Kolm igapäevast meelespead andmekaitses

Aasta esimestel nädalatel on hea teha kokkuvõtteid ja vaadata üle, mis sai eelmisel aastal hästi tehtud ning mida annaks uuel aastal parandada. Eriti kasulik on õppida teiste vigadest ilma kõiki ämbreid ise läbi kolistamata. Andmekaitse vallas on kasulik lugeda muuhulgas näiteks Andmekaitse Inspektsiooni (AKI) kokkuvõtet eelmisel aastal neljas hambaraviteenust osutavas kliinikus läbiviidud auditite kohta.

Kontroll viidi läbi AKI omal algatusel selleks, et tuvastada praktikas esinevad kitsaskohad ja aidata tervishoiuteenuse osutajatel nendega tegeleda. Kuigi nimetatud auditid toimusid hambakliinikutes, on auditite kokkuvõttes esitatud tähelepanekud asjakohased kõikide tervishoiuteenuse osutajate ja tervishoiutöötajate suhtes. Siinkohal toon nendest välja kolm, mille osas tervishoiuteenuse osutajad sageli ka juriidilist nõu küsivad. Need jõuab veel kenasti oma uusaasta lubaduste nimekirja lisada.

Dokumenteerin ka andmekaitsealased asjaolud – Lisaks tervishoiuteenuse dokumenteerimisele on oluline ka isikuandmete kaitse alane dokumenteerimine. Esiteks peavad tervishoiuasutusel olemas olema kirjalikud dokumendid isikuandmete töötlemise põhimõtete ja protsesside kohta. Alustades patsientidele suunatud privaatsuspoliitikast ja lõpetades tervishoiutöötajale suunatud asutusesisese korraga selles osas, millisel viisil tuleb käituda näiteks andmekaitsealase rikkumise korral – nt kui kogemata on patsiendi andmed edastatud valele isikule.

Endiselt tuleb ette olukordi, kus töötajad ei tea, kuidas sellistes olukordades käituda ning tervishoiuteenuse osutaja võib sattuda rikkumisse seaduses sätestatud teavitamiskohustuste täitmata jätmise osas. Teiseks tuleb dokumenteerimist hoida meeles ka igapäevases ravitöös, suhtluses patsientide ja muude isikutega.

Näiteks on soovitatav dokumenteerida isikuandmete väljastamine patsiendile endale või kolmandale isikule (nt kindlustusseltsile, uurimisasutusele jne). Kuna patsiendil on õigus saada teavet selle kohta, kellele tema andmeid on edastatud, siis peab tervishoiuteenuse osutajal olema andmeedastustes ülevaade. Rutiinset andmevahetust tervise infosüsteemiga ja muude sarnaste andmesaajatega ei ole üldiselt vaja eraldi dokumenteerida.

Reguleerin ja jälgin isiklike seadmete kasutamist – Kuna erinevad isiklikud nutiseadmed on meie elu loomulik osa, siis hiilivad nad märkamatult ka meie tööellu. On ju väga mugav oma telefoniga pilt teha näiteks patsiendi haigusloost, et hiljem seda kolleegiga arutada. Isiklike seadmete kasutamine patsiendi terviseandmete töötlemisel ei ole otseselt seadusega keelatud ega välistatud.

Kui aga isiklike seadmete kasutamist ei ole konkreetses asutuses reguleeritud, tuleb isiklike seadmete kasutamist vältida. Juhul, kui soovitakse võimaldada tervishoiutöötajal oma isiklike seadmete kasutamist töös, peab olema läbi mõeldud nende kasutamise kord. Seda seetõttu, et sõltumata seadmete kuuluvusest peab olema tagatud patsiendi andmete turvalisus ja kaitse. Nii peavad isiklikud seadmed olema kaitstud tehniliste meetmetega, mis välistavad juurdepääsu andmetele kõrvalistele isikutele (sh nt arsti või õe perekonnaliikmetele). Samuti peab tervishoiuteenuse osutajal olema ülevaade kõikidest seadmetest (sh isiklikest seadmetest), mida patsiendi andmete töötlemisel kasutatakse. Isiklike seadmete kasutamise kord aitab riske minimeerida ja andmekaitsega seonduvate kohustuste rikkumisi vältida.

Pean meeles patsiendiandmete kaitse kohustust igas olukorras – praktikas esineb probleeme ka patsiendi andmete väljastamisel ja isikusamasuse tuvastamisel. Patsiendi andmete väljastamisel patsiendile endale on oluline esmalt isiku tuvastamine. Ettevõttes peaks olema läbi mõeldud isikuandmete väljastamise protsess ja see, millisel viisil peab töötaja enne andmete väljastamist patsiendi isikus veenduma ning selle dokumenteerima.

Sealjuures tuleb leida tasakaal isiku tuvastamise kohustuse ja liigsete andmete kogumise keelu vahel. Nimelt on AKI varasemalt leidnud, et isiku tuvastamise eesmärgil võib olla ülemäärane koguda ja säilitada patsiendi isikutunnistuse koopiat. Üldiselt peaks piisama isikut tõendava dokumendi näitamisest. Isikuandmete edastamise korral elektrooniliselt, tuleb mõelda andmete turvalisele edastamisele ka siis kui andmete küsijaks on patsient ise näiteks e-kirja teel. AKI seisukoha kohaselt võib üldjuhul isikuandmeid e-kirja teel (sh patsiendile) edastada ainult krüpteeritult või parooliga kaitstud zip-failina. Andmete edastamisel kolmandatele isikutele (sh uurimisasutustele) tuleb alati väga hoolsalt kontrollida, milliseid andmeid küsitakse ja kas küsijal on olemas õiguslik alus neid saada.

Kui soovid rohkem andmekaitsest meditsiinis teada saada, tule koolitusele Dokumenteerimine ja andmekaitse tervishoiusektoris, kus õpid, kuidas tagada tervishoiuasutuse teenuste korralduse vastavus õigusaktidele, kaitsta oma huve ja õigusi ning vältida konflikte ja probleeme järelevalveasutuste ning patsientidega. Koolitus toimub juba 13. veebruaril. Loe koolituse kohta lähemalt SIIT.