Isikuandmete kaitse üldmäärus (IKÜM) paneb vastutuse andmete töötlemise eest andmete vastutavale töötlejale ehk juriidilisele isikule või füüsilisele isikule, antud juhul tervishoiutöötajale. Mõlemal juhul peab järgima nii õigusnorme kui ka infotehnoloogilist arengut, eriti viimasest tulenevaid võimalusi ja ohte.
IKÜM nimetab sellist jälgimist ja järgimist lõimitud andmekaitseks. See tähendab, et isikuandmeid mõjutava töökorralduse kavandamise ning rakendamise käigus tuleb algusest peale arvestada andmekaitse põhimõtete ning asjakohaste turvameetmete rakendamisega. Tegu ei ole mitte niivõrd õigusliku mõistega, kuivõrd mõtteviisi ja organisatsioonikultuuriga. Norme rakendavad ja tehnoloogiat kasutavad ikkagi inimesed. Seega, isegi kui kõik on juriidiliselt korrektne ning organisatsioonis on kehtestatud kord ja loodud vastavad juhendid, ei ole neist kasu, kui töötajad neid ei rakenda.
Nii ongi andmekaitsealase teadlikkuse parandamise kõrval sama oluline ka infoturbeteadlikkuse parandamine, sest küberturvalisus sõltub samuti inimeste teadlikkusest (nt õngitsuste ja rünnete äratundmine). Iga andmetöötleja, sõltumata oma suurusest ja sihtgrupist (nt suurhaigla, polikliinik, perearstikeskus), peab tagama, et töötajad teaksid, mida tähendab andmete turvaline töötlemine ja millised on sellega seotud probleemid.
Andmekaitse eest vastutavad kõik töötajad
Teadlikkuse kasvatamisse soovib üha enam panustada ka andmekaitse inspektsioon (AKI). Nii nagu iga tervishoiutöötaja mõistab hügieeni olulisust oma töös, määrab ka digimaailmas küberhügieeni puudulikkus probleemide ahela vallandumise või järgmiste rikkumiste tekke.
Paljud arvavad, et andmeid peavad kaitsma ettevõtted, kes pakuvad infotehnoloogilist teenust, IT-spetsialistid või Andmekaitse Inspektsioon. Tegelikult on see jagatud vastutus, sest pigem osutub kõige nõrgemaks lüliks inimene, kes ei ole näiteks vahetanud soovitatud perioodi tagant parooli või on jätnud enda kasutajakonto lahti arvutis, millele on ligipääs ka teistel. Viimase aja suured andmelekked, mis on saanud palju kajastust ka meedias (näiteks Asper Biogene ja Allium UPI), on saanud alguse ühest kasutajast, kelle konto kaudu tungiti sisse ettevõtte süsteemi.
Küberhügieen tähendab tavakasutajale lihtsaid võtteid:
- Iga konto jaoks peaks olema erinev parool. Ärge kasutage sama parooli mitmel kontol. Erinevate paroolide haldamisel on lisaks soovituslik kasutada paroolihaldurit. Paroolihaldurid aitavad luua ja hallata tugevaid paroole.
- Keskmisest keerulisema parooli kasutamine, soovituslikult vähemalt 14 tähemärki. Kuna parooli variante katsetavad selleks loodud robotid, siis kõige keerulisem on neil läbi tungida nendest, milles on suured ja väikesed tähed, numbrid ja sümbolid segamini.
- Arvuti tagant lahkumisel alati enda kasutajast välja logimine ja tööarvuti (sh sülearvuti) kasutamine ainult selleks ettenähtud kohas, tööks vajalikul ajal ja vastavalt tööst tulenevale vajadusele.
Lisaks infoturbele peab meeles pidama ka lihtsaid andmekaitse algtõdesid.
Näiteks on hiljuti palju juttu olnud tervishoiutöötajatest seoses patsientide terviseandmete päringutega. Igast päringust jääb maha logi ehk digitaalne jälg. Selliste jälgede talletamine on seoses terviseandmetega väga oluline, sest kui päringute tegemine on kontrollitav, loob see inimestes usalduse. Mitmed probleemid on praktikas tulnud sellest, et logimissüsteem ei toimi või on puudulik. Seega pöörab ka AKI palju tähelepanu sellele, kuidas on isikuandmete töötlemine dokumenteeritud, et see tekitaks võimalikult vähe segadust. Samuti anname nõu, kuidas saate enda poolt teha kõik, et neid jälgi kaitsta.
Ekslikud päringud tuleb dokumenteerida
Sageli vajab meelde tuletamist see, et andmete kaitsmine ja korrektne dokumenteerimine on väga oluline ka tervishoiutöötajate endi kaitsmise eesmärgil. Toome näite. Arst vaatab patsiendi andmeid tervise infosüsteemist, aga tal läheb kogemata nimi valesti kirja (või isikukood või on tegemist nimekaimuga). Arst saab kohe aru, et tegemist on vale inimesega, sulgeb selle ja avab õige inimese andmed. Ekslikult avatud inimese andmejälgijasse jäi aga kirje, et tema andmeid on vaadatud. Kui see inimene nüüd aasta hiljem avastab, et tema andmeid on vaadanud tema jaoks täiesti võõras arst, kellega tal puudub ravisuhe, siis tuleb ta selgitusi küsima. Kui arstil see ekslik päring ja selle põhjused dokumenteeritud ei ole, siis kui suur on tõenäosus, et ta mäletab, mis põhjusel ta just selle patsiendi andmeid aasta tagasi ekslikult vaatas?
Andmetöötleja peab tagama, et tema töötajad oleksid teadlikud, et kõikidest sellistest ekslikutest päringutest ja muudest rikkumistest tuleb kohe teada anda andmekaitsespetsialistile (AKS), kes need nõuetekohaselt dokumenteerib. Ka siis, kui ei ole päris täpselt kindel, kas on tegemist intsidendiga või mitte. Väga oluline on tagada, et inimesed saaksid probleemide korral konkreetseid selgitusi enda terviseandmete vaatamiste kohta.
Siinkohal on oluline pidada meeles, kes on teie organisatsiooni andmekaitsespetsialist. Rikkumiste dokumenteerimine on seadusest tulenev kohustus ehk kui hiljem tekib dokumenteerimata päringuga probleem, lasub kogu vastutus ebatäpse dokumenteerimise eest päringu teinud isikul.
Kui te ei ole kursis, kes on asutuse AKS ja kuidas tema poole pöörduda, siis tuleks see kindlasti endale selgeks teha. Praktikas nähakse sageli, et AKS ei ole kaasatud asutuse tööprotsessidesse (nt kordade ja juhendite väljatöötamine jne), uute teenuste väljatöötamisse ja töötajad ei ole kursis, et ta üldse majas olemas on. Tööandja on kohustatud oma töötajaid kursis hoidma andmekaitse nõuete, andmeturbe reeglite ja küberhügieeniga ning koolitama neid selles valdkonnas.
Andmekaitsespetsialisti määrab organisatsioon ise, ta võib olla nii palgaline töötaja kui ka sisseostetud teenus, aga ta peab tundma andmekaitsealaseid õigusakte ja tavasid, koolitama töötajaid, abistama ja kontrollima andmetöötlejat määruse täitmisel.
Andmekaitsealane rikkumine on intsident, mis põhjustab andmete
a) lubamatu hävimise või kaotsimineku,
b) muutmise,
c) lubamatu avalikustamise,
d) lubamatu juurdepääsu võimaldamise, näiteks kui andmetele on ligipääsu saanud kolmas isik.
Eeltoodud probleeme esineb igas valdkonnas, kuid peame mistahes ametil töötades hindama vastutust ja vastutustunnet. Samuti peame lugu pidama kliendist või patsiendist. Küll aga on tervishoid alati suurema tähelepanu all, sest tegemist on inimeste privaatsust tugevalt riivava valdkonnaga. Nagu ka alguses nentisime, ei ole andmekaitse mitte niivõrd õiguslik mõiste, kuivõrd mõtteviis ja organisatsioonikultuur.