Με πρωτοβουλία της Έλενας Ακρίτα, 14  βουλευτές του ΣΥΡΙΖΑ-ΠΣ κατέθεσαν ερώτηση προς τους Υπουργούς Υγείας και Ψηφιακής Διακυβέρνησης και Τεχνητής Νοημοσύνης σχετικά με το σοβαρό κενό ασφαλείας που εντοπίστηκε στην πλατφόρμα eHealth.

Σύμφωνα με δημοσίευμα του Inside Story, το σύστημα ελέγχου γνησιότητας ιατρικών βεβαιώσεων ήταν διάτρητο για σχεδόν 5 χρόνια, από τις 2 Αυγούστου 2021 έως τουλάχιστον τις 19 Μαΐου 2026.

Οποιοσδήποτε χρήστης, αλλάζοντας απλώς ψηφία στον κωδικό αναγνώρισης βεβαίωσης, μπορούσε να αποκτήσει ανεμπόδιστη πρόσβαση σε διαγνώσεις, φαρμακευτικές αγωγές και ευαίσθητα ιατρικά δεδομένα τρίτων — δεδομένα υψηλής προστασίας βάσει της νομοθεσίας περί Προσωπικών Δεδομένων.

Το κενό δεν εντοπίστηκε από το Υπουργείο Υγείας ή την ΗΔΥΚΑ Α.Ε., αλλά από ιδιώτη.

Η ΗΔΥΚΑ φέρεται να χαρακτήρισε το περιστατικό «χαμηλού κινδύνου» και να μην το γνωστοποίησε στην αρμόδια Αρχή Προστασίας Δεδομένων.

Οι βουλευτές ζητούν να διευκρινιστεί πότε ενημερώθηκαν οι αρμόδιες αρχές για το κενό ασφαλείας, πόσοι πολίτες ενδέχεται να επηρεάστηκαν, ποιες ενέργειες έγιναν για την αποκατάσταση του προβλήματος και αν υπήρξε ενημέρωση της Αρχής Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και των θιγόμενων πολιτών.

Ακολουθεί η Ερώτηση.

ΕΡΩΤΗΣΗ

Προς  τους Υπουργούς:

• Υγείας
• Ψηφιακής Διακυβέρνησης

           ΘΕΜΑ: «Κενό ασφαλείας στην πλατφόρμα eHealth – Tρίτοι είχαν πρόσβαση στα ιατρικά δεδομένα των πολιτών»

Σύμφωνα με δημοσίευμα του Inside Story (26 Mαΐου 2026), η πλατφόρμα ελέγχου γνησιότητας ιατρικών βεβαιώσεων του Υπουργείου Υγείας (ehealth.gov.gr) παρουσίαζε σοβαρό σχεδιαστικό κενό ασφαλείας από την ημέρα λειτουργίας της (2 Αυγούστου 2021) έως τουλάχιστον τις 19 Μαΐου 2026, δηλαδή για σχεδόν πέντε χρόνια.

Οποιοσδήποτε εξουσιοδοτημένος χρήστης, μετά τη σύνδεσή του με κωδικούς Taxisnet, μπορούσε να αποκτήσει πρόσβαση σε ιατρικές βεβαιώσεις ξένων προσώπων απλώς τροποποιώντας κατά βούληση ένα ή περισσότερα ψηφία του 13ψήφιου αναγνωριστικού αριθμού βεβαίωσης. Χωρίς κανένα επιπλέον μέτρο ελέγχου.

Τα δεδομένα στα οποία είχε κανείς πρόσβαση με αυτόν τον τρόπο, περιλαμβάνουν διαγνώσεις, φαρμακευτικές αγωγές και λοιπές ευαίσθητες πληροφορίες υγείας, οι οποίες κατατάσσονται ως ειδική κατηγορία δεδομένων υψηλής προστασίας βάσει του άρθρου 9, παρ. 1 του Γενικού Κανονισμού Προσωπικών Δεδομένων (Κανονισμός ΕΕ 2016/679).

Πρόκειται για κενό ασφαλείας που εξέθετε προσωπικά ιατρικά δεδομένα σε οποιουσδήποτε κακόβουλους τρίτους, μεταξύ άλλων και σε πρόσωπα που θα ήθελαν να τα εκμεταλλευτούν εμπορικά, να τα διαβιβάσουν σε ασφαλιστικές εταιρείες ή άλλους φορείς. Χωρίς να μπορεί να αποκλειστεί ότι κάτι τέτοιο έχει όντως συμβεί.

Είναι προφανές ότι είναι δυνατό να θεμελιωθεί παραβίαση πολλών διατάξεων του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων.

Το κενό δεν εντοπίστηκε από το αρμόδιο Υπουργείο Υγείας ή την ΗΔΥΚΑ Α.Ε.. Αποκαλύφθηκε από ένα ιδιώτη και επαληθεύτηκε από μια ερευνήτρια δημοσιογράφο. Η ΗΔΥΚΑ φέρεται να εκτίμησε το περιστατικό ως χαμηλού κινδύνου και να κατέληξε ότι δεν συντρέχει υποχρέωση γνωστοποίησής του στην εποπτική αρχή, δηλαδή την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα, όπως προβλέπουν οι διατάξεις του άρθρου 33 του ΓΚΠΔ.

Κατόπιν τούτων,

Ερωτώνται οι αρμόδιοι Υπουργοί :

1. α) Είναι ενήμεροι για το εν λόγω κενό ασφαλείας και ποιες ακριβώς ενέργειες έχουν διενεργηθεί από το Υπουργείο Υγείας και την ΗΔΥΚΑ Α.Ε. από τη στιγμή της γνωστοποίησής του; β) Υπάρχει πρόθεση για διενέργεια τεχνικού ελέγχου και σε άλλες ψηφιακές πλατφόρμες που διαχειρίζονται, ώστε να εντοπιστούν παρόμοια κενά ασφαλείας;
2. Έχει γνωστοποιηθεί το περιστατικό στην ΑΠΔΠΧ, σύμφωνα με την υποχρέωση του άρθρου 33 του ΓΚΠΔ; Εάν όχι, με ποια αιτιολογία κρίθηκε ότι δεν συντρέχει τέτοια υποχρέωση;
3. Έχει διενεργηθεί «εκτίμηση αντικτύπου σχετικά με την προστασία δεδομένων» για την πλατφόρμα, σύμφωνα με το άρθρο 35 ΓΚΠΔ; Εάν ναι, ποια ήταν τα ευρήματά της;
4. α) Διαθέτει η ΗΔΥΚΑ Α.Ε. αρχεία καταγραφής πρόσβασης που να επιτρέπουν τον προσδιορισμό του πλήθους και της ταυτότητας των χρηστών που ανέκτησαν βεβαιώσεις τρίτων κατά το διάστημα 2021–2026; β) Εάν ναι, πόσοι πολίτες ενδέχεται να επηρεάζονται από το περιστατικό; Προτίθενται να τους ενημερώσουν ατομικά ότι οι ιατρικές βεβαιώσεις τους ήταν δυνητικά προσβάσιμες από τρίτους;

Οι Ερωτώντες Βουλευτές

Ακρίτα Έλενα

Παναγιωτόπουλος Ανδρέας

Tσαπανίδου Πόπη

Βέττα Καλλιόπη

Γαβρήλος Γεώργιος

Δούρου Ρένα

Μαμουλάκης Χάρης

Μεϊκόπουλος Αλέξανδρος

Μπάρκας Κωνσταντίνος

Νοτοπούλου Αικατερίνη

Ξανθόπουλος Θεόφιλος

Παπαηλιού Γεώργιος

Παππάς Νίκος

Ψυχογιός Γεώργιος