Asmens duomenų saugumo pažeidimai ir saugumas sveikatos priežiūros sektoriuje

Daiva Tamulionienė, Valstybinės duomenų apsaugos inspekcijos Priežiūros skyriaus vedėja
2020-10-29
Kartu su Bendrojo duomenų apsaugos reglamento (BDAR) taikymo pradžia sveikatos priežiūros įstaigoms atsirado naujų pareigų, susijusių su asmens duomenų saugumo pažeidimais (ADSP).
Asmens duomenų saugumo pažeidimai ir saugumas sveikatos priežiūros sektoriuje

Sveikatos priežiūros srityje įvykę ADSP gali sukelti itin skaudžias, o kartais ir neatitaisomas pasekmes pacientams. Štai 2020 m. viešojoje erdvėje buvo paskelbta apie moters Vokietijoje mirtį dėl ligoninės patirtos kibernetinės atakos, kuri lėmė kompiuterinių sistemų išsijungimą. Tai – pirmas istorijoje užfiksuotas atvejis, kai žmogaus gyvybę tiesiogiai nutraukė programišių veikla. Ši liūdna istorija pirmiausia parodo, kad į asmens duomenų saugumą tokioje jautrioje srityje kaip sveikatos priežiūra negalime žiūrėti abejingai. Antra, kad turime itin atsakingai ir kruopščiai analizuoti ADSP, jų priežastis, vertinti, kokiomis priemonėmis galime užkirsti kelią jiems įvykti, arba bent jau sumažinti riziką jiems kilti ateityje. Svarbu nebijoti pripažinti, kad įvyksta ADSP, ir ypač skirti dėmesį ADSP priežasčių analizei. Tai gali padėti pasiekti didesnį asmens duomenų saugumą ir išvengti itin skaudžių pasekmių.

ADSP pagrindinė prevencinė priemonė – asmens duomenų saugumo priemonių tinkamas parinkimas ir jų įgyvendinimas. BDAR šioje srityje, nustatydamas duomenų valdytojams pareigą užtikrinti, kad asmens duomenų saugumo priemonės būtų tinkamos, palieka itin plačią diskrecijos teisę patiems pasirinkti asmens duomenų saugumo užtikrinimo priemones. Tiesa, kai kurios jų, tokios kaip pseudonimų suteikimas asmens duomenims ir jų šifravimas, gebėjimas laiku atkurti sąlygas ir galimybes naudotis asmens duomenimis fizinio ar techninio incidento atveju ir pan., nustatytos tiesiogiai minėtame reglamente, ir, be jokios abejonės, itin aktualios sveikatos priežiūros sektoriuje.
Duomenų saugumo principas apima visus sveikatos priežiūros įstaigos atliekamo asmens duomenų tvarkymo aspektus. Vadinasi, pasirinktomis saugumo priemonėmis turėtų būti siekiama užtikrinti, kad:
  • Prie duomenų prieitų, juos pakeistų, atskleistų ar ištrintų tik tie, kurie yra įgalioti tai padaryti, ir kad tie asmenys veiktų tik jiems suteiktų įgaliojimų ribose.
  • Turimi duomenys būtų tikslūs ir išsamūs atsižvelgiant į atitinkamus duomenų tvarkymo tikslus.
  • Duomenys išliktų prieinami ir naudojami, t. y., jei asmens duomenys yra netyčia prarandami, pakeičiami ar sunaikinami, būtų galimybė juos atkurti, tokiu būdu užkertant kelią bet kokiai žalai, galinčiai atsirasti duomenų subjektui.
Prieigos kontrolės svarbą iliustruoja bene pati garsiausia Lietuvoje UAB „Grožio chirurgija“ įvykusi stambaus masto asmens duomenų vagystė. Vienam iš piktavalių buvo pateikti įtarimai būtent dėl neteisėtos prieigos – dėl neteisėto prisijungimo prie informacinės sistemos, taip pat neteisėto disponavimo įrenginiais, programine įranga, slaptažodžiais, kodais ir kitokiais duomenimis. Asmens duomenų apsaugos priežiūros institucija Valstybinė duomenų apsaugos inspekcija (VDAI) dėl šios priežasties 2018 m. nusprendė atlikti planinius asmens duomenų saugumo užtikrinimo tikrinimus ir kitose sveikatos priežiūros įstaigose. Atlikus tikrinimus nustatyta tokių pažeidimų:
  • Trečiosios šalies elektroninio pašto paslaugos (pavyzdžiui, „Google mail“) naudojimas, nesudarius atitinkamos sutarties, kurioje būtų dokumentuotos elektroninio pašto naudojimosi taisyklės, užtikrinta prieigų kontrolės ir įgyvendinama slaptažodžių politika.
  • Neaktyvuotas saugus šifruotas ryšys (HTTPS) sveikatos priežiūros įstaigos darbuotojams jungiantis prie elektroninės sveikatos istorijų sistemos (ESIS) kompiuterinėse darbo vietose įdiegtomis naršyklėmis.
  • Nedokumentuotos ESIS vartotojo atliktų veiksmų auditavimo, ištrynimo, blokavimo ar deaktyvavimo procedūros, administratorių ir kitų privilegijuotų vartotojų prisijungimams taikomos saugumo priemonės, t. y. slaptažodžių politika (slaptažodžių kompleksiškumas, ilgumas, istorija, keitimo periodas, administravimas).
  • ESIS duomenų bazėse nevykdomas aktyvus duomenų šifravimas, įskaitant atsarginėse kopijose saugomus duomenis.
  • Nedokumentuota tvarka, procedūros, kaip yra elgiamasi su duomenimis, kai kompiuterinė įranga yra likviduojama, šalinami asmens duomenys iš kietojo disko ir pan.
Asmens duomenų saugumo užtikrinimo problemos yra aktualios ne tik Lietuvoje, bet ir kitose pasaulio valstybėse. Viena pirmųjų baudų už BDAR pažeidimus buvo skirta už ADSP. Portugalijos Nacionalinė duomenų apsaugos komisija 2018 m. liepos 17 d. priėmė sprendimą Nr. 984/2018 dėl bendros 400 tūkst. eurų baudos skyrimo viešajai ligoninei už ADSP. Sprendimas dėl duomenų kiekio mažinimo principo pažeidimo buvo paremtas tokiomis nustatytomis faktinėmis aplinkybėmis: ligoninė nebuvo reglamentavusi naudojamos informacinės sistemos vartotojų sukūrimo taisyklių, nebuvo dokumento, nustatančio vartotojų prieigos prie skirtingos informacijos, įskaitant informaciją apie pacientus, suteikimo priklausomai nuo jų funkcinių kompetencijų; kai kurie techniniai darbuotojai turėjo tokias pačias prieigos prie pacientų informacijos teises kaip ir medicinos personalas; visų specializacijų gydytojai bet kuriuo metu galėjo prieiti prie bet kurio ligoninės paciento duomenų; informacinėje sistemoje didžioji dalis ligoninėje nebedirbančių gydytojų vartotojų paskyrų tebebuvo aktyvios. Ligoninės veiksmuose Portugalijos Nacionalinė duomenų apsaugos komisija įžvelgė BDAR 32 straipsnio 1 dalies b ir d punktų pažeidimą, t. y. negebėjimą užtikrinti nuolatinį duomenų tvarkymo sistemų ir paslaugų konfidencialumą, vientisumą, prieinamumą ir atsparumą bei reguliaraus techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, tikrinimo, vertinimo ir veiksmingumo vertinimo proceso neužtikrinimą.

Renkantis saugumo priemones reikėtų atsižvelgti į techninių galimybių išsivystymo lygį, įgyvendinimo sąnaudas bei duomenų tvarkymo pobūdį, aprėptį, kontekstą ir tikslus. Tai atspindi tiek BDAR rizika pagrįstą požiūrį, tiek tai, kad duomenų saugumui nėra „visiems tinkamo“ sprendimo. Vadinasi, tai, kas tinka konkrečiai sveikatos priežiūros įstaigai, priklausys nuo konkrečių su ja susijusių aplinkybių, jos atliekamo duomenų tvarkymo procedūrų ir tvarkymo keliamų rizikų.

Prieš nusprendžiant, kokios priemonės yra tinkamos, reikia įvertinti savo duomenų tvarkymo keliamą riziką. Reikėtų peržiūrėti turimus asmens duomenis ir jų naudojimo būdus, kad būtų įvertintas jų vertingumo, jautrumo ar konfidencialumo lygis, taip pat dėl ADSP galinti atsirasti žala. Taip pat derėtų atsižvelgti į tokius veiksnius kaip:
  • Įstaigos patalpų ir kompiuterinių sistemų pobūdis ir dydis.
  • Įstaigos darbuotojų skaičius ir jų prieigos prie asmens duomenų apimtis.
  • Įstaigos pasitelkti duomenų tvarkytojai ir jiems perduotų asmens duomenų apimtis.
Sveikatos įstaigoms renkantis asmens duomenų saugumo užtikrinimo priemones, siūloma atsižvelgti ir į nuolat VDAI atnaujinamas Tvarkomų asmens duomenų saugumo priemonių ir rizikos įvertinimo gaires duomenų valdytojams ir duomenų tvarkytojams.
Svarbu nepamiršti, kad šiuolaikinėje praktikoje darbuotojai yra ypač svarbūs. Jie yra sąsaja tarp sveikatos priežiūros įstaigos ir pacientų. Pavyzdžiui, per pusantrų metų nuo BDAR taikymo pradžios VDAI gavo ir išnagrinėjo 141 pranešimą apie ADSP. Paveiktų fizinių asmenų skaičius sudarė daugiau kaip 163 tūkstančius. Darbuotojo žmogiškoji klaida lėmė daugiau kaip kas antrą ADSP (71 iš 141). Taigi, investicija į darbuotojus ilgainiui mokės didelius dividendus. Reguliarūs darbuotojų mokymai primena apie gerąją praktiką, užtikrina pasirengimą greitai ir tinkamai reaguoti į incidentus. Mokymai turėtų būti reguliarus procesas, sustiprintas įgytų žinių praktiniu patikrinimu, nes Hipokrato priesaikoje esantys žodžiai „Saugosiu žmogaus gyvybę ir jos neliečiamumą nuo pat pradėjimo iki natūralios mirties, gerbsiu jos orumą“ ir „Šventai saugosiu man patikėtas paslaptis“ šiandien yra neatsiejama nuo pareigos užtikrinti asmens duomenų saugumą.

 
Komentaras
Valstybinės duomenų apsaugos inspekcijos direktorius Raimondas Andrijauskas:

- Patys lankydamiesi pas gydytojus pastebime teigiamų pokyčių dėl asmens duomenų tvarkymo, daugiau diskretiškumo, pavyzdžiui, ligos istorijos patrauktos nuo kitų pacientų akių, atidžiau elgiamasi ir su tyrimų rezultatais. Be jokios abejonės, sveikatos priežiūros įstaigos susiduria su iššūkiais, kad tinkamai apsaugotų mūsų asmens duomenis ir įgyvendintų visus reikalavimus. Pravartu priminti, kad vykdyti šias pareigas gali padėti duomenų apsaugos pareigūnai. Nuo Bendrojo duomenų apsaugos reglamento taikymo pradžios sveikatos paslaugų sektoriuje paskirta 287 duomenų apsaugos pareigūnai: 161 viešajame ir 126 privačiajame sektoriuje.


 

Komentuoti:

Vardas:
Komentaras:

    Gydytojas ir pacientas


    J.Juchnevičiūtė: iš universiteto išeiname su daug žinių, tačiau be patirties

    J.Juchnevičiūtė: iš universiteto išeiname su daug žinių, tačiau be patirties

    „Nepamirškime, kad į šeimos gydytoją retas pacientas kreipiasi tik dėl vienos problemos. Dažnai už kreipimosi ...
    V.Kavaliauskienė: stengiuosi netaikyti kumščio politikos

    V.Kavaliauskienė: stengiuosi netaikyti kumščio politikos

    „Slaugytojai pacientui gali suteikti reikalingą konsultaciją, patarimus, išrašyti vaistus, užsakyti reikalingus tyrimus. Da...

    Budinti vaistinė


    Vaistų trūksta jau ir ligoninėse

    Vaistų trūksta jau ir ligoninėse

    Vaistų tiekimo sutrikimai – nemenkas rūpestis. Vaikų bronchų astmai gydyti mažų dozių inhaliatoriai didmeninės vaistų prekyb...
    Vaistininkai: geidžiami, bet nevertinami

    Vaistininkai: geidžiami, bet nevertinami

    Nors šalies vaistinių tinklas yra vienas tankiausių Europoje, o vaistininkų skaičius, tenkantis gyventojams, viršija...

    razinka


    Sveika šeima


    Nealkoholinis alus – alternatyva suaugusiems, bet ne vaikams

    „Atsiranda įrodymų, kad nealkoholiniai gėrimai gali paskatinti vaikus ateityje rinktis alkoholį“, – įspėja Jungtinių Amerikos Valstijų (JAV) ekspertai. Jie teigia, kad nealkoholinis alus ar kokteiliai neturėtų būti parduodami nepilnamečiams, ir ragina valstybę priimti įstatymus, ribojančius amžių, nuo kada būtų gali...

    Sveikatos horoskopas


    Lakpkričio 23-29 d.

    Avi­nas
    Šią sa­vai­tę šil­čiau ren­ki­tės ir ven­ki­te skers­vė­jų. Tre­čia­die­nį ga­li­te su­sap­nuo­ti pra­na­šiš­ką sap­ną. Šeš­ta­die­nis - tin­ka­ma die­na są­na­rių gy­dy­mui ir spe­cia­liems mankš­tos pra­ti­mams.

    Pakalbėkim apie tai


    Svetur


    Ebolos „giminaitis“ jau nusinešė šešias gyvybes

    „Didžioji dauguma atvejų ir mirčių yra tarp sveikatos priežiūros darbuotojų“, – teigė Ruandos sveikatos ministras dr. Sabin Nsanzimana, kalbėdamas apie praėjusią savaitę patvirtintą Marburgo viruso protrūkį. Nors užsikrėtimo šiuo virusu atvejų jau ne vienerius metus pasitaiko pasaulyje, tai – pirmas jo ...

    Redakcijos skiltis


    Komentarai


    Adiulteriai, salafistai ir vištakieji
    Henrikas Vaitiekūnas Adiulteriai, salafistai ir vištakieji
    Felinoterapija ir ailurofobija
    Henrikas Vaitiekūnas Felinoterapija ir ailurofobija
    Talentas: 26 litrai... aukso?
    Henrikas Vaitiekūnas Talentas: 26 litrai... aukso?

    Naujas numeris