Stebėsena atlikta pagal BDAR funkcijas ir 2025 m. planą
VDAI stebėseną vykdė įgyvendindama asmens duomenų apsaugos priežiūros institucijos funkcijas, numatytas Bendrojo duomenų apsaugos reglamente (BDAR), ir vadovaudamasi 2025 m. planinių patikrinimų ir stebėsenų planu. Institucijos vertinimas buvo nukreiptas į tai, kaip sveikatos priežiūros įstaigos taiko saugumo priemones tvarkydamos asmens duomenis.
Naudojant patvirtintą kontrolinį klausimyną, buvo vertinamos su prieigų valdymu, atsarginių kopijų tvarkymu ir įvykių žurnalinių įrašų valdymu susijusios priemonės. Susipažinta su asmens duomenų tvarkymo veikla Lietuvos sveikatos mokslų universiteto ligoninės Kauno klinikose, Respublikinėse Šiaulių ir Panevėžio ligoninėse, Alytaus apskrities tuberkuliozės ligoninėje, Marijampolės, Kėdainių, Jonavos ir Utenos ligoninėse, taip pat AND ir Baltijos ir Amerikos terapijos ir chirurgijos klinikose.
Atsarginių kopijų valdymas išlieka stipriausia grandis, tačiau prieigos dokumentavimas dar nevienodas
Stebėsenos duomenys rodo, kad visos vertintos įstaigos užtikrina atsarginių kopijų darymą kasdien arba kas savaitę, jų šifravimą ir testavimą. Taip pat visose įstaigose naudojamos geografiškai atskirtos atsarginių kopijų saugyklos.
Prieigos teisių dokumentavimo srityje geresnių rezultatų pasiekta ne visose įstaigose, tačiau 89 proc. jų yra įforminusios prieigos teisių suteikimą ir riboja bendrinių paskyrų naudojimą. Tai rodo, kad dalis organizacijų jau yra sutvirtinusios administracinę prieigų valdymo pusę.
Kelių veiksnių autentifikacija taikoma vos dalyje įstaigų, o žurnalinių įrašų apsauga kelia susirūpinimą
Didžiausia spraga nustatyta kelių veiksnių autentifikacijos taikyme. Šią priemonę naudoja tik 11 proc. įstaigų, nors ji laikoma viena svarbiausių saugumo priemonių.
Žurnalinių įrašų valdymo srityje situacija taip pat nevienoda. Tik 56 proc. įstaigų centralizuotai saugo žurnalinius įrašus ir juos šifruoja, o 67 proc. yra įdiegusios automatinius įspėjimus apie įtartinus įvykius. 78 proc. įstaigų turi žurnalinių įrašų valdymo politiką ir ją reguliariai peržiūri, tiek pat įstaigų dokumentuoja atsarginių kopijų atkūrimo procedūras.
VDAI ragina skubiai stiprinti prieigos kontrolę ir žurnalų valdymą visame sveikatos sektoriuje
Apibendrinusi stebėsenos rezultatus, VDAI pažymėjo, kad sveikatos priežiūros įstaigos daug dėmesio skiria atsarginių kopijų valdymui ir veiklos tęstinumo užtikrinimui, tačiau prieigos valdymo ir žurnalinių įrašų apsaugos srityse tebėra reikšmingų spragų. Ypač išskirta nepakankama kelių veiksnių autentifikacijos taikymo apimtis ir nepakankamai išvystytas žurnalinių įrašų centralizavimas bei šifravimas.
Rengiant rekomendaciją, kuri skirta organizacinėms ir techninėms saugumo priemonėms stiprinti bei tinkamai asmens duomenų apsaugai užtikrinti, remtasi stebėsenos apibendrinimu, paskelbtu svetainės rubrikoje „VDAI stebėsenų, patikrinimų rezultatų apibendrinimai – po BDAR įsigaliojimo“. Rekomendacija pateikiama kaip priemonė, kuria gali remtis ne tik tikrintos įstaigos, bet ir kiti šio sektoriaus atstovai.
VDAI nurodo, kad paskelbti tikrinimų rezultatai aktualūs platesniam sveikatos priežiūros sektoriui ir suteikia galimybę įstaigoms peržiūrėti savo veiklą remiantis nustatytais rezultatais. Susijusi medžiaga skelbiama VDAI svetainėje, kur pateikiamas ir stebėsenos apibendrinimas, ir rekomendacija.
Parengta pagal VDAI informaiciją.
