Andmekaitse trahvid meditsiinisektoris – olulised Euroopa kaasused, mida Eestis arvestada

Autor: Henri Ratnik, vandeadvokaat ja IT-õiguse valdkonna kaasjuht, Advokaadibüroo LEXTAL. Artikkel ilmus veebruari Lege Artises. Telli ajakiri siit!

2018. aastast kehtib Eestis ja Euroopa Liidus isikuandmete kaitse üldmäärus ehk GDPR. See sätestab palju kohustusi, mida tuleb isikuandmete töötlemisel järgida. Sealjuures on rikkumistele ette nähtud soolased trahvid: kuni 20 miljonit eurot või 4% ettevõtja eelneva majandusaasta kogukäibest, emb-kumb on suurem.

Andmekaitse Eestis – senine vaeslaps ning olukorra paranemine

Mis kasu on määrusest, mida keegi ei jõusta ja mille rikkumisel keegi trahve ei määra – üsna vähe. Erinevalt teistest Euroopa Liidu riikidest on Eestis jäänud andmekaitse senini vaeslapseks, sest riiklik järelevalve on olnud napp. Veel paar aastat tagasi oli suurim trahv paarsada eurot. Põhjuseid selleks oli mitmeid: puudulik regulatsioon trahvide määramiseks ning järelevalveorgani ehk Andmekaitse Inspektsiooni (AKI) alamehitatus. Kui ei ole korrektset seadust, et rikkumiste korral trahve määrata, ei ole ka trahve. Kui ei ole inimesi, kes järele valvaks, ei ole ka järelevalvet.

Nüüdseks on olukord muutunud. Seaduse lüngad on parandatud ning AKI on inimesi juurde palganud. Näha on ka tulemused: möödunud suvel määras AKI Ida-Tallinna Keskhaiglale Eesti kontekstis rekordilise, 200 000-eurose trahvi. Väidetav rikkumine seisnes selles, et patsientide paberil olevad haiguslood tõsteti maja ees valveta ehituskonteinerisse, kust AKI inspektor need leidis. Praeguseks on trahv siiski vaidlustatud ning lõplikku otsust selle kehtivuse kohta veel pole. (1)

Jäägu trahv kehtima või mitte, eeltoodu kinnitab tõsiasja, et Eestis on asutud usinasti andmekaitse üle järelevalvet tegema. Erilise tähelepanu all on sealjuures need, kes töötlevad tundlikke andmeid, nagu näiteks haiglad ja muud tervishoiuteenuse osutajad, aga ka meditsiinilaborid ning ettevõtted, kes pakuvad haiglatele tarkvarateenust. Fakti, et olukord on pinev, kinnitab ka hiljutine Asper Biogene’i andmeleke. Riigile on selge, et andmekaitse on prioriteet ja sellega tuleb tegeleda. Vastasel juhul tuleb veel andmelekkeid ja muid rikkumisi.

Seepärast on asjakohane vaadata Euroopa poole, milliseid kaasusi on olnud tervishoiusektoris ja milliseid trahve on määratud.

Ligipääs andmetele ja selle kohta logi pidamine

Hollandis määras kohalik andmekaitseamet Amsterdami haiglale OLVG trahvi summas 440 000 eurot patsientide haiguslugude ebapiisava kaitse eest. Haigla ei kontrollinud küllaldaselt, kes millistele kirjetele ligi pääses, ning lisaks oli infosüsteemide turvalisuses puudujääke. Haiglal oli küll automaatne protseduur, mis logis toimikute vaatamist, kuid see ei seiranud logisid piisavalt sageli, et kontrollida volitamata juurdepääsu juhtumeid. Haigla kohustuseks on regulaarselt kontrollida logisid, et veenduda, ega andmetele ei ole põhjenduseta ligi pääsetud. Lisaks oli puudu kaheastmeline autentimine, et teha kindlaks kasutaja identiteet, kes soovib juurdepääsu patsiendikirjele. (2)

Samas leiab Euroopast ka kaasuseid, kus trahve on määratud väiksemate eksimuste eest. Näiteks Itaalias asuvas haiglas Azienda Sanitaria Universitaria Friuli Centrale (ASUFC) vaatasid ja pääsesid haigla töötajad ligi kõikide haigla patsientide terviseandmetele. Vaadata sai ka nende patsientide andmeid, kellega töötajatel kokkupuudet ei olnud, mistõttu ei olnud andmete ligipääs põhjendatud ravi osutamiseks. Sealjuures seisnes eksimus ka selles, et puudus süsteem, mis oleks võimaldanud jälgida ja kontrollida põhjendamatut andmetega tutvumist. Itaalia andmekaitseasutus määras haiglale trahvi summas 70 000 eurot. (3)

Eesti tervishoiusektoris on kasutusel omajagu erinevaid tarkvaralahendusi. On selge, et mitmed olulisemad lahendused kontrollivad ja salvestavad andmetele juurdepääsu ning lahenduse kvaliteet piirangute mõttes on hea. Küll aga tuleb olla eriti teadlik täiendavate ja uudsete tarkvaralahenduste rakendamisel, seda nii suuremates asutustes kui ka erameditsiinis, kus väiksemas erakliinikus ei pruugi olla igapäevaselt majas oma IT-spetsialisti. Oluline on veenduda, et nõudmistele vastaksid kõik süsteemid, kus töötajad tundlikele andmetele juurde pääsevad.

Andmelekete ennetamine

Prantsusmaal määrati 1,5 miljoni euro suurune trahv ettevõttele nimega DEDALUS BIOLOGIE, kes pakub tarkvarateenuseid meditsiinilaboritele. Nimelt toimus andmeleke, mille tulemusel lekkisid ligi 500 000 inimese isikuandmed, sh terviseandmed. Nende andmete hulgas olid inimeste nimed, info tervise (sh andmed vähi, viiruste, geneetiliste haiguste kohta), raseduse ja manustatavate ravimite kohta. Uurimise käigus tuvastas Prantsuse andmekaitseamet mitmeid GDPR-i rikkumisi: näiteks kõiki andmeid ei krüpteeritud, teatud andmed olid juurdepääsetavad autentimiseta ja üles ei olnud seatud andmete automaatset kustutamist. (4)

Küberturbest rääkides kasutatakse tihti n-ö Švetsi juustu analoogi. Õhukesest juustuviilust näeb aukudest läbi. Kui aga viilusid on teineteise peal palju, siis augud juustus ei ole enam kohakuti ja enam ei näe. Samamoodi on andmelekete ennetamisega. Oluline on teha kõik sammud, mis võimalik, et lekkeid vältida. Piirata tuleb juurdepääsusid, rakendada tuleb krüpteerimist jne.

Pahavara, andmete pantvangi võtmine ja häkkerid

Üks pahavaraga seotud juhtum leidis hiljuti aset Iirimaal. Centric Health Ltd on Iirmaal asuv meditsiiniasutus, mis osutab perearsti- ning hambaraviteenuseid. Centricu IT-süsteemidesse paigaldasid kurjategijad pahavara, mis võttis patsientide terviseandmed pantvangi. Teisisõnu: kurjategijad krüpteerisid need terviseandmed ära ning nõudsid andmete tagasiandmise eest raha. Centric maksis kurjategijatele nende nõutud rahasumma, mille eest nemad lubasid anda Centricule digitaalse võtme, et andmed uuesti kättesaadavaks teha. Võtmest ei olnud aga tegelikkuses kasu, sest umbes 2500 patsiendi isikuandmed oli juba ära kustutatud. Iirimaa andmekaitse leidis menetluse käigus, et Centric rikkus GDPR-i, sest ei rakendanud piisavaid organisatoorseid ja tehnoloogilisi meetmeid isikuandmete kaitseks. Trahviks määrati 460 000 eurot. (5)

Eestis on praegu juba igapäevane, et ettevõtteid rünnatakse ja kogu nende andmebaas võetakse pantvangi. Süsteemidele pääsetakse tihti ligi kasutajate inimlike või hooletusest põhjustatud eksimuste tõttu või kohati ka väga keerukate ning planeeritud rünnakute kaudu. Seejuures on täielik müüt, et rünnatakse vaid suuri ettevõtteid. Kui suli näeb tänaval vedelemas rahakotti, korjab ta selle üles ja paneb taskusse. Sama on võõra riigi küberpahalasega: kui ta saab võtta kahe klikiga pantvangi üksiku perearsti andmebaasid ja nõuda selle eest ka ainult mõni tuhat eurot, siis ei tasu uskuda, et ta seda ei tee.

Kokkuvõte: hooletus ees, õnnetus järel

Need on vaid mõned näited hiljutistest Euroopa Liidus määratud trahvidest tervishoiusektoris. Tegelikkuses on neid veel mitmeid. Selge on see, et andmekaitse nõuete järgimise üle tehakse järelevalvet ning rikkumisi karistatakse. Nende lugude moraal on see, et andmekaitse nõuete ignoreerimine viib lekete ja muude rikkumisteni, mis omakorda viivad trahvideni, aga ka mainekahjuni.

Kasutatud kirjandus

1. Ida-Tallinna keskhaigla käib inspektsiooniga patsientide andmete eest tehtud 200 000-eurose trahvi pärast kohut. Postimees, 03.07.2023. https://majandus.postimees.ee/7807529/ida-tallinna-keskhaigla-kaib-inspe...
2. Dutch DPA fines OLVG hospital for inadequate protection of medical records. European Data Protection Board, 11.02.2021. https://edpb.europa.eu/news/national-news/2021/dutch-dpa-fines-olvg-hosp...
3. Italy: Garante fines Friuli Centrale University Health Authority €70,000 for multiple GDPR violations. OneTrust DataGuidance, 18.07.2022. https://www.dataguidance.com/news/italy-garante-fines-friuli-centrale-un...
4. Délibération SAN-2022-009 du 15 avril 2022. République Française Légifrance. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045614368?init=true&pa...
5. DPC Case Reference: IN-21-2-4 In the matter of Centric Health Ltd. https://www.dataprotection.ie/sites/default/files/uploads/2023-02/IN-21-...