Securitatea datelor reprezintă unul dintre cele mai des discutate subiecte din ultima perioadă. În contextul campaniei naţionale de vaccinare, speţa devine cu adevărat de interes. Mii de persoane şi-au deschis un cont pe platforma ROVACCINARE. În cazul în care vă întrebaţi care sunt aspectele la care ar trebui să ne uităm pentru a şti dacă datele noastre sunt în siguranţă, iată câteva idei.
Sunt două domenii care ne interesează. În primul rând este vorba de gradul de încredere pe care o poate conferi această platformă unui utilizator obişnuit, fără cunoştinţe de specialitate sau fără un nivel de educaţie foarte ridicat. În al doilea rând, este vorba de securitatea efectivă a datelor colectate de la cetăţenii care deschid un cont pe această platformă.
Cine deţine drepturi de autor asupra siteului
Putem observa pe prima pagină faptul că toate drepturile de autor aparţin ”VACCINARE COVID”. Or, VACCINARE COVID este un nume (nickname), care nu poate deţine drepturi. Ar trebui indicat fie Guvernul României, care are de altfel sigla pe prima pagină, fie Ministerul Sănătăţii, fie operatorul de date personale, care este Institutul Naţional de Sănătate Publică.
Cine prelucrează datele personale
Siteul creează impresia că ar fi operat de Guvernul României. Or, un utilizator neavizat care doreşte să fie vaccinat, ar încerca să identifice mai curând o entitate medicală, cum ar fi Ministerul Sănătăţii. O astfel de entitate ar oferi mai multă încredere oamenilor, în momentul în care li se cere să introducă date extrem de sensibile, cum este CNP-ul.
Cetăţenii ar aprecia probabil mai mult faptul că, în spatele întregului proces de înscriere pentru vaccinare, se află oameni cu pregătire medicală, profesionişti care le-ar putea lămuri orice aspect cu privire la vaccinare. În plus, întreg personalul care are acces la datele medicale este obligat să respecte anumite acorduri de confidenţialitate impuse de regulile deontologice medicale.
Abia la momentul creării unui cont putem accesa, uşor, pagina termenilor şi condiţiilor. Aici aflăm faptul că siteul al platformei ROVACCINARE este un site oficial al Ministerului Sănătăţii. Tot aici aflăm că, de fapt, prelucrarea datelor este făcută de Institutul Naţional de Sănătate Publică. La sfârşit aflăm şi faptul că siteul a fost dezvoltat de Serviciul de Telecomunicaţii Speciale.
Cred că afilierea platformei la domeniul medical, prin utilizarea unor sigle şi elemente de identificare ale acestuia, pe prima pagină, ar fi de un real ajutor.
Cum este asigurată securitatea în privinţa datelor introduse pe platformă
Pentru a te putea loga ai nevoie de un user, de o parolă şi de un cod CAPTCHA, acest cod reprezentând o metodă automată de a determina dacă vizitatorul unui site este uman sau nu. Utilizarea acestui cod reprezintă, totodată, şi gradul cel mai înalt de securizare al platformei ROVACCINARE, în momentul în care un utilizator se loghează pe platformă.
Informaţiile furnizate de termenii şi condiţiile siteului sunt realmente insuficiente pentru a putea evalua securitatea datelor introduse (se menţionează doar limitarea numărului de adrese IP care au acces la server şi baza de date, redenumire adresă de logare dinamică, utilizare CAPTCHA). De altfel, erorile de formatare din cadrul textului explicativ arată faptul că secţiunea de securitate a datelor nu a fost parcursă cu suficientă atenţie.
Siteul pe care o platformă de vaccinare este construit ar trebui să aibă mai multe elemente vizuale care să asigure utilizatorul că informaţiile sunt greu de decriptat, astfel încât toată baza de date să fie considerată de încredere şi să fie realmente în siguranţă. În unele state, cum ar fi California sau Marea Britanie, dezvoltatorii platformelor s-au bucurat de sprijinul Microsoft Vaccination Management, care s-a oferit să ajute statele în vederea programării cetăţenilor pentru vaccinare. Întregul sistem care ţine de securitatea datelor a fost asigurat de către compania Microsoft. Există alte state care şi-au implementat propria linie telefonică prin care pot fi programaţi cetăţenii (sursa: Healthcare IT News).
Ce ar putea fi făcut pentru a îmbunătăţi platforma ROVACCINARE
În cazul ROVACCINARE ar putea fi indicate, atât pe prima pagină, cât şi la secţiunile relevante din termeni şi condiţii, anumite standarde de securitate care au fost mai mult ca sigur incluse în gestiunea siguranţei bazei de date.
La momentul creării unui cont, deci chiar la începutul procesului de programare, ar putea fi adăugat un cod captcha, pentru a asigura mai multă securitate. De asemenea, ar mai putea fi implementat un modul de tipul chatbot, care ar putea uşura rezolvarea nelămuririlor oamenilor care au întrebări cu privire la întregul proces de vaccinare. Deşi se vorbeşte despre un LiveChat, acest serviciu nu există încă pe site. Singurul număr de telefon cu prefix de Bucureşti nu poate fi unica soluţie la nelămuririle utilizatorilor.
O ultimă precizare este legată de numele domeniului internet, https://programare.vaccinare-covid.gov.ro/auth/login, acesta fiind diferit de numele platformei ROVACCINARE. Pentru a fi siguri că oamenii nu sunt induşi în eroare şi că nu îşi oferă datele oricărei alte platforme cu nume similar, ar fi indicat ca domeniul de internet să fie acelaşi cu numele platformei. Adresele de email folosite sunt fie office@vaccinare-covid.ro , fie contact@vaccinare-covid.ro. Se impune deci şi o uniformizare a adreselor de contact.
În loc de concluzie
Cu siguranţă platforma ROVACCINARE este o soluţie fiabilă de programare a persoanelor pentru vaccinare, care şi-a dovedit deja eficienţa. Cu toate acestea, se resimte o lipsă de uniformizare a modului de comunicare către public, pe diversele pagini. O îmbunătăţire ar putea mări credibilitatea celor trei autorităţi implicate. Ar fi utilă o evaluare continuă, printr-o comparaţie cu siteuri similare din alte state unde există deja suficientă experienţă şi unde s-au folosit deja resurse importante (experţi şi fonduri).
Autor: Paul Cosmovici, avocat specialist în drepturi de proprietate intelectuala, Geneva
