Curtea de Conturi a Republicii Moldova (CCRM) a examinat în cadrul ședinței din 27 martie curent, Raportul misiunii de follow-up al auditului TI: ”Cum se asigură protecția datelor cu caracter personal în domeniul asistenței medicale primare, prelucrate în cadrul sistemelor informaționale automatizate?”
Instituția Supremă de Audit, fiind preocupată de modul de îmbunătățire a situației privind asigurarea protecției datelor caracter personal, prelucrate în cadrul sistemelor informaționale din domeniul asistenței medicale primare (AMP), inclusiv ca urmare a implementării de către entitățile responsabile a cerințelor și recomandărilor înaintate prin Hotărârea Curții de Conturi nr. 48 din 05.12.2016, în rezultatul misiunii de audit efectuate în anul 2016, a realizat misiunea de follow-up respectivă.
Scopul misiunii Curții de Conturi l-a constituit evaluarea acțiunilor realizate de către entitățile vizate de auditul precedent al Curții de Conturi în vederea conformării la cerințele și recomandările înaintate prin Hotărârea nominalizată, precum și a efectului acestora.
Domeniul de aplicare a misiunii l-a constituit acțiunile întreprinse, în perioada 2017-2018, denumită – perioada de referință, de către entitățile vizate în dispozitivul Hotărârii Curții de Conturi menționate, și anume: Centrul Național pentru Protecția Datelor cu Caracter Personal (CNPDCP), Ministerul Sănătății, Muncii și Protecției Sociale (MSMPS), Instituții medico-sanitare publice (IMSP): AMT Centru, Clinica Universitară de Asistenţă Medicală Primară, CMF Bălți, cu colectarea probelor de audit și de la alte 9 IMSP ce prestează servicii de Asistență Medicală Primară.
Rezultatele misiunii de verificare atestă o ușoară îmbunătățire a situației, în acest sens, fiind evidențiate anumite măsuri rezultative întreprinse de către factorii de decizie ai autorităților vizate, printre care se pot menționa:
CNPDCP:
– a elaborat și înaintat în modul stabilit proiecte de acte legislative aferente domeniului protecției datelor cu caracter personal, două dintre care (proiectul Legii protecția datelor cu caracter personal și proiectul de Lege privind Centrul Național pentru Protecția Datelor cu Caracter Personal, care transpun prevederile dreptului comunitar european în materie de protecție a datelor cu caracter personal), au fost aprobate, în prima lectură, la sfârșitul anului 2018, în Plenul Parlamentului;
– a elaborat cu suportul experților din cadrul Proiectului Twinning unele proiecte de acte normative interne în corelare cu prevederile proiectelor noilor legi în domeniu, care reglementează activitatea de bază a CNPDCP;
– a elaborat și plasat pe pagina web a instituției Ghidul privind procedura de înregistrare a operatorilor si a sistemelor de evidență a datelor cu caracter personal,
– a oferit consultații și instruiri în domeniu, MSMPS și instituțiilor medicale în scopul familiarizării acestora cu prevederile cadrului normativ privind protecția datelor cu caracter personal;
MSMPS:
- a elaborat un șir de ordine privind reglementarea activităților în SIA AMP (Regulamentul de funcționare și utilizare a Sistemului, Politica de securitate și protecție a datelor cu caracter personal);
- a încheiat/revizuit acordurile necesare cu Compania Națională de Asigurări în Medicină (CNAM) și CRIS Registru pentru asigurarea schimbului de date dintre Sistemul Informațional Automatizat pentru Asistența Medicală Primară (SIA AMP) și Sistemul Informațional (SI) deținute de către acestea;
- cu suportul Companiei dezvoltatoare, a eliminat unele neajunsuri aferente funcționării SIA AMP, etc.
Totodată, acțiunile realizate la începutul anului curent (identificarea autorității responsabile de administrarea, mentenanța și dezvoltarea Sistemului – CNAM, inițierea ajustării cadrului normativ aferent funcționării Sistemului, demararea activităților de autentificare în SI prin semnătura electronică – MPass, fapt ce va asigurarea securitatea accesului la datele din Sistem, una din condițiile de bază pentru protecția datelor cu caracter personal), creează premisele necesare pentru eliminarea neajunsurilor și disfuncționalităților constatate de auditul precedent al Curții de Conturi și, respectiv, atingerea impactului scontat prin prisma protecției datelor sensibile cu caracter personal și securității informațiilor cetățenilor.
În aceeași ordine de idei, în rezultatul procedurilor de audit efectuate, se conchide că, pe parcursul perioadei 2017 – 2018, instituțiile medicale auditate în cadrul misiunii anterioare a Curții de Conturi (AMT Centru, Clinica Universitară, CMF Bălți) au realizat un șir de acțiuni menite să asigure conformarea cu prevederile cadrului normativ aferent protecției datelor cu caracter personal, cu eliminarea anumitor neajunsuri constatate de auditul precedent, printre care se pot evidenția: elaborarea, ajustarea și aplicarea politicii privind protecția datelor și securitatea informațiilor, înregistrarea în Registrul de evidență a operatorilor de date cu caracter personal, deținut de Centru, consolidarea controalelor generale ale SI utilizate în procesul de prestare a serviciilor de AMP.
Totodată, misiunea de follow-up relevă că, deși au fost întreprinse unele măsuri rezultative, acestea nu au asigurat în măsură deplină executarea cerințelor și implementarea recomandărilor înaintate, ceea ce a condiționat persistența unor probleme și carențe constatate de auditul precedent și în perioada de referință.
Astfel, se evidențiază că, ținând cont de sensibilitatea și volumul de date cu caracter personal prelucrate în domeniul medical, îndeosebi prin intermediul sistemelor informaționale, CNPDCP, în calitatea sa de garant al respectării protecției datelor cu caracter personal, urmează să intensifice activitățile sale în scopul asigurării unui control adecvat al modului de protecție a datelor cetățenilor.
De asemenea, MSMPS urmează să determine o viziune unică strategică de automatizare a proceselor în domeniul medical în scopul evitării implementării și utilizării fragmentare (la nivelul IMSP) a unor SI, care nu sunt interconectate și compatibile, generând cheltuieli de întreținere, mentenanță și dezvoltare, precum și riscuri majore privind confidențialitatea datelor cetățenilor prelucrate în cadrul acestora. În aceeași ordine de idei, devine stringent necesar fortificarea eforturilor comune ale MSMPS și CNAM în vederea consolidării controalelor TI (a procedurilor) aferente SIA AMP, implementat la nivel național, în scopul asigurării conformării integrale a acestuia la rigorile cadrului normativ în domeniu.
În contextul celor expuse, misiunea de follow-up a oferit un șir de recomandări și soluții entităților vizate, în scopul eliminării carențelor și disfuncționalităților constatate și asigurării impactului politicii în domeniul protecției datelor cu caracter personal.
Dina Roșca