Andmekaitse Inspektsioon (AKI) pani möödunud aasta jooksul rõhku tervishoiule ning tervishoiuteenuse osutajate (TTO) käitumisele isikuandmete töötlemisel. Kuivõrd infoturve ja andmekaitse käivad käsikäes, vaatasime senisest põhjalikumalt otsa ka TTO-de infosüsteemidele. Reaalsus on nukker ja peab tõdema, et ka kõige suurematel andmetöötlejatel pole asjad nii korras, kui võiks neilt eeldada. Näiteid ei pea kaugelt otsima, kui vaadata mitut meediast läbi käinud kaasust, kus süsteemide ebapiisava turvalisuse tõttu lekkisid sadade tuhandete inimeste isikuandmed.
Aga miks on üldse nii oluline, et tervishoiutöötajad, kelle päevad on täis kõike muud kui juriidiliste probleemidega tegelemist ja õiguslike aluste tagaajamist, siiski ka andmekaitsenõudeid täidaksid – nii suured haiglad kui ka üksikud perearstid?
Isikuandmete kaitse üldmäärus (IKÜM) paneb vastutuse andmete töötlemise eest andmete vastutavale töötlejale ehk juriidilisele isikule või füüsilisele isikule ning töötlemisel peab lisaks korralduslikele meetmetele (juhendid, korrad, koolitused jms) arvesse võtma ka tehnilist turvalisust . Seda kohustust ei tohiks asuda täitma peale isikuandmete töötlemisega alustamist, vaid isikuandmeid mõjutava töökorralduse kavandamise ning rakendamise käigus tuleb algusest peale arvestada andmekaitsepõhimõtete ning asjakohaste turvameetmete rakendamisega. IKÜM nimetab seda lõimitud andmekaitseks.
Lõimitud andmekaitse tähendab muu hulgas ka mõtteviisi ja organisatsioonikultuuri, sest õiguslikke norme rakendavad ja tehnoloogiat kasutavad ikkagi inimesed. Seega, isegi kui kõik on juriidiliselt korrektne ning organisatsioonis on kehtestatud kord ja loodud vastavad juhendid, ei ole neist kasu, kui töötajad neid ei rakenda.
Menetluste käigus ilmneski turvalisuse vallas mitu probleemi. Esiteks ei hoomata andmekaitse ja küberturvalisuse seost ning levib suhtumine, et viimane on mingi keeruline IT-värk. Teiseks arvatakse, et kord juba paika pandud lahendused on piisavad ja ei vaja ajakohastamist, sest need ometigi töötavad.. Kolmandaks ei anta töötajatele piisavaid juhiseid või koolitusi, mis üldse on andmekaitse või millised on kübermaailma ohud. Neljas ja kõige suurem probleem on aga juhtkonna valdav suhtumine: andmekaitset ja küberturvalisust ei pea oluliseks ka suurte organisatsioonide juhtkond.
Saab öelda, et isikuandmete vastutavad töötlejad ei taju, millisel hulgal on nende kätte inimeste eriliigilisi isikuandmeid (terviseandmed) usaldatud ning millised on nende kohustused ja vastutus isikuandmete töötlemisel. Samuti ei tajuta, et ebaturvalised infosüsteemid mõjutavad otseselt väga paljude inimeste elu ja tervist – kui nende andmed valedesse kätesse satuvad. Terviseandmed on oma olemuselt väga suurt kaitset vajavad ning neisse tuleb suhtuda oluliselt hoolikamalt kui tavalistesse isikuandmetesse.
Andmekaitse peab olema asutuse tegevusse ning tema infosüsteemidesse sisse ehitatud enne isikuandmete töötlemisega alustamist, mitte olema teisejärguline teema, millega tegeletakse, kui põhitegevuse kõrvalt aega üle jääb. Mida kõrgemalt juhtimistasandilt tuleb suunis andmekaitse ja infoturbe olulisuse rõhutamisel, seda suurema tõenäosusega inimesed sellele tähelepanu pööravad.
- Kommenteerimiseks logi sisse või registreeru