Τρίτοι είχαν πρόσβαση σε ιατρικά μας δεδομένα μέχρι πριν από μία εβδομάδα
«Επικοινωνώ μαζί σας για να μοιραστώ το παρακάτω πιθανό κενό ασφαλείας που εντόπισα, το οποίο ενδέχεται να οδηγήσει ευαίσθητα ιατρικά δεδομένα πολιτών στα χέρια τρίτων», έγραφε στο μήνυμα που μου έστειλε πριν από λίγες ημέρες μέσω Facebook ο αναγνώστης του inside story, software engineer στο επάγγελμα, ο οποίος ζει και εργάζεται στο εξωτερικό.
Με τον αναγνώστη δεν γνωριζόμαστε προσωπικά και αυτή ήταν η πρώτη φορά που επικοινωνούσαμε.
«Κάνοντας χρήση της πλατφόρμας πιστοποίησης [ιατρικών] βεβαιώσεων του Υπουργείου Υγείας [...] και αφού εισήλθα με τα στοιχεία Taxisnet μου, πιστοποίησα τη γνησιότητα μιας βεβαίωσης που με αφορά, χρησιμοποιώντας τον δικό μου 13ψήφιο αναγνωριστικό αριθμό, όπου εμφανίστηκε το πλήρες περιεχόμενο της γνωμάτευσής μου, το ονοματεπώνυμό μου και η ειδικότητα του γιατρού.
Καθώς στη διαδικασία δεν απαιτήθηκε κάποια επιπλέον ταυτοποίηση για την πρόσβαση στη γνωμάτευση και, παρατηρώντας ότι ο αριθμός αποτελούνταν από έξι ψηφία ημερομηνίας [π.χ. αν εκδοθεί σήμερα θα ξεκινά με: 250526] και μόνο επτά επιπλέον αριθμητικά ψηφία, προβληματίστηκα για την ασφάλεια της διαδικασίας.
Αναρωτώμενος εάν τα 7 λήγοντα ψηφία λαμβάνουν συνεχόμενες τιμές ή αν είναι τυχαία, και αποκλειστικά επειδή ήθελα να διερευνήσω πιθανή αδυναμία ασφαλείας, δοκίμασα να αλλάξω το τελευταίο ψηφίο του αριθμού της βεβαίωσης. Προς έκπληξή μου, το σύστημα εμφάνισε τη βεβαίωση άλλου πολίτη. Σημειωτέον ότι τα δεδομένα αυτά δεν καταγράφηκαν, δεν αποθηκεύτηκαν και δεν κοινοποιήθηκαν σε κανέναν.
Προφανώς, για συγκεκριμένη ημερομηνία, δεν μπορεί να είναι όλοι οι υποψήφιοι επταψήφιοι συνδυασμοί έγκυροι. Ωστόσο, εγείρεται το ζήτημα πως, στην περίπτωση που δεν έχει προβλεφθεί μηχανισμός περιορισμού των διαδοχικών δοκιμών (rate limiting), ένας κακόβουλος χρήστης θα μπορούσε, με αυτοματοποιημένο τρόπο, να δοκιμάσει εξαντλητικά διαδοχικούς αριθμούς για συγκεκριμένη ημερομηνία και να αντλήσει ευαίσθητα προσωπικά δεδομένα πολιτών, εφόσον δεν απαιτείται περαιτέρω πιστοποίηση.
Μοιράζομαι τα παραπάνω ώστε να διερευνηθεί κατά πόσο το σύστημα προστατεύει επαρκώς τα ιατρικά δεδομένα των πολιτών και να γίνουν οι απαραίτητες ενέργειες για την προστασία τους».
Προκειμένου να επαληθεύσω τα καταγγελλόμενα, το δοκίμασα και η ίδια. Μπήκα δηλαδή στην πλατφόρμα myhealth.gov.gr/verify, η οποία ανακατευθύνει στο https://www.ehealth.gov.gr/certvalidation/#/validation-login, συνδέθηκα με τους κωδικούς taxisnet και αρχικά έβαλα ένα έγκυρο 13 ψήφιο νούμερο ιατρικής βεβαίωσης. Στη συνέχεια άλλαξα ένα μόνο ψηφίο τυχαία και εμφανίστηκε στην οθόνη μου η ιατρική βεβαίωση ενός παντελώς αγνώστου σε μένα προσώπου –το οποίο πάσχει από μια χρόνια, αυτοάνοση νόσο του κεντρικού νευρικού συστήματος– και η φαρμακευτική αγωγή του.
Η πλατφόρμα
Η υπηρεσία επαλήθευσης βεβαιώσεων εφαρμόζεται σε αναρρωτικές άδειες/βεβαιώσεις ανικανότητας εργασίας και λοιπές ιατρικές βεβαιώσεις, όπως για κολυμβητήριο, γυμναστήριο και συγκεκριμένα αθλήματα όπως και για κάθε προβλεπόμενη από τον νόμο χρήση. Η ηλεκτρονική πλατφόρμα ελέγχου γνησιότητάς τους τέθηκε σε λειτουργία στα τέλη Σεπτεμβρίου 2021, δηλαδή εδώ και 4,5 χρόνια.
Σύμφωνα με τη σχετική Κοινή Υπουργική Απόφαση «ο ιατρός επιλέγει τον τύπο της βεβαίωσης που επιθυμεί να εκδώσει και συμπληρώνει σε ελεύθερο κείμενο το περιεχόμενο της βεβαίωσης προσδιορίζοντας, ταυτόχρονα, τον ειδικό σκοπό χρήσης αυτής».
Διευκρινίζεται ότι, όπως μας ενημέρωσαν από το υπουργείο Ψηφιακής Διακυβέρνησης και Τεχνητής Νοημοσύνης, «η συγκεκριμένη εφαρμογή δεν αποτελεί υπηρεσία του gov.gr, ούτε και συνδέεται με τον Ηλεκτρονικό Φάκελο Υγείας».
Οι κινήσεις μας
Μιλώντας με πηγές που γνωρίζουν καλά όσα προβλέπει ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) –και δη των δεδομένων σχετικά με την υγεία, τα οποία θεωρούνται ευαίσθητα προσωπικά δεδομένα– επιβεβαιώθηκε η υποψία μου, ότι δηλαδή επρόκειτο για ένα καθόλου αμελητέο σφάλμα στον σχεδιασμό της πλατφόρμας.
Τι νοείται ως δεδομένο υγείας σύμφωνα με τον GDPR
Τα δεδομένα προσωπικού χαρακτήρα σχετικά με την υγεία θα πρέπει να περιλαμβάνουν όλα τα δεδομένα που αφορούν την κατάσταση της υγείας του υποκειμένου των δεδομένων και τα οποία αποκαλύπτουν πληροφορίες για την παρελθούσα, τρέχουσα ή μελλοντική κατάσταση της σωματικής ή ψυχικής υγείας του υποκειμένου των δεδομένων. Τούτο περιλαμβάνει πληροφορίες σχετικά με το φυσικό πρόσωπο που συλλέγονται κατά την εγγραφή για υπηρεσίες υγείας και κατά την παροχή αυτών, όπως αναφέρεται στην οδηγία 2011/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (9) προς το εν λόγω φυσικό πρόσωπο· έναν αριθμό, ένα σύμβολο ή ένα χαρακτηριστικό ταυτότητας που αποδίδεται σε φυσικό πρόσωπο με σκοπό την πλήρη ταυτοποίηση του φυσικού προσώπου για σκοπούς υγείας· πληροφορίες που προκύπτουν από εξετάσεις ή αναλύσεις σε μέρος ή ουσία του σώματος, μεταξύ άλλων από γενετικά δεδομένα και βιολογικά δείγματα και κάθε πληροφορία, παραδείγματος χάριν, σχετικά με ασθένεια, αναπηρία, κίνδυνο ασθένειας, ιατρικό ιστορικό, κλινική θεραπεία ή τη φυσιολογική ή βιοϊατρική κατάσταση του υποκειμένου των δεδομένων, ανεξαρτήτως πηγής, παραδείγματος χάριν, από ιατρό ή άλλο επαγγελματία του τομέα της υγείας, νοσοκομείο, ιατρική συσκευή ή διαγνωστική δοκιμή in vitro.
Αμέσως έστειλα email στους υπεύθυνους προστασίας δεδομένων (DPO) του υπουργείου Υγείας και της ΗΔΥΚΑ ΑΕ με τίτλο «ΕΠΕΙΓΟΝ: Σημαντικό κενό ασφάλειας ευαίσθητων δεδομένων στην πλατφόρμα ehealth» (ημερομηνία 18 Μαΐου 2026). Έλαβα απάντηση από τον DPO του υπουργείου Υγείας σε λιγότερη από μία ώρα· μεταξύ άλλων έγραφε στο email του: «Έχουμε ζητήσει έλεγχο της εφαρμογής, προκειμένου να διαπιστωθούν ενδεχόμενα προβλήματα λειτουργίας και αναμένουμε τη σχετική απάντηση». Σύμφωνα με πληροφορίες του inside story, το ζήτημα επισημάνθηκε ως υψηλής σπουδαιότητας και ζητήθηκε κατεπείγων έλεγχος στην υπηρεσία.
Με τον αναγνώστη που μου γνωστοποίησε το κενό είχαμε συμφωνήσει ότι δεν θα γινόταν κάποια δημοσίευση πριν διορθωθεί η σχεδιαστική αστοχία, κάτι που επισήμανα και στο email μου προς το υπουργείο Υγείας και την ΗΔΥΚΑ.
Την επομένη η πλατφόρμα βγήκε εκτός λειτουργίας και λίγα 24ωρα μετά το σχεδιαστικό κενό έκλεισε, αλλά ο εσωτερικός έλεγχος, όπως θα δούμε παρακάτω, ήταν αρκετά περιορισμένος, όπως και η αξιολόγηση της σοβαρότητας του ζητήματος που κρίθηκε ως χαμηλή από πλευράς ΗΔΥΚΑ.
Δεν περιοριστήκαμε μόνο στην ηλεκτρονική αλληλογραφία με τους αρμόδιους του υπουργείου Υγείας και της ΗΔΥΚΑ. Την Τετάρτη 20 Μαΐου, το inside story μαζί με τη Homo Digitalis, μια οργάνωση που έχει ως στόχο την υπεράσπιση των ανθρωπίνων δικαιωμάτων στην ψηφιακή εποχή, κατέθεσαν υπόψη του αναπληρωτή προέδρου της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) αίτημα άσκησης των ερευνητικών εξουσιών της Αρχής.
Στο αίτημά μας αναφέρουμε ότι «το εν λόγω πρόβλημα έχει ως αποτέλεσμα την παραβίαση της αρχής της ακεραιότητας και εμπιστευτικότητας ευαίσθητων προσωπικών δεδομένων, καθώς και τη δημιουργία κινδύνου παραβίασης δεδομένων υγείας απροσδιόριστου αριθμού υποκειμένων δεδομένων σε παρελθοντικό του αιτήματός μας χρόνου. Επίσης, επιφέρει σημαντικές προκλήσεις ως προς την συμμόρφωση με την Υποχρέωση Ασφάλειας της επεξεργασίας ειδικών κατηγοριών προσωπικών δεδομένων, και συγκεκριμένα δεδομένων υγείας από τα Αρμόδια Υπουργεία κατά τη λειτουργία της πλατφόρμας ehealth, αλλά και με την Υποχρέωση Γνωστοποίησης σχετικών περιστατικών παραβίασης δεδομένων προς την ΑΠΔΠΧ ή και τα Υποκείμενα των Δεδομένων».
Πόσο σοβαρό είναι το πρόβλημα;
Στο σώμα του αιτήματος επισημαίνουμε τους κινδύνους που εγκυμονούν σε ένα τέτοιο σχεδιαστικό κενό και μεταξύ άλλων σημειώνουμε ότι : «[...] για απροσδιόριστο χρονικό διάστημα, και πιθανότατα ήδη από την πρώτη ημέρα λειτουργίας της πλατφόρμας έως και την ημερομηνία γνωστοποίησης του σχεδιαστικού κενού από τη δημοσιογράφο προς το αρμόδιο υπουργείο, οποιοσδήποτε κακόβουλος τρίτος μπορούσε να αποκτήσει πρόσβαση σε έγγραφα που περιείχαν ειδικές κατηγορίες προσωπικών δεδομένων και, ειδικότερα, ευαίσθητα δεδομένα υγείας απροσδιόριστου αριθμού υποκειμένων δεδομένων.
Το εν λόγω κενό ασφαλείας στον σχεδιασμό της πλατφόρμας θα μπορούσε να οδηγήσει σε σοβαρές παραβιάσεις θεμελιωδών δικαιωμάτων των υποκειμένων δεδομένων, συμπεριλαμβανομένης της στοχοποίησης ή της διακριτικής μεταχείρισής τους, προκαλώντας καίριο πλήγμα στην ιδιωτικότητα και την προστασία των προσωπικών τους δεδομένων. Περαιτέρω, δεν μπορεί να αποκλειστεί ο κίνδυνος παράνομης συλλογής, εμπορικής εκμετάλλευσης ή διαβίβασης των δεδομένων αυτών σε τρίτους, όπως ασφαλιστικές εταιρείες ή άλλους φορείς με οικονομικό συμφέρον».
Πριν τη σημερινή δημοσίευση ζητήσαμε από την ΑΠΔΠΧ ένα σχόλιο ως προς τη σοβαρότητα του προβλήματος που περιγράψαμε παραπάνω και ως προς τις περαιτέρω ενέργειες στις οποίες προτίθεται να προχωρήσει. Επίσης ζητήσαμε να ενημερωθούμε αν το αρμόδιο υπουργείο ενημέρωσε την Αρχή για το περιστατικό. «Σύμφωνα με την πάγια θέση της Αρχής, δεν μπορούμε να σχολιάσουμε ή να παραθέσουμε κάποια πληροφορία για ζήτημα που είναι υπό εξέταση», απάντησαν.
Σε γραπτό του σχόλιο προς το inside story, ο Στέργιος Κωνσταντίνου, δικηγόρος που παρέχει εξειδικευμένες υπηρεσίες στο δίκαιο προστασίας προσωπικών δεδομένων και από τα πρώτα μέλη της Homo Digitalis, σημειώνει:
«Για να είναι σύννομη η επεξεργασία δεδομένων προσωπικού χαρακτήρα, πρέπει να τηρούνται οι αρχές που απαριθμούνται στο άρθρο 5 παρ. 1 του Κανονισμού (ΕΕ) 2016/679, γνωστού ως Γενικού Κανονισμού για την Προστασία Δεδομένων (ΓΚΠΔ ή GDPR). Μεταξύ αυτών περιλαμβάνεται η αρχή της ακεραιότητας και εμπιστευτικότητας των δεδομένων, [...], σύμφωνα με την οποία τα δεδομένα προσωπικού χαρακτήρα πρέπει να υποβάλλονται σε επεξεργασία κατά τρόπο που να εγγυάται την ενδεδειγμένη ασφάλειά τους, μεταξύ άλλων την προστασία τους από μη εξουσιοδοτημένη ή παράνομη επεξεργασία, με την εφαρμογή κατάλληλων τεχνικών ή οργανωτικών μέτρων.
Η αρχή αυτή εξειδικεύεται περαιτέρω στο άρθρο 32 ΓΚΠΔ, το οποίο προβλέπει ότι ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε να διασφαλίζεται κατάλληλο επίπεδο ασφάλειας έναντι των κινδύνων, όπως είναι, εν προκειμένω, ο κίνδυνος μη εξουσιοδοτημένης πρόσβασης σε δεδομένα τρίτων προσώπων. Στα μέτρα αυτά περιλαμβάνεται, μεταξύ άλλων, η δυνατότητα διασφάλισης του απορρήτου, της ακεραιότητας, της διαθεσιμότητας και της αξιοπιστίας των συστημάτων και υπηρεσιών επεξεργασίας σε συνεχή βάση.
Περαιτέρω, κατά το άρθρο 25 ΓΚΠΔ, οι απαιτήσεις προστασίας δεδομένων πρέπει να λαμβάνονται υπόψη ήδη από το στάδιο του σχεδιασμού και εξ ορισμού. Συνεπώς, κατά τον σχεδιασμό και την υλοποίηση μιας ψηφιακής πλατφόρμας, πρέπει να ενσωματώνονται εξαρχής τα κατάλληλα τεχνικά και οργανωτικά μέτρα, ώστε να αποτρέπεται η μη εξουσιοδοτημένη πρόσβαση σε δεδομένα προσωπικού χαρακτήρα.
Στην προκειμένη περίπτωση, η δυνατότητα πρόσβασης σε βεβαιώσεις τρίτων προσώπων μέσω της απλής μεταβολής τυχαίων ψηφίων στον αριθμό βεβαίωσης συνιστά σοβαρή ένδειξη ανεπαρκούς εφαρμογής των απαιτήσεων ασφάλειας του ΓΚΠΔ. Η σοβαρότητα του ζητήματος εντείνεται από το γεγονός ότι οι βεβαιώσεις αυτές φαίνεται να περιλαμβάνουν δεδομένα υγείας, τα οποία αποτελούν ειδικές κατηγορίες δεδομένων κατά το άρθρο 9 παρ. 1 ΓΚΠΔ και απολαύουν αυξημένης προστασίας.
Υπό τα δεδομένα αυτά, η μη ύπαρξη ή η μη έγκαιρη υιοθέτηση μηχανισμού που να αποτρέπει την πρόσβαση σε βεβαιώσεις τρίτων προσώπων μπορεί να θεμελιώσει παραβίαση της αρχής της ακεραιότητας και εμπιστευτικότητας του άρθρου 5 παρ. 1 στοιχ. στ’ ΓΚΠΔ, όπως αυτή εξειδικεύεται στο άρθρο 32 ΓΚΠΔ. Μπορεί επίσης να αναδείξει πλημμέλεια ως προς την υποχρέωση προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού, κατά το άρθρο 25 ΓΚΠΔ. Τέλος, ο υπεύθυνος επεξεργασίας οφείλει, σύμφωνα με την αρχή της λογοδοσίας του άρθρου 5 παρ. 2 ΓΚΠΔ, να είναι σε θέση να αποδείξει ότι είχε λάβει τα αναγκαία και κατάλληλα μέτρα συμμόρφωσης».
Η θέση της ΗΔΥΚΑ
Η αξιολόγηση του περιστατικού από την πλευρά της ΗΔΥΚΑ ολοκληρώθηκε την Πέμπτη 21 Μαΐου και κοινοποιήθηκε στον υπεύθυνο προστασίας δεδομένων του υπουργείου Υγείας για να κρίνει αν είναι απαραίτητες περαιτέρω ενέργειες. Δεν γνωρίζουμε αν τελικά το περιστατικό γνωστοποιήθηκε στην ΑΠΔΠΧ όπως προβλέπει ο GDPR ή όχι, πάντως η ΗΔΥΚΑ έκρινε ότι δεν συντρέχει υποχρέωση γνωστοποίησης του περιστατικού προς την Αρχή.
Η ΗΔΥΚΑ αρχικά επιβεβαιώνει αυτά που εντόπισε ο αναγνώστης του inside story και στη συνέχεια τους γνωστοποιήσαμε μέσω email, λέγοντας ότι πράγματι εντοπίστηκε αστοχία υλοποίησης στην πλατφόρμα ελέγχου εγκυρότητας ιατρικών βεβαιώσεων.
Μετά την άμεση προσωρινή απενεργοποίηση της υπηρεσίας, η ΗΔΥΚΑ πρόσθεσε ένα υποχρεωτικό πεδίο για τον ΑΜΚΑ του χρήστη, δηλαδή ένα ακόμη στοιχείο επαλήθευσης πέραν του 13ψηφιου αριθμού (barcode) και έθεσε σε λειτουργία έναν πιο σύνθετο αλγόριθμο για την παραγωγή των barcode των ιατρικών βεβαιώσεων, ώστε να μην είναι τόσο απλό να μαντέψεις έναν έγκυρο αριθμό με την αλλαγή απλώς ενός ψηφίου. Επίσης πλέον δεν φαίνεται στον χρήστη το περιεχόμενο της ιατρικής βεβαίωσης.
Ως προς τη σοβαρότητα του περιστατικού, η ΗΔΥΚΑ δεν φαίνεται να προβληματίζεται, αφού στην επίσημη θέση της αναφέρει ότι «το μοναδικό καταγεγραμμένο περιστατικό αφορά το συμβάν που περιγράφεται από την κα. Τριανταφύλλου» και σημειώνει πως δεν έχει περιέλθει σε γνώση της άλλο σχετικό περιστατικό. (Ο αναγνώστης μας άραγε δεν εντοπίστηκε; Ή το περιστατικό είναι «καταγεγραμμένο» μόνο και μόνο επειδή το αναφέραμε οι ίδιοι;)
Ως προς τα δεδομένα που εμφανίζονται μέσω της πλατφόρμας επαλήθευσης ιατρικών βεβαιώσεων, η ΗΔΥΚΑ αναφέρει ότι αυτά περιορίζονται στο ονοματεπώνυμο του πολίτη, την ειδικότητα του γιατρού και στην ένδειξη ισχύος και εγκυρότητας ή μη μιας βεβαίωσης. Το κείμενο της βεβαίωσης το οποίο ενδέχεται να περιέχει πρόσθετη πληροφορία για την κατάσταση υγείας του πολίτη, θα μπορούσε να εμφανιστεί, λέει η ΗΔΥΚΑ, μόνο σε κάποιες περιπτώσεις και από το περιστατικό που τους ανέφερα δεν προκύπτει κάτι τέτοιο. Στο email μου είχα επισημάνει ότι παραμένω στη διάθεσή τους για οποιαδήποτε διευκρίνιση όμως κανείς δεν επικοινώνησε για να μάθει τι ακριβώς πληροφορίες εμφανίστηκαν στην οθόνη μου. Σε τηλεφωνική επικοινωνία μου με υψηλόβαθμη πηγή στην ΗΔΥΚΑ, ενημέρωσα ότι οι πληροφορίες αυτές ήταν ευαίσθητες (διάγνωση για αυτοάνοση νόσο και σχετική αγωγή). Η απάντηση που πήρα είναι ότι υπάρχουν ελάχιστες τέτοιες βεβαιώσεις μέσα στο σύστημα («δέκα στα 12 εκατομμύρια» ήταν η φράση) και πως ήταν καθαρά τυχαίο ότι έπεσα πάνω σε μία από αυτές.
Κάπως έτσι η ΗΔΥΚΑ, λαμβάνοντας υπόψιν ότι η πρόσβαση στην υπηρεσία πραγματοποιείται αποκλειστικά κατόπιν προηγούμενης αυθεντικοποίησης του χρήστη με προσωπικούς κωδικούς taxisnet, την «περιορισμένη έκταση του περιστατικού», την «απουσία ενδείξεων» πραγματικής βλάβης ή εκτεταμένης πρόσβασης σε δεδομένα προσωπικού χαρακτήρα, της φύσης και του περιορισμένου όγκου δεδομένων που ενδέχεται να εμφανίστηκαν σε συνδυασμό με το γεγονός ότι ελήφθησαν μέτρα για την άμεση αντιμετώπιση, εκτιμά ότι «το συγκεκριμένο περιστατικό παρουσιάζει χαμηλό κίνδυνο».
«Υπουργείο Υγείας και ΗΔΥΚΑ δεν κατόρθωσαν να τηρήσουν τις υποχρεώσεις τους»
Ζητήσαμε από τον Λευτέρη Χελιουδάκη, τον Εκτελεστικό Διευθυντή της Homo Digitalis, να σχολιάσει τη θέση της ΗΔΥΚΑ:
«Σύμφωνα με τα Άρθρα 35-36 του Ν.4816/2021 και το Άρθρο 3 της υπ. Αριθ. ΚΥΑ 4062/2021, το Υπουργείο Υγείας αποτελεί τον Υπεύθυνο Επεξεργασίας, ενώ η ΗΔΥΚΑ ΑΕ, ως Εκτελών την Επεξεργασία έχει την υποχρέωση λήψης και διαρκούς τήρησης των κατάλληλων και αναγκαίων τεχνικών και οργανωτικών μέτρων ασφάλειας των υπό επεξεργασία δεδομένων προσωπικού χαρακτήρα.
Μάλιστα, το ίδιο άρθρο ρητά αναφέρει ότι, κατ’ ελάχιστον, η ΗΔΥΚΑ ΑΕ έχει ως υποχρέωση να καταγράφει και να παρακολουθεί τις προσβάσεις, να διασφαλίζει την ιχνηλασιμότητα και την προστασία των διακινούμενων δεδομένων από κάθε παραβίαση καθώς και από κάθε σκόπιμη ή τυχαία απειλή.
Φυσικά, επιπροσθέτως, των ως άνω, και σύμφωνα με τις διατάξεις του ΓΚΠΔ και του Ν.4624/2019, το Υπουργείο Υγείας, ως Υπεύθυνος Επεξεργασίας έχει την ευθύνη της τήρησης της αρχής της προστασίας των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού, με βάση το Άρθρο 25 ΓΚΠΔ, ενώ και οι 2 φορείς έχουν υποχρέωση να εξασφαλίζουν την ασφάλεια της επεξεργασίας, με βάση το Άρθρο 32 ΓΚΠΔ.
Σύμφωνα με τα πραγματικά περιστατικά, κάποιο άτομο ενημέρωσε την κα. Τριανταφύλλου για το σχεδιαστικό κενό, καθώς μπόρεσε να αποκτήσει πρόσβαση σε βεβαιώσεις άλλων προσώπων. Αφού η ΗΔΥΚΑ, δεν κατόρθωσε να το αντιληφθεί, δεν εξασφαλίζεται η υποχρέωση της να καταγράφει και να παρακολουθεί τις προσβάσεις σε βεβαιώσεις, καθώς και να διασφαλίζει την ιχνηλασιμότητα και την προστασία των διακινούμενων δεδομένων από κάθε παραβίαση και από κάθε σκόπιμη ή τυχαία απειλή.
Άρα, η ΗΔΥΚΑ ΑΕ δεν έχει λάβει κανένα πραγματικό τεχνικό ή οργανωτικό μέτρο προκειμένου να μπορεί να επιβεβαιώσει ότι πράγματι η έκταση του περιστατικού είναι περιορισμένη. Αντιθέτως, και αφού σύμφωνα με το Άρθρο 5 της ΚΥΑ 4062/2021, η εφαρμογή τέθηκε σε παραγωγική λειτουργία στις 2 Αυγούστου του 2021, από τότε έως και τις 18 Μαΐου 2026, δηλαδή για περισσότερο από 4 χρόνια και 9 μήνες, το Υπουργείο Υγείας και η ΗΔΙΚΑ Α.Ε. δεν κατόρθωσαν να τηρήσουν τις υποχρεώσεις τους και επομένως απροσδιόριστος αριθμός βεβαιώσεων τρίτων προσώπων μπορεί να έχουν φτάσει στα χέρια κακόβουλων χρηστών.
Ένα απλό μέτρο, το οποίο θα μπορούσε να λάβει η ΗΔΥΚΑ Α.Ε. και το Υπουργείο Υγείας, θα ήταν εκείνο των καταχωρίσεων, το οποίο κανονικά υποχρεωτικά εφαρμόζεται σε πράξεις επεξεργασίας που αφορούν την Οδηγία 2016/680 (αστυνομικές αρχές κοκ). Ένα μέτρο όπως αυτό, θα μπορούσε ανά πάσα στιγμή να δίνει τη δυνατότητα στην ΗΔΥΚΑ Α.Ε. να καταχωρίζει ποιος λογαριασμός αιτήθηκε ποια βεβαίωση και να χρησιμοποιείται αποκλειστικά για τον έλεγχο της νομιμότητας της επεξεργασίας, την αυτοπαρακολούθηση, καθώς και τη διασφάλιση της ακεραιότητας και της ασφάλειας των δεδομένων. Πχ, σε περίπτωση που και οι κωδικοί taxis κάποιου πολίτη είχαν πέσει σε λάθος χέρια, και κάποιος κακόβουλος χρησιμοποιούσε τα στοιχεία του για να αντλήσει βεβαιώσεις τρίτων, οι καταχωρίσεις θα μπορούσαν να φανούν πολύ χρήσιμες για την παράνομη αυτή πράξη.
Σε καμία περίπτωση δεν μπορεί να υποβαθμιστεί το σημαντικό σχεδιαστικό κενό που υπήρχε, αποτέλεσμα των λανθασμένων σχεδιαστικών επιλογών των αρμόδιων φορέων, ώστε να θεωρηθεί πως δεν ενδέχεται να προκαλέσει κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Όπως φαίνεται η ΗΔΥΚΑ ΑΕ δεν έχει καμία αντίληψη για το ποιος κατεβάζει ποιανού την βεβαίωση. Μόνο μετά από email της κας. Τριανταφύλλου κατάλαβε οτι η ίδια ήταν σε θέση να κατεβάσει βεβαίωση άλλου ατόμου, απλά καταχωρώντας άλλους αριθμούς βεβαιώσεων. Αναμένουμε το Υπουργείο Υγείας, ως οφείλει, να ενημερώσει την ΑΠΔΠΧ για το κενό αυτό σύμφωνα με το Άρθρο 33 ΓΚΠΔ. Σε κάθε περίπτωση, ως Homo Digitalis και από κοινού με το inside story είχαμε την υποχρέωση να αποστείλουμε αίτημα έρευνας προς την ΑΠΔΠΧ σχετικά, προκειμένου να διαφυλάξουμε ότι εκείνη θα κινηθεί άμεσα και θα ερευνήσει την υπόθεση».
![[Κώστας Τζούμας/Eurokinissi]](/sites/default/files/styles/node_related_medium/public/2026-04/ce6668514.jpg.webp?itok=SErpgK-W)
