Η πρόσφατη παραίτηση του γενικού γραμματέα του υπουργείου Εσωτερικών σε σχέση με υπόθεση διαβίβασης διευθύνσεων ηλεκτρονικού ταχυδρομείου προς μέλος του Ευρωπαϊκού Κοινοβουλίου μάς θύμισε το απόφθεγμα του δημοσιογράφου Τζέιμς Ρέστον: «Οι κυβερνήσεις είναι τα μόνα πλεούμενα που διαρρέουν από πάνω». Η υπόθεση αυτή μας έκανε όμως επιπλέον να διαπιστώσουμε ότι η συνεχής ανάπτυξη των υπηρεσιών ηλεκτρονικής διακυβέρνησης κάνει επιτακτική την αποτελεσματική προστασία των προσωπικών δεδομένων που αυξανόμενα αποθηκεύονται σε πληροφοριακά συστήματα του Δημοσίου. Επειδή αυτά περιλαμβάνουν όλο και πιο πολύτιμα και ευαίσθητα δεδομένα, όπως τις δηλώσεις περιουσιακής κατάστασης εκατοντάδων χιλιάδων πολιτών και, σύντομα, τον ιατρικό φάκελο για κάθε πολίτη, πρέπει να εξετάσουμε τα οργανωτικά, θεσμικά και τεχνικά μέτρα που οφείλει η κυβέρνηση να λάβει προκειμένου στο μέλλον να αποφευχθούν παρόμοιες ή και χειρότερες καταστάσεις.
Η πλημμελής προστασία των προσωπικών δεδομένων μειώνει την εμπιστοσύνη των πολιτών προς τις υπηρεσίες ηλεκτρονικής διακυβέρνησης και συνακόλουθα τις απαξιώνει.
Το πρόβλημα απαιτεί συστημική προσέγγιση. Οπως και με το τραγικό δυστύχημα των Τεμπών, πρέπει οπωσδήποτε να διερευνηθεί ποια πρόσωπα είχαν ευθύνη για το συμβάν και αυτά να τιμωρηθούν παραδειγματικά, όμως σημαντικότερο είναι να δούμε πώς αυτά τα πρόσωπα επιλέχθηκαν, εκπαιδεύτηκαν, αξιολογήθηκαν και είχαν τη δυνατότητα να δράσουν με τον συγκεκριμένο τρόπο. Με βάση τα ευρήματα αυτά θα πρέπει να προσαρμοστούν αρμοδιότητες, οργανογράμματα και διαδικασίες.
Εξέχουσα σημασία για την προστασία των προσωπικών δεδομένων των πολιτών έχει η τήρηση της νομιμότητας από τις υπηρεσίες του Δημοσίου. Οι πολλές απαιτήσεις που (συχνά δικαιολογημένα) ορθώνουν δημόσιοι υπάλληλοι προκειμένου να εξυπηρετήσουν έναν απλό πολίτη μοιάζει μερικές φορές να γίνονται καπνός όταν το αίτημα έρχεται από ένα πολιτικό πρόσωπο ή ακόμα και μετακλητό υπάλληλο (π.χ. σύμβουλο υπουργού). Για την εμπέδωση του κράτους δικαίου πρέπει η κυβέρνηση να ενσταλάξει στους δημοσίους υπαλλήλους ότι, σύμφωνα με τον όρκο που έχουν δώσει, οφείλουν υπακοή στο Σύνταγμα και στους νόμους και όχι σε παράνομες εντολές πολιτικών προϊσταμένων. Η μονιμότητα των δημοσίων υπάλληλων και οι γραφειοκρατικές διαδικασίες τοποθέτησής τους σε θέσεις ευθύνης έχουν ακριβώς θεσπιστεί για να θωρακίσουν τις υπηρεσίες από αθέμιτες πολιτικές παρεμβάσεις. Απαιτούμε το υψηλό οργανωσιακό κόστος αυτών των θεσμών να διασφαλίζει τουλάχι-στον τη νομιμότητα.
Προτεραιότητα πρέπει να δοθεί στην ασφάλεια των πληροφοριακών συστημάτων του Δημοσίου. Σήμερα, πυρήνες αριστείας συνυπάρχουν με πολλά δυστυχώς απαρχαιωμένα συστήματα, ανοιχτά σε εσωτερικούς και εξωτερικούς κακόβουλους δράστες. Είναι μεγάλο σφάλμα να αναπτύσσουμε εφαρμογές πληροφορικής (συχνά με ευκαιριακή ευρωπαϊκή χρηματοδότηση) χωρίς να προβλέπουμε τους απαιτούμενους πόρους του τακτικού κρατικού προϋπολογισμού για τη συνεχή συντήρησή τους. Αυτή θα πρέπει κατ’ ελάχιστον να περιλαμβάνει τη διαρκή συμμόρφωση και πιστοποίησή τους σύμφωνα με τα διεθνή πρότυπα ασφάλειας πληροφοριακών συστημάτων. Προσοχή πρέπει να δοθεί και στη φυσική ασφάλεια: χώροι στους οποίους μπορεί οποιοσδήποτε να εισβάλει δεν δύνανται να φιλοξενούν ασφαλή πληροφοριακά συστήματα. Τέλος, έχει σημασία το πού αποθηκεύονται τα προσωπικά μας δεδομένα – η λεγόμενη αρχιτεκτονική της φύλαξής τους. Η συγκέντρωση όλων των δεδομένων μας σε μία υπηρεσία του Δημοσίου τα κάνει ελκυστικά σε κάθε λογής κακοποιούς και ευάλωτα στο σύνολό τους. Είναι προτιμότερο το κράτος να φυλάσσει τα δεδομένα μας αποκεντρωμένα σε διαφορετικές υπηρεσίες (π.χ. ΑΑΔΕ, ΕΦΚΑ, Κτηματολόγιο, υπουργεία Εσωτερικών, Υγείας, Προστασίας του Πολίτη, Μεταφορών, Δικαιοσύνης, Ψηφιακής Διακυβέρνησης), με τη μεταβίβαση των ελάχιστων απαιτούμενων δεδομένων να πραγματοποιείται μόνο τη στιγμή και για το διάστημα που αυτό απαιτείται.
Επειδή κανένα σύστημα δεν είναι τέλειο, ένα πρόσθετο μέτρο που μπορεί να διασφαλίσει την προστασία και τον σεβασμό των προσωπικών μας δεδομένων είναι η διαφάνεια στην πρόσβασή τους. Πρέπει να θεσμοθετηθεί ότι τα πληροφοριακά συστήματα του Δημοσίου οφείλουν να καταγράφουν κάθε πρόσβαση ή μεταβολή στα προσωπικά μας δεδομένα και να μας επιτρέπουν να ελέγξουμε πότε, για ποιο λόγο και από ποιον υπάλληλο έγινε η αντίστοιχη ενέργεια.
*Ο κ. Διομήδης Σπινέλλης είναι καθηγητής στο Τμήμα Διοικητικής Επιστήμης και Τεχνολογίας του Οικονομικού Πανεπιστημίου Αθηνών.