CU DEFICIENȚE DE VEDERE
Youtube
Facebook
imprimare
Lipsa unor măsurilor adecvate de protecţie a datelor cu caracter personal, precum şi neconştientizarea/neacordarea unei atenţii sporite protecţiei datelor cu caracter personal cu privire la starea sănătăţii de către Ministerul Sănătății şi Instituțiile medico-sanitare publice (IMSP) prelucrate în sisteme informaționale automatizate (SIA), generează vulnerabilităţi privind confidenţialitatea datelor. Informația a fost prezentată astăzi de către Curtea de Conturi, care a prezentat raportul auditului TI privind protecția datelor cu caracter personal în domeniul asistenței medicale primare, prelucrate în cadrul SIA.
Auditul a fost realizat la Centrul Național pentru Protecția Datelor cu Caracter Personal, Ministerul Sănătășii şi unele IMSP ce prestează servicii de asistenţă medicală primară, utilizând SI în acest sens, unele date şi informaţii fiind colectate de la Centrul de Guvernare Electronică, Centrul Naţional de Management în Sănătate. Totodată, au fost analizate răspunsurile la chestionarele obţinute de la instituţii medicale, precum şi efectuate deplasări în teritoriu la 9 IMSP, în scopul colectării probelor de audit.
Procedurile auditului au vizat perioada 2015-2016, fiind analizate date şi informaţii atât din perioade anterioare cât şi viitoare, pentru a analiza tendinţele şi schimbările aferente.
Astfel, auditul a constatat că o gestionare inadecvată a riscurilor aferente dezvoltării şi implementării SIA AMP a condus la materializarea acestora, în mare parte, generând deficienţe şi vulnerabilităţi în realizarea obiectivelor-cheie de activitate, fapt ce necesită o atenţie deosebită şi întreprinderea măsurilor corespunzătoare, în scopul asigurării sustenabilităţii Sistemului.
De asemenea, subestimarea complexităţii proceselor care stau la baza SI, a resurselor umane şi de timp necesare pentru dezvoltarea acestora, precum şi testarea insuficientă a modulelor aplicaţiei şi lansarea prematură în producţie a acestora au avut consecinţe nefaste asupra utilizării SIA AMP, precum şi asupra realizării obiectivelor stabilite.
Totodată, cadrul normativ şi regulator aferent creării şi funcţionarii SIA AMP necesită a fi elaborat/actualizat şi ajustat potrivit noilor necesităţi ale Sistemului, precum şi modificărilor operate în legislaţia relevantă.
Lipsa/insuficienta monitorizare din partea MS a activităţilor de automatizare a proceselor business din domeniul asistenţei medicale primare, a condus la implementarea de către unele IMSP şi a altor SI deţinute de agenţi economici cu introducerea datelor sensibile privind pacienţii, în lipsa autorizaţiei CNPDCP, fapt ce generează riscuri majore privind protecţia datelor cu caracter personal în domeniu respectiv.
Deşi prin aprobarea Politicii de securitate a datelor cu caracter personal la nivelul MS, unor IMSP-uri au fost stabilite bazele pentru asigurarea securității informaţionale a SI gestionate de MS, inclusiv a confidenţialităţii datelor cu caracter personal, auditul a constatat aplicarea necorespunzătoarc a prevederilor acestora, fapt care, în perioada auditului, a condiţionat neconformităţi, amplificând riscul privind securitatea informaţională şi confidenţialitatea datelor cu caracter personal. Totodată, accesul logic la SIA necesită un control continuu pentru asigurarea mai eficientă a confidenţialităţii datelor.
Curtea de Conturi menționează că este necesar controlul asupra schimbărilor pentru obţinerea unei asigurări că sistemele informaţionale continuă să funcţioneze adecvat, în felul în care au fost prevăzute. Indiferent de schimbările sau ajustările etectuate pe parcursul întregului ciclu de viaţa al lor.
La rândul lor, reprezentanții MS și ai Centrului Național pentru Protecția Datelor cu Caracter Personal au spus că vor găsi soluții pentru ameliorarea situației și a proteja datele cu caracter personal.
