Повереник за информације од јавног значаја и заштиту података о личности у писму упућеном министру здравља позвао је на хитно предузимање мера којима ће се обезбедити да подаци о личности у оквиру Интегрисаног здравственог информационог система (ИЗИС) буду заштићени од неовлашћеног приступа и сваке друге злоупотребе, као и да се функционисање ИЗИС-а регулише на једини правно ваљан начин - законом. Повереник је претходно у поступку надзора утврдио да је Министарство без ваљаног правног основа успоставило ИЗИС као централизовану, електронску збирку података у оквиру које врши обраду података о личности пацијената (укључујући по закону "нарочито осетљивим" подацима) и запослених из 451 здравствене установе.
Обрада података о личности сходно чл. 42 Устава "уређује се законом". Само се законом, не и подзаконским актима, може стварати правни основ за обраду података о личности и уређивати сврха обраде и врста података који се обрађују. Ни једним од релевантних закона (Закон о здравственој документацији и евиденцијама у области здравства, Закон о здравственој заштити, Закон о јавном здрављу) не предвиђа се и не уређује обрада података о личности која се врши у оквиру ИЗИС-а. Уредба о Програму рада, развоја и организацији Интегрисаног здравственој информационог система "е-здравље", осим што као подзаконски акт не може представљати правни основ за обраду података о личности, то није чак ни по својој садржини.
Наведено је, поред осталог, био разлог због кога су неки од субјеката здравственог система попут РФЗО с правом одбили да достављају личне податке из матичне евиденције, што само по себи, независно од проблема с правним основом, доводи у питање функционалност система.
Ништа мање важно је то да је осим проблема са правним основом, у поступку надзора утврђено да постоје веома озбиљни пропусти у заштити података о личности који подразумевају велики ризик неовлашћеног приступа и других злоупотреба великих размера.
Тим поводом Повереник је Министарству октобра прошле године упутио Упозорење са прецизним навођењем неправилности и детаљним описом чињеничног и правног стања.
Министарство је обавестило Повереника да је имплементирало систем којим су отклоњени недостаци у заштити података о личности, што су представници Министарства здравља поновили на састанку са представницима Повереника који је одржан јуче, 12. 01. 2017. године. Међутим, одмах након завршетка поменутог састанка сарадници Повереника су извршили проверу могућности приступа подацима о личности пацијената и утврдили да је стање непромењено у односу на стање које је наведено у Упозорењу из октобра 2016. године, односно да није отклоњена могућност неовлашћеног приступа тим подацима.
Даље одржавање постојећег стања правно је неприхватљиво, а фактички подразумева ризик компромитовања и злоупотребе личних података пацијената и наступања великих неотклоњивих штетних последица, због чега Повереник очекује да Министарство здравља без одлагања обезбеди да подаци о личности у оквиру ИЗИС-а буду заштићени од неовлашћеног приступа, као и да предузме кораке потребне да би обрада података о личности у оквиру ИЗИС-а била правно ваљана, дакле уређена законом.