A Bors még május elején közölt cikket Magyar Péter öngyilkosságot hazudott – A Bors megszerezte az Országos Mentőszolgálat jegyzőkönyvét címmel és alcímmel, ebben kitakarták ugyan a személyes adatok nagy részét, de több adat elolvasható maradt. Így például az, hogy 2023 februárjában történt az eset, a főváros XII. kerületében lévő Kútvölgyi út 44-be hívtak mentőt, ami akkor Magyar Péter és Varga Judit közös lakcíme volt, és hogy a beteg egy Péter keresztnevű 41 éves férfi. A dokumentum egy apró érdekessége, hogy a bejelentő nevénél Dr. [kitakart név] Péter szerepel, ami fura annak fényében, hogy elvileg Varga hívta a férjéhez a mentőt. A lap meg is nevezte Magyart, és azt írta, a férfi az eset idején „zavart, gyógyszermérgezett” volt. Az esetről Varga már beszélt a Hajdu Péternek adott propagandainterjúban.
Kunetz Zsombor egészségügyi szakértő, a Röntgen blog szerzője azt írta akkor, hogy Magyaron kívül „senki nem hozhatta volna nyilvánosságra ezen érzékeny adatokat, ez ugyanis bűncselekmény”. Kunetz szerint az Országos Mentőszolgálat (OMSZ) vezetését azonnali hatállyal el kellett volna bocsátani, hiszen az, hogy onnan „ilyen érzékeny adatok »kiszivároghatnak«, az olyan jellegű bizonytalanságot szül a társadalom egészében az Országos Mentőszolgálat adatkezelésével és egyáltalán magával az OMSZ-szal kapcsolatban, amely nem tolerálható”.
Az OMSZ akkor homályos választ adott a kérdésünkre arról, hogyan kerülhettek napvilágra ezek a jegyzőkönyvek. Azt írták, „a dokumentáció a mentőellátást követően az EESZT rendszerébe kerül, ahol megfelelő jogosultság esetén a beteg, a törvényes képviselője, vagy másik, illetékes egészségügyi ellátó hozzáférhet”. De a Bors cikkében szereplő esetlapokat látva gyakorló mentősök azt írták: azok nem a páciens EESZT-jéből, hanem a mentőszolgálattól kerültek ki. Az EESZT-ben lévő mentős betegellátási dokumentumok másképp néznek ki, mint amiket a Bors közölt.
„Dolgozóik körében nem azonosítottak személyiségi jogsértésért vagy adatvédelmi szabályok megsértéséért felelős személyt” – állapította meg később az OMSZ belső vizsgálata.
A Tisza Párt elnöke akkor az RTL-nek azt reagálta: hazudik az OMSZ, pontosan lehet tudni, hogy ki szivárogtatott. Magyar szerint akik ismerik a rendszert, tudják, minden belépést és minden adatlekérést naplóznak, pontosan lehet tudni, hogy kinek a hozzáférésével, mikor töltötték le a róla szóló jegyzőkönyet.
NAIH: Nem Magyar Péter a sértett
A Nemzeti Adatvédelmi és Információszabadság Hatóság vizsgálatot indított, amiben a 24 cikke szerint Péterfalvi Attila elnök azt írta, az OMSZ az esettel kapcsolatban lefolytatott belső vizsgálata során megvizsgálta a cikkben megjelent dokumentumon szereplő azonosítószámmal a rendszerében kezelt esetlapot, és megállapította, hogy „az esetlap és a sajtóban megjelent dokumentum között tartalmi eltérések álltak fenn, ugyanakkor a sajtóban megjelent dokumentumon olyan adatok szerepeltek, amelyek eredetileg az esetlapon kerültek rögzítésre.” (Ez a megállapítás az OMSZ RTL-nek küldött válaszában nem szerepelt.)
A NAIH azt írja: „Az OMSZ és a Hatóság is megállapította, hogy az esetlap alapjául szolgáló mentési esemény, illetve az esetlapon szereplő adatok ismeretében készült dokumentum került nyilvánosságra, amely feltételezi, hogy a dokumentumot a sajtó részére továbbító személy az esetlapot az OMSZ rendszerében megtekintette.”
A NAIH szerint a Borsban megjelent dokumentumon egyértelműen látszik: az adatok nagy részét kitakarták, „így az nem volt megállapítható, hogy azon eredetileg pontosan milyen személyes adatok szerepeltek”. A mentőegység érkezésekor a beteg már nem volt a helyszínen, ezért az eredeti esetlapon a beteg ismeretlen személyként van megjelölve, életkora kivételével egyéb személyes adatát nem rögzítették.
A NAIH vizsgálata megállapította azt is, hogy „a mentési eseményről nem készült papíralapú dokumentáció, betegadatok hiányában az esetlap nem került feltöltésre az Elektronikus Egészségügyi Szolgáltatási Térbe (EESZT), az esetlap kapcsán más hatóság vagy a beteg részére adatszolgáltatás nem történt”.
A NAIH azt írja:
„Az OMSZ által folytatott belső vizsgálatok eredménye és a mentőszolgálat által tett nyilatkozatok alapján megállapítható, hogy a nyilvánosságra hozott személyes adatok egyedül az OMSZ rendszeréből kerülhettek ki.”
A NAIH megállapította, hogy az esetlapon szereplő személyes adatok jogosulatlan felhasználásával adatvédelmi incidens következett be, amit az adatok sajtóban történő közzététele követett. Csakhogy a NAIH szerint az incidens egészségügyi személyes adatokat nem érintett, hiszen az esetlapon nem szerepel egy konkrét beteggel kétséget kizáróan összefüggésbe hozható személyes adat.
Sőt a NAIH szerint az adatvédelmi incidens érintettjei valójában az OMSZ munkatársai, akiknek személyes adatai jogellenesen kikerültek a rendszeréből.
Az OMSZ az incidenst 72 órán belül jelentette a NAIH-nak, és „az incidensből eredő kockázatokat megfelelően értékelte, az érintett mentődolgozókat tájékoztatta” – írja a NAIH, ami szerint az OMSZ eleget tett a GDPR-ben foglalt, az incidens kezelésével kapcsolatos kötelezettségeinek.
Az OMSZ belső vizsgálata nem tudta egyértelműen megállapítani, hogy az esetlapot hányan és milyen célból tekintették meg, mivel az OMSZ rendszere csak a be- és kilépéseket, adatrögzítéseket- és adatmódosításokat naplózza, a naplózás nem terjed ki azokra a felhasználói tevékenységekre, amikor a dokumentumok adattartalmának módosítása nélkül, kizárólag az adatok megtekintésére kerül sor – írja a NAIH, ami emiatt megállapította, hogy az OMSZ nem tett eleget a saját belső szabályzatában is rögzített, a naplózásra vonatkozó követelményeknek, mivel naplózási rendszere nem alkalmas a felhasználói műveletek teljes körű utólagos felülvizsgálatára, és jogsértés esetén a felelősség megállapítására.
Így fennáll a lehetősége annak, hogy az OMSZ által kezelt egészségügyi adatokat észrevétlenül tekintenek meg jogosulatlanul, ami súlyos kockázatokat jelent a nagyszámú érintett személyes adatok védelméhez fűződő jogára nézve – írja a NAIH.
A NAIH megállapította azt is, hogy az OMSZ megsértette a GDPR-ben foglalt, az adatkezelésből eredő kockázatok mértékének megfelelő szintű adatbiztonság garantálását célzó, megfelelő technikai és szervezési intézkedések végrehajtására vonatkozó kötelezettségét, de a hatóság az ügy összes körülményének mérlegelése után nem tartotta indokoltnak a bírságot. Közölték azt is, hogy az OMSZ együttműködött, és „megkezdte az általa folytatott adatkezelés által jelentett kockázatok mértékének megfelelő szintű adatbiztonság garantálása érdekében szükséges fejlesztéseket”.
A 24 azt írja, a dokumentum nyilvánosságra kerülése miatt nyomoz a Készenléti Rendőrség Nemzeti Nyomozó Iroda, de a nyomozás érdekére tekintettel arról bővebb tájékoztatást nem adhatnak.