Andmekaitse Inspektsiooni andmekaitseaudit neljas Eesti hambaravikliinikus

Andmekaitse Inspektsiooni andmekaitseaudit neljas Eesti hambaravikliinikus

Andmekaitse Inspektsiooni (AKI) eesmärk on veenduda, et asutused ja ettevõtted järgivad andmekaitsereegleid. Selleks viisime omal algatusel neljas hambaravikliinikus läbi andmekaitseauditi, et hinnata isikuandmete kaitse üldmääruse (IKÜM) täitmist. On oluline, et kõik Eesti organisatsioonid kaitsevad tõhusalt isikuandmeid ja austavad üksikisikute eraelu puutumatust. Auditis osalesid neli kliinikut: SA Tallinna Hambakliinik, Läänemere hambakliinik OÜ, OÜ Kliinik32 ja AS Maxilla.

Isikuandmete kaitse audit on süsteemne ja sõltumatu ekspertiis, mille eesmärk on teha kindlaks, kas isikuandmete töötlemisega seotud tegevused on vastavuses organisatsiooni isikuandmete kaitse poliitika ja protseduuridega. Kuigi auditi üldine eesmärk on edendada IKÜM-i järgimist, tuvastades konkreetsed puudused ja lahendused seoses eelnevalt määratletud reguleerimisalaga, võib auditi eesmärk olla ka muude riskivaldkondade esiletõstmine ja teadlikkuse suurendamine andmekaitse vastavuse kohta üldiselt. AKI eesmärk oli auditi raames eelkõige kontrollida, kas ja kuidas on hambaraviteenuse osutajad isikuandmete töötlemisel korralduslikke ja tehnilisi kaitse- ja turvameetmeid rakendanud. Eelkõige lähtus AKI nõuete kontrollimisel IKÜM-i artiklites 5, 25 ja 32 sätestatud nõuetest1.

Hambaravikliinikud, nagu kõik teised tervishoiuteenuste osutajad, töötlevad tundlikku patsiendi tervisega seotud teavet, mis nõuab rangeid infoturbemeetmeid. Peamised riskid on seotud eelkõige isikuandmete kaitsega, mis hõlmavad andmetega seotud võimalikke rikkumisi, kus volitamata juurdepääs patsiendi isikuandmetele võib viia väljapressimiste, identiteedivarguste ja finantspettusteni; lunavararünnakuid, mis võivad häirida ettevõtte tegevust ja ohustada patsiendi isikuandmeid; ettevõttesisesed ohud, mis tulenevad töötajate juurdepääsu kuritarvitamisest; andmepüük ja suhtlusründed, mis panevad töötajaid pettusega tundlikku teavet paljastama; andmete ebaõige käitlemine, mis võib põhjustada juhuslikke lekkeid; ning koostööpartnerite ja tarnijate riskid, kus partnerite ebapiisav turvalisus võib viia rikkumisteni. Need riskid võivad põhjustada kliinikute jaoks tõsist õiguslikku, rahalist ja mainekahju, mistõttu on ranged turvameetmed hädavajalikud.

Audit algas järelepärimisega kliinikutele, kes pidid vastama ettenähtud küsimustele ning edastama isikuandmete töötlemisega seotud dokumendid. Näiteks küsis inspektsioon välja isikuandmete töötlemise ja infoturbega seotud korrad, milliseid volitatud isikuandmete töötlejaid kliinikud kasutavad, mis tarkvarad ja seadmed on kasutusel ja kas rakendatakse ka mõnda infoturbestandardit (nagu nt E-ITS või ISO). Seejärel, pärast kirjalike vastuste analüüsi, toimus kliinikutes kohapealne kontroll. Kohapeal fikseeriti kliiniku hetkeolukord, nt kuidas on korraldatud ruumide valve, millised infotehnilised seadmed ja tarkvara on kasutusel, mis seisus on serveriruum, kas toimub videovalve jne. Kohapealse kontrolli ajal küsiti kliiniku esindajatelt suulisi selgitusi, mis meetmetega infoturve tagatakse. Tähelepanuta ei jäänud aga ka muud isikuandmete kaitse nõuete täitmised, kuid need sõltusid juba konkreetsest kliinikust ja nende edastatud dokumentidest: nt andmete väljastamine patsiendile, andmekaitsespetsialisti roll ja ülesanded, telefonikõnede salvestamine jms.

Pärast neid etappe koostati igale kliinikule eraldi auditi kokkuvõte, kus toodi välja, mis osas on IKÜM-i nõuded täidetud ehk mis on hästi, ja ettepanekud, mis oleks vaja täita, et saavutada vastavus isikuandmete kaitse nõuetega, ja soovitused edaspidiseks. AKI uurimise tulemusel oli vaid ühe hambaraviteenuse osutaja teadlikkus isikuandmete töötlemise turvalisusest piisav, kliiniku rakendatud meetmetes ei esinenud olulisi puudusi ja isikuandmete töötlemine vastas nõutud ulatuses IKÜM-is toodud nõuetele. Ülejäänud kolm kliinikut said AKI-lt koos kokkuvõttega täitmiseks ka kohustuslikud ettepanekud. Ettepanekute täitmise viisi ja tähtajad saavad pakkuda kliinikud ise ning nende vastu menetlus jätkub. Loota on, et 2025. aasta jooksul on kliinikud kõik ettepanekud täitnud.

Kokkuvõte kõikide kliinikute olulisematest puudustest isikuandmete kaitse nõuete täitmisel lisatud järgmisel lehel.

Puudused isikuandmete kaitse nõuete täitmisel

  1. Dokumentatsiooni puudujäägid: puudusid kas üldse või ei olnud piisavalt detailsed kirjeldused (korrad, juhendid jms) organisatoorsete, füüsiliste ja infotehniliste meetmete kohta, mis selgitaksid isikuandmete turvalisuse tagamist. Samuti oli puudujääke töötlemistoimingute registris2, kus oli mitu toimingut puudu või vajas täpsustamist, sealhulgas isikuandmete säilitamise tähtajad. Mitmel juhul olid puudulikud ka volitatud töötlejatega sõlmitud lepingud (st sisaldasid ainult üldist konfidentsiaalsusklauslit).
  2. Andmekaitseintsidentide haldus: puudus selge protseduur andmekaitseliste intsidentide lahendamiseks ja dokumenteerimiseks. Sealhulgas oli koostamata rikkumiste register3, mis ei hõlma mitte ainult andmeleketega seotud juhtumeid, vaid ka süsteemide konfidentsiaalsuse, tervikluse ja kättesaadavusega seotud rikkumisi. Seega puudus arusaam, et infoturbeintsidendid on sageli samal ajal ka andmekaitseintsidendid.
  3. Isiklike seadmete ja andmekandjate kasutamine: isiklike seadmete kasutamist töö tegemiseks ega väliste andmekandjate kasutamist ja hoiustamist ei oldud dokumenteeritud või reguleeritud, mis suurendab andmekaitseriske.
  4. Infotehniliste turbemeetmete puudulikkus: piisavad infoturbemeetmed olid rakendamata, näiteks mitmikautentimine, logide- ja võrgumonitooring ning serveriruumi korrashoid. Samuti oli probleeme dokumentide hoiustamise turvalisuses, eriti paberkandjal terviseandmete puhul.4
  5. Patsiendiandmete turvalisus: kliiniku ruumides ja süsteemides ei tagatud piisavat kaitset, et vältida patsientide isikuandmete sattumist kõrvaliste isikute kätte. Lisaks oli puudujääke patsientide andmete väljastamisel ja isikusamasuse tuvastamisel.
  6. Töötajate teadlikkus ja koolitus: töötajatele puudusid piisavad juhised ja dokumentatsioon, mis käsitlevad isikuandmete töötlemise reegleid. Samuti puudus regulaarne isikuandmete kaitse alane koolitus.
  7. Veebilehe ja küpsiste kasutamine: veebilehed kasutasid mittevajalikke küpsiseid ilma kasutajate nõusolekuta. Veebilehe turvalisus vajas mõnel juhul samuti parendamist.
  8. Telefonikõnede ja videovalve kasutamine: telefonikõnede salvestamisel ja videovalve kasutamisel ei järgitud IKÜM-i nõudeid, näiteks puudusid vajalikud teavitused ja õigustatud huvi analüüsid.

Soovitused hambaravikliinikutele

  1. Loo ja rakenda põhjalik infoturbe- ja andmekaitsepoliitika.
  2. Rakenda tugevad ligipääsu- ja autentimismeetmed.
  3. Tõsta töötajate teadlikkust ja korralda regulaarseid koolitusi infoturbe ja andmekaitse kohta.
  4. Paranda veebilehe turvalisust ja küpsiste kasutamise praktikat.
  5. Korrasta andmete töötlemise ja hoiustamise praktikaid riskipõhiselt.
  6. Kasutades volitatud töötlejaid, kes võivad isikuandmetega kokku puutuda, sõlmi isikuandmete töötlemisega seotud lepingud.

Juhiseid isikuandmete töötlemiseks leiad isikuandmete töötleja üldjuhendist. Infoturbemeetmete rakendamiseks leiab soovitusi ka Eesti Infoturbestandardist või RIA küberturbe soovitustest.

Kuivõrd hambaraviteenuse osutajate valdkonnas esineb mitmeid puuduseid, soovitab AKI tulenevalt auditi tulemustest ka kõikidel teistel tervishoiuteenuse osutajatel jätkuvalt korralduslikud ja tehnilised meetmed üle vaadata ning teha vajadusel muudatused, et tagada isikuandmete kaitse kõrgem tase.

IKÜM-i kohaselt peab isikuandmete töötlemine olema seaduslik, õiglane ja läbipaistev. Andmeid tohib koguda ainult vajalikus mahus ja neid tuleb hoida turvaliselt. Andmetöötleja peab rakendama tehnilisi ja korralduslikke meetmeid, et kaitsta isikuandmeid ja tagada, et neid töödeldakse ainult lubatud eesmärkidel. Turvalisuse tase peab vastama töötlemisega seotud riskidele.


1IKÜM artikkel 5: Kirjeldab põhimõtted, mille järgi isikuandmeid tuleb töödelda.
IKÜM artikkel 25: Nõuab andmetöötlejalt meetmeid andmekaitse tagamiseks läbi lõimitud ja vaikimisi andmekaitse.
IKÜM artikkel 32: Määrab turvalisuse nõuded andmetöötlusele.
2IKÜM artikkel 30
3IKÜM artikkel 33 lg 5
4IKÜM artikkel 32