Повереник за информације од јавног значаја и заштиту података о личности донео је решење којим је наредио Министарству здравља Републике Србије да одмах по пријему решења, а најкасније у року од 8 дана од дана пријема истог, предузме организационе, техничке и кадровске мере за заштиту података о личности које обрађује у оквиру Интегрисаног здравственог информационог система (ИЗИС) од злоупотреба, уништења, губитка, неовлашћених промена или приступа.
Повереник је претходно у поступку надзора утврдио да је Министарство запосленима у установама у којима је уведен ИЗИС доделио корисничка имена и лозинке за приступ ИЗИС које су такве да се лако могу "пробити" од стране неовлашћених лица, да те лозинке доставља путем електронске поште, често на адресе електронске поште које се не воде на серверима у државини и под контролом установа у којима раде лица којима су додељени корисничко име и лозинка раде већ на серверима страних правних лица који су у масовној употреби (gmail, hotmail, yahoo), да није обезбедило да физичка лица која приступају ИЗИС, промене лозинку коју им је доделио те да стога, више лекара у истој здравственој установи користи исту лозинку, да заборављену лозинку доставља електронском поштом администратору установе у којој лице ради, а не непосредно лицу које треба да је користи и да комуникацију са администраторима тих установа често врши преко адреса електронске поште gmail, hotmail, yahoo.
Повереник је на све ово упозорио Министарство још у октобру 2016. године, а Министарство је дописом од 01.12.2016. године обавестило Повереника да је имплементирало систем заштите којим су отклоњени недостаци у заштити података о личности у оквиру ИЗИС.
Након овога, овлашћена лица Повереника су у више наврата, сукцесивно, до дана доношења овог Решења извршила проверу приступа подацима о личности у оквиру ИЗИС коришћењем лозинки које је Министарство иницијално доделило лекарима у истој здравственој установи и утврдила да Министарсво није отклонило наведене пропусте у заштити података о личности. И само на релативно скромном, случајном узорку здравствених установа, потврђено је да постоји могућност лаког, неовлашћеног преузимања велике количине личних података пацијената, не само имена и презимена и ЈМБГ, већ и дијагноза, анамнеза, терапија у свим могућим случајевима, укључујући и оне које важе за најделикатније (психијатријске, гинеколошке, дерматолошке и сл.).
До сада се реакција Министарства сводила на саопштење у коме се наводи да "сваки неовлашћени приступ (чак и ако се десио) није последица пасивности и немарности Министарства здравља, већ појединаца у здравственој установи који нису знали да правилно користе додељену шифру." Формулација "чак и ако се догодио", потпуно је неадекватна реалном контексту, јер све околности, као и протекло време у коме су изостале потребне мере, указују на то да су се неовлашћени приступи извесно догађали, и то у забрињавајућем обиму. Још је неадекватнији став да су за пропусте одговорни "појединци у здравственој установи" који нису знали да правилно користе додељену шифру, будући да је Министарство успоставило ИЗИС, те да је сходно томе било дужно да предузме све техничке, кадровске, организационе мере заштите података, укључујићи ту (наравно) и одговарајућу едукацију појединаца укључених у систем.
Повереник изражава забринутост и неразумевање чињенице да упозорења која је упутио и Министарству и Влади до сада нису довела до предузимања одговарајућих мера, очекује да их Министарство коначно предузме и још једном упозорава да постојећи пропусти могу довести до несагледивих штетних последица по грађане, пацијенте.