Beadták az oltást, kinyerték az adatokat

D KOM20210129002
2021.02.06. 06:03

Mindaddig nem tűnt túl izgalmas témának, hogy a koronavírus elleni védőoltás miatt hogyan fogják kezelni az adatainkat, amíg a Bloombergen a napokban meg nem jelent egy írás. Arról szólt, hogy Izrael nem csak azért tudta a világon egyedülálló sebességgel beoltatni a lakossága mintegy negyedét (január közepéig 100-ból 22 embert), mert

  • kis híján dupla árat fizetett egy adag vakcináért a Pfizernek,
  • hanem azért is, mert a kifizetést megtoldotta némi adatszolgáltatással is.

A Bloomberg oknyomozó csoportja kiderítette, az izraeli vezetés megállapodott a Pfizer/BioNTechkel, hogy a gyors szállításokért cserébe az ország egészségügyi vezetése elmondja, miképp tudták végigvinni az oltási programot rendkívül magas hatékonysággal. Bár az egyezséget nem ismerjük teljes részleteiben, és az adatmegosztás révén akár még tökéletesíteni is lehet az oltási terveket a különböző országokban, a portál újságírói szerint nem csupán azokat az infókat szerezte meg a Pfizer, amelyeket hivatalosan megkaphatott volna.

Hanem összesített járványügyi adatokat, köztük olyan személyes adatokat is, melyek alapján ugyan nem lehet eljutni az adatszolgáltató páciensekig, de a gyártó „percről percre” tudja követni a vakcina hatékonyságát.

A cikkben megszólal a Georgetown Egyetem egyik jogászprofesszora is, Lawrence Gostin. Megítélése szerint 

az izraeliek Pfizerrel kötött megállapodása „sáros”. 

Adatvédelmi szakemberek ehhez annyit tettek hozzá, hogy egyelőre nem lehet tudni, mennyi adatot kapott a Pfizer, és milyen biztonságosan fogják kezelni őket. A Paris-Dauphine Egyetemen európai joggal foglalkozó Olivia Tambou más szemszögből vizsgálta a kérdést, szerinte a koronavírus kapcsán folytatott globális „adatszolidaritás” csak akkor maradhat meg, ha az adatokat kezelők garantálják az információk biztonságát, az adatkezelésünk átláthatóságát.

Az anonimizálás nem garancia

A Taylor Wessing ügyvédi iroda adatvédelmi szakemberei eljuttattak az Indexhez egy állásfoglalást a témában. Ebben hangsúlyozzák, hogy az EU adatvédelmi berendezkedése, a GDPR magas színvonalon védi a személyes adatainkat, különös tekintettel a különleges adatnak minősülő egészségügyi adatokra. Bizonyára a Pfizer és Izrael közötti egyezségnek sem az volt a célja, hogy egyes személyekre visszavezethető egészségügyi adatokat továbbítsanak, hanem hogy az adatok úgy cseréljenek gazdát, hogy visszafordíthatatlanul elveszítsék személyes jellegüket, magyarul ne lehessen róluk kideríteni, kire vonatkoznak.

Ennek egyik formája az anonimizálás, ezzel azonban nem hárul el annak a veszélye, hogy az adataink illetéktelen kezekbe kerüljenek.

Az adatok anonimizálása első hallásra egyszerűnek tűnhet, azonban gyakorta összekeverik az álnevesítés fogalmával, amikor csupán annyi történik, hogy például az oltásban részesültekre vonatkozó adatokat nem névvel, hanem sorszámmal rögzítik. Belátható, hogy álnevesítéssel akár csak néhány általánosabb adat birtokában (például korcsoport, egyéb betegségek, tünetek) is fennállhat a lehetősége az eredeti adatalany beazonosításának. Pontosan e kockázat miatt a GDPR az álnevesített adatokat változatlanul személyes adatként kezeli, kiterjesztve rá valamennyi adatvédelmi követelményt

– magyarázza Ódor Dániel, a Taylor Wessing adatvédelmi csapatának vezetője. Hozzátette: a big data és a technológiai alapú adatelemzések korában meglehetősen bonyolult eljárás elérni, hogy végképp garantálható legyen az adatok végleges visszakövethetetlensége. Anonimizálás esetén a cél nem csupán az, hogy egy személy nevének, címének visszafejtését megakadályozzák, hanem egyúttal biztosítani kell a kiválasztás, összekapcsolhatóság és következtetés útján történő lehetséges azonosíthatóság kizártságát is. 

Nálunk „az intézmény” kezeli az adatokat

Magyarországon február 5-ig több mint 264 ezren kaptak oltást. A beadáshoz szükséges regisztrációhoz és magához az oltáshoz kapcsolódik egy adatkezelési tájékoztató, mely az oltópontként működő Dél-Pesti Centrumkórház oldalán található.

A dokumentum szerint „az oltási tevékenység hatékony megszervezéséhez, lebonyolításához, a betegek és az oltópont közötti hatékony kommunikáció elősegítéséhez” meg kell adnunk a nevünket, tajszámunkat, születési dátumunkat, nevünket, lakcímünket, e-mail-címünket és mobilszámunkat. Amíg vissza nem vonjuk a nyilatkozatunkat személyes adataink kezelésének engedélyezéséről, addig „az intézmény”, vagyis az oltási pontot működtető kórház kezelheti őket – egészen a második oltás beadását és regisztrációját követően egy hónapig.

A tájékoztatóban az is benne van, hogy az adatainkat védett adatbázisban tárolja az intézmény, és külföldre, harmadik félnek nem adhatja tovább.

Bár ez félreérthetetlenül jelzi, hol van a határa az adataink kezelésének, megkérdeztük az operatív törzset és a vakcinaszállítási szerződéseket megkötő külügyminisztériumot, hogy született-e bármelyik gyógyszergyártóval olyan megállapodást, melynek keretében páciensek adatait adjuk át. Amint választ kapunk, tájékoztatjuk olvasóinkat.

(Borítókép: Oltást kap egy idősotthon lakója 2021. január 29-én. Fotó: Komka Péter / MTI)