Created by Unknown User (m.zvinyte@juridicon.lt), last modified by CPO on Aug 07, 2022
Duomenų apsaugos pareigūnas Allaw® informuoja
Kaip skelbia Europos duomenų apsaugos valdyba (toliau - EDAV), Švedijos duomenų apsaugos priežiūros institucija atliko sveikatos priežiūros paslaugas teikiančių įstaigų tyrimą ir nustatė pažeidimų, susijusių su prieigos prie pacientų asmens duomenų valdymu, už beveik 3 mln. eurų. Duomenų apsaugos pareigūnas Allaw paaiškina, kokius pažeidimus padarė minėtos sveikatos priežiūros įstaigos ir ko gali pasimokyti kiti duomenų valdytojai.
Ko galima pasimokyti ...
Švedijoje atliktas tyrimas rodo, kad sveikatos priežiūros įstaigos, tvarkydamos specialių kategorijų asmens duomenis, kurioms Bendrasis duomenų apsaugos reglamentas (BDAR) taiko ypatingą apsaugą, nesiima pakankamų priemonių prieigos valdymui. Galima teigti, kad tai gana paplitusi praktika Europoje, nesenai rašėme apie už prieigos pažeidimus nubaustą vieną Norvegijos ligoninių. Taigi, į ką tiek sveikatos priežiūros įstaigos, tiek visi kiti duomenų valdytojai turėtų atkreipti dėmesį, siekdami nekartoti minėtų klaidų?
atlikti darbuotojų pareigų ir prieigos prie asmens duomenų analizę,
prieigas prie asmens duomenų darbutojams suteikti tik vadovaujantis "būtina žinoti"(angl. need to know) principu, t.y., tik tiems darbuotojams ir tik tokios teisės be kurių jie negalėtų atlikti savo darbo funkcijų,
išsamiai dokumentuoti prieigos suteikimo politiką ir su ja supažindinti darbuotojus,
panaikinti prieigas paskutinę darbuotojo darbo dieną, keičiantis jo darbo funkcijoms ar pan.,
įdiegti autentifikavimo mechanizmą, leidžiantį prieigą prie organizacijos IT sistemų (paremtą prieigų kontrolės politika).
Sveikatos priežiūros įstaigų pažeidimai
Švedijos duomenų apsaugos priežiūros institucija, atlikdama aštuonių sveikatos priežiūros paslaugos teikiančių įstaigų tyrimą tikrino ar minėtos įstaigos atliko poreikių ir rizikos analizę, reikalingą norint suteikti tinkamą prieigą savo darbuotojams prie asmens duomenų elektroniniuose sveikatos įrašuose. Tyrimo metu nustatyta, kad septynios iš aštuonių tikrintų įstaigų nebuvo atlikusios išsamios poreikių ir rizikų analizės, o šią analizę atlikusi įstaiga vis tiek padarė klaidų. Be tokios analizės sveikatos priežiūros paslaugų teikėjai negali suteikti darbuotojams teisingo prieigos lygio, o tai savo ruožtu reiškia, kad organizacijos negali garantuoti pacientų teisės į privatumo apsaugą. Remdamasi nustatytomis aplinkybėmis, Švedijos duomenų apsaugos priežiūros institucija padarė išvadą, kad minėtosios sveikatos priežiūros paslaugas teikiančios įstaigos neribojo prieigos prie pacientų sveikatos įrašų, vadovaudamosios principu "būtina žinoti", kitaip tariant nesiėmė priemonių užtikrinti ir įrodyti, kad taiko pakankamas duomenų saugumo priemones (BDAR 32 str.) sveikatos įrašų sistemose. Šie pažeidimai atitinkamai lėmė minėtų sankcijų skyrimą šioms įstaigoms.
Sveikatos priežiūros sektorius: atliktas tyrimas parodė silpnąsias prieigos prie pacientų asmens duomenų valdymo vietas
Kaip skelbia Europos duomenų apsaugos valdyba (toliau - EDAV), Švedijos duomenų apsaugos priežiūros institucija atliko sveikatos priežiūros paslaugas teikiančių įstaigų tyrimą ir nustatė pažeidimų, susijusių su prieigos prie pacientų asmens duomenų valdymu, už beveik 3 mln. eurų. Duomenų apsaugos pareigūnas Allaw paaiškina, kokius pažeidimus padarė minėtos sveikatos priežiūros įstaigos ir ko gali pasimokyti kiti duomenų valdytojai.
Švedijoje atliktas tyrimas rodo, kad sveikatos priežiūros įstaigos, tvarkydamos specialių kategorijų asmens duomenis, kurioms Bendrasis duomenų apsaugos reglamentas (BDAR) taiko ypatingą apsaugą, nesiima pakankamų priemonių prieigos valdymui. Galima teigti, kad tai gana paplitusi praktika Europoje, nesenai rašėme apie už prieigos pažeidimus nubaustą vieną Norvegijos ligoninių. Taigi, į ką tiek sveikatos priežiūros įstaigos, tiek visi kiti duomenų valdytojai turėtų atkreipti dėmesį, siekdami nekartoti minėtų klaidų?
atlikti darbuotojų pareigų ir prieigos prie asmens duomenų analizę,
prieigas prie asmens duomenų darbutojams suteikti tik vadovaujantis "būtina žinoti"(angl. need to know) principu, t.y., tik tiems darbuotojams ir tik tokios teisės be kurių jie negalėtų atlikti savo darbo funkcijų,
išsamiai dokumentuoti prieigos suteikimo politiką ir su ja supažindinti darbuotojus,
panaikinti prieigas paskutinę darbuotojo darbo dieną, keičiantis jo darbo funkcijoms ar pan.,
įdiegti autentifikavimo mechanizmą, leidžiantį prieigą prie organizacijos IT sistemų (paremtą prieigų kontrolės politika).
Sveikatos priežiūros įstaigų pažeidimai
Švedijos duomenų apsaugos priežiūros institucija, atlikdama aštuonių sveikatos priežiūros paslaugos teikiančių įstaigų tyrimą tikrino ar minėtos įstaigos atliko poreikių ir rizikos analizę, reikalingą norint suteikti tinkamą prieigą savo darbuotojams prie asmens duomenų elektroniniuose sveikatos įrašuose. Tyrimo metu nustatyta, kad septynios iš aštuonių tikrintų įstaigų nebuvo atlikusios išsamios poreikių ir rizikų analizės, o šią analizę atlikusi įstaiga vis tiek padarė klaidų. Be tokios analizės sveikatos priežiūros paslaugų teikėjai negali suteikti darbuotojams teisingo prieigos lygio, o tai savo ruožtu reiškia, kad organizacijos negali garantuoti pacientų teisės į privatumo apsaugą. Remdamasi nustatytomis aplinkybėmis, Švedijos duomenų apsaugos priežiūros institucija padarė išvadą, kad minėtosios sveikatos priežiūros paslaugas teikiančios įstaigos neribojo prieigos prie pacientų sveikatos įrašų, vadovaudamosios principu "būtina žinoti", kitaip tariant nesiėmė priemonių užtikrinti ir įrodyti, kad taiko pakankamas duomenų saugumo priemones (BDAR 32 str.) sveikatos įrašų sistemose. Šie pažeidimai atitinkamai lėmė minėtų sankcijų skyrimą šioms įstaigoms.
Nuorodos
https://edpb.europa.eu/news/national-news/2020/deficiencies-how-healthcare-providers-control-staff-access-patient-journal_en
https://vdai.lrv.lt/uploads/vdai/documents/files/VDAI_saugumo_priemoniu_gaires-2020-06-18.pdf
Pasitikrinti atotrūkio BDAR būklę
Perduoti peržiūrai prieigos suteikimo procedūros aprašą
Pasiteirauti dėl duomenų apsaugos audito
BDAR e-vedlys
BDAR atitikties portalas
Prieigų prie informacinių sistemų ir asmens duomenų valdymo tvarkos aprašas
Dažnai užduodami klausimai (DUK)
Teirautis dėl prieigos prie BDAR mokymų e-medžiagos
Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®
Palikti žinutę duomenų apsaugos pareigūnui Allaw®
Telefonu: 8-616 02000