Poverenik za informacije od javnog značaja i zaštitu podataka o ličnosti doneo je rešenje kojim je naredio Ministarstvu zdravlja Republike Srbije da odmah po prijemu rešenja, a najkasnije u roku od 8 dana od dana prijema istog, preduzme organizacione, tehničke i kadrovske mere za zaštitu podataka o ličnosti koje obrađuje u okviru Integrisanog zdravstvenog informacionog sistema (IZIS) od zloupotreba, uništenja, gubitka, neovlašćenih promena ili pristupa.
Poverenik je prethodno u postupku nadzora utvrdio da je Ministarstvo zaposlenima u ustanovama u kojima je uveden IZIS dodelio korisnička imena i lozinke za pristup IZIS koje su takve da se lako mogu "probiti" od strane neovlašćenih lica, da te lozinke dostavlja putem elektronske pošte, često na adrese elektronske pošte koje se ne vode na serverima u državini i pod kontrolom ustanova u kojima rade lica kojima su dodeljeni korisničko ime i lozinka rade već na serverima stranih pravnih lica koji su u masovnoj upotrebi (gmail, hotmail, yahoo), da nije obezbedilo da fizička lica koja pristupaju IZIS, promene lozinku koju im je dodelio te da stoga, više lekara u istoj zdravstvenoj ustanovi koristi istu lozinku, da zaboravljenu lozinku dostavlja elektronskom poštom administratoru ustanove u kojoj lice radi, a ne neposredno licu koje treba da je koristi i da komunikaciju sa administratorima tih ustanova često vrši preko adresa elektronske pošte gmail, hotmail, yahoo.
Poverenik je na sve ovo upozorio Ministarstvo još u oktobru 2016. godine, a Ministarstvo je dopisom od 01.12.2016. godine obavestilo Poverenika da je implementiralo sistem zaštite kojim su otklonjeni nedostaci u zaštiti podataka o ličnosti u okviru IZIS.
Nakon ovoga, ovlašćena lica Poverenika su u više navrata, sukcesivno, do dana donošenja ovog Rešenja izvršila proveru pristupa podacima o ličnosti u okviru IZIS korišćenjem lozinki koje je Ministarstvo inicijalno dodelilo lekarima u istoj zdravstvenoj ustanovi i utvrdila da Ministarsvo nije otklonilo navedene propuste u zaštiti podataka o ličnosti. I samo na relativno skromnom, slučajnom uzorku zdravstvenih ustanova, potvrđeno je da postoji mogućnost lakog, neovlašćenog preuzimanja velike količine ličnih podataka pacijenata, ne samo imena i prezimena i JMBG, već i dijagnoza, anamneza, terapija u svim mogućim slučajevima, uključujući i one koje važe za najdelikatnije (psihijatrijske, ginekološke, dermatološke i sl.).
Do sada se reakcija Ministarstva svodila na saopštenje u kome se navodi da "svaki neovlašćeni pristup (čak i ako se desio) nije posledica pasivnosti i nemarnosti Ministarstva zdravlja, već pojedinaca u zdravstvenoj ustanovi koji nisu znali da pravilno koriste dodeljenu šifru." Formulacija "čak i ako se dogodio", potpuno je neadekvatna realnom kontekstu, jer sve okolnosti, kao i proteklo vreme u kome su izostale potrebne mere, ukazuju na to da su se neovlašćeni pristupi izvesno događali, i to u zabrinjavajućem obimu. Još je neadekvatniji stav da su za propuste odgovorni "pojedinci u zdravstvenoj ustanovi" koji nisu znali da pravilno koriste dodeljenu šifru, budući da je Ministarstvo uspostavilo IZIS, te da je shodno tome bilo dužno da preduzme sve tehničke, kadrovske, organizacione mere zaštite podataka, uključujići tu (naravno) i odgovarajuću edukaciju pojedinaca uključenih u sistem.
Poverenik izražava zabrinutost i nerazumevanje činjenice da upozorenja koja je uputio i Ministarstvu i Vladi do sada nisu dovela do preduzimanja odgovarajućih mera, očekuje da ih Ministarstvo konačno preduzme i još jednom upozorava da postojeći propusti mogu dovesti do nesagledivih štetnih posledica po građane, pacijente.