ΕΡΩΤΗΣΗ

Προς  τους Υπουργούς:

• Υγείας
• Ψηφιακής Διακυβέρνησης

           ΘΕΜΑ: «Κενό ασφαλείας στην πλατφόρμα eHealth – Tρίτοι είχαν πρόσβαση στα ιατρικά δεδομένα των πολιτών»

Σύμφωνα με δημοσίευμα του Inside Story (26 Mαΐου 2026), η πλατφόρμα ελέγχου γνησιότητας ιατρικών βεβαιώσεων του Υπουργείου Υγείας (ehealth.gov.gr) παρουσίαζε σοβαρό σχεδιαστικό κενό ασφαλείας από την ημέρα λειτουργίας της (2 Αυγούστου 2021) έως τουλάχιστον τις 19 Μαΐου 2026, δηλαδή για σχεδόν πέντε χρόνια.

Οποιοσδήποτε εξουσιοδοτημένος χρήστης, μετά τη σύνδεσή του με κωδικούς Taxisnet, μπορούσε να αποκτήσει πρόσβαση σε ιατρικές βεβαιώσεις ξένων προσώπων απλώς τροποποιώντας κατά βούληση ένα ή περισσότερα ψηφία του 13ψήφιου αναγνωριστικού αριθμού βεβαίωσης. Χωρίς κανένα επιπλέον μέτρο ελέγχου.

Τα δεδομένα στα οποία είχε κανείς πρόσβαση με αυτόν τον τρόπο, περιλαμβάνουν διαγνώσεις, φαρμακευτικές αγωγές και λοιπές ευαίσθητες πληροφορίες υγείας, οι οποίες κατατάσσονται ως ειδική κατηγορία δεδομένων υψηλής προστασίας βάσει του άρθρου 9, παρ. 1 του Γενικού Κανονισμού Προσωπικών Δεδομένων (Κανονισμός ΕΕ 2016/679).

Πρόκειται για κενό ασφαλείας που εξέθετε προσωπικά ιατρικά δεδομένα σε οποιουσδήποτε κακόβουλους τρίτους, μεταξύ άλλων και σε πρόσωπα που θα ήθελαν να τα εκμεταλλευτούν εμπορικά, να τα διαβιβάσουν σε ασφαλιστικές εταιρείες ή άλλους φορείς. Χωρίς να μπορεί να αποκλειστεί ότι κάτι τέτοιο έχει όντως συμβεί.

Είναι προφανές ότι είναι δυνατό να θεμελιωθεί παραβίαση πολλών διατάξεων του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων.

Το κενό δεν εντοπίστηκε από το αρμόδιο Υπουργείο Υγείας ή την ΗΔΥΚΑ Α.Ε.. Αποκαλύφθηκε από ένα ιδιώτη και επαληθεύτηκε από μια ερευνήτρια δημοσιογράφο. Η ΗΔΥΚΑ φέρεται να εκτίμησε το περιστατικό ως χαμηλού κινδύνου και να κατέληξε ότι δεν συντρέχει υποχρέωση γνωστοποίησής του στην εποπτική αρχή, δηλαδή την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, όπως προβλέπουν οι διατάξεις του άρθρου 33 του ΓΚΠΔ.

Κατόπιν τούτων,

Ερωτώνται οι αρμόδιοι Υπουργοί :

1. α) Είναι ενήμεροι για το εν λόγω κενό ασφαλείας και ποιες ακριβώς ενέργειες έχουν διενεργηθεί από το Υπουργείο Υγείας και την ΗΔΥΚΑ Α.Ε. από τη στιγμή της γνωστοποίησής του; β) Υπάρχει πρόθεση για διενέργεια τεχνικού ελέγχου και σε άλλες ψηφιακές πλατφόρμες που διαχειρίζονται, ώστε να εντοπιστούν παρόμοια κενά ασφαλείας;
2. Έχει γνωστοποιηθεί το περιστατικό στην ΑΠΔΠΧ, σύμφωνα με την υποχρέωση του άρθρου 33 του ΓΚΠΔ; Εάν όχι, με ποια αιτιολογία κρίθηκε ότι δεν συντρέχει τέτοια υποχρέωση;
3. Έχει διενεργηθεί «εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων» για την πλατφόρμα, σύμφωνα με το άρθρο 35 ΓΚΠΔ; Εάν ναι, ποια ήταν τα ευρήματά της;
4. α) Διαθέτει η ΗΔΥΚΑ Α.Ε. αρχεία καταγραφής πρόσβασης που να επιτρέπουν τον προσδιορισμό του πλήθους και της ταυτότητας των χρηστών που ανέκτησαν βεβαιώσεις τρίτων κατά το διάστημα 2021–2026; β) Εάν ναι, πόσοι πολίτες ενδέχεται να επηρεάζονται από το περιστατικό; Προτίθενται να τους ενημερώσουν ατομικά ότι οι ιατρικές βεβαιώσεις τους ήταν δυνητικά προσβάσιμες από τρίτους;

Οι Ερωτώντες Βουλευτές

Ακρίτα Έλενα

Παναγιωτόπουλος Ανδρέας

Tσαπανίδου Πόπη

Βέττα Καλλιόπη

Γαβρήλος Γεώργιος

Δούρου Ρένα

Μαμουλάκης Χάρης

Μεϊκόπουλος Αλέξανδρος

Μπάρκας Κωνσταντίνος

Νοτοπούλου Αικατερίνη

Ξανθόπουλος Θεόφιλος

Παπαηλιού Γεώργιος

Παππάς Νίκος

Ψυχογιός Γεώργιος