Na spletu nikoli ne vpisuj osebnih podatkov!
Matjaž Ropret 26. marca 2020 ob 14:13

Skupina zanesenjakov, med njimi je nekaj programerjev (menda iz podjetja Dewesoft), je prišla na idejo, da bi zbirala informacije o zdravstvenem stanju Slovencev in na osnovi dovolj velikega, torej reprezentativnega vzorca, poskušala dati določene zaključke, kakšno je stanje glede okužbe oz. obolelosti s covid-19. Ideja sama po sebi ni napačna in bi mogoče celo lahko dala kakšne uporabne podatke, toda način zbiranja informacij je sila vprašljiv, pa tudi njihove verodostojnosti nikakor ni mogoče zagotoviti. Vsekakor odsvetujemo vpisovanje česar koli na strani https://covid-19-stats.si.

Glavna težava pri podajanju posameznikovih informacij je v načinu »avtentikacije«. Snovalci strani so si kot podatek, ki naj bi ga uporabnik strani vpisal, ko oddaja »dnevno poročilo o simptomih«, zamislili EMŠO. To pa so pojasnili takole: »Vnašanje EMŠO je nujno za zagotavljanje konsistentnosti in verodostojnosti podatkov.« Na dnu strani pa so še zagotovili, da »ne zbiramo in obdelujemo nobenih osebnih podatkov,« in da se vpisana številka EMŠO ne pošlje nikamor, temveč anonimizira z algoritmom SHA256, »s čimer dosežemo, da do številk, ki jih hranimo, ni mogoče več priti oz. dostopati. Posledično tudi ni možno priti do prave EMŠO številke osebe, ki je izpolnila obrazec na tej spletni strani.«

Že domneva, da bo EMŠO kot preverba poskrbel za verodostojne podatke, ni povsem zanesljiva. Malce se je treba potruditi, a vseeno se da vpisovati lažne številke, ter znatno prikrajati statistiko. Na še bolj trhlih nogah pa je trditev, da anonimiziranih podatkov – ti so še vedno shranjeni – ni več mogoče pretvoriti v prave številke. Programerji na twitterju trdijo, da je postopek trivialen. Kar najbrž drži, saj točno vemo, kakšna je struktura številke EMŠO (dan, mesec, leto, oznaka za spol in zadnje tri številke, ki določijo posameznika), zato dešifriranje ni tako težavno kot pri povsem naključnih podatkih.

Nadalje bi se, kot tudi opozarja tvitosfera, lahko pojavila lažna identična stran, ki bi zajemala številke EMŠO iz kdo ve kakšnih slabih namenov. Pri tej, ki ji je podatke dalo že skoraj 130 tisoč »ljudi«, je bil namen tudi verjetno dober, premislek pred izvedbo pa malo slabši. EMŠO je osebni podatek kot denimo davčna številka ali naslov, kdor ga ima in ima potencialno dostop še do drugih baz javne uprave, lahko določene podatke hitro poveže s točno določenim človekom. In če so želeli snovalci omenjene strani EMŠO uporabiti kot podatek za identifikacijo ali celo sledenje posameznika (da je torej dejansko informacije oddalo 200 tisoč različnih Slovencev, kolikor jih želijo, in da sistem ve, kolikokrat je posameznih že vpisoval svoja opažanja), je to verjetno zelo težko početi z naključno anonimiziranimi številkami.

Naš nasvet je zato jasen – na spletu je treba biti z vpisovanjem kakršnih koli osebnih podatkov skrajno previden. Pri ljubiteljskih portalih pa še toliko bolj.

DODATEK:

Kmalu po objavi članka so svoje mnenje podali iz pisarne Informacijske pooblaščenke. Pokazali so nekaj razumevanja do namena zbiranja podatkov, vendar so podobno še marsikdo poudarili, da način anonimizacije, kot so ga uporabili na omenjeni strani, številk ne naredi zares anonimnih in so zaradi tega še vedno osebni podatek. Upravljavcem pa so še naložili, naj poskrbijo za skladnost zbiranja podatkov z zakonodajo.

Ni trajalo dolgo, da so s portala izginile bolj ali manj vse vsebine, in tako zdaj obiskovalce pričaka naslednje sporočilo: “Zaradi več tehničnih in vsebinskih težav smo zbiranje podatkov ustavili in bomo nadaljnje informacije objavili takoj, ko bodo na voljo.”

DODATEK 2:

Upravljavci strani so potrdili, da jih je Informacijska pooblaščenka opozorila “na določene nepravilnosti pri zbiranju podatkov.” Napovedali so še, da bodo portal predelali “natančno v skladu z zakonskimi zahtevami,” ter nato znova začeli zbirati podatke, saj da je bil namen strani dobro sprejet. Zatrdili so še, da so izbrisali bazo “anonimiziranih” številk EMŠO. 

Naslovna fotografija: Deposit Photos

Avtor Matjaž Ropret
mm
Matjaž že več kot desetletje in pol novinarsko pokriva tehnološki svet. Najprej na Radiu Slovenija, nato je na Delu od začetka leta 2009 do jeseni 2016 urejal redno tedensko prilogo Infoteh in pripadajočo rubriko na spletni strani. Zdaj je urednik Tehnozvezdja in hkrati glavni avtor na tej strani. Uporablja tiste naprave, ki se mu zdijo tehnološko dovolj napredne, uporabne in narejene z vsaj nekaj sloga, ne glede na znamko, operacijski sistem, platformo in ostale religiozne razloge.
Matjaž Ropret - prispevki
1 komentar
  • Tudi meni je bilo vse skupaj čudno. Fantje so bili malo površni, da niso pomislili, da je takšno zbiranje lahko sporno. Najbolj mi je čudno pravzaprav zato, ker so imeli v ekipi enega pravnika?
    Po drugi strani ne vem, kako bi iz zbranih podatkov lahko ocenjevali širitev corona virusa. Poleg corone, je še ogromno drugih vzrokov za enake simptome, med drugimi tudi placebo efekt. Iz teh podatkov torej sploh ni mogli ničesar sklepati o razširjenosti virusa.
    Nisem našel obrazložitve, zato prosim, če ima kdo še kakšno delujočo povezavo, kjer je to obrazloženo .

Dodaj odgovor

Vaš e-naslov ne bo objavljen. * označuje zahtevana polja