπωσης

Τα ερωτήματα γίνονται περισσότερα και πιο καίρια με τη διαφορετική διατύπωση μιας φράσης, στις «οδηγίες εξόδου» των δύο σημειωμάτων.

Στο αρχικό έγγραφο του Φεβρουαρίου του 2023 αναγράφεται η φράση «σύσταση για ενδοαγγειακή αντιμετώπιση με τοποθέτηση τροποποιητή ροής σε δεύτερο χρόνο έπειτα από συζήτηση στο νευροαγγειακό συμβούλιο στις 14 Φεβρουαρίου 2013».

Στο δεύτερο έγγραφο, του Δεκεμβρίου του 2024 η φράση είναι διατυπωμένη ως εξής: «Πόρισμα νευροαγγειακού συμβουλίου της 14ης Φεβρουαρίου 2023. Μικρή υποτροπή του ανευρύσματος. Σύσταση για ενδοαγγειακή αντιμετώπιση με τοποθέτηση τροποποιητή ροής σε δεύτερο χρόνο».

Γιατί άλλαξε η διατύπωση;

Ερχόμαστε λοιπόν στα ερωτήματα. Γιατί άλλαξε η διατύπωση στα δύο ενημερωτικά; Κυρίως, από τη στιγμή που το νοσοκομείο αντιμετώπιζε πρόβλημα ανεύρεσης στο αρχείο του, του ιατρικού φακέλου της εν λόγω ασθενούς, πώς ακριβώς εκδόθηκε το δεύτερο ενημερωτικό στις 20 Δεκεμβρίου, ενάμισι μήνα μετά την κυβερνοεπίθεση;

Το in επικοινώνησε με γιατρούς του πεδίου και συγκεκριμένα του ΕΣΥ και τους θέσαμε τον προβληματισμό μας. Οι απαντήσεις ήταν ξεκάθαρες. «Για να υπάρχει ενημερωτικό σημαίνει ότι υπήρξε νοσηλεία. Αν δεν υπάρχει νοσηλεία πως ακριβώς εκδόθηκε δεύτερο ενημερωτικό;». Οι γιατροί εξέφρασαν τις επιφυλάξεις τους ως προς τις διατυπώσεις των δύο εγγράφων.

Δυνητικά επικίνδυνη

«Τι σημαίνει «σε δεύτερο χρόνο»; Δεν προσδιορίζεται αυτό στο έγγραφο, μπορεί να είναι σε 15 μέρες, σ’ ένα μήνα, σε τρεις μήνες κλπ. Εκτός και αν υπήρξε προφορική ενημέρωση του ασθενούς. Γραπτώς και μόνο πάντως, αυτό δεν λέει τίποτε. Η ασάφεια αυτή είναι δυνητικά επικίνδυνη για τον ασθενή με βάση τα όσα γράφονται στο σημείωμα», ήταν η απάντηση.

«Τι θα μπορούσε να γράφει για να είναι σαφές;», ήταν η επόμενη ερώτησή μας για να λάβουμε την απάντηση: «Θα έπρεπε να αναγράφεται αναλυτικά αν χρειάζεται κλινική επανεξέταση, νέες εξετάσεις ή νέα νοσηλεία σε συγκεκριμένο χρονικό διάστημα. Ο πολίτης δεν είναι υποχρεωμένος να γνωρίζει τι σημαίνει για τον καθένα ο «δεύτερος χρόνος»».

Ρωτήσαμε τον σύζυγο της ασθενούς εάν ενημερώθηκε σχετικά κατά την έξοδό τους από το ΑΧΕΠΑ σχετικά με την «τοποθέτηση τροποποιητή ροής» σε «δεύτερο χρόνο». Η απάντηση ήταν αρνητική.