Szwajcarska platforma dla cyfrowej karty szczepień musi zostać zamknięta

W Szwajcarii, dzięki stronie internetowej "meineimpfungen.ch", uruchomiono rozwiązanie w postaci cyfrowej karty szczepień. Promował to Federalny Urząd Zdrowia Publicznego. Wszakże, zwłaszcza w obecnej sytuacji, powinno ono uczynić szczepienie Covid 19 łatwo weryfikowalnym. Powinno to np. umożliwić Szwajcarom wyjazd na wakacje tam, gdzie dowód szczepienia to umożliwia.

Ale właśnie w module stworzonym w tym celu sprawy poszły tak źle.

Luki w zabezpieczeniach

Już w marcu okazało się, że platforma posiada istotne luki w zabezpieczeniach.

Podstawowym założeniem było to, aby obywatele mogli w jak najprostszy sposób wpisać tutaj, kiedy zostali zaszczepieni i samodzielnie sprawdzić, jakich szczepień może im brakować. Są to dane osobowe szczególnej kategorii zgodnie z art. 9 I DSGVO. Użytkownicy zostali zapewnieni, że dostęp do tych danych przez osoby trzecie (np. personel medyczny) będzie możliwy tylko za ich zgodą.

Niestety, rzeczywistość była zupełnie inna: Każdy, komu zależało, mógł zarejestrować się jako lekarz na platformie bez dalszego sprawdzania, a następnie mógł zobaczyć wszystkie dane użytkowników. Identyfikator użytkownika był zwykłym znacznikiem czasowym daty rejestracji, dzięki czemu można było łatwo uzyskać kartę szczepień danego użytkownika metodą prób i błędów. Numery identyfikacyjne, które były niezbędne do rejestracji jako lekarz, znajdują się w publicznie dostępnym katalogu w Szwajcarii, więc łatwo można było je wykorzystać do własnych celów.

Przy nieco większej wiedzy technicznej dostęp do platformy poprzez funkcję resetowania hasła również powinien być możliwy.

Oprócz możliwości zarejestrowania się jako fałszywy lekarz i przeglądania danych, podobno możliwa była również zmiana danych. Podobno można było przenosić ludzi do grup ryzyka lub manipulować zapisami dotyczącymi szczepień.

To nie tylko podważa cały cel portalu, ale jest też znaczącym naruszeniem ochrony danych użytkowników.

Biurokracja

W obliczu tych oskarżeń operator początkowo wyłączył platformę, aby poprawić błędy. Wielu użytkowników straciło już jednak zaufanie i zażyczyło sobie usunięcia swoich danych. W zamian operator zażądał poświadczonej kopii dowodu osobistego, co kosztowałoby użytkownika równowartość ok. 13 euro, a także dalszych danych osobowych oraz - w przypadku osób niepełnoletnich - potwierdzenia opieki. Operator odmówił pokrycia tych kosztów. Gdy tylko platforma będzie ponownie dostępna w sieci, usunięcia danych będzie mógł dokonać każdy użytkownik samodzielnie - poinformował operator.

Do tego jednak nigdy nie doszło. Operator nie był w stanie wznowić działania strony. Nie ma jeszcze rozwiązania, jak użytkownicy mogą odzyskać swoje dane.

W tym przypadku bardzo podstawowe prawa osób, których dane dotyczą, wynikające z GDPR, są utrudniane, a w końcu praktycznie negowane.

Wobec operatorów wszczęto już postępowanie nadzorcze.

Szwajcarski parlament nie postrzega platformy jako spełniającej standardy wyznaczone dla rozwiązania cyfrowego paszportu szczepień przez niedawno uchwaloną szwajcarską ustawę Covid-19, czemu trudno się dziwić.

Jak będą wyglądały dalsze działania (wobec operatora), dopiero się okaże.