Kuidas hoida isikuandmeid veelgi turvalisemalt?

Mai lõpus jõustus uus andmekaitse määrus. Kas meditsiini- ja tervishoiuasutused on millegi poolest erinevas seisus võrreldes teiste tööstusharudega, kes pidid end uue määrusega kohandama?

VP: Tervishoiusektor on tõepoolest üks selline sektor, kus on rohkem tundlikku teavet. Ka eestlane, kes tavaliselt arvab, et tal pole midagi varjata, siiski peab terviseandmeid tundlikuks teabeks, mida niisama ei jagata.

See tähendab siis, et terviseandmed on juba praegu Eestis suhteliselt hästi turvatud ja kaitstud?

VP: Fakt on see, et kunagi pole vara liiga hästi turvatud. Kui räägime andmekaitsest, siis maikuus jõutus koos uue andmekaitse üldmäärusega ka üks küberturvalisuse seadus, mis tehnilise poole pealt reguleerib täpselt seda sama: infoturvet. Küsimus on infovara hoidmises asutustes ja ettevõtetes, sh tervishoiuasutustes.

Kui toote välja põhilised muutused, mida on vaja tervishoiuasutuses silmas pidada infoturbe ja andmekaitsega seoses, siis mis need oleksid? Näiteks mida ühes keskmises perearstkeskuses, kus töötab rohkem kui kolm arsti, peaks olema augusti alguseks juba ära teinud?

VP: Ega tegelikult revolutsiooni ei ole. Kõik need nõuded, mis on infoturbes ning isikuandmete kogumises ja kasutamises kehtinud, kehtivad üldiselt edasi. Mõned kohustused on täpsustunud ja need puudutavad ka perearste, haiglaid ja teisi tervishoiuasutusi. Ütleme nii, et iga mõistlik andmetöötleja peaks teada, mis tal on ja oskama seda ka selgitada. Vaja on teha kaardistus - see nõue tuleneb nii andekaitsemäärusest kui ka küberturbe seadusest. On vaja kaardistada oma infovara nii, et sellest tekiks mitu väljundit, mida nõuab üks või teine õigusakt: riskianalüüs, mida nõutakse küberturbe seaduse alusel, iseendale andmetöötluse ülevaade, mida andmekaitse inspektsioon võib välja nõuda, ja avalikkuse jaoks koostada andmekaitse tingimused, et inimesed, kes sinuga suhtlevad, teaksid, millega nad peaksid arvestama, st kui avalikud või mitte avalikud need andmed on, mis nad sinuga suheldes endast maha jätavad.

Teine nõue, mis tuli, on andmekaitsespetsialisti määramise kohustus. See kohustus on avalikus sektoris üldine ja avaliku sektori juurde andmekaitse määrus ja küberturbe seadus paigutavad perearstid, regionaalsed ja keskhaiglad ja kiirabiteenuse osutajad. Ülejäänud tervishoiuteenuse osutajad kuuluvad pigem erasektori alla ning seal on andmekaitsespetsialisti määramise kohustus seotud andmetöötluse ulatuslikkusega.

Peab tunnistama, et andmekaitse üldmäärus ei hiilga oma konkreetsuse poolest, kui räägime andmetöötlejate kohustustest. Mis on ulatuslik andmetööstus, selles ei ole Brüsselis tänaseks suudetud täpselt kokku leppida. Eesti andmekaitseinspektsioon on öelnud, et eriliiki isikuandmete, st ka terviseandmete juures on piiriks see, kui andmetöötlus hõlmab vähemalt 5000 inimest.

 

Mis soovitused on uute nõuete valguses eraarstidele, kellel 5000 patsienti ei ole?

VP: Hoida oma andmeid hoolikalt. Elu läheb kübermaailma aina rohkem, ka tervishoiusektoris. Andmete turvaline hoidmine on see, kus me oleme seni suurematest üleilmsetest tormidest pääsenud. Kui kõik Londoni suuremad haiglad olid lunavaraga nakatunud, siis Eestist vaid kaks perearstikeskust. Meid on kaitsnud meie väiksus ja see, et on olemas avaliku sektori IT-taristu: andmete liigutamine X-tee kaudu on seni olnud turvaline. Aga see ei jää kauaks niimoodi: pätid kolivad aina enam sinna, kuhu lähevad inimesed, raha ja elu, ehk küberruumi. Ja kaitset vara vastu tuleb seal samamoodi teha nagu füüsilisele varale – tabaluku ja trellidega.

Kuula Äripäeva raadiost 2. augustil kl 13 täispikka intervjuud andmekaitse inspektsiooni peadirektori Viljar Peebuga, et saada teada, millised on olnud sagedasemad küsimused, mida meedikud on seoses uue andmekaitse seaduse jõustumisega spetsialistidelt küsinud ning kuidas Viljar Peep neile küsimustele vastab.