Nećemo baš ništa komentirati, već samo prenosimo i citiramo.
 
Cijelu analizu od strane jedne od najpriznatijih domaćih tvrtki specijaliziranih u području zaštite podataka i cybersecurity područja prenosimo u cijelosti na slijedećem linku:
 
https://www.ictbusiness.info/kolumne/andrija-je-fijasko-zastite-osobnih-podataka?fbclid=IwAR1wxn5eh_R2JF3v5ezT22U6tSI-cpvOpAxMaZFGbeJq0laSHN_3FmMptTg&ct=t(gdpr-novosti-1262441_COPY_01)
 
i slobodno procjenite koliko se poklapaju s našim javno izraženim stajalištima kojima smo u najboljoj vjeri htjeli pomoći u ispravljanju nedostataka vidljivih onima koji žive 24/7/365 u ovoj temi kao timu GDPR Croatia.
 
Iz analize s gore navedenog linka izdvajamo:
 
- Andrija je primjer zanemarivanja zaštite podataka u hrvatskom zdravstvu i tijelima državne uprave, koji može prerasti u prijetnju zaštiti privatnosti
 
- Andrija bez ikakve sumnje ne pruža razinu zaštite osobnih podataka kakvu nam kao svojim građanima jamči Europska unija
 
- nadležna tijela javnosti nisu pružila uvjerljive dokaze da su prilikom odabira rješenja, dizajna i pružanja usluge provrele i provode odgovarajuće mjere zaštite osobnih podataka, što ukazuje na povećanu razinu rizika od slučajne i namjerne zlouporabe podataka u Andriji
 
- u Andrijinim pravilima privatnosti, tvrdi se da je provedena procjena utjecaja na zaštitu osobnih podataka (DPIA) dokazala je da je rizik koji Andrija može prouzročiti za prava i slobode korisnika minimalan. Ako je DPIA stvarno i stručno provedena, obzirom na opseg i potencijalni utjecaj ovog servisa na ljudska prava, njeno bi izvješće bilo primjereno objaviti barem sažeto, ako ne i u cijelosti, no to nije učinjeno
 
- službene informacije o Andriji doslovce vrve pokazateljima nerazumijevanja područja upravljanja rizikom i zaštitom osobnih podataka, što u kombinaciji s neobjavljivanjem ikakvih DPIA izvješća budi ozbiljnu sumnju
 
- sve upućuje na to da ništa od navedenoga nije učinjeno zlonamjerno, već jednostavno propustom koji se može pripisati nedostatku stručnjaka za zaštitu podataka u kriznom timu
 
- Andrija osobne podatke obrađuje temeljem legitimnog interesa Ministarstva zdravstva kako je to definirano člankom 6.(f), GDPR-a, a što je Ministarstvu izričito zabranjeno
 
- postoji cijeli niz pokazatelja da objavljene informacije o zaštiti osobnih podataka u Andriji nisu točne, a Ministarstvo zdravstva to ne uviđa
 
- dok u politici privatnosti piše jedno, u uvjetima korištenja piše drugo
 
- podaci koje razmjenjujete s Andrijom dostupni su u većoj ili manjoj mjeri i tvrtkama uključenima u projekt, kako onima koje definiraju Andrijin način „ponašanja", tako i onima koje posreduju u komunikaciji
 
- zašto je Andrija za komunikaciju odabrao upravo WhatsApp kojem je 2017. u Italiji radi dijeljenja osobnih podataka sa Facebookom izrečena kazna od 3 milijuna eura, a u Irskoj bi mu svaki čas trebala biti izrečena još jedna kazna za kršenje EU GDPR-a
 
- korisnici WhatsApp-a i tako moraju imati pametni telefon. Zašto se onda ne koristi direktniji vid komunikacije (npr. uobičajeni chatbot na mobilnoj web stranici) koji ne bi nepotrebno uključivao cijeli niz sudionika koji mogu ostvariti pristup podacima, a bio bi dostupan i sa bilo kojeg računala spojenog na internet
 
- prvi problem anonimnosti je sam princip rada Andrije koji se navodno temelji na principima umjetne inteligencije, što u pravilu znači da Andrija prikuplja i obrađuje velike količine podataka, na temelju njih izvlači zaključke i donosi odluke
 
- sve dok Andrija jasno ne objavi na koji se točno način provodi anonimizacija, postojat će ozbiljna sumnja u njenu učinkovitost