Acasă / Publicaţii / Hotărîri şi Rapoarte
Hotărârea nr. 48 din 5 decembrie 2016 cu privire la Raportul de audit TI „Cum se asigură protecția datelor cu caracter personal în domeniul asistenței medicale primare, prelucrate în cadrul sistemelor informaționale automatizate?”

Numar 2-8 din data de 2016-12-05 Nr. cerinte: 14 Nr. recomandari: 50

Auditul a fost efectuat în temeiul art.28 și art.31 din Legea nr.261-XVI din 05.12.2008, potrivit Programului activității de audit a Curții de Conturi pe anul 2016, în scopul obținerii probelor de audit competente, relevante şi rezonabile pentru susținerea constatărilor și concluziilor formulate în Raportul de audit, precum și înaintarea recomandărilor constructive, fiabile și utile în acest sens.
Misiunea de audit a fost planificată și realizată conform Standardelor Internaționale de Audit relevante, puse în aplicare de Curtea de Conturi, Manualului de audit TI aprobat de Curtea de Conturi și bunelor practici în domeniul auditului tehnologiilor informaționale.
Reieșind din importanța domeniului auditat, a impactului acestuia, auditul a avut drept scop evaluarea nivelului adecvat al politicilor și procedurilor privind protecția datelor cu caracter personal la aplicarea tehnologiilor informaționale moderne în domeniul asistenței medicale primare, determinarea problemelor și constrângerilor cu care se confruntă domeniul protecției datelor cu caracter personal, precum și identificarea metodelor și căilor adecvate de optimizare a rezultatelor.
Acțiunile de audit au fost realizate la Centrul Național de Protecție a Datelor cu Caracter Personal (în continuare – CNPDCP), Ministerul Sănătății (în continuare – MS), instituțiile medico-sanitare publice (în continuare – IMSP): Asociația Medico-Sanitară Publică Centru (în continuare – AMT Centru), Centrul Medicilor de Familie din municipiul Bălți (în continuare – CMF mun.Bălți), Clinica Universitară de Asistență Medicală Primară, cu colectarea probelor de audit și de la alte autorități publice relevante.

Recomandari (50)

1. Să revizuiască și să înainteze, în modul stabilit, propunerile de rigoare, în scopul actualizării Cerințelor față de asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal.

response:
Scrisoare CNPDCP nr. 02-06/1979 din 06.12.2017 In vederea implementării acquis-ului comunitar privind protecţia datelor cu caracter personal, ca efect al ratificării Convenţiei nr. 108 şi Protocolul său adiţional, CNPDCP a elaborat 4 proiecte de acte legislative, şi anume: a) proiectul de lege privind Centrul Naţional pentru Protecţia Datelor cu Caracter Personal; b) proiectul de lege privind regimul mijloacelor video; c) proiectul de lege pentru modificarea şi completarea Legii privind prevenirea si combaterea criminalităţii informatice. d) proiectul de lege privind modificarea şi completarea unor acte legislative (în special: expunerea Legii privind protecţia datelor cu caracter personal în redacţie nouă, modificarea/adaptarea Legii cu privire la registre, Legii cu privire la informatizare şi la resursele informaţionale de stat etc.) mai mult, prin proiectul menţionat se propune abrogarea Hotărîrii Guvernului nr. 1123 din 14 decembrie 2010 şi împuternicirea CNPDCP cu atribuţia de a stabili şi aproba cerinţele faţă de asigurarea conformităţii şi securităţii la prelucrarea datelor cu caracter personal, precum şi monitorizarea îndeplinirii acestora. De menţionat, că chiar dacă CNPDCP la moment are definitivate instrucţiunile în domeniul financiar bancar şi nebancar precum şi iniţiate instrucţiuni în domeniul medical, IT etc., aprobarea acestora a fost suspendată din motiv că la 03 octombrie 2017 a fost iniţiat pentru următorii 2 ani Proiectul Twinning "Consolidarea Capacităţilor Centrului Naţional pentru Protecţia Datelor cu Caracter Personal din Republica Moldova". Unul dintre obiectivele acestui proiect preconizat pentru perioada anului 2018 este elaborarea instrucţiunilor normative sectoriale de către experţii străini, în aşa fel, vor fi suplinite şi adaptate cerinţele faţă de asigurarea conformităţii şi securităţii la prelucrarea datelor cu caracter personal. Scris.CNPDCP nr.04-06-823 din 13.04.2018: proiectul legii pentru modificarea si completarea unor acte legislative (inclusiv a Legii privind protectia datelor cu caracter personal), dar si proiectul legii privind Centrul National pentru Protectia Datelor cu Caracter Personal, in prima redactie in care au fost expuse, au avut un parcurs de creatie legislative indelungat. In context, in mai 2016, Consiliul Europei a prezentat doua analize juridice privind aceleasi legi (legea privind protectia datelor si proiectul de lege privind CNPDCP). Dupa care, prin Hotaririle Guvernului nr. 1154 si 1155 din 18.10.2016 au fost aprobate proiectul legii pentru modificarea si completarea unor acte legislative (inclusiv a Legii privind protectia datelor cu caracter personal) si proiectul legii privind Centrul National pentru Protectia Datelor cu Caracter Personal. Ulterior, prin Hotarirea Guvernului nr. 1404 din 26 decembrie 2016, proiectele sus mentionate au fost retrase din Parlament cu abrogarea hotaririlor respective. Mai nou, dupa racordarea proiectelor sus vizate in corespundere cu noile tendinte europene in domeniul protectiei datelor cu caracter personal, la 5 octombrie 2017, asupra acestor 2 proiecte expertii Consiliului Europei au prezentat Avizul privind conformitatea legilor referitoare la protectia datelor cu caracter personal din Republica Moldova cu Conventia CoE pentru protejarea persoanelor fața de prelucrarea automatizata a datelor cu caracter personal (Conventia 108). In acest sens, expediem in adresa Dumneavoastra copia expertizei Consiliului Europei din 5 octombrie 2017. Cu privire la proiectul de lege privind supravegherea video, informam ca acesta a fost elaborat si fiind finalizata procedura de avizare, inclusiv efectuata expertiza de compatibilitate. De asemenea, este definitivat tabelul de divergențe si se efectueaza expertiza anticoruptie. La moment, CNA urmeaza sa prezinte expertiza anticoruptie. Ulterior proiectul urmeaza a fi transmis pentru expertiza juridica. Ca urmare a receptionarii expertizelor mentionate supra, proiectul va fi remis spre adoptare. In partea ce vizeaza, proiectul de modificare a Legii nr.20-XVI din 3 februarie 2009 privind prevenirea și combaterea criminalitatii informatice, tinand cont de Directiva 2009/136/CE al Parlamentului European și al Consiliului din 25 noiembrie 2009, acesta a fost elaborat. Procedura de avizare este finalizata. Proiectul a fost supus expertizei juridice si anticoruptie, si remis spre promovare Cancelariei de Stat prin scrisoarea nr. 04-01/804 din 11 aprilie 2018. In acest context, expediem in adresa Curtii de Conturi documente confirmative care justifică stadiul proiectelor mentionate.

RO_5117_2137 CNPDCP.pdf

2. Să examineze și să înainteze Guvernului propuneri privind ajustarea actelor normative în vigoare aferente protecției datelor cu caracter personal.

response:
Scrisoare CNPDCP nr. 02-06/1979 din 06.12.2017 După cum a fost menționat la pct. 1, CNPDCP a elaborat patru proiecte de acte legislative, care la moment sunt în proces de avizare și discuții publice.

RO_5117_2137 CNPDCP.pdf

3. Să asigure definitivarea și aprobarea în modul stabilit a Instrucțiunii cu privire la protecția datelor cu caracter personal în domeniul medical, cu promovarea/informarea/instruirea ulterioară a operatorilor de date cu caracter personal.

response:
După cum a fost menționat la pct. 1, în perioada anului 2018 instrucțiunile privind prelucrarea datelor cu caracter personal în sectorul medical vor fi elaborate de către experții străini în concurs cu angajații CNPDCP și ulterior aprobate. Scris.CNPDCP nr.04-06-823 din 13.04.2018: Conform proiectului Twininng ”Consolidarea capacitaților Centrului pentru Protectia Datelor cu Caracter Personal din RM incepind cu luna decembrie 2018, vor fi elaborate 7 instructiuni in sfera finante, mass-media, supravegherea video, comunicatiile electronice, aplicarea legii procesului electoral si sanatate. Prioritar, CNPDCP in comun cu expertii straini va initia elaborarea instructiunii in domeniul medical. Mai mult, la nivelul Consiliului Europei Comitetul Consultativ al Conventiei 108 (T-PD) este in proces de creatie a unui ghid in domeniul sanatatii, la elaborare caruia CNPDCP participa de rind cu tarile parti la Convetia 108 si observatori din alte state, in sedinte periodice, cu inaintarea propunerilor de rigoare pentru protectia datelor cu caracter personal in domeniul sanatatii. Prevederile acestui nou Ghid vor sta la baza elaborarii de catre expertii statelor membre UE in strinsa cooperare cu personalul CNPDCP a Instructiunii prelucrarii datelor cu caracter personal in domeniul sanatatii. In context, prezentam atasat planul activitatilor preconizate a fi defmitivate in cadrul proiectului Twininng, in care este specificata perioada de realizare a acestei actiuni.

RO_5117_2137 CNPDCP.pdf

4. Să realizeze o evaluare a necesităților de dezvoltare a SIA „Registrul de evidență a operatorilor de date cu caracter personal”, în scopul eficientizării acestuia și optimizării activității Centrului.

response:
Scrisoare CNPDCP nr. 02-06/1979 din 06.12.2017 La moment au fost identificate necesitățile de dezvoltare a SIA menţionat supra, fiind înaintată, Ministerului Finanţelor, argumentarea privind cheltuielile necesare în acest sens, care au fost acceptate şi incluse în bugetul CNPDCP pentru anul 2018 inclusiv după prezentarea Raportului de audit al Curţii de Conturi. Mai mult ca atît, ținînd cont de anumite inadvertențe funcționale ale acestui sistem care au fost admise la etapa conceperii acestuia, de către CNPDCP au fost înaintate/revendicate solicitările corespunzătoare în adresa entităților responsabile de conceperea și gestionarea acestuia precum: Centrului de guvernare electronică și Centrului de telecomunicații speciale în vederea ajustării/adaptării acestor funcționalități la cerințele actelor normative în vigoare. Astfel, CNPDCP urmează să eficientizeze sistemul informaţional menţionat, inclusiv prin prisma noilor propuneri de ordin legislativ care vizează domeniul protecției datelor cu caracter personal și care la moment sînt în proces de avizare. Mai mult, în anul 2018 urmează să fie realizat un studiu de fezabilitate în scopul eficientizării SIA și optimizării activității CNPDCP. Scris.CNPDCP nr.04-06-823 din 13.04.2018: proiectul nou al Legii privind protectiei datelor cu caracter personal, elaborat in baza prevederilor Regulamentului (UE) 2016/679 al Parlamentului European al Consiliului privind protectia persoanelor fizice in ceea ce priveste prelucrarea datelor cu caracter personal si privind libera circulatie a acestor date si de abrogare a Directivei 95/46/CE, exclude necesitatea notificarii sistemelor de evidenta gestionate de catre operatori de date cu caracter personal, CNPDCP urmind a prevedea о alta procedura. insa, о decizie finala asupra aspectului dat urmeaza a fi luata de catre Parlamentul Republicii Moldova. Avind in vedere acest fapt, la moment CNPDCP nu intentioneaza sa efectueze careva operatiuni de dezvoltare/ajustare/modificare a Registrului de evidenta al operatorilor de date cu caracter personal.

RO_5117_2137 CNPDCP.pdf

5. Să instituie proceduri adecvate privind monitorizarea prelucrării datelor cu caracter personal.

response:
Scrisoare CNPDCP nr. 02-06/1979 din 06.12.2017 La moment, ținînd cont că deciziile CNPDCP aparent care nu sunt acte executorii din motiv că atît în Legea privind protecția datelor cu caracter personal cît și în legislația specială (Codul de executare) nu este specificat expres faptul că actele emise de către CNPDCP sînt executorii, fapt care practic duce la imposibilitatea expedierii acestora spre executare organelor competente (executorilor judecătorești). În acest sens, CNPDCP în proiectul legii ce vizează expunerea Legii privind protecția datelor cu caracter personal într-o redacție nouă a stabilit expres faptul că deciziile/ordinile/instrucțiunile sînt acte executorii, pentru a putea fi expediate spre executare către executorii judecătorești. Scris.CNPDCP nr.04-06-823 din 13.04.2018: tinem sa mentionam ca in urma recomandarilor Curtii de Conturi, CNPDCP va analiza oportunitatea elaborarii unui act intern in acest sens. Totodata, reiteram ca, in ordinea stabilită de art. 27 al Legii privind protectia datelor cu caracter personal, in urma examinarii plingerii, Centrul emite о decizie motivata care prevede fie lipsa incalcarii prevederilor legislației, fie suspendarea operatiunilor de prelucrare a datelor cu caracter personal fie rectificarea, blocarea sau distrugerea datelor neveridice ori obtinute ilicit. Decizia este comunicata parților interesate in termen de 30 de zile de la data primirii plingerii. La moment, in dependentă de cazuistica spetei, in partea dispozitiva a deciziei CNPDCP poate dispune realizarea anumitor actiuni, cu indicarea unui termen de realizare a acestora. Persoanele fizice si juridice vizate in dispozitivul hotaririi sint obligate sa informeze, in termenul stabilit, despre implementarea recomandarilor si/sau executarea cerintelor CNPDCP, comunicind despre masurile intreprinse. In cazul neinformarii/neexecutarii prescriptiilor indicate in termenul stabilit, in privinta persoanei se intenteaza procesul contraventional, inclusiv pentru neindeplinirea deciziei CNPDCP, fapt prevazut la art. 743 Cod Contraventional. Totodata, precizam ca Directiile vizate a CNPDCP duc о evidenta interna monitorizînd procesul de executare a deciziilor de catre parti, intervenind dupa caz, in calitate de agent constatator conform prevederilor sus mentionate. Nu in ultimul rind, in noul proiect de lege s-a elaborat un articol distinct, intitulat „modul de executare a deciziilor si urmarirea executarii masurilor applicate” dispozitii care ar acoperi procedurile descrise, fiind obligatorii pentru subiectii vizati.

RO_5117_2137 CNPDCP.pdf

6. Să elaboreze instrucțiuni clare și exhaustive privind modalitatea notificării de către operatorii de date cu caracter personal a SI către Centru, în scopul facilitării înțelegerii procesului de completare a formularelor de notificare, a altor proceduri adiționale înregistrării în calitate de operator de date.

response:
Scrisoare CNPDCP nr. 02-06/1979 din 06.12.2017 La moment în conformitate cu prevederile art. 23 alin. (5), (6) din Legea privind protecția datelor cu caracter personal este pregătit proiectul de decizie a CNPDCP prin care vor fi scutite de la notificare/autorizare mai multe sisteme de evidență precum: resursele umane și contabilitatea în cazul în care numărul de angajați nu va depăși 100 de persoane, activitatea jurnalistică, registrele publice etc. În acest context, în perioada anului 2018 ne propunem reexaminarea sistemelor de evidență care urmează a fi notificate și înregistrate la CNPDCP. Suplimentar, comunicăm că în cadrul proiectului Twinning, în perioada 2018 CNPDCP va beneficia de asistenţă în elaborarea specificaţiilor tehnice pentru modernizarea a Registrului operatorilor de date cu caracter personal din perspectiva suplinirii acestuia cu un modul nou care va viza aplicarea restricțiilor de către organele de drept sau de control, în partea ce vizează restricționarea drepturilor subiecților de date cu caracter personal de a fi informați (la desfășurarea măsurilor speciale de investigații sau activităților procesual penale, la activitățile ce vizează securitatea statului etc.). Scris.CNPDCP nr.04-06-823 din 13.04.2018: Intru executarea punctului dat a fost elaborat Ghidul privind procedura de inregistrare a operatorilor si a sistemelor de evidenta a datelor cu caracter personal, care concretizeaza actiunile ce urmeaza sa fie efectuate in vederea asigurarii realizarii obligatiunilor stabilite de art. 23 al Legii privind protectia datelor cu caracter personal, care este publicat pe pagina oficiala a CNPDCP - http://datepersonale.md/md/cen/. De asemenea, au fost facute modificari primare pe pagina oficiala a CNPDCP, in partea ce vizeaza procedura de inregistrare a operatorilor si a sistemelor de evidenta a datelor cu caracter personal.

RO_5117_2137 CNPDCP.pdf

7. Să planifice și să asigure realizarea, în modul stabilit, a controalelor conformității prelucrării datelor cu caracter personal, în scopul asigurării atribuțiilor prioritare delegate prin Legea organică.

response:
Scrisoare CNPDCP nr. 02-06/1979 din 06.12.2017 Pe parcursul perioadei de referință au fost efectuate 210 controale care au vizat inclusiv și sectorul medical, în urma cărora au fost emise decizii de constatare a încălcării a domeniului protecției datelor cu caracter personal precum și întocmite procese verbale cu privire la contravenție. Scris.CNPDCP nr.04-06-823 din 13.04.2018: precizam ca in ordinea art. 26 al Legii privind protectia datelor cu caracter personal, controlul legalitații prelucrarii datelor cu caracter personal are drept scop verificarea corespunderii cu cerințele și a indeplinirii condițiilor prevazute de prezenta lege de catre operator sau persoana imputernicita de catre acesta. Specificam ca, CNPDCP nu are aprobat un plan al controalelor si nu efectueaza controale planificate. Mai mult, de la fondare CNPDCP nu a efectuat nici un control planificat. Efectuarea controlului legalitatii operatiunilor de prelucrare a datelor cu caracter personal, constatarea incalcarilor si a faptelor contraventionale, precum si realizarea sarcinilor de agent constatator are loc in cadrul controalelor declansate, în majoritatea desavîrsita a cazurilor, in temeiul plingerilor subiectilor de date., prin solicitarea de informatii din oficiu, fara a efectua controlul la fata locului. Mai mult, conform noului proiect de lege, CNPDCP va initia procedura de examinare a pretinsului caz de incalcare a legislatiei privind protectia datelor cu caracter personal, cu sau fara iesirea la fata locului, in urmatoarele cazuri: a) la depunerea reclamatiei subiectului ale carui prelucrari de date personale se pretind a fi neconforme; b) la sesizarea din oficiu, in cazul in care dispune de informații privind incalcarea in masa, sistemica sau grava a drepturilor și libertaților omului sau in cazurile de importanța sociala.

RO_5117_2137 CNPDCP.pdf

8. Să instituie o procedură adecvată privind antrenarea experților în diverse domenii, pentru efectuarea controlului securității datelor personale.

response:
Scrisoare CNPDCP nr. 02-06/1979 din 06.12.2017 De menționat că prin proiectele de lege enunțate supra, CNPDCP a stabilit modalitatea de delegare a experților din diverse domenii de specialitate precum și a entităților specializate precum Serviciul de Informații și Securitate și Ministerul Afacerilor Interne/Inspectoratul General al Poliției, în vederea participării la efectuarea controalelor de securitate. Mai mult, s-a propus a fi instituită o procedură corespunzătoare de certificare/acreditare a unor entități private care vor asigura implementarea procedurilor organizatorice și tehnice pentru operatorii de date cu caracter personal. Nu în ultimul rînd, de menționat că Republica Moldova în luna octombrie 2017, a fost admisă în calitate de membru observator la ședințele Grupului de lucru Art. 29 privind protecţia datelor cu caracter personal. Reliefăm că Grupul de lucru art. 29 reprezintă un organism european independent, cu caracter consultativ, format din reprezentanţii autorităţilor naţionale pentru protecţia datelor din statele membre ale Uniunii Europene, reprezentanţii autorităţilor create pentru instituţiile şi organismele comunitare, precum şi reprezentanţi ai Comisiei Europene. Acest Grup de lucru a fost stabilit în temeiul art. 29 al Directivei 95/46/CE a Parlamentului European şi a Consiliului din 24 octombrie 2005 pentru protecţia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, atribuţiile acestuia fiind descrise în articolul 30 din Directiva 95/46/CE şi articolul 15 din Directiva 2002/58/CE. Atribuţiile de bază a Grupului de Lucru fiind: - emite opinii, la cererea Comisiei Europene, asupra nivelului de protecţie a datelor în statele membre şi cele nemembre; - emite avize consultative asupra proiectelor de modificare a Directivei, asupra tuturor proiectelor de măsuri adiţionale sau specifice luate pentru apărarea drepturilor şi libertăţilor persoanelor fizice cu privire la prelucrarea datelor cu caracter personal, precum şi asupra altor proiecte de măsuri comunitare având incidenţă asupra acestor drepturi şi libertăţi; - emite avize asupra codurilor de conduită elaborate la nivel Comunităţii Europene; - emite recomandări, precum şi alte documente asupra tuturor problemelor referitoare la protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal în cadrul Comunităţii Europene, în vederea aplicării unitare a actelor normative naţionale care transpun dispoziţiile comunitare în materie. În contextul dat, urmează să fie elaborat un act administrativ nou sau modificat actul administrativ în vigoare care vizează procedura de control al legalității operațiunilor de prelucrare a datelor cu caracter personal în vederea stabilirii procedurii de atragere a experților din diverse domenii. Totodată, urmare a instituirii procedurii menționate supra, Centrul pe parcursul anului 2018 intenționează, în dependență de volumul de activități, să identifice instituțiile care vor fi subiect al controlului inclusiv sub aspectul respectării principiilor securității la prelucrarea datelor cu caracter personal. Scris.CNPDCP nr.04-06-823 din 13.04.2018: 1. suplimentar celor relatate prin scrisoarea 06 decembrie 2017, informam ca procedura detaliata va fi elaborată si definitivata in corespundere cu noile proiecte de legi. Mai mult, in partea ce vizeaza componenta Consiliului consultativ, relevam ca conform proiectului de lege consta din experti independenti, in domenii relevante pentru protectia datelor cu caracter personal cum ar fi: drept (stiinte juridice), stiinte ale informatiei, medicina, invatamint, politienesc, mass-media, IT, protectia consumatorului, financiar-bancar etc.În acest context, CNPDCP va revizui Regulamentul de organizare și funcționare a Consiliului consultativ.

RO_5117_2137 CNPDCP.pdf

9. Să examineze posibilitatea angajării în cadrul Centrului a specialiștilor TI pentru asigurarea verificărilor conforme a cerințelor de securitate aferente prelucrării datelor cu caracter personal în SI.

response:
Scrisoare CNPDCP nr. 02-06/1979 din 06.12.2017 De menționat că chiar dacă în perioada octombrie 2017, CNPDCP a anunțat concurs pentru suplinirea a circa 10 funcții vacante în cadrul Direcției Generale Supraveghere și Conformitate a CNPDCP, una dintre cerințe fiind studii în domeniul TI, în adresa CNPDCP nu a depus nici o persoană care să dețină o astfel de funcție reieșind probabil din decalajul major al salarizării specialiștilor TI în privat în raport cu salariul propus de CNPDCP care se pornește de la circa 4000 lei. Suplimentar menționăm că, urmare a concursului desfășurat în perioada 27 octombrie - 14 noiembrie 2017 în cadrul CNPDCP, va fi angajat Șeful Serviciului informare, comunicare cu mass-media și e-Transformare – însă, ținînd cont că funcția dată comasează mai multe responsabilități precum relații cu publicul și e-transformare, în situația dată a participat doar un candidat care are studii jurnalistice. Subsecvent, în noul proiect de lege ce va fi transmis Parlamentului spre adoptare, va fi propusă şi majorarea statelor de personal cu 10 unități, inclusiv în scopul creării unei Direcții IT din cel puțin 5 persoane (specialiști în domeniu).

RO_5117_2137 CNPDCP.pdf

10. Să instituie proceduri interne și să realizeze verificări ale modului de îndeplinire a deciziilor și instrucțiunilor emise anterior de CNPDCP, pentru aducerea procesului de prelucrare a datelor cu caracter personal în conformitate cu prevederile legale, în vederea asigurării respectării acestora.

response:
Scrisoare CNPDCP nr. 02-06/1979 din 06.12.2017 Prin proiectele noi de legi elaborate de CNPDCP, care se află în proces de avizare, deciziile emise vor fi executorii. În acest context și instrucțiunile vor avea caracter obligatoriu, care la moment sunt de ordin recomandabil. Respectiv, aceasta va oferi posibilitatea verificării calitative a modului de îndeplinire a deciziilor și instrucțiunilor emise anterior de către CNPDCP.

RO_5117_2137 CNPDCP.pdf

11. Să examineze rezultatele auditului și să inițieze, după caz, controale pentru asigurarea conformității prelucrării datelor cu caracter personal în SI din domeniul sănătății.

response:
scris. nr. 02-06/2053 din 30.12.2016 Centrul Naţional pentru Protecţia Datelor cu Caracter Personal al Republicii Moldova (CNPDCP), în baza sesizării nr. 06/2-1025 din 22 septembrie 2016 înaintate de Curtea de Conturi a Republicii Moldova, s-a autosesizat iniţiind controale ale legalităţii prelucrării datelor cu caracter personal de către Instituţia Medico-Sanitară Publică Centrul Medicilor de Familie Municipal Bălţi, Instituţia Medico-Sanitară Publică Spitalul Raional Glodeni, Instituţia Medico-Sanitară Publică Institutul de Ftiziopneumologie „Chirii Draganiuc”, Instituţia Medico-Sanitară Publică Spitalul Raional Ungheni, Instituţia Medico-Sanitară Publică Spitalul Clinic Municipal pentru Copii nr. 1. În rezultatul controalelor efectuate, au fost emise decizii privind suspendarea operaţiunilor de prelucrare a datelor cu caracter personal înaintate spre executare IMSP Spitalul Clinic Municipal pentru Copii nr. 1, IMSP Institutul de Ftiziopneumologie „Chirii Draganiuc”, IMSP Centrul Medicilor de Familie Municipal Bălţi, IMSP Spitalul Raional Glodeni. Totodată, în privinţa IMSP Spitalul Raional Ungheni a fost emisă decizia privind finalizarea controlului. Asfel, remitem anexat spre informare copiile autentificate ale deciziilor emise în rezultatul procedurilor de control menţionate. Scrisoare CNPDCP nr. 02-06/1979 din 06.12.2017 CNPDCP a participat activ în procesul de avizare a proiectului Hotărârii Guvernului privind aprobarea Regulamentului privind modul de ținere a Registrului medical. Ulterior acesta a fost aprobat prin Hotărârea Guvernului nr. 586 din 24 iulie 2017 pentru aprobarea Regulamentului privind modul de ținere a Registrului medical. Totodată, menționăm că la moment se efectuează verificarea prealabilă în cadrul procedurii de notificare a Registrului menţionat supra. De comun cu Ministerul Sănătății, Muncii și Protecției Sociale, CNPDCP își aduce suportul în elaborarea instrucțiunilor cu privire la modul de evidentă a obiectelor informaționale ale Registrului medical. Scris.CNPDCP nr.04-06-823 din 13.04.2018: , specificam ca in baza sesizarii inaintate de Curtea de Conturi, precum si avind in vedere prevederile art. 19 alin. (1) si art. 20 alin. (1) lit. a) ale Legii privind protectia datelor cu caracter personal, CNPDCP a expediat la 05 august 2016 in adresa a 30 de institutii medicale publice si private din raza muncipiului Chisinau, precum și in adresa a 32 de institutii medico-sanitare publice raionale, adresari privind obligativitatea inregistrarii acestora in Registrul de evidenta al operatorilor de date cu caracter personal si notificarea tuturor sistemelor de evidenta. Subsecvent, la sediul CNPDCP au fost acordate 35 de consultatii institutiilor medicale in partea ce tine de procedura de notificare a sistemelor de evidenta gestionate de catre acestea. Drept rezultat, pina la moment s-au conformat prevederilor legale 17 institutii medicale, fiind inregistrate in Registrul de evidenta al operatorilor de date cu caracter personal, in calitate de operatori cu mai multe sisteme de evidenta. Totodata, avind in vedere aspectele sesizate de Curtea de Conturi prin scrisoarea din 22 septembrie 2016, referitoare la faptul ca in cadrul colectarii probelor de audit de la institutiile medicale, s-a constatat implementarea/utilizarea de catre acestea, la prelucrarea datelor cu caracter personal ale pacientilor, a Sistemului Informational Integral in Sanatate - sistem de evidenta automatizat gestionat de catre о persoana juridica de drept privat, contrar prevederilor Legii privind protectia datelor cu caracter personal, in privinta Institutiei Medico-Sanitara Publica Institutul de Ftiziopneumologie „Chiril Draganiuc”, Institutiei Medico-Sanitara Publica Spitalul Clinic Municipal pentru Copii nr. 1, Institutiei Medico-Sanitara Publica Spitalul Raional Glodeni, Institutiei Medico-Sanitara Publica Centrul Medicilor de Familie mun. Balti, in cadrul contolului desfasurat, prin decizii, s-a dispus suspendarea operatiunilor de prelucrare a datelor cu caracter personal efectuate de aceste institutii medicale, in partea ce vizeaza dezvaluirea/introducerea datelor cu caracter personal ce vizeaza pacientii, in sistemul de evidenta electronic tinut de catre persoana imputernicita de operator „PAS Integrator” SRL in absenta autorizarii din partea CNPDCP si ajustarea neconformitatilor enuntate. Mai mult, in privinta Institutiei Medico-Sanitara Publica Spitalul raional Cimislia s-a desfasurat un control inopinat la fata locului, in urma caruia s-a constatat ca aceasta dezvaluie/introduce datele cu caracter personal ce vizeaza pacientii, in sistemul de evidenta electronic tinut de catre persoana imputernicita de operator „PAS Integrator” SRL in absenta autorizarii. Cu aceasta decizia in cauza, Institutia Medico-Sanitara Publica Spitalul rl. Cimislia nu a fost de acord, depunind in acest sens о cerere de chemare in judecata catre Centru National pentru Protectia Datelor cu Caracter Personal, prin care a solicitat anularea actului de control nr. 02-11/63/16-001 din 04 aprilie 2016 si a deciziei nr. 41 din 04 aprilie 2016 privind suspendarea operatiunilor de prelucrare a datelor cu caracter personal. În final, pe acest caz reprezentantii Institutiei Medico-Sanitara Publica Spitalul rl. Cimislia au fost trasi la raspundere contraventionala. In acest context, remitem atasat copiile deciziilor emise in privinta acestor institutii medicale, precum si deciziile ulterioare emise in legatura cu inregistrarea acestora in calitate de operator si/sau notificarea unor sisteme de evidenta.

RO_4124_CENTRU CARACTER PERSONAL.PDF
RO_5117_2137 CNPDCP.pdf

12. De comun cu MS și IMSP, să organizeze instruiri/mese rotunde cu specialiștii din domeniul sănătății, pentru familiarizarea lor cu normele de protecție a datelor cu caracter personal și cu necesitatea respectării cerințelor de securitate.

response:
Scrisoare CNPDCP nr. 02-06/1979 din 06.12.2017 În cadrul procedurii de notificare a IMS și MS au fost oferite instrucțiuni referitor la aspectele legale de prelucrare a datelor cu caracter personal. În acest context menționăm, că pe data de 26 mai 2017 a fost organizat simpozionul național cu genericul ,,Parcursul reformei sănătății mintale în Republica Moldova”. La eveniment au participat aproximativ 150 de persoane, profesioniști din domeniul sănătății mintale, inclusiv doctori şi cadre medicale din instituțiile spitalicești, reprezentanți ai Centrelor Comunitare de Sănătate Mintală, cercetători şi profesori universitari, experți naționali şi internaționali. Reprezentantul CNPDCP a susținut o alocuțiune la subiectul ,,Informațiile cu caracter personal, ca provocare în managementul serviciilor de sănătate mintală”. Scris.CNPDCP nr.04-06-823 din 13.04.2018: suplimentar celor expuse prin scrisoarea 02-06/1979 din 06 decembrie 2017 comunicam ca, pe parcursul anului 2017 au avut loc mai multe sedinte de lucru cu specialisti din cadrul Centrului National pentru Protectia Datelor cu Caracter Personal si Ministerul Sanatatii, reprezentatii companiei implementatoare a sistemului informational pentru spitale ’’BASS SYSTEMS”, precum și cu coordonatorul proiectului SIA AMP, referitor la actiunile ce urmeaza a fi efectuate pentru conformarea Registrului medical la cerintele Legii privind protectia datelor cu caracter personal. Drept rezultat a fost aprobata Hotararea Guvernului nr.586 din 24 iulie 2017 „Pentru aprobarea Regulamentului privind modul de tinere a Registrului medical”, care prevedea la pct. 3 ca „Registrul medical se formeaza prin Sistemul Informational Medical Integrat”. In procesul consultarii operatorului pe marginea notificarii sistemului de evidenta in cauza, aprobat prin Hotararea Guvernului nr.1128 din 14.10.2004 (MO nr. 193 - 198, art.1333,2004), s-a constat ca la capitolul II. Spatiul functional al S.I.M.I, p.8 prevede un sir de contururi (module) functionale, care in mare parte nu sint functionale, fapt care nu permitea autorizarea Registrului medical in varianta completa, prevazuta de Conceptia Sistemului Informational Medical Integrat, aprobata prin Hotarirea Guvernului Nr. 1128 din 14.10.2004. Astfel, in vederea inlaturarii discrepantelor identificate, precum si intru asigurarea posibilitatii legale de notificare a Sistemului Informational Medical Integrat, s-a propus determinarea/actualizarea concreta a modulelor, precum si posibilitatea reglementarii separate a acestora. In acest sens, de comun cu CNPDCP a fost elaborat proiectul Hotaririi de Guvern cu privire la modificarea și completarea Hotaririi Guvernului nr.586 din 24 iulie 2017, care prevede indicarea concreta a modulelor ce fac parte din Registrul medical si, specificarea expresa a faptului ca aceste sisteme informationale (module) vor fi puse in aplicare, dupa aprobarea de catre Ministerul Sanatatii, Muncii si Protectiei Sociale a instructiunilor specifice fiecarui modul. Prin urmare, dispozitiile supra au fost reflectate si aprobate prin Hotarirea Guvernului nr. 283 din 04.04.2018, care stabileste la punctul 3 al Regulamentului privind modul de ținere a Registrului medical, urmatoarele: „ 3. Registrul medical confine urmatoarele sisteme informafionale: 1) Sistemul informational automatizat „ Asistența Medicală Primara ” (SIA AMP); 2) Sistemul informational automatizat „Asistența Medicala Spitaliceasca” (SIA AMS); 3) Sistemul informatic de evidența a resurselor umane in sistemul sanatații (SIERUSS); 4) Sistemul informational automatizat „ Serviciul de sînge ” (SIA SS); 5) Sistemul informational automatizat „ Transplant” (SIA Transplant) se completeaza cu punctul 31 cu urmatorul cuprins: „31. Fiecare sistem informational ce se conține in Registrul medical reprezinta un sistem de evidența separat, care este pus in aplicare și dat in exploatare de către posesorul acestuia, dupa aprobarea documentatiei privind gestiunea si exploatarea sistemului informational in cauza. In rezultatul aprobarii cadrului legal relevant, Ministerul Sanatatii, Muncii si Protectiei Sociale urmeaza sa prezinte CNPDCP setul necesar de documente in vederea notificarii sistemelor de evidenta respective.

RO_5117_2137 CNPDCP.pdf

13. Să efectueze o inventariere a SI din domeniul sănătății, inclusiv a celor gestionate de către Minister, în vederea asigurării unei monitorizări exhaustive în domeniu.

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: A fost efectuata inventariera SI din domeniul sanatii. A fost emisa Hotanrea Guvernului nr. 586 din 24 iulie 2017 în care au fost indicate expres SI de baza din Registrul medical si anume: SIA AMP, SIA AMS, SIERUSS, SIA SS, SIA Transplant

14. Să întreprindă măsurile necesare pentru înregistrarea în modul stabilit în Registrul de evidență a operatorilor de date cu caracter personal a sistemelor informaționale/de evidență gestionate de către Minister.

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: A fost elaborat Regulamentul cu privire la structura și functionarea Sistemului Informational Automatizat „Asistenta Medicala Primara” (SIA AMP). A fost elaborat CONTRACT-TIP privind acordarea dreptului de registrator SIA AMP parte a Registrului medical prin intermediul Sistemului Informational Automatizat Asistenta Medicala Primara, a fost elaborată CERERE pentru atribuirea contului de utilizator in SIA AMP, a fost elaborată Matricea de acces a modulelor functionale a SIA AMP în dependentă de rolul utilizatorului si tipul de date cu caracter personal accesat, a fost elaborată Instructiune de acordare acces utilizatorilor sistemului informational automatizat asistenta medicala primara, a fost emis Ordinul MSMPS nr. 1499 Cu privire la utilizarea Sistemului Informational Automatizat Asistenta Medicala Primara în cadrul Prestatorilor de servicii medicale din Republica Moldova, care presteaza servicii medicale de asistenta medicala primara precum și asistenta medicala specializata de ambulatoriu din 14 decembrie 2018. A fost elaborată Lista formularelor de evidenta medicala primara a Prestatorilor, rapoartelor statistice medicale de ramura, darilor de seama, generate automat in Sistemul Informational Automatizat Asistenta Medicala Primara (SIA AMP), a fost emis Ordinul MSMPS nr. 1498 Cu privire la aprobarea formularelor de evidenta medicala primara, rapoartelor statistice medicale de ramura, darilor de seama generate de SIA AMP din 14 decembrie 2018. A fost elaborată politica de securitate a datelor cu caracter personal în cadrul sistemelor informationale automatizate, a fost emis Ordinul nr. 1497 Cu privire la aprobarea Politicii de securitate a datelor cu caracter personal în cadrul Sistemelor Informationale Automatizate (SIA) din 14 decembrie 2018. Au fost actualizate manualele de utilizare SIA AMP Toate documentele și proiectele de ordine au fost consultate cu CNPDCP in vederea asigurarii conformarii lor, dar a fost refuzata inregistrarea din cauza unor neconformitati minore in documentatia prezentata, lipsei unei agentii care sa asigure mentenanta, auditul și securitatea informationala si lipsei semnaturilor electronice pentru utilizatorii SIA AMP. A fost elaborat proiectul Hotararii de Guvern Pentru alocarea semnaturilor electronice avansate calificate a utilizatorilor Sistemului informational automatizat „Asistenta Medicala Primara”. La moment proiectul de ordin se afla pe site-ul http://particip.gov.md/proiectview.php?l-ro&idd=6045 A fost elaborat conceptul Agentiei Tehnologii Informationale in sanatate care va prelua sarcinile de administrare, mentenanta și audit a SIA AMP. A fost emis Ordinul nr. 1497 din 14.12.18 Cu privire la utilizarea SIA AMP în cadrul prestatorilor de servicii medicale din RM, Ordinul nr. 1498 din 14.12.18 Cu privire la aprobarea formularelor de evidenta medicala primara, rapoartelor statistice generate de SIA AMP, Ordinul nr.1499 din 14.12.18 Cu privire la utilizarea SIA AMP In cadrul Prestatorilor de servicii medicale din RM

15. Să identifice posibilitățile și să asigure legalizarea raporturilor juridice între părțile implicate în dezvoltarea (Ministerul Sănătății și Compania dezvoltatoare) a SIA AMP, în scopul evitării riscului de stopare a serviciilor TI, cu stabilirea condițiilor de asigurare a protecției datelor cu caracter personal.

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: Garantia a fost extinsa pana la data de 31 decembrie 2018. Dezvoltatorul a inlaturat toate deficientele care au fost identificate in aceasta perioada. A fost achitata integral datoria fata de dezvoltator

16. Să revizuiască modul de administrare existent a SIA AMP (central și local), cu identificarea/stabilirea unei soluții optime care ar asigura administrarea eficientă și conformă a Sistemului, și evitarea riscurilor de securitate a datelor cu caracter personal.

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: A fost elaborat Regulamentul cu privire la structura și functionarea Sistemului Informational Automatizat „Asistenta Medicala Primara” (SIA AMP). Regulamentul stabileste modul de administrare a SIA AMP (central și local), descrie actiunile care vor fi întreprinse de catre administratori in vederea asigurarii administrarii eficiente și asigurarii securitatii informationale a SIA AMP. Regulamentul a fost aprobat prin Ordinul nr. 1499 din 14.12.18

17. Să analizeze erorile și disfuncționalitățile generate de SIA AMP, ca urmare a configurării necorespunzătoare a SI, precum și a cauzelor acestora, cu întreprinderea măsurilor necesare de eliminare a lor, asigurând conformarea cu cerințele de securitate a datelor cu caracter personal.

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: Au avut consultari ample cu specialiștii din cadrul institutiilor medicale. A fost format grup de lucru care a analizat deficientele SIA AMP. Au fost colectate si solutionate obiectiile de la Prestatori fata de SIA AMP in conformitate cu Lista observatiilor identificate si solutionate in cadrul verificarii Sistemului Informational Automatizat Asistenta Medicala Primara. Au fost verificate obiectiile fata de SIA AMP si semnat procesul verbal de verificare îndeplinire modificari in SIA AMP conform scrisorii ministerului sanatatii 01-9/1910 din 10 noiembrie 2016. Au fost analizate și solutionate deficientele din partea AMP Buiucani din data 07 decembrie 2018

18. Să întreprindă măsurile necesare în vederea conformării cu cerințele cadrului normativ privind exploatarea produsului informatic.

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: A fost elaborat Regulamentul cu privire la structura si functionarea Sistemului Informational Automatizat „Asistenta Medicala Primara” (SIA AMP). A fost elaborat CONTRACT-TIP privind acordarea dreptului de registrator SIA AMP parte a Registrului medical prin intermediul Sistemului Informational Automatizat Asistenta Medicala Primara, a fost elaborată CERERE pentru atribuirea contului de utilizator în SIA AMP, a fost elaborată Matricea de acces a modulelor functionale a SIA AMP in dependentă de rolul utilizatorului si tipul de date cu caracter personal accesat, a fost elaborată Instructiune de acordare acces utilizatorilor sistemului informational automatizat asistenta medicala primara, a fost emis Ordinul MSMPS nr. 1499 Cu privire la utilizarea Sistemului Informational Automatizat Asistenta Medicala Primara în cadrul Prestatorilor de servicii medicale din Republica Moldova, care presteaza servicii medicale de asistenta medicala primara precum si asistenta medicala specializata de ambulatoriu din 14 decembrie 2018. A fost elaborată Lista formularelor de evidenta medicala primara a Prestatorilor, rapoartelor statistice medicale de ramura, darilor de seama, generate automat în Sistemul Informational Automatizat Asistenta Medicala Primara (SIA AMP), a fost emis Ordinul MSMPS nr. 1498 Cu privire la aprobarea formularelor de evidenta medicala primara, rapoartelor statistice medicale de ramura, darilor de seama generate de SIA AMP din 14 decembrie 2018. A fost elaborată politica de securitate a datelor cu caracter personal in cadrul sistemelor informationale automatizate, a fost emis Ordinul nr. 1497 Cu privire la aprobarea Politicii de securitate a datelor cu caracter personal in cadrul Sistemelor Informationale Automatizate (SIA) din 14 decembrie 2018. Au fost actualizate manualele de utilizare SIA AMP. A fost emis Ordinul nr. 1497 din 14.12.18 Cu privire la utilizarea SIA AMP in cadrul prestatorilor de servicii medicale din RM, Ordinul nr. 1498 din 14.12.18 Cu privire la aprobarea formularelor de evidenta medicala primara, rapoartelor statistice generate de SIA AMP, Ordinul nr. 1499 din 14.12.18 Cu privire la utilizarea SIA AMP in cadrul Prestatorilor de servicii medicale din RM

19. Să elaboreze, după caz, să revizuiască și să înainteze pentru aprobare, în modul stabilit, proiecte de acte normative aferente SIA, inclusiv Concepția SIA AMP, Regulamentul de funcționare a SIA AMP, precum și a procedurilor aferente protecției datelor cu caracter personal și securității informației, în vederea asigurării instrumentelor și pârghiilor necesare pentru gestiunea eficientă și regulamentară a SIA.

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: A fost elaborat Regulamentul cu privire la structura și functionarea Sistemului Informational Automatizat „Asistenta Medicala Primara (SIA AMP). A fost elaborat CONTRACT-TIP privind acordarea dreptului de registrator SIA AMP parte a Registrului medical prin intermediul Sistemului Informational Automatizat Asistenta Medicala Primara, a fost elaborată CERERE pentru atribuirea contului de utilizator in SIA AMP, a fost elaborată Matricea de acces a modulelor functional a SIA AMP in dependentă de rolul utilizatorului si tipul de date cu caracter personal accesat, a fost elaborată Instructiune de acordare acces utilizatorilor sistemului informational automatizat asistenta medicala primara, a fost emis Ordinul MSMPS nr. 1499 Cu privire la utilizarea Sistemului Informational Automatizat Asistenta Medicala Primara în cadrul Prestatorilor de servicii medicale din Republica Moldova, care presteaza servicii medicale de asistenta medicala primara precum și asistenta medicala specializata de ambulatoriu din 14 decembrie 2018. A fost elaborată Lista formularelor de evidenta medicala primara a Prestatorilor, rapoartelor statistice medicale de ramura, darilor de seama, generate automat in Sistemul Informational Automatizat Asistenta Medicala Primara (SIA AMP), a fost emis Ordinul MSMPS nr. 1498 Cu privire la aprobarea formularelor de evidenta medicala primara, rapoartelor statistice medicale de ramura, darilor de seama generate de SIA AMP din 14 decembrie 2018. A fost elaborata politica de securitate a datelor cu caracter personal in cadrul sistemelor informationale automatizate, a fost emis Ordinul nr, 1497 Cu privire la aprobarea Politicii de securitate a datelor cu caracter personal in cadrul Sistemelor Informationale Automatizate (SIA) din 14 decembrie 2018. Au fost actualizate manualele de utilizare SIA AMP A fost emis Ordinul nr. 1497 din 14.12.18 Cu privire la utilizarea SIA AMP in cadrul prestatorilor de servicii medicale din RM, Ordinul nr. 1498 din 14.12.18 Cu privire la aprobarea formularelor de evidenta medicala primara, rapoartelor statistice generate de SIA AMP, Ordinul nr.1499 din 14.12.18 Cu privire la utilizarea SIA AMP in cadrul Prestatorilor de servicii medicate din RM

20. Să instituie un mecanism de monitorizare/verificare a respectării cerințelor legale privind securitatea datelor cu caracter personal la prelucrarea acestora în SIA AMP de către utilizatorii Sistemului, inclusiv prin efectuarea unor controale, cu întreprinderea măsurilor corespunzătoare.

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: MSMPS a elaborat Regulamentul Serviciului de Securitate Informatională in cadrul caruia vor intra atributiile de monitorizare și verificare a respectarii cerintelor legale privind securitatea datelor cu caracter personal. Serviciul inca nu activeaza. In acest sens a fost creat proiectul de ordin pentru aprobarea Regulamentului, dar din cauza avizului negativ din partea CNPDCP nu este identificata entitatea care se exercite aceasta activitate. Totodata MSMPS elaboreaza conceptul pentru crearea unei agentii care să administreze toate sistemele informationale din domeniul sanatatii.

21. În funcție de modificările intervenite în fluxurile modulelor integrate în SIA AMP, să asigure ajustarea și completarea documentației aferente funcționării SIA AMP (ghidurile/manualele pentru utilizatori, ghidul administratorului SIA, documentația tehnică a infrastructurii etc.), cu asigurarea instruirii utilizatorilor în acest sens.

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: Au fost actualizate ghidurile de utilizare SIA AMP pentru utilizatori cu diferite roluri in conformitate cu ultimele actualizari in SIA AMP. Ghidurile actualizate au fost puse la dispozitie utilizatorilor SIA AMP. Ele sunt disponibile in SIA AMP la compartimentul de documente incarcate

RO_4126_M.S.PDF

22. Să instituie și să asigure respectarea procedurilor de management al schimbărilor, cu documentarea adecvată a modificărilor intervenite în SIA AMP.

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: A fost elaborat fluxul de colectare și implementare a cererilor de schimbare, formularul de solicitare a cererii de schimbare, modelul jurnalulului cererilor de schimbari și procedura de revizuire si procesare (acceptare sau respingere) a cererilor de schimbare.

23. Să asigure continuitatea serviciilor prin instituirea și implementarea unor proceduri adecvate privind modul și periodicitatea efectuării și testării copiilor de rezervă ale SIA AMP, precum și a unui plan de continuitate și de recuperare în caz de dezastru, cu monitorizarea și testarea periodică a realizării acestuia în scopul asigurării sustenabilității SIA AMP.

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: Se elaboreaza documentatia necesara pentru planul de continuitate și de recuperare în caz de dezastru, cu monitorizarea si testarea periodica a realizarii acestuia in scopul asigurarii sustenabilitatii SIA AMP.

24. Să identifice și să instituie un mecanism adecvat de comunicare (help desk) cu utilizatorii Sistemului despre erorile generate de SIA AMP, precum și despre solicitările utilizatorilor privind problemele apărute la utilizarea acestuia, cu monitorizarea soluționării de rigoare.

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: MSMPS a transmis о solicitare catre Serviciul Tehnologia Informatiei și Securitatii Cibernetice (STISC) prin care solicita sa fie pusa la dispozitie serviciul guvernamental Servicedesk pentru utilizatorii SIA AMP. Prin utilizarea acestui sistem administratorii SIA AMP vor dispune de instrumentul necesar de comunicare cu utilizatorii și urmarire a solicitarilor din partea utilizatorilor.

25. Să întreprindă măsurile corespunzătoare în vederea asigurării înregistrării SIA AMP în Registrul resurselor informaționale de stat, deținut de MTIC, precum și în Registrul de evidență a operatorilor de date cu caracter personal al CNPDCP.

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: MSMPS a avut consultatii cu Centrul de Guvernare Electronica și Agenția Serviciilor Publice în vederea asigurarii înregistrarii SIA AMP în Registrul resurselor informationale de stat, detinut de MTIC. In acest sens MSMPS a transmis scrisori catre ambele institutii cu solicitarea suportului necesar. Ca raspuns la solicitarea MSMPS nr. 01-6/77 din 02.05.2018 de a înregistra SIA AMP în Registrul Resurselor Informationale de Stat, Agenția Servicii Publice în scrisoarea 01/3000 din 16.05.2018 a mentionat faptul Centrul de Guvernare Electronica va asigura posibilitatea de evidenta electronica a sistemelor și resurselor informationale. In scrisoarea nr 3004-158 din 24.05.2018 din partea Centrul de Guvernare Electronica se mentioneaza faptul ca nu exista informatii privind faptul ca Registrul Resurselor Informationale de Stat se dezvolta sau se pune în regim industrial. Totodata a fost elaborat setul de documentatie necesar inregistrarii SIA AMP în Registrul de evidentă a operatorilor de date cu caracter personal al CNPDCP și anume (Regulamentul cu privire la structura și functionarea Sistemului Informational Automatizat „Asistenta Medicala Primara” (SIA AMP) , Polițica de securitate, Regulamentul Serviciului de Securitate Informationala, Fișa postului, instructiune de acordare acces). Documentatia a fost transmisa împreuna cu solicitarea de înregistrare, dar a fost refuzat din cauza unor neconcordante în documentatie care deja sunt înlaturate, lipsa semnaturilor electronice și a entitatii care sa asigure administrarea, auditul și securitatea informationala

26. Să examineze situația privind utilizarea în paralel cu SIA AMP și a altor SI care automatizează procesele de business din asistența medicală primară, cu adoptarea unei decizii în acest sens, pentru evitarea/excluderea riscurilor economico-financiare, de fraudă și de securitate a datelor privind starea de sănătate a pacienților etc.

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: Pentru a exclude utilizarea în paralel cu SIA AMP a altor SI a fost emis Ordinul MSMPS nr. 1499 Cu privire la utilizarea Sistemului Informational Automatizat Asistenta Medicala Primara în cadrul Prestatorilor de servicii medicale din Republica Moldova, care presteaza servicii medicale de asistenta medicala primara precum și asistenta medicala specializata de ambulatoriu din 14 decembrie 2018. In conformitate cu Ordinul emis directorii institutiilor vor asigura realizarea masurilor obligatorii imediate pentru utilizarea SIA AMP, vor asigura toate conditiile necesare utilizarii SIA AMP, infrastructurii, administratorilor, etc. A fost emis Ordinul MSMPS nr. 1498 Cu privire la aprobarea formularelor de evidenta medicala primara, rapoartelor statistice medicale de ramura, darilor de seama generate de SIA AMP din 14 decembrie 2018. A fost emis Ordinul nr. 1497 Cu privire la aprobarea Politicii de securitate a datelor cu caracter personal in cadrul Sistemelor Informationale Automatizate (SIA) din 14 decembrie 2018.

27. Să încheie un acord privind formalizarea schimbului de date necesar formării corecte și consistente a resurselor informaționale aferente funcționării SIA AMP.

response:
Scrisoare CNAM nr. 02/07-306/1905 din 27.12.2017 Compania Naţională de Asigurări în Medicină (CNAM), întru executarea pct. 2.4., al Hotărârii Curţii de Conturi nr. 48 din 05.12.2016, a implementat Serviciul de furnizare a datelor, solicitate de către Ministerul Sănătăţii, Muncii si Protecţiei Sociale, pentru interacţiunea cu Sistemul Informaţional “Asistenţă Medicală Primară” (SIA AMP), în platforma guvernamentală MConnect.

RO_5116_0021-18 CNAM.pdf

27. Să încheie un acord privind formalizarea schimbului de date necesar formării corecte și consistente a resurselor informaționale aferente funcționării SIA AMP.

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: A fost semnat acordul privind schimbul de date cu CNAM nr.57 din 30 martie 2018 privind schimbul de date. Schimbul de date deja este implementat, testat și functional in SIA AMP

28. în comun cu ÎS CRIS Registru Să revizuiască acordul încheiat privind schimbul de informații între sistemele informaționale deținute, ținând cont de modificările intervenite pe parcurs, pentru asigurarea disponibilității datelor necesare și relevante utilizatorilor Sistemului și excluderea dublării sau generării unor date inutile și contradictorii.

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: A fost semnat acord aditional nr.3/523-AD privind modificarea contractului nr.578-I din 04.09.2012 cu privire la interactiunea informationala prin intermediul Common Object Interface (COI), astfel încât sa se tina cont de modificarile intervenite pe parcurs

29. Să revizuiască politica de securitate a datelor cu caracter personal, inclusiv reglementările aferente protecției datelor cu caracter personal, în vederea ajustării acestora la cerințele cadrului normativ, precum și la necesitățile intervenite (specificarea măsurilor de protecție a datelor în raport cu părțile terțe etc.).

response:
Scris. AMT Centru nr.01-10/164 din 07.03.2018: A fost revizuita politica de securitate a datelor cu character personal. Au fost elaborate/ajustate regulamente aferente: 1) privitor la prelucrarea datelor cu utilizarea tehnologiilor informationale; 2) prelucrarea ... pe suport de hartie...; 3) ...protectia datelor in sectia resurse umane; 4) ...regulamentul cu privire la acces in incapere și la serverul sistemului informational.(cu anexarea documentelor justificative)

29. Să revizuiască politica de securitate a datelor cu caracter personal, inclusiv reglementările aferente protecției datelor cu caracter personal, în vederea ajustării acestora la cerințele cadrului normativ, precum și la necesitățile intervenite (specificarea măsurilor de protecție a datelor în raport cu părțile terțe etc.).

response:
Scris.nr. 01.23/134 din 20.02.2018: Politica de securitate (de protectie a datelor cu caracter personal) a instituției a fost aprobata de Consiliului de Administrate a IMSP ”CMF mun.Balti”, in cadrul sedintei 07.10.2016.

29. Să revizuiască politica de securitate a datelor cu caracter personal, inclusiv reglementările aferente protecției datelor cu caracter personal, în vederea ajustării acestora la cerințele cadrului normativ, precum și la necesitățile intervenite (specificarea măsurilor de protecție a datelor în raport cu părțile terțe etc.).

response:
Scris. IMPS Clinica Universitară nr.35 din 27.02.2018: A fost revizuitä politica de securitate a datelor cu caracter personal conform cerințelor cadrului normativ care a fost aprobată și implementatä în baza ordinului intern „Cu privire la implementarea politicii de securitate a prelucrärii datelor cu caracter personal în cadrul IMSP CUAMP" nr. 13-A din 31.01.2017. Ordinul intern nr.61/1-A din 11.09.2017 „Cu privire la numirea persoanei responsabile" de întocmirea, mentinerea , modificarea actualizarea politicii de securitate. S-a încheiat Acord de confidentialitate între pärti din 13 martie 2017 „Cu privire la servicii de mentenantä a SI CabiMED Manager”-IMSP Clinica Universitară și ICS INFO WORLD SRL.

30. Să informeze angajații instituției privind cerințele de securitate la prelucrarea datelor cu caracter personal și să asigure implementarea/respectarea acestora, prin instituirea unui mecanism intern adecvat de monitorizare/control.

response:
Scris. IMPS Clinica Universitară nr.35 din 27.02.2018: Conform Anexei nr.l la Ordinul intern nr.13-A din 31.012017, toti angajatii (utilizatorii SI au fost instruiti). A fost aprobat Consimtämântul salariatului privind datele cu caracter personal, care este parte integratä la Contractul individual de muncä.

30. Să informeze angajații instituției privind cerințele de securitate la prelucrarea datelor cu caracter personal și să asigure implementarea/respectarea acestora, prin instituirea unui mecanism intern adecvat de monitorizare/control.

response:
Scris.nr. 01.23/134 din 20.02.2018: Angajatii institutiei IMSP ”CMF mun.Balti” au fost informati cu actele ce reglementeaza prelucrarea datelor cu caracter personal si anume: -Politica de securitate informationala a IMSP CMF mun.Balti” -Regulamentul privind asigurarea securitatii dateior cu caracter medical in cadrul IMSP ”CMF mun.Balti” -Regulamentul secției informatica si statistica medicala

30. Să informeze angajații instituției privind cerințele de securitate la prelucrarea datelor cu caracter personal și să asigure implementarea/respectarea acestora, prin instituirea unui mecanism intern adecvat de monitorizare/control.

response:
Scris. AMT Centru nr.01-10/164 din 07.03.2018: Personalul medical a fost instruit privind cerintele de securitate la prelucrarea datelor cu caracter personal; ultima instruire - martie 2018.(cu anexarea documentelor justificative)

31. Să întreprindă măsurile necesare în vederea înregistrării instituției, în modul stabilit, în calitate de operator de date cu caracter personal, în Registrul de evidență a operatorilor de date cu caracter personal, pentru sistemele informaționale și de evidență deținute.

response:
Scris. IMPS Clinica Universitară nr.35 din 27.02.2018: S-a initiat procedura de pregätire a dosarului în vederea înregisträrii în calitate de operator CNPDCP. Însä din cauza volumului mare de documente necesare, la moment sunt gata doar 65-70 0/0.

31. Să întreprindă măsurile necesare în vederea înregistrării instituției, în modul stabilit, în calitate de operator de date cu caracter personal, în Registrul de evidență a operatorilor de date cu caracter personal, pentru sistemele informaționale și de evidență deținute.

response:
Scris.nr. 01.23/134 din 20.02.2018: In conformitate cu prevederile art. 7 alin. (2) din Legea nr. 133 din 8 iulie 2011, este stabilit expres ca: „(2) Cadrele medicale, instituțiile medico-sanitare personalul medical al acestora pot prelucra date cu caracter personal privind starea de sanatate fara autorizația Centrului National pentru Protecția Datelor cu Caracter Personal numai daca prelucrarea este necesara pentru protejarea vieții, integritații fizice sau a sanatații subiecților datelor cu caracter personal”. În cazul IMSP CMF Balți prelucrarea datelor cu caracter personal, se face in scopuri de medicina preventivă, de stabilire a diagnosticelor medicale, de administrare a unor ingrijiri sau tratamente pentru subiectul datelor cu caracter personal sau de gestionare a serviciilor de sanatate care acționeaza in interesul subiectului datelor cu caracter personal, precum și in vederea asigurarii protectiei sanatații publice. Astfel, constatam că prelucrarea datelor cu caracter personal de catre IMSP CMF Вălți se incadreaza expres in prevederile art. 7 alin. (1) din Legea nr. 133 din 8 iulie 2011. Suplimentar, va informam că prelucrarea datelor cu caracter personal ale fiecărui pacient al nostru se face in baza unui acord informat, semnat de fiecare dintre pacienții incluși in registrul numit, prin care aceștia sunt informați și își exprima acordul ca datele lor personale sa fie prelucrate. IMSP CMF Bălți este inregistrat in calitate de operator in Registrul de Evidenta al operatorilor de date cu caracter personal.

31. Să întreprindă măsurile necesare în vederea înregistrării instituției, în modul stabilit, în calitate de operator de date cu caracter personal, în Registrul de evidență a operatorilor de date cu caracter personal, pentru sistemele informaționale și de evidență deținute.

response:
Scris. AMT Centru nr.01-10/164 din 07.03.2018: IMSP AMT Centru este dejа inregistrata in calitate de operator de date in Registrul de evidenta a operatorilor de date cu caracter personal nr. 0000007-001 nr. 0000007-002 https://registru.datepersonale.md/ din 10.10.2012

32. Să instituie controalele necesare în vederea asigurării securității accesului (logic, fizic și la rețea) la resursele TI, în scopul evitării riscurilor de securitate posibile, cu documentarea adecvată a acestora.

response:
Scris. IMPS Clinica Universitară nr.35 din 27.02.2018: A fost întocmit un registru privind accesul la SI, care cuprinde modalitatea de înregistrare, anulare suspendare a utilizatorilor din sistem. Accesul la statiile de lucru, cât la SI Cabi Med este monitorizat parțial: Accesul la contul de acces la statia de lucru este strict restrictionat prin parolä, fiecare utilizator are parola sa de acces în sistemul informational, care poate sa o modifice de sinestätätor. În încäperile unde sunt amplasate sistemul informational de date cu caracter personal (camera de severe) nu a fost înca instalata camera video metalicä- are loc procedura de achizitie publicä.

32. Să instituie controalele necesare în vederea asigurării securității accesului (logic, fizic și la rețea) la resursele TI, în scopul evitării riscurilor de securitate posibile, cu documentarea adecvată a acestora.

response:
Scris.nr. 01.23/134 din 20.02.2018: Securitatea accesului logic: criptarea datelor. Securitatea accesului fizic: instalarea serverelor in loc cu acces limitat, instalarea gratiilor la ușa de intrare si totodata instalarea unui conditioner pentru mentinerea temperaturii stabile in camera de server. Asigurarea securitatii la retea: conectarea la reteaua WAN prin intermediul Endian Firewall, modificarea topologiei retelei de interconectare a serverelor la reteaua locală, totodata planificarea inlocuirii cablului UTP cu cablu ecranar FTP.

32. Să instituie controalele necesare în vederea asigurării securității accesului (logic, fizic și la rețea) la resursele TI, în scopul evitării riscurilor de securitate posibile, cu documentarea adecvată a acestora.

response:
Scris. AMT Centru nr.01-10/164 din 07.03.2018: Pe parcursul anului 2017 s-a executat procedurile in vederea asigurarii securitatii accesului logic, fizic și la retea.(cu anexarea documentelor justificative)

33. Să asigure continuitatea serviciilor prin instituirea și implementarea unor proceduri adecvate privind modul și periodicitatea efectuării și testării copiilor de rezervă ale SIA AMP, precum și a unui plan de continuitate și de recuperare în caz de dezastru, cu monitorizarea și testarea periodică a realizării acestuia în scopul asigurării sustenabilității SIA AMP.

response:
Scris. IMPS Clinica Universitară nr.35 din 27.02.2018: Tinând cont de recomandärile Curtii de Conturi expuse în notä informativä din 28.11.2016, a fost elaborat planul de continuitate a activitätii și planul de recuperare și procedurilor de urgentä în caz de dezastru în vederea asigurärii unui set de mäsuri privind: disponibilitatea, integritatea,confidentialitatea informatiei protectia resurselor hard-soft ale sistemului.

33. Să asigure continuitatea serviciilor prin instituirea și implementarea unor proceduri adecvate privind modul și periodicitatea efectuării și testării copiilor de rezervă ale SIA AMP, precum și a unui plan de continuitate și de recuperare în caz de dezastru, cu monitorizarea și testarea periodică a realizării acestuia în scopul asigurării sustenabilității SIA AMP.

response:
Scris.nr. 01.23/134 din 20.02.2018: Continuitatea serviciilor: monitorizarea periodica a statiilor de lucru a personalului, efectuarea automata a copiilor de rezerva atit pe server cit si pe alt calculator din reteaua locala. Periodic este verificata functionalitatea si integritatea copiilor de rezerva.

33. Să asigure continuitatea serviciilor prin instituirea și implementarea unor proceduri adecvate privind modul și periodicitatea efectuării și testării copiilor de rezervă ale SIA AMP, precum și a unui plan de continuitate și de recuperare în caz de dezastru, cu monitorizarea și testarea periodică a realizării acestuia în scopul asigurării sustenabilității SIA AMP.

response:
Scris. AMT Centru nr.01-10/164 din 07.03.2018: SIA AMP in present nu se utilizeaza in IMSP AMT Centru. Pentrtu SIA MedEx sunt asigurate procedure adecvate referitor la modul și periodicitatea efectuarii și testarii copiilor de rezerva. Efectuarea este documentata in mod corespunzator, copiile de rezerva sunt stocate /pastrate conform cerintelor.(cu anexarea documentelor justificative)

34. Să stabilească, în contractele de prestare a serviciilor TI, măsurile de rigoare în vederea asigurării informației/protecției datelor în raport cu părțile terțe.

response:
Scris. IMPS Clinica Universitară nr.35 din 27.02.2018: A fost preväzut Acordul de confidentialitate înfre pärti din 13 martie 2017 „Cu privirel a servicii de mentenantä a SI CabiMED Manager' IMSP Clinica Universitarä ICS INFO WORLD SRI, la Contractul cu privire la achizitionarea serviciilor de mentenantä.

34. Să stabilească, în contractele de prestare a serviciilor TI, măsurile de rigoare în vederea asigurării informației/protecției datelor în raport cu părțile terțe.

response:
Scris.nr. 01.23/134 din 20.02.2018: IMSP ”CMF mun.Balti nu are incheiate contractele de prestare a serviciilor TI.

34. Să stabilească, în contractele de prestare a serviciilor TI, măsurile de rigoare în vederea asigurării informației/protecției datelor în raport cu părțile terțe.

response:
Scris. AMT Centru nr.01-10/164 din 07.03.2018: Este elaborat model / clauza pentru astfel de contracte.(cu anexarea documentelor justificative)

35. Să reexamineze modul de prelucrare a datelor personale ale pacienților în SI, altele decât cele gestionate și implementate la nivel național de MS, în scopul conformării cu cerințele stabilite, precum și evitării riscurilor majore în acest sens (financiare, de fraudare, de securitate).

response:
Scris. IMPS Clinica Universitară nr.35 din 27.02.2018: Modul de prelucrare a datelor personale ale pacientilor se efectueazä prin urmätoarele metode: preîntîmpinarea conexiunilor neautorizate la retelele telecomunicaționale și interceptärii cu ajutorul mijloacelor tehnice a datelor cu caracter personal transmise prin aceste retele; excluderea accesului neautorizat la datele cu caracter personal prelucrate; Preîntîmpinarea acțiunilor speciale tehnice de program, care conditioneazä distrugerea, modificarea datelor cu caracter personal sau defecțiuni în lucrul complexului tehnic si de program; Preîntîmpinarea actiunilor intentionate și/sau neintentionate a utilizatorilor interni și/sau externi, precum și a altor angajati ai detinätorului de date cu caracter personal, care conditioneazä distrugerea, modificarea datelor cu caracter personal sau defectiuni în lucrul complexului ethnic și de program.

35. Să reexamineze modul de prelucrare a datelor personale ale pacienților în SI, altele decât cele gestionate și implementate la nivel național de MS, în scopul conformării cu cerințele stabilite, precum și evitării riscurilor majore în acest sens (financiare, de fraudare, de securitate).

response:
Scris.nr. 01.23/134 din 20.02.2018: La nivel de unitate a fost aprobat Ordinul cu privire la aprobarea” Regulamentului privind asigurarea securitatii datelor cu caracter personal ”, pentru serviciile, economico-finaciar, contabil, juridic, serviciu TI, Resurse Umane, sectia asistenta cu medicamente și dispozitive medicale, precum si pentru prelucrarea informatiilor uitilizind mijloace video de supraveghere.

35. Să reexamineze modul de prelucrare a datelor personale ale pacienților în SI, altele decât cele gestionate și implementate la nivel național de MS, în scopul conformării cu cerințele stabilite, precum și evitării riscurilor majore în acest sens (financiare, de fraudare, de securitate).

response:
Scris. AMT Centru nr.01-10/164 din 07.03.2018: Pana la implimentarea defminitva a SIA AMP pe scara larga, in IMSP AMT Centru se utilizeaza SIA MedEx. In scopul asigurarii conformitatii cu cerintele stabilite au fost reexaminate: Regulamentul de utilizare a SIA MedEx in IMSP AMT Centru.(cu anexarea documentelor justificative)

Cerinte (14)

2.4. Companiei Naționale de Asigurări în Medicină, Î.S. „CRIS „Registru””, pentru informare și implementarea, de comun cu Ministerul Sănătății, a recomandărilor din Raportul de audit;

response:
Scrisoare CNAM nr. 02/07-306/1905 din 27.12.2017 Compania Naţională de Asigurări în Medicină (CNAM), întru executarea pct. 2.4., al Hotărârii Curţii de Conturi nr. 48 din 05.12.2016, a implementat Serviciul de furnizare a datelor, solicitate de către Ministerul Sănătăţii, Muncii si Protecţiei Sociale, pentru interacţiunea cu Sistemul Informaţional “Asistenţă Medicală Primară” (SIA AMP), în platforma guvernamentală MConnect.

RO_5116_0021-18 CNAM.pdf

2.4. Companiei Naționale de Asigurări în Medicină, Î.S. „CRIS „Registru””, pentru informare și implementarea, de comun cu Ministerul Sănătății, a recomandărilor din Raportul de audit;

response:
scrisoare. nr. 01/2086 din 05.07.2017: Referitor la pct.2.4 al Hotărârii Curţii de Conturi „Companiei Naţionale de Asigurări în Medicină, Î.S. „CRIS „Registru” pentru informare şi implementarea, de comun cu Ministerul Sănătăţii, a recomandărilor din raportul de audit” - întreprinderea se va implica în examinarea demersurilor ce vor parveni de la Compania Naţională de Asigurări în Medicină (CNAM) şi Ministerul Sănătăţii (MS), după caz, care vor viza implementarea recomandărilor Raportului de audit. In această ordine de idei, menţionăm că la momentul actual IS „CRIS „Registru” nu are încheiate cu Ministerul Sănătăţii (MS) sau Casa Naţională de Asigurări în Medicină (CNAM) careva contracte sau acorduri privind schimbul de informaţii între sistemele informaţionale deţinute de întreprindere şi SIA Asistenţa Medicală Primară (SIA AMP), reieşind din faptul că SIA AMP se află la o etapă incipientă de exploatare/implementare, urmând a fi definitivat cadrul normativ- legislativ relevant prin înaintarea pentru aprobare, în modul stabilit, a proiectelor de acte normative aferente SIA, inclusiv Concepţia SIA AMP, Regulamentul de funcţionare a SIA AMP.Transmiterea de date către MS şi CNAM, în baza contractelor de prestare a serviciilor informaţionale care vizează interacţiunea între sistemele informaţionale viabile (care au trecut procedura de aprobare şi certificare) are loc strict prin canale securizate asigurînd protecția datelor cu caracter personal. Scris.ASP nr.01/2173 din 05.04.2018: Transmiterea de date in baza contractelor de prestare a serviciilor informaționale care vizeaza interacțiunea intre sistemele informaționale, are loc strict prin canalele securizate, asigurand la maxim protecția datelor cu caracter personal. Astfel, conform Contractului nr.578-I din 4 septembrie 2012 (copia - se anexeaza), incheiat intre Ministerul Sanatații (MS) și Agenția Servicii Publice (ASP), prestatorul se obliga sa presteze servicii informaționale in mod automatizat, in baza de Web-servicii prin intermediul tehnologiei Common Object Interface (COI). Prezentul Contract este incheiat in scopul actualizarii Sistemului informațional medical integrat, care funcționeaza in baza Hotararii Guvernului nr. 1128 din 14.10.2004 „Си privire la aprobarea Conceptiei Sistemului Informational Medical Integrat”, cu informația din Registrul de stat al populației. Respectiv, toata informația furnizata conține date cu caracter personal ce fac parte din categoria informației confidențiale, regimul de utilizare al careia este stabilit de legislația in vigoare. Cu privire la Contractul incheiat intre Agenția Servicii Publice și Casa Naționala de Asigurari in Medicina nr.539-I din 13 iunie 2012, copia - se anexeaza, (pct.2.4 al Hotararii in cauza „Companiei Naționale de Asigurari in Medicina, I.S. „CRIS „ Registru ” pentru informare și implementarea, de comun cu Ministerul Sanatații, a recomandarilor din raportul de audit”) de prestari servicii informaționale prin intermediul COI, prestatorul se obliga sa furnizeze informația in mod automatizat in baza de Web-Servicii prin intermediul COI, in scopul actualizarii datelor din cadrul Sistemului Informational Automatizat „Asigurarea obligatorie de asistenta medicala” cu informatia din Registrul de stat al populatiei și Registrul de stat al unitatilor de drept. Cu referire la recomandarea ,,….excluderea dublarii sau generarea unor date inutile și contradictorii”, actualmente Contractele de prestare a serviciilor informationale incheiate cu beneficiarii, contin prevederi care exclud posibilitatea transmiterii datelor dublate, inutile sau contradictorii, iar volumul de date se transmite și se stabilește strict in conformitate cu legislatia in vigoare.

RO_4541_CRIS REGISTRU.pdf

2.5. Ministerului Tehnologiei Informației și Comunicațiilor, Centrului de Guvernare Electronică, pentru documentare și oferirea consultanței/asistenței corespunzătoare Ministerului Sănătății la implementarea SIA AMP;

2.5. Ministerului Tehnologiei Informației și Comunicațiilor, Centrului de Guvernare Electronică, pentru documentare și oferirea consultanței/asistenței corespunzătoare Ministerului Sănătății la implementarea SIA AMP;

response:
scrisoare MTIC nr. 01/633 din 26.05.2017 "La solicitările Ministerului Sănătății nr.01-9/293 din 23.02.2017 și nr. 01-9/335 din 03.03.2017, MTIC a examinat proiectul hotărîrii Guvernului cu privire la aprobarea Conceptului tehnic al SIA „Asistența Medicală Primară” și Regulamentului de funcționare al SIA „Asistența Medicală Primară”, precum și proiectul hotărîrii Guvernului cu privire la aprobarea Conceptului tehnic și Regulamentului de funcționare al SIA „Asistența Medicală Spitalicească”. Drept rezultat, în adresa MS a fost remis avizul MTIC nr.01/302 din 14.03.2017 (se anexează). Totodată, conform solicitării MS nr.01-9/631 din 26.04.2017, MTIC a examinat proiectul hotărîrii Guvernului cu privire la aprobarea Regulamentului „Sistemului Informațional Medical Integrat”. Drept rezultat, în adresa MS a fost remis avizul MTIC nr.01/579 din 17.05.2017 (se anexează). Concomitent, pe marginea obiecțiilor și propunerilor expuse în cadrul avizelor MTIC, au avut loc 3 ședințe de lucru cu reprezentanții MS, în cadrul cărora a fost discutată și agreată redacția compatibilă cu prevederile legislației în vigoare în domeniul resurselor și sistemelor informaționale de stat. scris.nr.01/741 din 22.06.17 La solicitările Ministerului Sănătăţii nr.Ol-9/293 din 23.02.2017 şi nr. 01-9/335 din 03.03.2017, MTIC a examinat proiectul hotărîrii Guvernului cu privire la aprobarea Conceptului tehnic al SIA „/Asistenţa Medicală Primară" şi Regulamentului de funcţionare al SIA .Asistenţa Medicală Primară”, precum şi proiectul hotărîrii Guvernului cu privire Ia aprobarea Conceptului tehnic şi Regulamentului de funcţionare al SIA .Asistenţa Medicală Spitalicească". Drept rezultat, în adresa MS a fost remis avizul MTIC nr.Ol/302 din 14.03.2017 (se anexează). Totodată, conform solicitării MS nr.Ol-9/631 din 26.04.2017, MTIC a examinat proiectul hotărîrii Guvernului cu privire Ia aprobarea Regulamentului „Sistemului Informaţional Medical Integrat”. Drept rezultat, în adresa MS a fost remis avizul MTIC nr.Ol/579 din 17.05.2017 (se anexează). Concomitent, pe marginea obiecţiilor şi propunerilor expuse în cadml avizelor MTIC, au avut Ioc 3 şedinţe de lucru cu reprezentanţii MS, în cadml cărora a fost discutată şi agreată redacţia compatibilă cu prevederile legislaţiei în vigoare în domeniul resurselor şi sistemelor informaţionale de stat.

RO_4360_MTIC 1.pdf

2.1.1. să întreprindă acțiunile corespunzătoare în vederea implementării recomandărilor expuse în Raportul de audit;

response:
scrisoare CNPPDCP nr. 02-06/2053 din 30.12.2016 Scrisoare CNPDCP nr. 02-06/1979 din 06.12.2017

RO_4124_CENTRU CARACTER PERSONAL.PDF
RO_5117_2137 CNPDCP.pdf

2.1.2. să examineze, în comun cu Ministerul Finanțelor, după caz, cu alte autorități, posibilitatea identificării mijloacelor financiare necesare pentru dezvoltarea Registrului de evidență a operatorilor de date cu caracter personal, cu includerea acestora în bugetul instituției;

response:
Cu referire la pct.2.1.2. din partea hotărîtoare, privind examinarea de către Centrul Naţional de Protecţie a Datelor cu Caracter Personal în comun cu Ministerul Finanţelor posibilitatea identificării mijloacelor financiare necesare pentru dezvoltarea Registrului de evidenţă a operatorilor de date cu caracter personal, cu includerea acestora în bugetul instituţiei, se comunică faptul că posibilitatea identificării mijloacelor financiare necesare pentru dezvoltarea Registrului de evidenţă a operatorilor de date cu caracter personal, se va examina în exerciţiul bugetar 2018- 2020, lansat de Ministerul Finanţelor, şi care, actualmente se află la etapa elaborării Cadrului bugetar pe termen mediu pentru perioada respectivă. Totodată, se informează că Ministerul Finanţelor a prezentat aviz la proiectul hotărîrii Guvernului „Cu privire la aprobarea Conceptului tehnic şi Regulamentul de funcţionare al Sistemului informaţional automatizat „Asistenţa Medicală Primară””, elaborat de Ministerul Sănătăţii, prin scrisoarea nr.08-17/145 din 10 martie 2017 {copia se anexează).

2.2.1. să examineze rezultatele auditului în cadrul ședinței Colegiului Ministerului Sănătății, în scopul informării acestuia despre rezultatele auditului și intensificării eforturilor necesare pentru asigurarea funcționării adecvate a SIA AMP, cu respectarea prevederilor cu referire la protecția datelor cu caracter personal din domeniul medical;

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: Rezultatele auditului Curtii de Conturi au fost examinate in cadrul Colegiului. Ca urmare a fost emis Ordinul 919 din 25.11.2016 prin care a aprobat planul de actiuni privind implementarea recomandarilor Curtii de Conturi. S-au colectat și inlaturat obiectiile fata de SIA AMP, A fost emis Ordinul MSMPS nr. 1499 Cu privire la utilizarea Sistemului Informational Automatizat Asistenta Medicala Primara în cadrul Prestatorilor de servicii medicale din Republica Moldova, care presteaza servicii medicale de asistenta medicala primara precum si asistenta medicala specializata de ambulatoriu din 14 decembrie 2018. A fost emis Ordinul MSMPS nr. 1498 Cu privire la aprobarea formularelor de evidenta medicala primara, rapoartelor statistice medicale de ramura, darilor de seama generate de SIA AMP din 14 decembrie 2018. A fost emis Ordinul nr. 1497 Cu privire la aprobarea Politicii de securitate a datelor cu caracter personal in cadrul Sistemelor Informationale Automatizate (SIA) din 14 decembrie 2018. A fost elaborat proiectul de Hotarare de Guvern Pentru alocarea semnaturilor electronice avansate calificate a utilizatorilor Sistemului informational automatizat „Asistenta Medicala Primara". A fost elaborat conceptul Agentiei Tehnologii Informationale in sanatate care va asigura securitatea informatională, auditul, mentenanta și dezvoltarea SIA AMPA fost solicitat sprijinul guvernului in identificarea unei institutii care sa asigure auditul, mentenanta și securitatea informatională a SIA AMP.

2.2.2. să întreprindă măsurile necesare în vederea eliminării deficiențelor constatate de audit, prin implementarea recomandărilor expuse în Raportul de audit;

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: In conformitate cu Ordinul nr. 919 din 25.11.2016 Cu privire la aprobarea planului de actiuni privind implementarea recomandarilor Curtii de Conturi a fost instituit grupul de lucru responsabil de intreprinderea masurilor, au fost stabilite obiectivele, subdiviziunile responsabile și termenii preconizati de executie, elaborat și aprobat planul de actiuni privind implementarea recomandarilor. A fost emisa dispozitia 731d din data de 24.11.2016 cu privire la unele masuri de facilitare a implementarii SIA AMP, prin care a fost instituit grupul de lucru responsabil de elaborarea și definitivarea actelor normative necesare pentru implementarea și darea în exploatare a SIA AMP. Au fost inlaturate și verificate toate deficientele identificate din SIA AMP. A fost semnat procesul verbal de verificare indeplinire modificari in SIA AMP conform scrisorii ministerului sanatatii 01-9/1910 din 10 noiembrie 2016. Au fost actualizate manualele de utilizare SIA AMP. A fost elaborat proiectul de Hotarare de Guvern Pentru alocarea semnaturilor electronice avansate calificate a utilizatorilor Sistemului informational automatizat „Asistenta Medicala Primara”. A fost elaborat conceptul Agentiei Tehnologii Informationale in sanatate care va asigura securitatea informationala, auditul, mentenanta și dezvoltarea SIA AMP A fost semnat acordul de schimb de date cu CNAM nr.57 din 30 martie 2018. A fost activat serviciul CNAM de verificare a statutului de asigurat al pacientului in SIA AMP. Cu CRIS Registru a fost semnat acord aditional nr.3/523- AD privind modificarea contractului nr.578-I din 04.09.2012 cu privire la interactiunea informationala prin intermediul Common Object Interface (COI). A fost achitata datoria catre Dezvoltator. A fost initiata procedura de inregistrare SIA AMP in registrul datelor cu caracter personal detinut de CNPDCP A fost emis Ordinul MSMPS nr. 1499 Cu privire la utilizarea Sistemului Informational Automatizat Asistenta Medicala Primara in cadrul Prestatorilor de servicii medicale din Republica Moldova, care presteaza servicii medicale de asistenta medicala primara precum și asistenta medicala specializata de ambulatoriu din 14 decembrie 2018. A fost emis Ordinul MSMPS nr. 1498 Cu privire la aprobarea formularelor de evidenta medicala primara, rapoartelor statistice medicale de ramura, darilor de seama generate de SIA AMP din 14 decembrie 2018. A fost emis Ordinul nr. 1497 Cu privire la aprobarea Politicii de securitate a datelor cu caracter personal in cadrul Sistemelor Informationale Automatizate (SIA) din 14 decembrie 2018.

2.2.3. să întreprindă acțiunile corespunzătoare în vederea asigurării conformării instituțiilor medicale din subordine la cadrul legal din domeniul protecției datelor cu caracter personal, în special în partea ce ține de identificarea sistemelor de evidență gestionate și înregistrarea în calitate de operatori de date cu caracter personal;

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: A fost elaborat și aprobat Ordinul nr. 1499 Cu privire la utilizarea Sistemului Informational Automatizat Asistenta Medicala Primara in cadrul Prestatorilor de servicii medicale din Republica Moldova, care presteaza servicii medicale de asistenta medicala primara precum și asistenta medicala specializata de ambulatoriu din 14 decembrie 2018. In conformitate cu regulamentul aprobat Prestatorii si MSMPS vor semna contractul privind acordarea dreptului de registrator al SIA AMP §i cererile de acces la sistem. A fost elaborat și aprobat Ordinul nr. 1497 Cu privire la aprobarea Politicii de securitate a datelor cu caracter personal in cadrul Sistemelor Informationale Automatizate (SIA) din 14 decembrie 2018, prin care Prestatorii vor intreprinde toate masurile necesare pentru elaborarea și implementarea Politicii de securitate. A fost elaborat proiectul Hotararii de Guvern Pentru alocarea semnaturilor electronice avansate calificate a utilizatorilor Sistemului informational automatizat „Asistenta Medicala Primara”. A fost elaborat conceptul Agentiei Tehnologii Informational in sanatate care va prelua sarcinile de administrare, mentenanta și audit a SIA AMP.

2.2.4. să inițieze, de comun cu instituțiile ale căror procese au fost automatizate și integrate în SIA AMP, o revizuire completă a cadrului normativ relevant activității lor, ținând cont de utilizarea SI respectiv în acest sens, cu înaintarea propunerilor de rigoare în modul stabilit;

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: A fost elaborat Regulamentul cu privire la structura și functionarea Sistemului Informational Automatizat „Asistenta Medicala Primara” (SIA AMP), a fost elaborat CONTRACT-TIP privind acordarea dreptului de registrator SIA AMP parte a Registrului medical prin intermediul Sistemului Informational Automatizat Asistenta Medicala Primara, a fost elaborate CERERE pentru atribuirea contului de utilizator în SIA AMP, a fost elaborată Matricea de acces a modulelor functionale a SIA AMP in dependentă de rolul utilizatorului si tipul de date cu caracter personal accesat, a fost elaborată Instructiunea de acordare acces utilizatorilor sistemului informational automatizat asistenta medicala primara, a fost emis Ordinul MSMPS nr. 1499 Cu privire la utilizarea Sistemului Informational Automatizat Asistenta Medicala Primara în cadrul Prestatorilor de servicii medicale din Republica Moldova, care presteaza servicii medicale de asistenta medicala primara precum și asistenta medicala specializata de ambulatoriu din 14 decembrie 2018. A fost elaborată Lista formularelor de evidenta medicala primara a Prestatorilor, rapoartelor statistice medicale de ramura, darilor de seama, generate automat în Sistemul Informational Automatizat Asistenta Medicala Primara (SIA AMP), a fost emis Ordinul MSMPS nr. 1498 Cu privire la aprobarea formularelor de evidenta medicala primara, rapoartelor statistice medicale de ramura, darilor de seama generate de SIA AMP din 14 decembrie 2018. A fost elaborată politica de securitate a datelor cu caracter personal în cadrul sistemelor informationale automatizate, a fost emis Ordinul nr. 1497 Cu privire la aprobarea Politicii de securitate a datelor cu caracter personal în cadrul Sistemelor Informationale Automatizate (SIA) din 14 decembrie 2018 In scopul ajustarii cadrului normativ la cerintele ce tin de punerea in aplicare a sistemelor informationale care includ procesarea datelor cu caracter personal a fost aprobata HOTARIEA nr. 283 din 04.04.2018 cu privire la modificarea și completarea Hotaririi Guvernului nr. 5 86 din 24 iulie 2017.

2.2.5. să asigure, de comun cu CNPDCP, conformarea prelucrării datelor cu caracter personal din domeniul medical la cerințele legale aferente;

response:
Scris. MSMPS nr. 19/931 din 12.02.2019: Au avut loc ședinte de lucru cu CNPDCP in urma carora a fost emis un set de recomandari. Ca urmare a recomandarilor din partea CNPDCP a fost elaborat Regulamentul cu privire la structura și functionarea Sistemului Informational Automatizat „Asistentă Medicala Primară” (SIA AMP), a fost elaborat CONTRACT-TIP privind acordarea dreptului de registrator SIA AMP parte a Registrului medical prin intermediul Sistemului Informational Automatizat Asistentă Medicala Primara, a fost elaborată CERERE pentru atribuirea contului de utilizator in SIA AMP, a fost elaborată Matricea de acces a modulelor functionate a SIA AMP in dependentă de rolul utilizatorului si tipul de date cu caracter personal accesat, a fost elaborată Instructiune de acordare acces utilizatorilor sistemului informational automatizat asistenta medicala primara, a fost emis Ordinul MSMPS nr. 1499 Cu privire la utilizarea Sistemului Informational Automatizat Asistenta Medicala Primara in cadrul Prestatorilor de servicii medicale din Republica Moldova, care presteaza servicii medicale de asistenta medicala primara precum si asistenta medicala specializata de ambulatoriu din 14 decembrie 2018. A fost elaborată Lista formularelor de evidentă medicală primară a Prestatorilor, rapoartelor statistice medicale de ramuri, dărilor de seamă, generate automat in Sistemul Informational Automatizat Asistenta Medicală Primară (SIA AMP), a fost emis Ordinul MSMPS nr, 1498 Cu privire la aprobarea formularelor de evidentă medicala primara, rapoartelor statistice medicale de ramură, darilor de seamă generate de SIA AMP din 14 decembrie 2018. A fost elaborată politica de securitate a datelor cu caracter personal In cadrul sistemelor informationale automatizate, a fost emis Ordinul nr. 1497 Cu privire la aprobarea Politicii de securitate a datelor cu caracter personal In cadrul Sistemelor Informationale Automatizate (SIA) din 14 decembrie 2018. Au fost actualizate manualele de utilizare SIA AMP Toate documentele și proiectele de ordine au fost consultate cu CNPDCP în vederea asigurarii conformarii lor. A fost elaborat proiectul Hotararii de Guvern pentru alocarea semnaturilor electronice avansate calificate a utilizatorilor Sistemului informational automatizat „Asistenta Medicala Primara”. A fost elaborat conceptul Agentiei Tehnologii Informationale in sanatate care va prelua sarcinile de administrare, mentenanta și audit a SIA AMP.

2.3. Instituțiilor medico-sanitare publice: AMT Centru, CMF mun. Bălți și Clinica Universitară de Asistență Medicală Primară, pentru informare și întreprindere a măsurilor necesare de asigurare a alinierii la normele privind protecția datelor cu caracter personal, prin implementarea recomandărilor din Raportul de audit;

response:
Scris. nr.35 din 27.02.2018 S-a inițiat procedura de pregätire a dosarului în vederea înregisträrii în calitate de operator CNPDCP. A fost elaborat: Politica de securitate a prelucrärii datelor cu caracter personal în cadrul IMSP CUAMP. Regulamentul de securitate a datelor cu caracter personal. Regulamentul privind prelucrarea protectia datelor cu caracter personal ale salariaților. Regulamentul privind gestionarea registrului de evidentä a petițiilor adresate IMSP CUAMP. Regulamentul privind prelucrarea informatiilor ce contin date cu caracter personal în sistemul de evidentä contabilä a IMSP CUAMP.

RO_5276_IMSP Clinica Universitara a USMF.pdf

2.3. Instituțiilor medico-sanitare publice: AMT Centru, CMF mun. Bălți și Clinica Universitară de Asistență Medicală Primară, pentru informare și întreprindere a măsurilor necesare de asigurare a alinierii la normele privind protecția datelor cu caracter personal, prin implementarea recomandărilor din Raportul de audit;

response:
Scris. AMT Centru nr.01-10/164 din 07.03.2018: Se asigura protectia și prelucrarea (colectarea, stocarea, utilizarea și transmiterea) datelor cu caracter personal referitor la pacienti și colaboratori in conformitate cu prevederile legislatiei și regulamentelor în vigoare.

2.3. Instituțiilor medico-sanitare publice: AMT Centru, CMF mun. Bălți și Clinica Universitară de Asistență Medicală Primară, pentru informare și întreprindere a măsurilor necesare de asigurare a alinierii la normele privind protecția datelor cu caracter personal, prin implementarea recomandărilor din Raportul de audit;

response:
Scris.nr.01.23/134 din 20.02.2018: S-a luat act de rezultatele misiunii de audit efectuat de către Curtea de Conturi.

RO_5267_0172.pdf