W ciągu kilku dni, a dokładnie pomiędzy 25 września a 2 października 2020 r. – Public Health England, czyli agencja wykonawcza brytyjskiego Ministerstwa Zdrowia i Opieki Społecznej, „zgubiła” w swoich statystykach niemal 16 tys. potwierdzonych przypadków zakażenia koronawirusem. Niepełne dane wysyłane były m.in. do oddziału zajmującego się powiadamianiem osób mających styczność z chorymi na COVID-19 i informowaniem ich o konieczności poddania się samoizolacji. W związku z incydentem, nawet 50 tys. osób otrzymało takie zawiadomienie z tygodniowym opóźnieniem.
Problem spowodowany był sposobem w jaki agencja PHE zbierała dane z firm wykonujących testy na COVID-19. Podmioty te przekazywały dane w formacie CSV, które następnie agregowano w arkuszu programu MS Excel. Z kolei arkusze te dalej dystrybuowano do pozostałych organizacji rządowych.
Public Health England zautomatyzowała ten proces, korzystając przy tym z przestarzałego formatu plików XLS. Format ten ograniczał możliwość tworzenia plików jedynie do 65.000 wierszy i już w 2007 roku został zastąpiony przez format XLSX. PHE zwlekało jednak z przejściem na nowy format, przez co kompilowane codziennie pliki „gubiły” po ok. 2 tys. zbadanych przypadków (przy importowaniu danych wszystkie wiersze powyżej limitu 65.000 nie były zapisywane).
Naruszenie ochrony danych osobowych
Warto przyjrzeć się temu wydarzeniu z perspektywy prawa ochrony danych osobowych. Przepisy RODO nakładają na administratora danych osobowych m.in. obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się w sposób zgodny z prawem. Do takich, z całą pewnością, należy wybór odpowiedniego programu do przetwarzania danych, a następnie zapewnienie jego aktualizacji. Opisana powyżej sytuacja nosi znamiona incydentu naruszenia ochrony danych osobowych – doszło do przypadkowej utraty przetwarzanych danych. Zgodnie z art. 33 RODO takie zdarzenie powinno być zgłoszone do właściwego organu nadzorczego w terminie 72 godzin od jego wykrycia. Zgodnie zaś z art. 83 RODO takie naruszenie wiąże się z ryzykiem nałożenia administracyjnej kary pieniężnej.
Jak wynika z doniesień prasowych, to nie jedyne naruszenie RODO w związku z działaniem PHE w walce z koronawirusem. Przed przystąpieniem do przetwarzania danych w ramach programu Test and Trace – mającego umożliwić, poprzez m.in. aplikację mobilną, namierzenie osób mających wcześniej kontakt z chorym – nie przeprowadzono oceny skutków tego przetwarzania (DPIA). Czynność tę wykonano dopiero około 5 miesięcy po rozpoczęciu przetwarzania, podczas gdy art. 35 RODO nakazuje wykonać ją przed przystąpieniem do niego. Oczywiście nie można zapomnieć, że system ten wdrażano w pośpiechu i w takich warunkach ochrona zdrowia jawiła się jako ważniejsza niż ochrona danych osobowych. Na niekorzyść PHE przemawia jednak fakt, iż do dopełnienia procedur przewidzianej przez RODO doszło dopiero na skutek interwencji organizacji pozarządowej zajmującej się ochroną danych osobowych.
Zgodność z normą ISO/IEC 27001
Oprócz kontekstu ochrony danych osobowych, warto przyjrzeć się tej sprawie również z perspektywy compliance.
Cały system służby zdrowia w Wielkiej Brytanii deklaruje zgodność z normami ISO/IEC 9001 oraz ISO/IEC 27001. Ta druga wprost nakazuje zapewnić nadzór nad zmianami w wykorzystywanych systemach (A.14.2.2) i ochronę zapisów przed utratą czy zniszczeniem stosownie do obowiązujących wymogów prawnych i regulacyjnych (A.18.1.3). Warto w tym miejscu zaznaczyć, iż program MS Excel (nawet w najbardziej aktualnej wersji) nie jest przeznaczony do wykonywania operacji na bardzo dużych zbiorach danych. Stąd wątpliwości budzi nie tylko korzystanie z jego nieaktualnej wersji, ale nawet sam fakt wybrania go do realizacji tak istotnego procesu. Można oczywiście uzasadnić korzystanie z takiego narzędzia w początkowym okresie pandemii, na zasadzie rozwiązania prowizorycznego, jednak docelowo powinno zostać wdrożone rozwiązanie korzystające z instrumentów dedykowanych do tego rodzaju i skali przetwarzania danych.
Rozważyć również należy (choć oczywiście na podstawie informacji prasowych trudno wyciągnąć tu kategoryczne wnioski) czy nie doszło do naruszenia przez PHE również innych obowiązków wynikających z ISO/IEC 27001: odpowiedniego zaplanowania procesów w kontekście ryzyk dla bezpieczeństwa informacji (punkt 6 normy), czy też zachowania standardów działań operacyjnych – przede wszystkim, w kontekście nadzoru nad nimi (punkt 8 normy).
Podsumowanie
Podsumowując, niedopatrzenie, którego dopuściła się agencja Public Health England, wskazuje jak ważna jest dbałość o aktualność oprogramowania, z którego się korzysta. Duże znaczenie ma również zapewnienie prawidłowego nadzoru nad przygotowaniem każdego procesu przetwarzania danych osobowych i jego prawidłową realizacją. Pozornie nieduży błąd – polegający na odstąpieniu od korzystania z najnowszych wersji oprogramowania – miał daleko idące, niezamierzone konsekwencje.
Deklarując zgodność z określonymi normami, należy nie tylko wprowadzić odpowiednie środki organizacyjne i sporządzić stosowną dokumentację, ale pamiętać o całym „cyklu Deminga” (PDCA: Plan, Do, Check, Act). Skoro zaplanowane procedury okazały się nieprawidłowe, Public Health England powinien teraz wdrożyć działania korygujące, zgodnie z deklarowanymi standardami jakości.
Z zainteresowaniem oczekujemy na reakcję brytyjskiego Information Commissioner’s Office w tej sprawie.
Zawsze warto uczyć się na cudzych błędach. To może być dobry moment by zadać sobie pytanie, z ilu „prowizorycznych” rozwiązań korzystamy od lat? Czy pamiętamy o aktualizacji oprogramowania? Czy stosowane oprogramowanie jest na pewno przydatne do celów, do którego je używamy?