Az egyértelműen kiderült, hogy az EESZT nem biztonságos, bármikor kikerülhetnek belőle szenzitív egészségügyi adatok, amelyekkel visszaélhetnek.
„Felmerülhet a gyanú, hogy bűncselekmény történt, ezért bejelentést tettem az adatvédelmi hatóságnál és az alapvető jogok biztosánál” – mondta el Alexin Zoltán adatvédelmi szakértő a hirklikk.hu-nak, miután közérdekű adatigénylésből kiderült, hogy 2022-ben több mint 1 millió magyar polgár mintegy 70 millió egészségügyi dokumentumát (leleteket, ambuláns lapokat, zárójelentéseket, műtéti jegyzőkönyveket) másolták le, és adták át az Elektronikus Egészségügyi Szolgáltatási Térből.
Alexin erős összefüggést vél felfedezni a két évvel ezelőtt történetek és a mostani botrány között. Akkor – ismeretlen okok miatt – az Országos Kórházi Főigazgatóság (OKFŐ) leállította az eProfilra vonatkozó Digitális Önrendelkezési Nyilvántartás (DÖR) működését 2021. október 21-én, és a korábbi beállításokat visszaállíthatatlan módon törölte, amire – szerinte – azért lehetett szükség, hogy ki lehessen menteni tömegesen adatokat az EESZT-ből. Eredetileg az EESZT-t működtető szoftver csak megadott konkrét taj-ra vonatkozó-adatok elérését tette lehetővé. Az eProfil önrendelkezési beállításainak felfüggesztése és a kutatók számára történt tömeges adatkimentés csaknem egyidőben történt. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2022 januárjában visszakapcsoltatta a DÖR-t, ami 2022. január 14-én indult el újra. Az adatvédelmi hatóság NAIH-113-4/2022. számon hatósági eljárást indított 2022. február 10-én, aminek még nincs eredménye.
A közérdekű adatigénylésre az Országos Kórházi Főigazgatóság által megküldött válaszból (megtekinthető a kimittud.hu oldalon) az állapítható meg: két nagy budapesti egészségügyi intézmény is kapott személyes adatokat kutatás céljából. Az egyik intézménytől konkrét taj-azonosítókat kértek a leválogatáshoz – derítette ki a szakértő. A DÖR visszakapcsolása után azonban más megoldásra volt szükség, bele kellett nyúlni a szoftverbe, amit meg is tettek, kivették belőle a biztonsági korlátokat, s ezek után már taj-szám megadása nélkül is le lehetett válogatni adatokat. A másik intézmény kutatóinak már nem kellett megadniuk a taj-azonosítókat.
Tehát az első intézmény átadott több mint egymillió (1 031 328) taj-azonosítót, és a kutatók megkaptak 69 588 070 darab PDF-állományt az EESZT eKórtörténet alrendszeréből 2017. november 1-jétől, az elindulásától kezdődően 2021. december 14-ig terjedő időszakra – mutatott rá Alexin Zoltán. A PDF-állományokban pedig szinte biztosan benne volt az összes olyan személyes adat, mint a név, anyja neve, születési adatok, lakcím és a taj-azonosító, mivel ezeket nem lehet egyszerűen eltávolítani az állományokból. A szakértő megdöbbentőnek tartja, hogy az EESZT adatkezelési napló fájljában ez a leválogatás nincs rögzítve, titokban megtörténhetett, és hogy az érintettek semmilyen tájékoztatást nem kaptak.