"Jako Generalny Inspektor Ochrony Danych Osobowych nigdy nie jestem całkowicie spokojny wobec żadnego systemu, który istnieje w Polsce i zbiera dane osobowe. Jest zupełnie oczywiste, że każdy z tego typu systemów może być zaatakowany" - mówi po problemach z dostępem do eWUŚ Wojciech Wiewiórkowski. Podkreśla jednocześnie, że eWUŚ zawiera bardzo niewiele informacji na temat pacjenta. "Niewątpliwie są to dane osobowe, a nie dane medyczne czy o stanie zdrowia" - dodaje.
Mariusz Piekarski: Mamy do czynienia z dosyć dużą awarią systemu eWUŚ. Czy pana ta sytuacja niepokoi? To jest powód do niepokoju, że tak duża baza danych, taki system boryka się z takim problemem, jak brak dostępu przez kilka godzin?
Wojciech Wiewiórowski, Generalny Inspektor Ochrony Danych Osobowych: Na pewno NFZ przedstawi, czy to jest kwestia związana tylko i wyłącznie z komunikacją z bazą, czy też nastąpiły tam jakiekolwiek inne zdarzenia. Na pierwszy rzut oka wygląda to po prostu na problemy komunikacyjne. W takiej sytuacji nikt, również ci, którzy chcieliby zaatakować ten system, nie są w stanie się z nim skontaktować.
Panie ministrze, jak pan słyszy "eWUŚ", to pan absolutnie spokojny, że ten system do weryfikowania ubezpieczenia jest absolutnie bezpieczny?
Jako Generalny Inspektor Ochrony Danych Osobowych muszę odpowiedzieć, że nigdy nie jestem całkowicie spokojny wobec żadnego systemu, który w Polsce istnieje i zbiera dane osobowe. Jest zupełnie oczywiste, że każdy z tego typu systemów może być zaatakowany. Trzeba jednak zdawać sobie sprawę również z tego, jakie szkody możemy ponieść w przypadku ataku na taki system. System NFZ, który został w tej chwili udostępniony od 1 stycznia zawiera bardzo niewielki zestaw danych o osobie. Niewątpliwie są to dane osobowe i nie są to dane medyczne ani o stanie zdrowia, a jedynie o statusie ubezpieczeniowym.
Czy do pana docierają informacje, że w sytuacji przerw w dostępie do systemu eWUŚ w placówkach medycznych nadal wymagane są dokumenty, druki RMUA i że one są tam gromadzone?
W obecnej chwili podstawą do ustalenia, że ktoś jest ubezpieczony zdrowotnie jest po pierwsze korzystanie z systemu eWUŚ. Jeżeli nie ma takiej możliwości - choćby ze względu na awarię techniczną - wystarczy oświadczenie osoby. W związku z tym każde gromadzenie jakichkolwiek dodatkowych dokumentów uważam za nadmiarowe i nieusprawiedliwione. Przymuszanie do czegoś takiego jest zdecydowanie niewskazane.
A pan sprawdza, czy są takie przypadki? Czy do pana docierają takie informacje i pan może to sprawdzić?
Tego typu skargi do tej pory nie otrzymaliśmy. Nie otrzymaliśmy od nikogo skargi, że tego typu działania mają miejsce w konkretnej jednostce. Przyznam, że sami nie rozpoczęliśmy badania wyrywkowego wszystkich jednostek świadczących usługi medyczne pod tym akurat kątem. Jeżeli zdarzy się tego typu skarga, to oczywiście inspekcję przeprowadzimy.
A czy ma pan pewność, że we wszystkich placówkach medycznych osoby, które weryfikują nasze ubezpieczenie, nie weryfikują go dla siebie albo dla innych potrzeb setek innych osób? Przecież wpisując numer PESEL można sprawdzić każdą osobę, czy jest ubezpieczona, a więc czy ma pracę.
Oczywiście, nie odpowiem panu, że mam taką pewność, bo nie mogę mieć takiej pewności. Nie zawiaduję systemem eWUŚ, nie zawiaduję tym, w jaki sposób jest on wykorzystywany. Natomiast NFZ przydziela uprawnienia do korzystania z tego systemu tylko konkretnym usługobiorcom i konkretnym osobom, które u tego usługobiorcy mogą z systemu korzystać. Jest w stanie ocenić po swojej stronie, czy te numery, o które odpytuje dana instytucja, to numery dotyczące rzeczywiście pacjentów, którym później świadczone są usługi.
Czy jako problem systemu eWUŚ należy rozpatrywać to, że ciągle bardzo dużo osób wyświetla się w tym systemie na czerwono, czyli jako nieubezpieczone?
Tu możemy mieć do czynienia z co najmniej z dwoma rodzajami przypadków. Pierwszy jest taki, kiedy rzeczywiście jesteśmy ubezpieczeni, ktoś odprowadza za nas składki, a nie jest to ujawnione po stronie systemu NFZ. Możemy w takim momencie złożyć oświadczenie, które zastępuje tę weryfikację w systemie, więc szkody po stronie pacjenta nie ma. I w końcu druga sytuacja, kiedy my jesteśmy przekonani, że ktoś odprowadza za nas składki zdrowotne, a okazuje się to nie być prawdą. Wtedy wina zdecydowanie nie leży ani po stronie NFZ, ani po stronie żadnego systemu, tylko po stronie płatnika, który nas okłamuje, że składki za nas są odprowadzane do systemu ubezpieczeń zdrowotnych. Mimo tej wyjątkowo nieprzyjemnej sytuacji, którą ma ubezpieczony, gdy orientuje się, że informacja o nim jest nieprawdziwa to tak naprawdę skutek jest dla niego pozytywny. Jest w stanie sprawdzić, czy przypadkiem nie jest oszukiwany.