Στις 11 Μαρτίου 2025 ανακοινώθηκε επίσημα η έναρξη λειτουργίας του Εθνικού Ηλεκτρονικού Φακέλου Υγείας (https://greece20.gov.gr/nehr/). Εκείνο που δεν αναφέρεται στην ανακοίνωση των Υπουργείων Υγείας και Ψηφιακής Διακυβέρνησης, είναι αν στη νέα αυτή ψηφιακή υπηρεσία του Εθνικού Σχεδίου Ανάκαμψης και Ανθεκτικότητας Ελλάδα 2.0, έχει ληφθεί υπόψη η γνωμοδότηση του υπεύθυνου Προστασίας Δεδομένων (ΥΠΔ) του υπουργείου Υγείας, κ. Δημήτρη Ζωγραφόπουλου για παραβίαση της εθνικής και κοινοτικής νομοθεσίας σε ό,τι αφορά στην προστασία των προσωπικών δεδομένων και συγκεκριμένα τη Γνωμοδότηση (https://hiu.gr/s/13) η οποία εκδόθηκε στις 26 Φεβρουαρίου 2025, δηλαδή λιγότερο από έναν μήνα πριν.
Ο Φάκελος Υγείας, που ανακοινώθηκε παραπάνω και είναι ήδη ενεργός ως υπηρεσία, βασίζεται ακριβώς στην ψηφιοποίηση ιατρικών φακέλων και αρχείων από τις υποδομές του ΕΣΥ. Έτσι, σε περίπτωση που -όπως δυστυχώς φοβόμαστε– δεν εφαρμόστηκε τίποτε από όσα ζητούσε ο κος Ζωγραφόπουλος ως προς την πλήρη και υποχρεωτική συμμόρφωση με το ΓΚΠΔ (GDPR), τα ευαίσθητα προσωπικά δεδομένα των πολιτών που αφορούν στην υγεία τους (γνωματεύσεις εξετάσεων, καταγραφή ιατρικών πράξεων, συνταγογραφήσεις, κλπ) είναι απροστάτευτα και μη σύννομα ψηφιοποιημένα, σύμφωνα με τις παρατηρήσεις του ΥΠΔ.
Σύμφωνα με δημοσιεύματα ήδη από τις 26 Φεβρουαρίου 2025 (https://hiu.gr/s/18, https://hiu.gr/s/19), στη γνωμοδότηση του YΠΔ αναφέρεται ότι τόσο η ίδια η Διακήρυξη του έργου όσο και ο τρόπος υλοποίησής του είναι άκρως προβληματική με βάση το κοινοτικό και εθνικό νομικό πλαίσιο που ρυθμίζει την προστασία των προσωπικών δεδομένων. Όπως επισημαίνεται, ο σχεδιασμός του έργου, όχι μόνον δεν διασφαλίζει το «μηδενικό σφάλμα» σε ένα σύστημα τόσο μεγάλης σημασίας, αλλά δεν αποκλείεται, με το τρόπο σχεδιασμού και υλοποίησης του, ιατρικά δεδομένα ενός προσώπου να βρεθούν στο Ατομικό Ηλεκτρονικό Φάκελο Υγείας (ΑΗΦΥ) άλλου προσώπου.
Περαιτέρω αναφέρεται: «Με βάση τη Διακήρυξη, όχι μόνον δεν κατοχυρώνεται η αρχή του μηδενικού λάθους στο παραγόμενο προϊόν των ψηφιοποιημένων φακέλων των ασθενών, αλλά αντίθετα επιτρέπεται η ύπαρξη σφαλμάτων με βάση στατιστικούς υπολογισμούς, της τάξεως του 1%. Πρακτικά αυτό σημαίνει ότι όχι μόνον δεν αποκλείεται η πιθανότητα κάποιος ασθενής ως τελικός χρήστης, να μην παραλάβει το σύνολο των δεδομένων του ή ακόμα να ανακαλύψει στον φάκελό του δεδομένα άλλου ασθενή, αλλά το ότι τα ενδεχόμενα αυτά αναγνωρίζονται από την υλοποίηση του έργου ως εξαιρετικά πιθανά και ανεκτά από στατιστικής απόψεως».
Στη γνωμοδότηση επίσης αναφέρεται ότι από νομικής άποψης σε τέτοιες περιπτώσεις συντρέχουν παραβιάσεις ρητών διατάξεων του GDPR και ότι παραβιάζονται από κοινού οι θεμελιώδεις αρχές της ακρίβειας των δεδομένων και της ακεραιότητας, εμπιστευτικότητας και διαθεσιμότητας των δεδομένων. Επίσης, αναφέρονται πέντε επιπλέον λόγοι για τους οποίους «πάσχει», ο σχεδιασμός και η υλοποίηση του έργου με βάση την Διακήρυξη που υλοποίησε η Κοινωνία της Πληροφορίας για λογαριασμό του χρηματοδότη του έργου, που είναι το υπουργείο Ψηφιακής Διακυβέρνησης.
Ως Ένωση Πληροφορικών είμαστε υποχρεωμένοι να καταδεικνύουμε όσο νωρίτερα μπορούμε τέτοια ζητήματα, ώστε να διορθώνονται εγκαίρως και -αν μη τι άλλο- να προλαμβάνονται σκάνδαλα. Τέτοιες άκρως προβληματικές καταστάσεις, όπως η περίπτωση με τα φορολογικά δεδομένα Ελλήνων πολιτών το 2013 (https://hiu.gr/s/14) το οποίο και πάλι είχαμε αναδείξει (https://hiu.gr/s/15), ή το ίσως ακόμη πιο σοβαρό περιστατικό σε ΗΠΑ και Ευρώπη, γνωστό ως υπόθεση Cambridge-Analytica (https://hiu.gr/s/16).
Η ΕΠΕ δεσμεύεται να συνεχίσει να παρακολουθεί αυτά τα ζητήματα και να ενημερώνει τους πολίτες, όπως είναι υποχρεωμένη να πράττει βάσει του Καταστατικού της και του Κώδικα Δεοντολογίας για την Πληροφορική.
Το Διοικητικό Συμβούλιο της Ένωσης Πληροφορικών Ελλάδας
