Auditi eesmärk
Isikuandmete kaitse audit on süsteemne ja sõltumatu ekspertiis, mille eesmärk on teha kindlaks, kas isikuandmete töötlemisega seotud tegevused on vastavuses organisatsiooni isikuandmete kaitse poliitika ja protseduuridega. Auditeerimise eesmärk on probleemide ennetamine, isikuandmete töötleja turvameetmete alane teadlikkuse tõstmine ja vajadusel isikuandmete töötlemise viimine kooskõlla kehtivate õigusaktidega. AKI eesmärk on auditi raames välja selgitada , kas ja kuidas on hambaraviteenuse osutajad rakendanud isikuandmete töötlemisel korralduslikke ja tehnilisi kaitsemeetmeid või muid kehtestatud nõudeid. Eelkõige lähtus AKI nõuete kontrollimisel IKÜM artiklites 5, 25 ja 32 sätestatud nõuetest1.
Hambakliinikud, nagu kõik teised tervishoiuteenuste osutajad, töötlevad patsientide tervisega seotud tundlikku teavet, mis nõuab kohaste infoturbemeetmete rakendamist. Peamised riskid tundlikele andmetele ehk inimest või inimesi mingil moel haavatavaks tegevate andmete puhul on seotud volitamata juurdepääsuga patsientide isikuandmetele, mille tagajärjel võivad aset leida järgnevad sündmused:
- andmete ebaõige käitlemine, mis võib põhjustada juhuslikke lekkeid;
- andmepüük ja suhtlusründed, mis panevad töötajaid pettusega paljastama tundlikku teavet;
- väljapressimised patsiendile/patsientidele;
- identiteedivargus;
- finantspettus;
- lunavararünnakud, mis võivad häirida ettevõtte tegevust ja ohustada patsiendi isikuandmeid;
- ettevõttesisesed ohud, mis tulenevad töötajate juurdepääsu kuritarvitamisest;
- koostööpartnerite ja tarnijate riskid, kus partnerite ebapiisav turvalisus võib viia rikkumisteni.
Kokkuvõte tulemustest
Auditi esimene etapp oli kirjalik järelepärimine kliinikutele, kes pidid vastama ettenähtud küsimustele ning edastama isikuandmete töötlemisega seotud dokumendid. Peale kirjalike vastuste analüüsi, toimus kliinikutes kohapealne kontroll. Kohapeal fikseeriti kliiniku hetkeolukord (nt ruumide valve korraldus, millised infotehnilised seadmed ja tarkvara on kasutusel, mis seisus on serveriruum, kas toimub videovalve jne).
Kohapealse kontrolli ajal küsiti kliiniku esindajatelt suulisi selgitusi, mis meetmetega tagatakse infoturve. Muud isikuandmete kaitse nõuete täitmised sõltusid konkreetsest kliinikust ja nende edastatud dokumentidest (nt andmete väljastamine patsiendile, andmekaitsespetsialisti roll ja ülesanded, telefonikõnede salvestamine jms).
Peale neid etappe koostati igale kliinikule eraldi auditi kokkuvõte, kus toodi välja ettepanekud, mis oleks vaja täita, et saavutada vastavus isikuandmete kaitse nõuetega ja soovitused edaspidiseks. AKI uurimise tulemusel oli vaid ühel hambaraviteenuse osutajal tervikuna teadlikkus piisav, st ei esinenud puudusi ja töötlemine vastas nõuetele. Ülejäänud kolm kliinikut said kokkuvõttega ka täitmiseks kohustuslikud ettepanekud. Ettepanekute täitmise viisi ja tähtajad saavad pakkuda kliinikud ise ning nende suhtes menetlus jätkub.
Järgnevalt on kokkuvõte kõikide kliinikute olulisematest puudustest isikuandmete kaitse nõuete täitmisel:
1. Dokumentatsiooni puudujäägid: Puudusid kas üldse või ei olnud piisavalt detailsed kirjeldused (korrad, juhendid jms) organisatoorsete, füüsiliste ja infotehniliste meetmete kohta, mis selgitaksid isikuandmete turvalisuse tagamist. Samuti oli puudujääke töötlemistoimingute registris2, kus olid mitmed toimingud puudu või vajasid täpsustamist, sealhulgas isikuandmete säilitustähtajad.
2. Andmekaitseintsidentide haldus: Puudus selge protseduur andmekaitseliste intsidentide lahendamiseks ja dokumenteerimiseks. Sealhulgas oli koostamata rikkumiste register3, mis hõlmab mitte ainult andmeleketega seotud juhtumeid, vaid ka süsteemide konfidentsiaalsuse, tervikluse ja kättesaadavusega seotud rikkumisi. Seega puudus arusaam, et infoturbeintsidendid on sageli samaaegselt ka andmekaitseintsidendid.
3. Isiklike seadmete ja andmekandjate kasutamine: Isiklike seadmete kasutamist töö tegemiseks ega väliste andmekandjate kasutamist ja hoiustamist ei oldud dokumenteeritud või reguleeritud, mis suurendab andmekaitseriske.
4. Infotehniliste turbemeetmete puudulikkus: Piisavad infoturbemeetmed olid rakendamata, näiteks mitmikautentimine, logide ja võrgumonitooring ning serveriruumi korrashoid. Samuti oli probleeme dokumentide hoiustamise turvalisuses, eriti paberkandjal terviseandmete puhul4.
5. Patsiendiandmete turvalisus: Kliiniku ruumides ja süsteemides ei tagatud piisavat kaitset, et vältida patsientide isikuandmete sattumist kõrvaliste isikute kätte. Lisaks oli puudujääke patsientide andmete väljastamisel ja isikusamasuse tuvastamisel.
6. Töötajate teadlikkus ja koolitus: Puudusid piisavad juhised ja dokumentatsioon töötajatele, mis käsitlevad isikuandmete töötlemise reegleid. Samuti puudus regulaarne isikuandmete kaitse alane koolitus.
7. Veebilehe ja küpsiste kasutamine: Veebilehed kasutasid mittevajalikke küpsiseid ilma kasutajate nõusolekuta. Veebilehe turvalisus vajas mõnel juhul samuti parendamist.
8. Telefonikõnede ja videovalve kasutamine: Telefonikõnede salvestamisel ja videovalve kasutamisel ei järgitud IKÜM-i nõudeid, näiteks puudusid vajalikud teavitused ja õigustatud huvi analüüsid.
Kuna hambaraviteenuse osutajate valdkonnas esineb mitmeid puuduseid soovitab AKI tulenevalt auditi tulemustest ka kõikidel teistel tervishoiuteenuse osutajatel jätkuvalt üle vaadata korralduslikud ja tehnilised meetmed ning vajadusel teha muudatused, et tagada isikuandmete kaitse kõrgem tase.
Soovitused hambaravikliinikutele:
- Loo ja rakenda põhjalik infoturbe ja andmekaitse poliitika.
- Rakenda tugevad ligipääsu- ja autentimismeetmed.
- Tõsta töötajate teadlikkust ja korralda regulaarsed koolitused infoturbe ja andmekaitse kohta.
- Paranda veebilehe turvalisust ja küpsiste kasutamise praktikat.
- Korrasta andmete töötlemise ja hoiustamise praktikaid riskipõhiselt.
Juhiseid isikuandmete töötlemiseks leiad isikuandmete töötleja üldjuhendist. Infoturbemeetmete rakendamiseks leiab soovitusi ka Eesti Infoturbestandardist või RIA küberturbe soovitustest.
1IKÜM-i kohaselt peab isikuandmete töötlemine olema seaduslik, õiglane ja läbipaistev. Andmeid tohib koguda ainult vajalikus mahus ja neid tuleb hoida turvaliselt. Andmetöötleja peab rakendama tehnilisi ja korralduslikke meetmeid, et kaitsta isikuandmeid ja tagada, et neid töödeldakse ainult lubatud eesmärkidel. Turvalisuse tase peab vastama töötlemisega seotud riskidele.
- IKÜM artikkel 5: Kirjeldab põhimõtted, mille järgi isikuandmeid tuleb töödelda.
- IKÜM artikkel 25: Nõuab andmetöötlejalt meetmeid andmekaitse tagamiseks läbi lõimitud ja vaikimisi andmekaitse.
- IKÜM artikkel 32: Määrab turvalisuse nõuded andmetöötlusele.
2IKÜM artikkel 30
3IKÜM artikkel 33 lg 5
4IKÜM artikkel 32