Két egyszerű adat, és bárkiről kiderülhet, regisztrált-e oltásra

2021. március 27. – 10:49

Másolás

Vágólapra másolva

Aki tudja a tajszámunkat és a születési dátumunkat, néhány kattintással megtudhatja, regisztráltunk-e a Covid-oltásra. Igaz, hogy ilyen adatot jogellenes illetékteleneknek lekérni, de az oldalt felügyelő állami szerv mint adatkezelő is köteles lenne meggyőződni arról, hogy az úgynevezett érintettségi joggal senki nem él vissza, mondják a szakemberek. Az már csak hab a tortán, hogy az sem biztos, hogy ez az adat megfelel-e a valóságnak.

Pénteken jelent meg a hír, miszerint levelet kapott a tanár az Emmitől, hogy még nem regisztrált oltásra, úgyhogy tegye meg. Az csak egy dolog, hogy a tanár állítja, hogy már regisztrált (ezt le is fotózta), csak erről valamiért nem tud róla a regisztrációját ellenőrző oldal, tehát nincs az adatbázisban.

A fenti példa egyszerre jelzi a csütörtökön elindult, az oltási regisztráció lekérésére hivatott kormányzati oldal működésének két komoly adatvédelmi, adatkezelési problémáját.

A Covid elleni védőoltásra való regisztráció során a vakcinainfo.gov.hu oldalon a nevünkön túl még email-címet, telefonszámot, lakcímet, életkort és tajszámot is kérnek. Egyszerű technikai megoldás lenne, hogy erre az emailre és/vagy telefonszámra kérhessük le az úgynevezett oltási regisztrációnk adatát.

Ehelyett elindult az új oldal, ami a Nemzeti Egészségbiztosítási Alapkezelő neak.gov.hu doménjén fut – bár az első nap inkább csak össze-össze rogyva, mindig meg-megállva kocogott –, ahol csak a tajszámunkat és a születési dátumunkat kell megadni, és máris lekérdeztük a regisztrációnk státuszát. Pontosabban kapunk egy IGEN vagy egy NEM választ, attól függően, hogy benne vagyunk-e az oltásra jelentkezett adatbázisában vagy sem.

Csakhogy ez két olyan adat, amit több helyen is tárolnak rólunk, így azokkal akár vissza is lehet élni.

Miért vakcinaregisztráció?

A honlap neve is különös: ha beírjuk a https://vakcinareg.neak.gov.hu/regisztracio/ url-t, akkor azt látjuk, hogy VAKCINA REGISZTRÁCIÓ LEKÉRDEZÉS. Ez így semmiképpen nem jó. Egyfelől nem a vakcinára regisztrálunk, hanem az oltásra. Ha vakcinaregisztráció lenne, akkor már eleve megválaszthatnánk, hogy mondjuk Pfizert kérünk-e vagy kínait, és nem lennének fölösleges telefonhívások, hogy ez az oltóanyag kell vagy sem. Másfelől a helyesírása sem jó. Tartalmilag és nyelvhelyességileg az oltásregisztráció-lekérdezés, esetleg a vakcinálásregisztráció-lekérdezés lenne a portál jó megnevezése (amikor regisztrálunk, még azt írják, hogy „regisztráció oltásra”, bár az is a a vakcinainfo.gov.hu oldalon történik).

„Engem nagyon zavar és már írásban tiltakoztam is miatta az oldal üzemeltetőjénél, hogy mindössze a tajszámom és születési dátumom felhasználásával bárki megtudhatja, regisztráltam-e már oltásra vagy sem” – mondta egy neve elhallgatását kérő adatvédelmi szakértő a Telex kérdésére. Például a munkahelyünkön társadalombiztosítási és adózási okokból mindkét adat megvan – ahogyan egy könyvelőnél, patikában, egészségügyi vagy akár felnőttképzési intézményben is –, és ha teljesen jogszerűen birtokolja is, megteheti, hogy egy-két kattintással lekérdezi: egy adott dolgozója valóban regisztrált-e már a Covid elleni védőoltásra.

„Egy ilyen pandémia idején, mint most a koronavírus-járvány, egyébként is feltűnően megnő a munkaadók érzékenysége különféle egészségügyi kérdésben, gondoljunk itt a munkahelyi lázmérésre vagy akár pcr-tesztekre. Arra nincs joga, hogy hivatalosan lekérdezze, a munkavállalói közül ki regisztrált és ki nem oltásra, de ezen az oldalon keresztül most mégis meg tudja tenni”. A szakértő szerint egy ilyen lépéssel persze a munkavállaló is jogellenes adatkezelést követne el, de ettől ez még nem mérsékli az adatkezelő felelősségét.

Hasonló aggályt lát az oldal működésével kapcsolatban egy lapunk által megkérdezett másik szakértő, aki szintén kérte az anonimitást. „A legfontosabb kérdés ebben az esetben is az, hogy az adatigénylésnél hogyan ellenőrzi az adatkezelő, hogy valóban az kérdezi le az adatot, aki erre jogosult. Vagyis a vakcinaregisztráció lekérdezése során én magam vagy a saját regisztrációmat kérdezem le, vagy olyan valakiét, aki erre feljogosított” – mondta kérdésünkre. Az oldal adatkezelési tájékoztatója szerint ezt a védelmi célt szolgálta, hogy a tajszám mellett a születési dátumot is meg kelljen adni.

Az adatkezelőnek ugyanakkor meg kell tudnia győződnie arról, hogy az érintetti joggal senki nem él vissza. Ez a két adat olyan, amit például a munkahelyünk tudhat rólunk, és így akár a tudtunk és engedélyünk nélkül is lekérdezheti, hogy regisztráltunk-e oltásra vagy sem. Akár egy jelszavas, akár a regisztrációnál megadott email-címhez kötődő azonosítás a jelenleginél biztonságosabbá tenné a lekérdezést. A szakértő hozzátette ugyanakkor, hogy ha például a munkaadó visszaélne azzal, hogy az amúgy jogszerűen birtokában lévő adataink (tajszám és születési dátum) birtokában lekéri ezt az adatunkat, akkor azzal jogsértést követne el.

A szakértő azonban nemcsak ezt az aggályt tartja jogosnak, de felhívta a figyelmet egy másikra is. „Az adatkezelő kötelezettsége, hogy az általa kezelt adatok pontosak és naprakészek legyenek” – fogalmazott. Szerinte rendszer ilyen hibái adódhatnak abból is – akárcsak a működés első napján felszínre jött egyéb bugok –, hogy „valószínűleg rövid idő állt rendelkezésre az oldal elindítására”, azt nem előzte meg olyan pilot projekt, ami a piaci szektorban jellemzően megelőzi egy-egy új szájt indítását, és ami alkalmas annak kipróbálására, az esetleges hibák kiszűrésére és kijavítására.

A regisztrációt ellenőrző felületnek a megbízhatatlansági problémája különösen aggasztó. Az ember a lekérdezéskor azt látja – és hogy nem egyedi az esete, azt több, már csütörtökön lapunkhoz érkezett olvasói levél és munkatársaink személyes tapasztalata is igazolja –, hogy a nyilvántartás szerint még nem regisztrált. Csakhogy amikor átmegy az oltásra regisztrálni hivatott oldalra, a regisztrációs felület nem engedi jelentkezni ugyanazokkal az adatokkal, mert aszerint viszont már egyszer regisztrált. Ráadásul az olvasói visszajelzések szerint voltak olyanok is, akik többszöri ellenőrzés esetén egyszer IGEN, máskor NEM választ kaptak.

Az oldal működésével, az elmúlt két napban feltárt hibákkal és hiányosságokkal, valamint az indulásnál jelentkezett, a kormányzati kommunikáció szerint túlterheléses támadásból fakadó akadozások miatt, valamint az adatvédelmi aggályokkal kapcsolatban pénteken megkerestük a szájtot üzemeltető NEAK-ot. Kérdéseinkre a cikk megjelenéséig nem érkezett válasz.

A Telex csak tőled függ. Legyél a rendszeres támogatónk!
Támogatom!
A Telex csak tőled függ. Legyél a rendszeres támogatónk!
Támogatom!