Andmekaitse inspektsiooni peadirektor Viljar Peep tõdeb, et kuigi Eesti tervishoiusektor on siiani suurematest küberrünnakutest pääsenud, on selge, et nii see ei jää ja küberruumis olevat vara (isikuandmeid) tuleb hoida sama hoolikalt kui füüsilisi väärisasju.
- Viljar Peep andmekaitse inspektsiooni juht Foto: Raul Mee / Äripaev
Mai lõpus jõustus uus andmekaitse määrus. Kas meditsiini- ja tervishoiuasutused on millegi poolest erinevas seisus võrreldes teiste tööstusharudega, kes pidid end uue määrusega kohandama?
VP: Tervishoiusektor on tõepoolest üks selline sektor, kus on rohkem tundlikku teavet. Ka eestlane, kes tavaliselt arvab, et tal pole midagi varjata, siiski peab terviseandmeid tundlikuks teabeks, mida niisama ei jagata.
See tähendab siis, et terviseandmed on juba praegu Eestis suhteliselt hästi turvatud ja kaitstud?
VP: Fakt on see, et kunagi pole vara liiga hästi turvatud. Kui räägime andmekaitsest, siis maikuus jõutus koos uue andmekaitse üldmäärusega ka üks küberturvalisuse seadus, mis tehnilise poole pealt reguleerib täpselt seda sama: infoturvet. Küsimus on infovara hoidmises asutustes ja ettevõtetes, sh tervishoiuasutustes.
Kui toote välja põhilised muutused, mida on vaja tervishoiuasutuses silmas pidada infoturbe ja andmekaitsega seoses, siis mis need oleksid? Näiteks mida ühes keskmises perearstkeskuses, kus töötab rohkem kui kolm arsti, peaks olema augusti alguseks juba ära teinud?
VP: Ega tegelikult revolutsiooni ei ole. Kõik need nõuded, mis on infoturbes ning isikuandmete kogumises ja kasutamises kehtinud, kehtivad üldiselt edasi. Mõned kohustused on täpsustunud ja need puudutavad ka perearste, haiglaid ja teisi tervishoiuasutusi. Ütleme nii, et iga mõistlik andmetöötleja peaks teada, mis tal on ja oskama seda ka selgitada. Vaja on teha kaardistus - see nõue tuleneb nii andekaitsemäärusest kui ka küberturbe seadusest. On vaja kaardistada oma infovara nii, et sellest tekiks mitu väljundit, mida nõuab üks või teine õigusakt: riskianalüüs, mida nõutakse küberturbe seaduse alusel, iseendale andmetöötluse ülevaade, mida andmekaitse inspektsioon võib välja nõuda, ja avalikkuse jaoks koostada andmekaitse tingimused, et inimesed, kes sinuga suhtlevad, teaksid, millega nad peaksid arvestama, st kui avalikud või mitte avalikud need andmed on, mis nad sinuga suheldes endast maha jätavad.
Teine nõue, mis tuli, on andmekaitsespetsialisti määramise kohustus. See kohustus on avalikus sektoris üldine ja avaliku sektori juurde andmekaitse määrus ja küberturbe seadus paigutavad perearstid, regionaalsed ja keskhaiglad ja kiirabiteenuse osutajad. Ülejäänud tervishoiuteenuse osutajad kuuluvad pigem erasektori alla ning seal on andmekaitsespetsialisti määramise kohustus seotud andmetöötluse ulatuslikkusega.
Peab tunnistama, et andmekaitse üldmäärus ei hiilga oma konkreetsuse poolest, kui räägime andmetöötlejate kohustustest. Mis on ulatuslik andmetööstus, selles ei ole Brüsselis tänaseks suudetud täpselt kokku leppida. Eesti andmekaitseinspektsioon on öelnud, et eriliiki isikuandmete, st ka terviseandmete juures on piiriks see, kui andmetöötlus hõlmab vähemalt 5000 inimest.
Saa rohkem teada
24. augustil on võimalus osaleda koolitusel, kus meditsiini- ja ravimiõigusele spetsialiseerunud advokaat
Ingeri Luik-Tamme räägib lahti dokumenteerimiskohustuse ja andmekaitsereformi tervishoiusektoris. Vaata lähemalt ja registreeru
siin.
Mis soovitused on uute nõuete valguses eraarstidele, kellel 5000 patsienti ei ole?
VP: Hoida oma andmeid hoolikalt. Elu läheb kübermaailma aina rohkem, ka tervishoiusektoris. Andmete turvaline hoidmine on see, kus me oleme seni suurematest üleilmsetest tormidest pääsenud. Kui kõik Londoni suuremad haiglad olid lunavaraga nakatunud, siis Eestist vaid kaks perearstikeskust. Meid on kaitsnud meie väiksus ja see, et on olemas avaliku sektori IT-taristu: andmete liigutamine X-tee kaudu on seni olnud turvaline. Aga see ei jää kauaks niimoodi: pätid kolivad aina enam sinna, kuhu lähevad inimesed, raha ja elu, ehk küberruumi. Ja kaitset vara vastu tuleb seal samamoodi teha nagu füüsilisele varale – tabaluku ja trellidega.
Kuula Äripäeva raadiost 2. augustil kl 13 täispikka intervjuud andmekaitse inspektsiooni peadirektori Viljar Peebuga, et saada teada, millised on olnud sagedasemad küsimused, mida meedikud on seoses uue andmekaitse seaduse jõustumisega spetsialistidelt küsinud ning kuidas Viljar Peep neile küsimustele vastab.
Mida on uue andmekaitsemäärusega seoses küsitud?
Kas vereanalüüsi tulemusi võib saata kirja teel?Kas andmekaitsespetsialisti võib palgata ka mitme praksise peale ühise?Kas perearst ise võib olla andmekaitsespetsialist?
Vastuseid kuuleb Äripäeva raadiosaatest 2. augustil kl 13
Seotud lood
Infotehnoloogia kasutamisega kaasnevad küberründed ja küberohud on kaasaja infotehnoloogiat tarbiva ühiskonnaga kaasas käiv nähtus ning Eestis sama aktuaalsed kui maailmas tervikuna, kirjutab Tervise ja Heaolu Infosüsteemide Keskuse direktor Katrin Reinhold.
Mida tundlikum valdkond, seda rohkem tuleb andmeid kaitsta. Meditsiinisüsteem just selline on ja ELi uus määrus puudutab kõiki osalisi.
Selle aasta 25. mail hakkab kohalduma isikuandmete kaitse üldmäärus, mis toob kaasa uusi nõudeid ka meditsiiniasutustele, näiteks andmekaitseametniku määramise kohustus, andmetöötlusregistri pidamise kohustus ja andmekaitsealase mõjuhinnangu läbiviimise kohustus.
EL-i isikuandmete kaitse üldmäärusega kaob senine delikaatsete isikuandmete töötlemise registreerimise kohustus. Samuti toob määrus kaasa uue mõiste – delikaatsete isikuandmete asemel räägime edaspidi eriliiki isikuandmetest.
Mustamäe Keskuse kõrvale on peagi kerkimas mahukas uus esmatasandi tervisemaja. 6-korruselisse hoonesse on oodatud erinevad terviseteenuste pakkujad alates perearstidest lõpetades erispetsialistide ja vaimse tervise praksistega. Mitmed teenusepakkujad, sh mainekas labor on broneerimislepingud juba sõlminud, kuid ruumi on veel piisavalt kliinikutele, kes soovivad asuda uues hoones mitme linnaosa sõlmpunktis nii auto kui ühistranspordiga hästi ligipääsetavas kohas.