Terviseinfosüsteemi põhimääruse muudatused

Nagu sissejuhatavas peatükis öeldud, oli Sotsiaalministeerium 2020. aastal kõige viljakam ning seda arusaadavatel põhjustel.
Esimene tervise infosüsteemi (TIS) muudatus toimus veel enne tervisekriisi puhkemist ning olulisim muudatus puudutas uusi andmestikke, mida TIS-i kantakse. Nimelt tuli teha märkuse selle kohta, et muudatuste tulemusel saab keskandmekogu üheks andmestikuks ka ravijuhiste andmestik, kuid tervishoiuteenuse korraldamise seaduse vastav säte (§ 591 lg 4), mis määratleb ammendavalt, mis laadi andmeid võidakse terviseinfosüsteemis töödelda, sellist andmestikku ette ei näe. Lisaks juhtis inspektsioon juba teistkordselt tähelepanu terviseandmetele juurdepääsu küsimusele. Nimelt puudutas üks muudatus TIS põhimääruse §-i 17, mille lõike 1 punktide 4 ja 8 järgi on andmesubjektil õigus keelata ja lubada oma andmetele juurdepääs ning võimaldada oma andmete vaatamist ja muutmist. Ehkki tuli teha märkuse ka selles osas, et kahe kirjeldatud õiguse erinevus on raskesti arusaadav, viitas inspektsioon veel sellele, et juba detsembris 2019 olime juhtinud tähelepanu laiemalt TIS-i andmetele juurdepääsu küsimusele. Nimelt näeb üldmääruse art 9 lõige 3 ette, et kui eriliigilisi andmeid töödeldakse art 9 lõike 2 punkti h eesmärkidel (ennetav meditsiin, töömeditsiin, töötaja töövõime hindamine, meditsiinilise diagnoosi panemine, tervishoiuteenuste, sotsiaalteenuste või ravi võimaldamiseks, tervishoiu- või sotsiaalhoolekandesüsteemi ja -teenuse korraldamine), siis peab sellel andmetöötleja töötajal olema liidu või liikmesriigi õigusest tulenevalt ametisaladuse hoidmise kohustus. Tervishoiuteenuste korraldamise seaduse § 593 lõikes 21 on märgitud, millistel tervishoiuteenusel osalevatel isikute on veel juurdepääs TIS-ile.
Samas ei ole arvatavasti kõigil neil seadusest tulenevat saladuse hoidmise kohustust. Seega ka uus muudatus, mis võimaldab isikul juurdepääse hallata, võib kaasa tuua olukorra, kus andmetele saab ligipääsu keegi, kes ei ole kohustatud ametisaladust hoidma. Lisaks juhtis inspektsioon juba teistkordselt tähelepanu, et üks andmeandjatest TIS-i on Haridus- ja Teadusministeerium, kes edastab TIS-i õpilase andmed, lõpetatud haridustaseme andmed ja õppeasutuse andmed.  Et selliste andmete kogumise vajadus ja eesmärk ei ole selge, on saanud tähelepanu juba aastal 2018.


HOIA äpp

Järgnev TIS-i muudatus puudutas valdavalt nutirakenduse loomist (HOIA äpp). 
Esmalt juhtis inspektsioon tähelepanu, et andmevahetus TIS-i ja nutirakenduse keskse serveri vahel peaks toimuma üle X-tee. 

Teine tähelepanek puudutas koodide edastamist. Segadust tekitas protsess – kuhu milline kood ja millal edastatakse. Segamini nimetati nii kinnituskoodi kui ka tuvastamiskoodi, aga kohati ka anonüümset koodi. Nii jäi arusaamatuks, kas tegemist on sünonüümidega või erinevate koodidega. Ka seletuskiri ei andnud vastust nendele küsimustele. Selgus, et andmevahetus on loodud selliselt, et kinnituskood luuakse nutirakenduses, kust see edastatakse kasutaja poolt TIS-i. Kui TIS-is toimuvas kinnitusprotsessis selgub, et infosüsteemis tuvastatud isiku tervisedokumendid kinnitatavad diagnoosi, siis luuakse tuvastuskood. Seejärel edastatakse nutirakenduse serverisse nii kinnituskood kui ka tuvastuskood ning edasi rakenduse kasutajale vaid kinnituskood. Inspektsioon märkis, et kui anonüümne kood, mida ka osati kasutati, on erinev kinnituskoodist, tuleks mõistetesse kindlasti selgust tuua.  Lisaks juhtis inspektsioon tähelepanu sellele, et andmekaitsealane mõjuanalüüs keskendus liialt tehnilisele poolele ja sellele samale koodide vahetusele ehk andmevahetusele nutirakenduses, ent näiteks tähelepanuta ja hindamata oli jäetud kaudsed riskid. Ehk et, kas mingil võimalusel kasvõi kaudselt on võimalik ikkagi tuvastada, kui oled kinnituse saanud, et oled nakatunuga ühes ruumis viibinud ja seetõttu lähikontaktne, kellega tegemist on. Samuti, kas ja milline risk on selles, et rakendus annab nö valepositiivseid teateid. Kas näiteks on võimalik, et õhukeste kortermaja seinte läbi kaks lähestikku piisavat aega olnud telefonid võivad andmeid vahetada ja anda seeläbi teate, et oled viibinud nakatunuga ühes ruumis, ehkki tegelikult ei ole või, kui koosolekul oli nii vähe inimesi ja pärast seda saad teate nakatunuga ühes ruumis viibimisest, kas siis ikkagi ei ole võimalik aru saada, et tegemist oli just selle koosolekul viibinuga.
Kuna seletuskiri ütles nutirakenduse kohta, et see ise isikuandmeid ei töötle, juhtis inspektsioon tähelepanu sellele, et see päriselt siiski nii ei pruugi olla. Nimelt, kui on mingigi võimalus, et nutirakendus töötleb kasvõi pseudonüümitud andmeid, sh kui isiku tuvastamine võib tänu rakendusele, kuid ka väljapool seda, olla kasvõi kaudselt võimalik, tuleb siiski kõiki andmekaitse nõudeid rakendada.

Lisaks tuli pöörata tähelepanu sellele, et ehkki nutirakenduse tunnuskood ja TIS-is loodav kinnituskood on eelduslikult unikaalsed, siis seletuskirjast võis aru saa
da, et TIS-i kinnituskood luuakse TIS-i andmete pinnalt. Kuna aga TIS-is tekivad mistahes andmetöötluse korral logid, mis omakorda tähendab, et infosüsteemi tekib teave (tuvastuskood ja logi), mille pinnalt on võimalik tuvastada nutirakenduse kasutaja isik ja nutirakenduse kasutatav kinnituskood. Seega saabki öelda, et andmetöötlus ei ole täielikult anonüümne.

Soovitus oli anda selge ülevaade andmetöötlusest rakenduse kasutajatele ka selle kasutajatingimustes.

Kolmanda TIS-i muudatuse osas oli olulisim märkus, mis puudutas paragrahvi 5 täiendust lõikega 11, mille kohaselt häirekeskusega liidestunud kiirabibrigaadi pidaja edastab infosüsteemi kiirabibaasi ja kiirabibrigaadi andmed viivitamata pärast asjakohase ressursi staatuse muudatust. Inspektsiooni hinnangul ei võimalda infosüsteemi pidamise eesmärgid üldse selliste andmete edastamist TIS-i. Seletuskirjas küll viidati, et samad andmed (ressursiandmed) on kehtiva õiguse kohaselt kiirabi kaardi osa, mille andmed edastatakse TIS-i, kuid tegemist ei ole võrreldava olukorraga. Nimelt kiirabikaart on loodud selleks, et anda kokkuvõtvat teavet osutatud tervishoiuteenuse kohta ja ehkki see sisaldab ka teavet teenust osutanud kiirabibrigaadi kohta, kuid kiirabikaardi eesmärk ei seisne selles, et selle alusel hallata kiirabi autode kui ressursi kasutamist. Lisaks ei selgunud eelnõust, milliseid andmeid hakkab häirekeskusega liidestunud kiirabibrigaadi pidaja TIS-i edastama. Nagu kehtivast TIS-i põhimäärusest nähtub, on sellest muudatusest ka loobutud.

Häirekeskuse poolt kiirabi hädaabiteate menetlemise käigus kogutud andmete edastamisele TIS-i oli inspektsioonil samuti oma märkus.  Tähelepanu tuli juhtida sellele, et kas andmete töötlemise minimaalsuse ja eesmärgipärasuse printsiipi silmas pidades on kõiki eelnõus nimetatud andmeid siiski vajalik TIS-i edastada, arvestades seejuures terviseinfosüsteemi pidamise eesmärke.  

Kui ennist sai viidatud, et TIS-i andmeid polnud RIHA-s alates 2014. aastast uuendatud, siis vahetult enne käesoleva ülevaate valmimist seda siiski tehti. Paraku aga selgus RIHA-sse laetud andmekoosseisust palju andmeid, mida TIS-i põhimäärus ei käsitle. Olgu öeldud, et tervishoiuteenuste korraldamise seadus, mis TIS-i aluseks on, annab vaid üldise määratluse sellest, mis andmeid TISi kogutakse. Ka TIS-i põhimäärus ei anna otseselt detailset loetelu andmetest. See, mis andmeid TIS-i kantakse, selgub paljusid erinevaid norme ja õigusakte uurides. Siiski ei näe ükski norm ette, et TIS-i kantaks isiku kodakondsust, Eestisse elama asumise aega või abikaasa andmeid. RIHA-sse laetud andmekoosseisu järgi liigub TIS-i ka apteegist retseptiravimi välja ostnud isiku isikukood. Samas digiloost patsient ise seda ei näe ning põhimäärus nende andmete TIS-i kandmist ei sätesta. Sama oli kiirabiteate teinud inimese andmetega – andmekoosseisust selgus, et see info liigub Häirekeskuselt TIS-i. Taolisi lahknevusi õigusakti ning tegelikkuse vahel oli teisigi2.

Kokkuvõttes, tervise infosüsteemi primaarne eesmärk on olla keskne andmekogu inimesele kvaliteetse tervishoiuteenuse osutamiseks seeläbi, et arstile on kättesaadav terviklik ülevaade patsiendi terviseandmetest.  Paraku on imbunud, ning nagu näha, järjest rohkem TIS-i juurde andmeid, millel ei ole seost tervishoiuteenuse osutamisega. Eesti riigi infosüsteemide arhitektuuri üks kõige olulisem nõue on hajusus. St ühe suure andmepoti asemel on Eestis palju teemapõhiseid andmekogusid, mis vahetavad omavahel vajalikke andmeid. Nii tuleb hoolikalt jälgida, et ka TISi-st ei saaks andmekogu, kuhu lisaks inimese terviseandmetele kogutakse kokku pool tema muust eluloost.


1 TTKS § 591 lg 4

Vt 13.04.2021 nr 2.2.-8/21/879 „Tervise infosüsteemi mittekooskõlastus“