Actualizat: Vineri, 05 Iulie 2024
CU DEFICIENȚE DE VEDERE Youtube Facebook Harta site-ului public.rss-site
Curtea de Conturi a Republicii Moldova
RO RU EN

Media

Prima | Media | Noutăți
imprimare
Articole recente

Auditul TI privind protecția datelor cu caracter personal

  • 05.12.2016
  • 897

Înregistrare video


Curtea de Conturi a examinat în cadrul ședinței publice din 5 decembrie curent, Raportul auditului TI "Cum se asigură protecția datelor cu caracter personal în domeniul asistenței medicale primare, prelucrate în cadrul sistemelor informaționale automatizate?"

Curtea de Conturi a efectuat prezentul audit pentru a evalua nivelul de protecție și supraveghere a datelor cu caracter personal prelucrate în mod automatizat în domeniul medicinii primare și pentru a verifica dacă:

-  cadrul normativ-legislativ este adecvat întru asigurarea protecției datelor cu caracter personal, îndeosebi cele privind starea de sănătate, și în corespundere cu cadrul european în domeniu;

-  Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), în calitate de autoritate națională de supraveghere a protecției datelor cu caracter personal, dispune de instrumente/pârghii suficiente și adecvate pentru monitorizarea prelucrării datelor cu caracter personal (privind starea de sănătate);

-  Ministerul Sănătății și instituțiile medicale ce prestează servicii medicale primare dispune de controale generale adecvate și suficiente pentru a proteja datele cu caracter personal, în deosebi datele privind starea de sănătate, la prelucrarea acestora în sistemele informaționale automatizate.

Auditul a fost realizat la Centrul Național pentru Protecția Datelor cu Caracter Personal, Ministerul Sănătății și unele Instituții Medico-Sanitare Publice ce prestează servicii de asistență medicală primară, utilizând SI în acest sens, unele date și informații fiind colectate de la  Centrul de Guvernare Electronică, Centrul Național de Management în Sănătate. Totodată, au fost analizate răspunsurile la chestionarele obținute de la instituții medicale, precum și efectuate deplasări în teritoriu la 9 Instituții medico-sanitare publice (IMSP), în scopul colectării probelor de audit.

Procedurile auditului au vizat perioada 2015-2016, fiind analizate date și informații atât din perioade anterioare cât și viitoare, pentru a analiza tendințele și schimbările aferente.

O sinteză a principalelor constatări și concluzii rezultate urmare a activității de audit, relevă următoarele:

-  Deși a fost stabilit un cadru normativ-legislativ relevant în vederea conformării cu cerințele cadrului european în domeniul protecției datelor cu caracter, este necesară o revizuire și ajustare a acestuia potrivit noilor necesități apărute pe parcurs, inclusiv prin elaborarea unor instrucțiuni sectoriale privind protecția datelor.

-  CNPDCP, în calitatea sa de garant al respectării protecției datelor cu caracter personal, inclusiv a celor privind starea de sănătate, din lipsă/insuficiență a capacităților necesare (inclusiv de resurse umane și financiare), nu intervine în măsură corespunzătoare, utilizînd pârghiile/instrumentele legale disponibile, pentru a aduce în concordanță cu cadrul legislativ-normativ prelucrarea datelor cu caracter personal din domeniu medical.

-  Lipsa unor măsurilor adecvate de protecție a datelor cu caracter personal, precum și neconștientizarea/neacordarea unei atenții sporite protecției datelor cu caracter personal cu privire la starea sănătății de către MS și IMSP prelucrate în SIA, generează vulnerabilități privind confidențialitatea datelor.

-  SIA AMP, care se află la etapa incipientă de exploatare/implementare, reprezintă un potențial promițător în obținerea impactului dorit și o provocare semnificativă pentru automatizarea business-proceselor aferente domeniului asistență medicală primară. Totuși, o gestionare inadecvată a riscurilor aferente dezvoltării și implementării SIA AMP a condus la materializarea acestora, în mare parte, generând deficiențe și vulnerabilități în realizarea obiectivelor-cheie de activitate, fapt ce necesită o atenție deosebită și întreprinderea măsurilor corespunzătoare, în scopul asigurării sustenabilității Sistemului.

-  Subestimarea complexității proceselor care stau la baza SI, a resurselor umane și de timp necesare pentru dezvoltarea acestora, precum și testarea insuficientă a modulelor aplicației și lansarea prematură în producție a acestora au avut consecințe nefaste asupra utilizării SIA AMP, precum și asupra realizării obiectivelor stabilite.

-  Cadrul normativ și regulator aferent creării și funcționării SIA AMP necesită a fi elaborat/actualizat și ajustat potrivit noilor necesități ale Sistemului, precum și modificărilor operate în legislația relevantă.

-  Formalizarea relațiilor cu utilizatorii SIA AMP (dezvoltator, administrator, instituțiile medicale), cu stabilirea cerințelor și condițiilor privind exercitarea activităților corespunzătoare, inclusiv pentru asigurarea securității/protecției datelor cu caracter personal, și instituirea unui mecanism de comunicare și monitorizare adecvat sunt necesare pentru asigurarea funcționalității regulamentare a aplicației.

-  Lipsa/insuficienta monitorizare din partea MS a activităților de automatizare a proceselor business din domeniul asistenței medicale primare, a condus la implementarea de către unele IMSP și a altor SI deținute de agenți economici cu introducerea datelor sensibile privind pacienții, în lipsa autorizației CNPDCP, fapt ce generează riscuri majore privind protecția datelor cu caracter personal în domeniu respectiv;

-  Deși prin aprobarea Politicii de securitate a datelor cu caracter personal la nivelul MS, unor IMSP-uri au fost stabilite bazele pentru asigurarea securității informaționale a SI gestionate de MS, inclusiv a confidențialității datelor cu caracter personal, auditul a constatat aplicarea necorespunzătoare a prevederilor acestora, fapt care, în perioada auditului, a condiționat neconformități, amplificând riscul privind securitatea informațională și confidențialitatea datelor cu caracter personal. Totodată, accesul logic la SIA necesită un control continuu pentru asigurarea mai eficientă a confidențialității datelor.

-  Nerealizarea copiilor de rezervă ale componentelor SIA din partea MS, după caz, IMSP auditate, precum și lipsa procedurilor documentate privind modul și periodicitatea de efectuare a acestora, a unui Plan de continuitate și a unui Plan de recuperare în caz de dezastre (BCP și DRP) sporește riscul de nerestabilire a SIA, respectiv de pierdere a datelor privind pacienții în cazul materializării acestor riscuri.

-  Controlul asupra schimbărilor este necesar pentru obținerea unei asigurări că sistemele informaționale continuă să funcționeze adecvat, în felul în care au fost prevăzute, indiferent de schimbările sau ajustările efectuate pe parcursul întregului ciclu de viață al lor.

Entitatea supusă auditului urmează să informeze Curtea de Conturi despre implementarea recomandărilor pe parcursul a 12 luni de la data publicării în Monitorul Oficial al Republicii Moldova. Hotărârea Curţii de Conturi va fi publicată în Monitorul Oficial al Republicii Moldova, în conformitate cu art. 34 alin.(7) din Legea Curţii de Conturi nr. 261-XVI din 05.12.2008.

 

 

Performanța implementării Strategiei de reformă a sectorului justiției
Natalia Trofim a fost numită membru al Curții de Conturi
© 2024 Curtea de Conturi a Republicii Moldova. Toate drepturile rezervate
Politica Cookie, Politica de confidențialitate, Termeni și condiții / Dezvoltat de Brand.md Total vizualizări: 21728499
Total ieri : 19993 Total azi: 1711
reset WAY cursor WAY contrast WAY Marire Font WAY Alb negru WAY Linkuri WAY