SA Läänemaa Haigla koostööpartner Asper Biogene OÜ langes küberrünnaku ohvriks
SA Läänemaa haigla koostööpartneri Asper Biogene OÜ vastu sooritati käesoleva aasta novembris küberrünnak, mille käigus varastati Asper Biogene OÜ valduses olnud andmeid, sh patsientide molekulaar-diagnostiliste uuringutega seotud isikuandmeid. Selle tagajärjel on ühe SA Läänemaa Haigla patsiendi terviseandmed saanud teatavaks selleks õigustamata isikule.
SA Läänemaa Haigla teavitab juhtunust otse oma patsienti, kelle andmed on lekkinud ja kelle kontaktandmed on meil olemas. Politsei ja Andmekaitse Inspektsioon on juhtunust teadlikud ja viimas läbi menetlusi. Olulisimad juhised andmelekkest puudutatud patsiendile on järgmised:
- eriliselt tähelepanelik tuleb olla saadud e-kirjade osas. Tervise teemal e-kirja saamisel tuleb erilise hoolega veenduda, et saatjaks on tõesti arst või haigla esindaja, mitte sellena esineda püüdev muu isik. Enne linkidel klikkimist või manuste avamist tuleb täielikult veenduda, et kirja saatja on see, kellena ta paistab. Arvestage, et reeglina ei saada Teie arst analüüsitulemusi e-kirja teel, vaid need on tutvumiseks terviseportaal.ee keskkonnas;
- väljapressiva sisuga pöördumise saamisel tuleb esimesel võimalusel võtta ühendust politseiga ja järgida politseilt saadud juhiseid.
Asper Biogene OÜ tegeleb lekkinud andmete täpse koosseisu kindlakstegemisega. Kõikidel meie patsientidel, kelle andmeid on varastatud, on õigus saada teavet, millised tema andmed on lekkinud. Selleks tuleb digiallkirjastatud avaldus saata e-postiaadressil haigla[ät]salmh.ee. Avaldusele vastame ühe kuu jooksul, kuid palume arvestada, et lepingupartnerilt täpsete andmete saamine võib võtta aega. Vastused saadame taotlejale krüpteeritult.
Kui Teil ei ole digitaalse allkirjastamise ja krüpteerimise võimalust, võtke palun ühendust meie haigla juhiabiga telefonil 472 5801 ja anname Teile juhised toimimiseks.
Isikuandmete töötlemine SA Läänemaa Haiglas
Isikuandmete töötlemine on iga isikuandmetega tehtav toiming. SA Läänemaa Haigla (edaspidi haigla) töötleb isikuandmeid, sealhulgas terviseandmeid
Haiglal kui tervishoiuteenuse osutajal on vastavalt Tervishoiuteenuste korraldamise seaduse § 4 prim 1 kohustus hoida saladuses kõiki andmeid, mis tervishoiuteenuse osutamise käigus tekivad. Erandid võivad tuleneda õigusaktidest. Isik, kelle isikuandmeid töödeldakse, võib enda selgelt väljendatud sooviga haigla vastavast kohustusest kas osaliselt või täielikult vabastada.
Füüsilise isiku isikuandmete (edaspidi isikuandmed) töötlemine toimub haiglas kooskõlas õigusaktide ja haiglasiseste andmetöötlusreeglitega.
Töötleme isikuandmeid, kui:
- satute meie haiglasse – töötleme Teie isikuandmeid, aga samuti terviseseisundit puudutavaid andmeid haiguse, vigastuse või mürgistuse diagnoosimiseks ja ravimiseks;
- patsient on märkinud Teid oma kontaktisikuks – töötleme Teie isikuandmeid patsiendiga seotud teabe edastamiseks;
- Teie lähedane on sattunud meie haiglasse – töötleme Teie isikuandmeid (isikukood, nimi, telefoninumber, e-postiaadress, kontaktaadress, seos patsiendiga), et kontrollida Teie seotust patsiendiga. Edastame Teile kui patsiendi lähedasele patsiendi terviseseisundit kajastavaid andmeid. Seda ainult juhul, kui patsient või uurimist teostav organ (nt politsei) ei ole andmete edastamist keelanud;
- osalete sõeluuringus – töötleme Teie isikuandmeid sõeluuringuga seotud uuringute ja analüüside tegemiseks;
- soovite raviga seotud dokumentide või andmete väljastamist – kasutame Teie või Teie nõusolekul dokumentide või andmete saamiseks taotluse esitanud inimese isikuandmeid soovitud dokumentide või andmete väljastamiseks;
- saadate meile selgitustaotluse, märgukirja, teabenõude või kaebuse – kasutame Teie isikuandmeid kaebuses toodud asjaolude väljaselgitamiseks ja kirjale vastamiseks. Kui olete saatnud meile kirja, millele saab vastata teine asutus, siis edastame kirja sinna ning teavitame sellest Teid kui kirja saatjat;
- esitate meile ettepaneku või tänukirja – avaldame Teie nõusolekul Teie isikuandmeid (nimi) meie haigla veebilehe tagasiside rubriigis;
- kandideerite meile tööle – lähtume Teie enda avaldatud teabest ning avalikest allikatest kogutud andmetest. Eeldame, et Teie soovitajatena nimetatud isikutega võime suhelda. Igal kandidaadil on õigus teada, milliseid andmeid me tema kohta oleme kogunud ning tal on õigus meie kogutud andmetega tutvuda, anda selgitusi või esitada vastuväiteid;
- viibite haiglale kuuluval territooriumil videokaamerate jälgimisalas;
- töötate meie haiglas – olete haiglale teenuseid osutav füüsiline isik või teenuseid osutava/kaupu tarniva juriidilise isiku või koostööpartneri esindaja/kontaktisik.
Terviseandmed – vastavalt Tervishoiuteenuste korraldamise seaduse § 4 prim 2 alusel kogutud andmetest säilitatakse ambulatoorse ning statsionaarse tervishoiuteenuse osutamist tõendavaid andmeid 30 aastat patsiendile osutatud teenuse andmete kinnitamisest.
Digitaalselt säilitatavate andmete töötlemise logid – vastavalt sotsiaalministri määruse nr 56 (Tervishoiuteenuse osutamise dokumenteerimise tingimused ja kord) § 3 prim 1-le säilitatakse infosüsteemi logisid viis aastat.
Andmete edastamine
Haigla väljastab Teiega seotud isikuandmeid eelkõige asutustele või isikutele, kellel on seadusest tulenev õigus vastavate andmete töötlemiseks (nt politsei, Eesti Tervisekassa, Maksu- ja Tolliamet, Terviseamet, kiirabi, kindlustusandja kindlustusjuhtumi esinemisel jms). Lisaks võib haigla olla kohustatud väljastama Teie isikuandmeid Teie ja Teie soovitud teenuse osutaja vahel sõlmitud lepingust tulenevalt, mh näiteks rehabilitatsiooniteenuse osutamisel Sotsiaalkindlustusametile ja töövõime hindamisel Töötukassale.
Isikuandmete eriliike sisaldavaid dokumente saadame adressaatidele tähitud postiga või krüpteeritult e-posti teel. Viimati nimetatud tingimusest võib kehtida erand üksnes olukorras, kus isik, kelle isikuandmeid töödeldakse, on avaldanud selgelt väljendatud soovi vastavast tingimusest kõrvale kaldumiseks või kui töötlemine on vajalik seoses andmete omaniku või kolmandate isikute tervise või elu kaitsmisega või haiglale õigusaktidest tuleneva kohustuse täitmisega. Viimasel juhul võib andmete edastamine toimuda krüpteerimata kujul, tingimusel, et krüpteerimisnõuete järgimine ei ole mõistlikult võimalik (nt kui esineb krüpteerimist või dekrüpteerimist võimaldava tarkvara tõrge) või tooks kaasa olulise viivituse, millise tulemusena võib mh kujuneda välja oht Teie enda või kolmandate isikute elule või tervisele.
Haigla infosüsteem edastab patsiendile tervishoiuteenuse osutamisega seotud andmed automaatselt üle turvalise X-Tee andmevahetusplatvormi üle-eestilisse
tervise infosüsteemi (TIS), mille kaudu saab patsient enda terviseandmetega tutvuda üleriigilises patsiendiportaalis (https://www.digilugu.ee).
Lisaks raviandmete edastamisele TIS-süsteemi, saadetakse patsiendi andmeid (isiku- ja terviseandmeid) ka Eesti Tervisekassale, nakkushaiguste registrisse NAKIS, Tervise Arengu Instituudi vähiregistrile, Tartu Ülikooli Müokardiinfarktiregistrile, E-Koolitervishoiu Infosüsteemile EKTIS, Synlab Eesti OÜ-le diagnostika-analüüside teostamiseks ja teistele tervishoiuteenust osutavatele haiglatele patsiendi ravisuhte olemasolu korral.
Haigla kui kaasvastutav töötleja võimaldab patsientide terviseandmetele haigla infosüsteemi kaudu ligipääsu Eestis tegutsevatele raviasutustele (Läänemaa perearstid, AS Mammograaf) ainult patsiendi ravisuhte ulatuses ja vastava lepingu alusel.
Juhul, kui Te ei ole tasunud Teile osutatud teenuste või täitnud muid lepingulisi kohustusi, on haiglal õigus edastada Teie isikuandmeid, sh Teie nime, telefoninumbrit, aadressi, e-posti aadressi ja Teie võlgnevuse aluseks olevate arvete koopiaid koos arvetel sisalduva ja arvete senise menetlemisega seotud teabega, haigla võlanõuetega tegelevatele lepingulistele inkassoteenuse osutajatele, aga ka kohtule, kohtutäituritele ja teistele õigusaktide kohaselt võlanõuete menetlemisel isikuandmete töötlemiseks õigustatud isikutele/asutustele.
Enda kohta käivate andmetega tutvumine
Teil on õigus tutvuda andmetega, mida oleme Teie kohta kogunud. Kirjalikke (omakäeliselt allkirjastatud) taotlusi saate esitada haigla registratuuri, administratsiooni või ravikabinetti. Samuti võib saata andmepäringu digitaalselt allkirjastatuna e-postiaadressile haigla[at]salmh.ee. Andmepäring peaks olema võimalikult konkreetne. Vajadusel võib haigla paluda soovitud andmete ulatust täpsustada.
Andmed väljastatakse taotlejale kohapeal isikut tõendava dokumendi alusel, krüpteeritult e-postile või tähitud kirjaga. Kolmandatele isikutele osutatud tervishoiuteenust puudutavat teavet me reeglina ei väljasta, v.a. õigusaktidest tulenevatel alustel ja korras (sh kohtu- ja korrakaitseorganitele, eestkostjatele jne) või isikuandmete omaniku volituse alusel.
Andmete väljastamisega võib Teile kaasneda kohustus teenuse eest ette tasuda (nt tähitud posti kulu, koopiate korduva väljastamise tasu, mahukate
dokumentide väljastamisega kaasnev tasu jne). Enne tasumist võimalikke dokumentide koopiaid või muid dokumente Teile ei väljastata.
Isikuandmeid ei väljastata, kui see võib:
- kahjustada teise isiku õigusi ja vabadusi,
- takistada kuriteo tõkestamist, karistuse täideviimist või kurjategija tabamist,
- raskendada tõe väljaselgitamist kriminaalmenetluses,
- ohustada lapse põlvnemise saladuse kaitsmist,
- kahjustada riiklikku julgeolekut.
Kirjavahetus
Kõik haiglale saadetud kirjad registreeritakse haigla dokumendihaldus-süsteemis. Eraisikutega peetav kirjavahetus on üldise juurdepääsu-piiranguga, sest kirjad sisaldavad isikuandmeid. See tähendab, et kui keegi tahab eraisiku kirjavahetusega või mõne dokumendiga tutvuda, tuleb tal esitada haiglale teabenõue. Teabenõude saamisel vaatame üle, kas soovitud dokumente tohib väljastada või tohib neid väljastada osaliselt. Osalisel väljastamisel katame kinni need Teie isiklikud andmed, mille töötlemiseks puudub taotlejal õigus, et vältida andmete liiasusega väljastamist. Võimalikud juurdepääsupiirangute alused on toodud avaliku teabe seaduse §-s 35.
Vaatamata juurdepääsupiirangule, väljastame Teiega seotud dokumente ja andmeid asutustele või isikutele, kellel on seadusest tulenev õigus neid saada (nt politsei, kohus, Eesti Tervisekassa, Terviseamet, kindlustusandja kindlustusjuhtumi esinemisel jms).
Eriliiki isikuandmeid sisaldavaid dokumente saadame adressaatidele ainult tähitud postiga või krüpteeritult e-posti teel. Asutustele edastame dokumente võimalusel turvalise dokumendivahetuskeskuse kaudu.
Eraisikutega peetud kirjavahetust säilitame üldjuhul viis aastat ja seejärel dokumendid hävitatakse.
Telefoni või (elektron)posti teel andmete töötlemine ja patsientide lähedastele teabe väljastamine
Juhul, kui helistajat või kirja saatjat ei ole võimalik haiglale aktsepteeritaval viisil turvaliselt tuvastada, kuulub haiglale õigus mitte käsitleda Teid või kolmandaid isikuid puudutavaid eriliigilisi isikuandmeid sisaldavat teavet telefoni või e-posti teel. Eeltoodust tulenevalt ei väljasta haigla tervishoiuteenuse osutamisega (sh seoses patsiendi võimaliku haiglas viibimisega) seotud andmeid lihtelektronkirja teel esitatud päringute alusel nagu ka mitte telefoni teel, neile isikutele, kelle isikusamasus ei leia haigla hinnangul küllaldast tõendatust või kelle osas ei ole haiglal alust eeldada nende õigustatust mistahes isikut puudutavate terviseandmete saamiseks. Seetõttu võib haigla paluda isikusamasuse kahtluse korral pöörduda helistajal/kirjutajal võimaliku info saamiseks haiglasse kohapeale, tagamaks vajadusel isikusamasuse tuvastamine täiendavate kontrollimeetodite, sh pildiga isikut tõendava dokumendi alusel.
Juhul, kui Teie telefoni või kirjaliku pöördumise sisuks on soov saada teada Teie tuttava või lähedase osas teavet selle kohta, kas ta viibib haiglas või milline on tema tervislik seisund, soovitame alati pöörduda eelkõige haiglas viibija enda või tema lähedaste poole. Haiglas viibivat patsienti puudutava teabe väljastamine toimub reeglina patsiendi kontaktisikule. Haigla võib haiglas viibiva patsiendi terviseandmeid edastada või anda terviseandmetele juurdepääsu vaid nendele lähedastele, keda patsient on esitanud oma kontaktisikutena. Haiglal on õigus patsienti puudutavat teavat mitte väljastada, kui selle on õigusaktidest tulenevatel tingimustel ja korras ära keelanud uurimist teostav asutus. Teadvusetu või tahte väljendamiseks muul põhjusel suutmatu patsiendi terviseandmetega seotud teavet väljastab haigla patsiendi omastele (abikaasa, vanemad, lapsed, õed, vennad või patsiendi elukorraldusest tulenevad muud lähedased isikud). Viimati nimetatud juhul ei ole haiglal kohustust teavitada patsiendi terviseseisundist kõiki lähedasi isikuid eraldi.
Isikusamasuse tuvastamine haiglas kohapeal
Haiglal on igakordselt õigus paluda Teil esitada Teie isiku üheseks tuvastamiseks, nagu ka patsiendiga seotuse kontrollimiseks, vastavaid tõendeid. Haigla töötaja võib paluda esitada Teie isikut tõendava pildiga dokumenti ja/või sünnitunnistuse koopiat ja/või eestkoste seadmist ning selle ulatust tõendavat kohtumääruse koopiat vms tõendit, millest nähtuks Teie isikusamasus ja/või võimalik seos patsiendiga. Juhul, kui haiglal ei
ole võimalik veenduda Teie isikusamasuses või Teie õigustatud seotuses patsiendiga mistahes patsienti puudutava teabe saamiseks, ei ole haiglal kohustust seda teavet taotlejale väljastada. Haigla lähtub eelkõige patsiendi õigusest privaatsusele, arvestades seejuures terviseandmete delikaatse iseloomuga ja sellest tuleneva terviseandmete võimalikust volitamata levikust tingitud kahjulike mõjudega patsiendile.
Isikuandmete dokumenteerimine, parandamine, säilitamine ja kustutamine
Teil on õigus taotleda haiglalt Teid puudutavate isikuandmete parandamist, kustutamist, ülekandmist või ligipääsu piiramist. Samuti on Teil õigus esitada vastuväide Teie isikuandmete töötlemise osas. Haigla säilitab isikuandmeid õigusaktidest tulenevatel tingimustel ja korras ning kooskõlas haigla andmetöötlusreeglitega. Eeltoodust tulenevalt puudub isikul õigus nõuda selliste temale tervishoiuteenuse osutamist puudutavate isikuandmete kustutamist, mille säilitamise kohustus tuleneb haiglale õigusaktidest või selliste isikuandmete (sh tervishoiuteenuse osutamisega seotud andmete) kustutamist, mille säilitamise tähtajad tulenevad õigusaktidest või mille säilitamiseks on haiglal põhjendatud huvi. Viimati nimetatud isikuandmetena käsitleb haigla näiteks võlgnevustega või kahjujuhtumitega seotud andmeid.
Tervishoiuteenuse osutamise dokumenteerimisel ja vastavate dokumentide säilitamisel lähtub haigla õigusaktidest tulenevatest tingimustest ja korrast, sh sotsiaalministri 18.09.2008.a määrusest nr 56 „Tervishoiu-teenuse osutamise dokumenteerimise ning nende dokumentide säilitamise tingimused ja kord“. Vastavalt viimati nimetatud määrusele on haigla kohustatud Teile tervishoiu- teenuse osutamisel töötlema lisaks terviseandmetele mh ka alljärgnevaid
isikuandmeid:
- ees- ja perekonnanimi,
- sünnikuupäev,
- isikukood,
- alalise elukoha aadress,
- telefoninumber,
- e-posti aadress,
- lasteasutuse/kooli/töökoha nimetus,
- töö- ja ametikoha nimetus,
- kontaktisiku andmed (ees- ja perekonnanimi, seos patsiendiga, telefoni number, e-posti aadress, elukoha aadress);
- vastavalt asjaoludele peame märkima vajadusel üles ka Teie töövõime protsendi, puude raskusastme, riikliku pensioniga seotud andmed, perearsti andmed ning muu lisateave, mis on vajalik Teile kvaliteetse tervishoiuteenuse osutamiseks ja/või mille töötlemise kohustus tuleneb õigusaktidest.
Isikuandmetega seotud rikkumine
Kui haiglas on toimunud isikuandmetega seotud rikkumine ja see kujutab endast tõenäolist ohtu Teie õigustele ja vabadustele, teavitab haigla rikkumisest Andmekaitse Inspektsiooni. Haigla võtab kasutusele meetmed, et rikkumine kohe lahendada ja edasised rikkumised ära hoida.
Kui isikuandmetega seotud rikkumise tulemusena tekib Teie õigustele ja vabadustele tõenäoliselt suur oht, siis teavitab haigla sellest ka Teid. Teavitamise eesmärk on võimaldada Teil endal võtta vajalikke ettevaatusabinõusid tekkinud olukorra leevendamiseks.
Valvekaamerad
Turvalisuse tagamiseks kasutatakse haiglale kuuluvates hoonesisestes avalikes ruumides – erakorralise meditsiini osakonnas (EMO), EMO ooteruumis, EMO ja radiodiagnostika koridoris, polikliiniku koridoris, tervisekeskuse koridorides ning Vaba 6 asuvas hooldekodu koridorides – nii helijäädvustuse funktsiooniga (ainult EMO osakonnas) kui ka helijäädvustuseta (kõik ülejäänud loetletud ruumid) videovalvet.
Videovalve kaamerad on paigaldatud ka haiglahoone välisseintele haigla väliperimeetri jälgimiseks.
Videovalve kasutamisest annavad märku haigla territooriumile paigaldatud kaamera kujutisega sildid.
Videovalve eesmärgiks on haiglas viibivate patsientide, nende lähedaste, külastajate, klientide ja haigla töötajate tervise ja heaolu ning vara kaitsmine ning vajadusel ka haigla kodukorrast kinnipidamise jälgimine. Kaamerate salvestisi võib kasutada rikkumisjuhtumite toimumisel nendega seotud asjaolude tuvastamiseks. Kaameraid ei kasutata ühegi konkreetse isiku vahetuks aktiivseks jälgimiseks.
EMO-s toimub seal-viibivate patsientide videosalvestamine koos helisalvestusega lisaks eelnimetatud eesmärkidele ka selleks, et lahendada osutatud teenusega seotud võimalikke erimeelsuseid ja/või võimalikke teenuse kvaliteetse osutamise vaidlustustega seotud juhtumeid. Salvestisi kasutatakse ka teenuse osutamise kvaliteedi parandamiseks. Näiteks hilisema töötlemise käigus kasutatakse videosalvestusi asutusesisetel õppe-eesmärkidel, et tööprotsesse edaspidi sujuvamalt korraldada ning tõsta patsientidele osutatava tervishoiuteenuse kvaliteeti.
Turvakaamerate salvestiste väljastamine toimub üksnes objektiivselt põhjendatud asjaoludel ja ulatuses. Haiglal on õigus jätta salvestis väljastamata juhul, kui sellega võivad saada kahjustatud kolmandate isikute õigustatud huvid, sh õigus privaatsusele. Olukorras, kus salvestiste töötlemine on vajalik õigusaktidest tulenevate eesmärkide täitmiseks, mh, kuid mitte ainult võimalike õigusrikkumiste tuvastamiseks ja lahendamiseks, võib haigla väljastada salvestisi õigusaktidest tulenevat pädevust omavatele asutustele/isikutele. Turvakaamerate salvestisi säilitatakse kuni kaks kalendrikuud, peale mida kuuluvad need kustutamisele, v.a. kui salvestise edasine töötlemine on vajalik käimasoleva vaidluse lahendamiseks või rikkumisjuhtumi menetlemiseks.
Kolmandatel isikutel, sh patsientidel endal ja nende lähedastel/külastajatel on haigla territooriumil videosalvestamine ja/või teiste külastajate/klientide/patsientide/personali pildistamine keelatud ning see võib toimuda üksnes kooskõlastatult haiglaga.
Õiguste kaitse ja kontaktandmed
Isikuandmete töötlemisega, aga ka võimalike isikuandmete töötlemise rikkumisjuhtumitega seonduvate küsimuste või teabega, võite pöörduda haigla andmekaitsespetsialisti poole e-posti aadressil andmekaitse[at]salmh.ee.
Juhul, kui leiate, et haigla on isikuandmete töötlemisel rikkunud Teie õigusi, võite pöörduda kaebusega kas haigla andmekaitsespetsialisti
(andmekaitse[at]salmh.ee) või Andmekaitse Inspektsiooni poole (Väike-Ameerika 19, 10129 Tallinn, e-post info[at]aki.ee).
Haigla teeb omalt poolt kõik selleks, et kaitsta Teie isikuandmeid ning järgida andmekaitset ja privaatsust reguleerivaid õigusakte.