Posredovanje številke digitalnega certifikata NIJZ v okviru eSZBO

Pri Informacijskem pooblaščencu (IP) smo dne 14. 11. 2022 prejeli vaše vprašanje o tem, ali je dopustno, da NIJZ od izvajalcev zdravstvene dejavnosti zahteva, da mu – za potrebe prehoda na elektronsko poročanje o zunajbolnišničnih obravnavah (eSZBO) – posredujejo številke in nazive izdajateljev digitalnih certifikatov pooblaščenih oseb za poročanje. Ta dva podatka se, poleg nekaterih drugih podatkov, sporoči na obrazcu pooblastila, s katerim sta po dve osebi s strani vsakega izvajalca zdravstvene dejavnosti pooblaščeni za poročanje podatkov. Zanima vas tudi, kako vam lahko NIJZ zagotovi, da ne bo prišlo do zlorabe vašega digitalnega certifikata.

Na podlagi informacij, ki ste nam jih posredovali, vam v nadaljevanju skladno z 58. členom Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter razveljavitvi Direktive 95/46/ES (v nadaljevanju: Splošna uredba o varstvu podatkov), 7. točko prvega odstavka 49. člena Zakona o varstvu osebnih podatkov (ZVOP-1) ter 2. členom Zakona o informacijskem pooblaščencu (ZInfP) posredujemo naše neobvezujoče mnenje v zvezi z vašimi vprašanji. Pojasnjujemo še, da se lahko IP dokončno opredeli do konkretnih primerov obdelave osebnih podatkov le v morebitnem inšpekcijskem postopku.

Po mnenju IP je dopustno, da izvajalec zdravstvene dejavnosti pošlje NIJZ-ju številko službenega digitalnega certifikata in naziv njegovega izdajatelja, ki pripada notranje pooblaščeni osebi, ki bo poročala podatke v sistem eSZBO.

NIJZ je kot upravljavec osebnih podatkov dolžan, da prejeta pooblastila in v sistem vnesene podatke o certifikatih varuje v skladu s strogimi pravili o zagotavljanju varnosti osebnih podatkov iz 5. in 32. člena Splošne uredbe o varstvu podatkov in 24. člena ZVOP-1.

O b r a z l o ž i t e v:

Spletni portal eSZBO, kot informacijska rešitev, ki zagotavlja informacijsko podporo procesu elektronskega poročanja podatkov o zunajbolnišničnih obravnavah, mora zagotavljati učinkovit sistem avtorizacije in avtentikacije uporabnikov sistema. Uporaba digitalnih certifikatov pooblaščenih oseb služi avtentikaciji za uporabo sistema eSZBO. To pomeni, da se sistem prepriča, da je konkretni uporabnik (poročevalec) zares tisti uporabnik, za kogar se predstavlja, da je.

Vendar pa mora sistem tudi vedeti, kdo je pooblaščeni uporabnik in zgolj temu, ki je bil vnesen v sistem na podlagi predhodnega pooblastila, dopustiti uporabo digitalnega certifikata. Sistem mora uporabnika (pooblaščenega poročevalca) sistema z gotovostjo tudi identificirati in mu na tej podlagi dovoliti dostop do portala. To se doseže s poznavanjem serijske številke digitalnega potrdila pooblaščenega uporabnika, ki jo odgovorna oseba izvajalca predhodno navede v pooblastilu. Na podlagi teh dveh posredovanih podatkov je vsak pooblaščeni uporabnik vključen v portal eSZBO. Iz digitalnega potrdila, s katerim uporabnik dostopa na portal, se najprej izlušči serijska številka potrdila in naziv izdajatelja (ta dva podatka nedvoumno določata uporabnika). Naziv izdajatelja tega digitalnega potrdila pa je potreben zato, ker teoretično ni izključeno, da obstaja več potrdil z enako serijsko številko, če potrdila pripadajo različnim izdajateljem. Izluščeno številko digitalnega potrdila in naziv izdajatelja potem sistem primerja s serijsko številko in nazivom izdajatelja, ki sta že vnesena v sistem na podlagi prejetega pooblastila izvajalca. Če se podatki ujemajo, se potem izvede še običajna avtorizacija uporabnika s pomočjo digitalnega certifikata. Če bi upravljavec za identifikacijo uporabnika, namesto številke certifikata in izdajatelja, uporabil osebno ime, taka identifikacija ne bi bila dovolj zanesljiva.

S predhodnim posredovanjem serijskih številk digitalnih certifikatov in njihovih izdajateljev ter z vnosom teh podatkov v sistem, se zagotavlja dodatna varnost sistema.

Tudi 16. člen Zakona o elektronski identifikaciji in storitvah zaupanja (ZEISZ) določa, da organ javnega sektorja (kamor spada NIJZ) lahko za namene elektronske identifikacije, avtentikacije ali preverjanja identifikacijskih podatkov fizične osebe, hrani in obdeluje identifikacijsko oznako sredstva elektronske identifikacije (ta enolično določa digitalni certifikat oziroma njegovega imetnika).

Nadalje je pomembno, da s posredovanjem serijske številke digitalnega certifikata in izdajatelja ne pride do izvoza in posredovanja same vsebine digitalnega certifikata. Torej se NIJZ ne bi vnaprej seznanil s samim računalniškim zapisom, ki nosi podatke o imetniku certifikata, njegov javni ključ, podatke o izdajatelju, serijski številki ter obdobju veljavnosti certifikata.

Posledično je pomembno tudi, da gola številka certifikata in naziv izdajatelja sama po sebi ne omogočata funkcij, ki jih sicer omogoča digitalni certifikat kot računalniški zapis. Povedano drugače, s tema dvema podatkoma se nek tretji slaboverni uporabnik ne bi mogel uspešno avtenticirati v imenu pravega uporabnika v tej ali v kakšni drugi informacijski rešitvi.

Glede na navedeno ni videti očitne neposredne nevarnosti, da bi se posredovana podatka kot taka lahko enostavno zlorabilo za namen avtentikacije, varnega podpisovanja dokumentov ter šifriranja v imenu pravega imetnika certifikata. Seveda pa mora NIJZ v vsakem primeru poskrbeti za vse potrebne ukrepe, da ne bi prišlo do nenamerne izgube, izbrisa, spreminjanja vsebine ter nepooblaščenih dostopov do posredovanih podatkov o digitalnih certifikatih. Za spoštovanje teh dolžnosti je tudi odgovoren. IP ne more vnaprej presojati ustreznosti varnostnih rešitev ali celo potrditi, da bo NIJZ ustrezno skrbel za varnost posredovanih podatkov oziroma za preprečevanje zlorab.

Za konkretna in verodostojna pojasnila o namenu in postopku uporabe obravnavanih podatkov oziroma prejetih pooblastil ter o ukrepih za zagotavljanje varnosti teh podatkov, se je treba obrniti na NIJZ.

Prijazen pozdrav,

Pripravil:

mag. Urban Brulc, univ. dipl. prav.

samostojni svetovalec IP

Mojca Prelesnik, univ. dipl. prav.

informacijska pooblaščenka