Daiva Tamulionienė, Valstybinės duomenų apsaugos inspekcijos Priežiūros skyriaus vedėja
Kartu su Bendrojo duomenų apsaugos reglamento (BDAR) taikymo pradžia sveikatos priežiūros įstaigoms atsirado naujų pareigų, susijusių su asmens duomenų saugumo pažeidimais (ADSP).
Sveikatos priežiūros srityje įvykę ADSP gali sukelti itin skaudžias, o kartais ir neatitaisomas pasekmes pacientams. Štai 2020 m. viešojoje erdvėje buvo paskelbta apie moters Vokietijoje mirtį dėl ligoninės patirtos kibernetinės atakos, kuri lėmė kompiuterinių sistemų išsijungimą. Tai – pirmas istorijoje užfiksuotas atvejis, kai žmogaus gyvybę tiesiogiai nutraukė programišių veikla. Ši liūdna istorija pirmiausia parodo, kad į asmens duomenų saugumą tokioje jautrioje srityje kaip sveikatos priežiūra negalime žiūrėti abejingai. Antra, kad turime itin atsakingai ir kruopščiai analizuoti ADSP, jų priežastis, vertinti, kokiomis priemonėmis galime užkirsti kelią jiems įvykti, arba bent jau sumažinti riziką jiems kilti ateityje. Svarbu nebijoti pripažinti, kad įvyksta ADSP, ir ypač skirti dėmesį ADSP priežasčių analizei. Tai gali padėti pasiekti didesnį asmens duomenų saugumą ir išvengti itin skaudžių pasekmių.
ADSP pagrindinė prevencinė priemonė – asmens duomenų saugumo priemonių tinkamas parinkimas ir jų įgyvendinimas. BDAR šioje srityje, nustatydamas duomenų valdytojams pareigą užtikrinti, kad asmens duomenų saugumo priemonės būtų tinkamos, palieka itin plačią diskrecijos teisę patiems pasirinkti asmens duomenų saugumo užtikrinimo priemones. Tiesa, kai kurios jų, tokios kaip pseudonimų suteikimas asmens duomenims ir jų šifravimas, gebėjimas laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju ir pan., nustatytos tiesiogiai minėtame reglamente, ir, be jokios abejonės, itin aktualios sveikatos priežiūros sektoriuje.
Duomenų saugumo principas apima visus sveikatos priežiūros įstaigos atliekamo asmens duomenų tvarkymo aspektus. Vadinasi, pasirinktomis saugumo priemonėmis turėtų būti siekiama užtikrinti, kad:
-
Prie duomenų prieitų, juos pakeistų, atskleistų ar ištrintų tik tie, kurie yra įgalioti tai padaryti, ir kad tie asmenys veiktų tik jiems suteiktų įgaliojimų ribose.
-
Turimi duomenys būtų tikslūs ir išsamūs atsižvelgiant į atitinkamus duomenų tvarkymo tikslus.
-
Duomenys išliktų prieinami ir naudojami, t. y., jei asmens duomenys yra netyčia prarandami, pakeičiami ar sunaikinami, būtų galimybė juos atkurti, tokiu būdu užkertant kelią bet kokiai žalai, galinčiai atsirasti duomenų subjektui.
Prieigos kontrolės svarbą iliustruoja bene pati garsiausia Lietuvoje UAB „Grožio chirurgija“ įvykusi stambaus masto asmens duomenų vagystė. Vienam iš piktavalių buvo pateikti įtarimai būtent dėl neteisėtos prieigos – dėl neteisėto prisijungimo prie informacinės sistemos, taip pat neteisėto disponavimo įrenginiais, programine įranga, slaptažodžiais, kodais ir kitokiais duomenimis. Asmens duomenų apsaugos priežiūros institucija Valstybinė duomenų apsaugos inspekcija (VDAI) dėl šios priežasties 2018 m. nusprendė atlikti planinius asmens duomenų saugumo užtikrinimo tikrinimus ir kitose sveikatos priežiūros įstaigose. Atlikus tikrinimus nustatyta tokių pažeidimų:
-
Trečiosios šalies elektroninio pašto paslaugos (pavyzdžiui, „Google mail“) naudojimas, nesudarius atitinkamos sutarties, kurioje būtų dokumentuotos elektroninio pašto naudojimosi taisyklės, užtikrinta prieigų kontrolės ir įgyvendinama slaptažodžių politika.
-
Neaktyvuotas saugus šifruotas ryšys (HTTPS) sveikatos priežiūros įstaigos darbuotojams jungiantis prie elektroninės sveikatos istorijų sistemos (ESIS) kompiuterinėse darbo vietose įdiegtomis naršyklėmis.
-
Nedokumentuotos ESIS vartotojo atliktų veiksmų auditavimo, ištrynimo, blokavimo ar deaktyvavimo procedūros, administratorių ir kitų privilegijuotų vartotojų prisijungimams taikomos saugumo priemonės, t. y. slaptažodžių politika (slaptažodžių kompleksiškumas, ilgumas, istorija, keitimo periodas, administravimas).
-
ESIS duomenų bazėse nevykdomas aktyvus duomenų šifravimas, įskaitant atsarginėse kopijose saugomus duomenis.
-
Nedokumentuota tvarka, procedūros, kaip yra elgiamasi su duomenimis, kai kompiuterinė įranga yra likviduojama, šalinami asmens duomenys iš kietojo disko ir pan.
Asmens duomenų saugumo užtikrinimo problemos yra aktualios ne tik Lietuvoje, bet ir kitose pasaulio valstybėse. Viena pirmųjų baudų už BDAR pažeidimus buvo skirta už ADSP. Portugalijos Nacionalinė duomenų apsaugos komisija 2018 m. liepos 17 d. priėmė
sprendimą Nr. 984/2018 dėl bendros 400 tūkst. eurų baudos skyrimo viešajai ligoninei už ADSP. Sprendimas dėl duomenų kiekio mažinimo principo pažeidimo buvo paremtas tokiomis nustatytomis faktinėmis aplinkybėmis: ligoninė nebuvo reglamentavusi naudojamos informacinės sistemos vartotojų sukūrimo taisyklių, nebuvo dokumento, nustatančio vartotojų prieigos prie skirtingos informacijos, įskaitant informaciją apie pacientus, suteikimo priklausomai nuo jų funkcinių kompetencijų; kai kurie techniniai darbuotojai turėjo tokias pačias prieigos prie pacientų informacijos teises kaip ir medicinos personalas; visų specializacijų gydytojai bet kuriuo metu galėjo prieiti prie bet kurio ligoninės paciento duomenų; informacinėje sistemoje didžioji dalis ligoninėje nebedirbančių gydytojų vartotojų paskyrų tebebuvo aktyvios. Ligoninės veiksmuose Portugalijos Nacionalinė duomenų apsaugos komisija įžvelgė BDAR 32 straipsnio 1 dalies b ir d punktų pažeidimą, t. y. negebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą bei reguliaraus techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo proceso neužtikrinimą.
Renkantis saugumo priemones reikėtų atsižvelgti į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Tai atspindi tiek BDAR rizika pagrįstą požiūrį, tiek tai, kad duomenų saugumui nėra „visiems tinkamo“ sprendimo. Vadinasi, tai, kas tinka konkrečiai sveikatos priežiūros įstaigai, priklausys nuo konkrečių su ja susijusių aplinkybių, jos atliekamo duomenų tvarkymo procedūrų ir tvarkymo keliamų rizikų.
Prieš nusprendžiant, kokios priemonės yra tinkamos, reikia įvertinti savo duomenų tvarkymo keliamą riziką. Reikėtų peržiūrėti turimus asmens duomenis ir jų naudojimo būdus, kad būtų įvertintas jų vertingumo, jautrumo ar konfidencialumo lygis, taip pat dėl ADSP galinti atsirasti žala. Taip pat derėtų atsižvelgti į tokius veiksnius kaip:
-
Įstaigos patalpų ir kompiuterinių sistemų pobūdis ir dydis.
-
Įstaigos darbuotojų skaičius ir jų prieigos prie asmens duomenų apimtis.
-
Įstaigos pasitelkti duomenų tvarkytojai ir jiems perduotų asmens duomenų apimtis.
Sveikatos įstaigoms renkantis asmens duomenų saugumo užtikrinimo priemones, siūloma atsižvelgti ir į nuolat VDAI atnaujinamas Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo
gaires duomenų valdytojams ir duomenų tvarkytojams.
Svarbu nepamiršti, kad šiuolaikinėje praktikoje darbuotojai yra ypač svarbūs. Jie yra sąsaja tarp sveikatos priežiūros įstaigos ir pacientų. Pavyzdžiui, per pusantrų metų nuo BDAR taikymo pradžios VDAI gavo ir išnagrinėjo 141 pranešimą apie ADSP. Paveiktų fizinių asmenų skaičius sudarė daugiau kaip 163 tūkstančius. Darbuotojo žmogiškoji klaida lėmė daugiau kaip kas antrą ADSP (71 iš 141). Taigi, investicija į darbuotojus ilgainiui mokės didelius dividendus. Reguliarūs darbuotojų mokymai primena apie gerąją praktiką, užtikrina pasirengimą greitai ir tinkamai reaguoti į incidentus. Mokymai turėtų būti reguliarus procesas, sustiprintas įgytų žinių praktiniu patikrinimu, nes Hipokrato priesaikoje esantys žodžiai „Saugosiu žmogaus gyvybę ir jos neliečiamumą nuo pat pradėjimo iki natūralios mirties, gerbsiu jos orumą“ ir „Šventai saugosiu man patikėtas paslaptis“ šiandien yra neatsiejama nuo pareigos užtikrinti asmens duomenų saugumą.
Komentaras
Valstybinės duomenų apsaugos inspekcijos direktorius Raimondas Andrijauskas:
- Patys lankydamiesi pas gydytojus pastebime teigiamų pokyčių dėl asmens duomenų tvarkymo, daugiau diskretiškumo, pavyzdžiui, ligos istorijos patrauktos nuo kitų pacientų akių, atidžiau elgiamasi ir su tyrimų rezultatais. Be jokios abejonės, sveikatos priežiūros įstaigos susiduria su iššūkiais, kad tinkamai apsaugotų mūsų asmens duomenis ir įgyvendintų visus reikalavimus. Pravartu priminti, kad vykdyti šias pareigas gali padėti duomenų apsaugos pareigūnai. Nuo Bendrojo duomenų apsaugos reglamento taikymo pradžios sveikatos paslaugų sektoriuje paskirta 287 duomenų apsaugos pareigūnai: 161 viešajame ir 126 privačiajame sektoriuje.
Komentuoti: