Az elmúlt hetekben került sor egy, a gyógyszerészeknek szervezett szimpóziumra, amelyen azt vitatták meg a résztvevők, hogy milyen feltételekkel értékesíthetik a patikák a náluk halmozódó vényadatokat különböző üzleti vállalkozások számára. (2014. október 27.)
A Magyar Gyógyszerészi Kamara 2014. október 16.-án „Hogyan tovább gyógyszerészet? – gyógyszertári adatbányászat” címmel miniszimpóziumon, amit 2014. október 16-án tartottak az EGIS Gyógyszergyár Tudományos és Technológiai Központjában, olvasható a kamara honlapján. A felszólalások rövid kivonatát a weborvos.hu portál is leközölte.
Korábban több esetben is felhívtam az adatvédelmi biztosi hivatal figyelmét arra, hogy az egészségügyben a gyógyszertárakban tapasztalható a legnagyobb tudatlanság a személyes adatok kezelése tárgyában. A patikák adatküldése már korábban is kiverte a biztosítékot az adatvédelmi biztosnál. Nem véletlenül kérte Dr. Jóri András, hogy módosítsák a Büntető Törvénykönyvet olyan irányban, hogy ha felmerül az anyagi haszonszerzés motívum – akkor az okozott kár értékétől függetlenül bűncselekmény legyen a személyes adatok jogellenes kezelése. Mivel itt különleges adatokról van szó, ezért két évig terjedhető szabadságvesztés a büntetés (A Büntető Törvénykönyvről szóló 2012. évi C. törvény 219. §.)
A másik probléma az EU adatvédelmi irányelvének 8. cikk (3) bekezdése, amely szerint a különleges személyes adatok kezelése az unióban tilos, kivéve, ha az adatok feldolgozása megelőző egészségügyi, orvosi diagnosztikai célból, gondozás vagy orvosi ellátás biztosítása vagy egészségügyi szolgáltatások igazgatása céljából szükséges, és ha az adatokat a nemzeti jog vagy az illetékes nemzeti testületek által meghatározott szakmai titoktartási kötelezettség alá eső egészségügyi szakember vagy azzal egyenértékű titoktartási kötelezettség alá eső más személy dolgozza fel. Ezért az európai országokban nem végezhető a vényadatokon ipari célú (piackutatási) adatelemzés.
Az Eütv. 157. §-a szerint a személyes egészségügyi adatbázisokon végzett elemző munka – orvostudományi kutatásnak minősül, ezért szó sem lehetne arról, hogy a gyógyszertár hozzányúlhasson az adatokhoz kutatási engedély nélkül. A Btk. 171. § szerint, aki emberen orvostudományi kutatást engedély nélkül vagy az engedélytől eltérően végez, bűntett miatt egy évtől öt évig terjedő szabadságvesztéssel büntetendő.
Vajon miért választják az egyelőre ismeretlen elkövetők a patikákat, hiszen az OEP-től is meg lehetne szerezni a kistérségekre összesített adatokat a fogyasztott gyógyszerekről. Ráadásul azt ingyen is megkaphatnák a cégek. Természetesen azért, mert a törvényellenesen a vényeken szereplő extra vonalkód felhasználásával a vényköteles, de nem támogatott gyógyszereket is személyekhez lehet kapcsolni és az ilyen szerek fogyasztását is követni lehet. Mivel a társadalombiztosítás adatbázisa ma már a nemzeti adatvagyonhoz tartozik, ezért ott ilyen adatok eleve nincsenek már. Ezeket az adatokat csak a patikákból lehet megszerezni.
Az Információbiztonságról szóló 2013. évi L. törvény sajnos nem fogalmaz egyértelműen azzal kapcsolatban, hogy az egészsgéügyi intézmények alanyai-e a törvénynek. Ha kiderülne, hogy igen, akkor egyértelműen a 5. biztonsági szint vonatkozna rájuk, hiszen nagytömegű különleges személyes adatot kezelnek.
Félelmetesnek tartom, hogy mindez simán megtörténhet ma Magyarországon – teljesen nyíltan. Csak besétál egy öltönyös ember és azt mondja, hogy most akkor feltelepít egy kémprogramot a szerverre, senki nem kérdez semmit. Ha mégis, akkor legyint az ember, ne féljen nem lesz baj. Aztán szépen elsétál. Hihetetlen tudatlanság és kőkorszaki primtív barbarizmus ez.
Mivel lehet mégis leplezni és folyamatosan elsasszézni a felelősségrevonás elől? A bűvös szó, az anonimizálás. A TAJ számot elcserélik egy másik számra és hipp-hopp máris szabadon folyhat a vásár, ez már nem személyes adat, ki-ki árulhatja pénzért, adják veszik. Valóban így van ez?
Adjunk hozzá minden TAJ-hoz egy 9 jegyű számot pl. 795412361-et. Tehát a 234234234 TAJ átalakul 029646595 számmá (a megjelenő 10. számjegyet dobjuk el). A 123654123 TAJ pedig 919066484 lesz, és így tovább. Nos, hogyan lehet feltörni az adatokat? Csak le kell vonni belőlük az ismert kulcsot (795412361) és máris megvan az eredeti TAJ. De azért az adatok anonimek? Ugyan már! (Ez nem csak összeadással, hanem sok más egyszerűbb vagy bonyolultabb matematikai művelettel is megy.)
Miért nam jelenti fel a patikákat azonnal a NAIH? Azért mert az egészségügyi kormányzat pont ezt csinálja velünk, csak ők jogszabályi felhatalmazással képeznek állítólagosan anonim egészségügyi adatokat ugyanezt a nevetséges trükköt eljátszva és ugyanígy törhetik fel másodpercek alatt a náluk levő jóval nagyobb méretű állományt. Elárulom, hogy a TAJ helyreállításán kívül van még három-négy módszer arra, hogy a vényadatokat feltörjék.
Dr. Alexin Zoltán