X

Laadi alla uus Eesti Raadio äpp, kust leiad kõik ERRi raadiojaamad, suure muusikavaliku ja podcastid.

Suurhaiglad ei ole andmelekke ohvritelt seni kahjunõudeid saanud

Haigla.
Haigla. Autor/allikas: Karin Koppel

Tartu Ülikooli kliinikum, Põhja-Eesti regionaalhaigla ja Ida-Tallinna keskhaigla on teavitanud neid, kelle andmed Asper Biogene lekke käigus alla laeti, õigusest esitada haiglale kahjunõue, kuid praeguseks ei ole keegi seda veel teinud.

Neljapäeval tuli avalikuks, et geneetilise testimisega tegeleva ettevõtte Asper Biogene andmebaasist laaditi ebaseaduslikult alla umbes 10 000 terviseandmeid sisaldavat faili ning praeguseks on selgunud, et nende hulgas on isadus- ja viljakusteste, mis on osaliselt lihtsalt arusaadavad ja otse seotud konkreetse isikuga.

Haiglad teavitasid juhtunust ka patsiente, keda leke puudutas. Põhja-Eesti regionaalhaigla (PERH) andis kannatanutele teada, et nad peaksid olema endale saabuvate e-kirjade osas väga tähelepanelikud.

"Kui saate e-kirja, mis paistab olevat teie tervise teemal, palume erilise hoolega veenduda, et saatjaks on tõesti teie arst või haigla esindaja, mitte sellena esinev võõras isik. Palun ärge klikkige linkidel ega avage manuseid, kui te pole täielikult veendunud, et kirja saatja on see, kellena ta paistab," soovitas haigla.

Lisaks soovitas PERH võtta ühendust politseiga, kui peaks saabuma väljapressiva sisuga pöördumisi, ning pakkus kannatanutele võimalust saada digiallkirjastatud tellimuse alusel teada, millised nende andmed täpselt on varastatud.

Kui andmete vargus on põhjustanud kahju, siis soovitas PERH võtta ühendust regionaalhaigla meiliaadressil ja teavitada kahju olemusest ja suurusest.

PERH-i administratiivdirektor Aivi Karu ütles ERR-ile, et igal inimesel, kelle õigusi on rikutud, on õigus taotleda sellega tekitatud kahju eest õiglast hüvitist kooskõlas Eestis kehtivate seadustega.

"Eriliigiliste isikuandmete valedesse kätesse sattumisega võib kaasneda reaalne kahju, kuid täna me ei oska veel täpselt öelda, kuidas antud juhul andmeleke inimeste elu mõjutab. Iga inimese puhul on see mõju erinev ning seetõttu peab ka võimalikku kahju hüvitamist individuaalselt lahendama," lausus ta.

Karu lisas, et praeguseks ei ole Asper Biogene andmelekkega seoses regionaalhaiglale ühtki nõuet esitatud, kuid nad ei välista, et need tulevikus laekuvad.

Tartu Ülikooli kliinikumi andmekaitsespetsialist Priit Piiri kinnitas samuti, et nad teavitavad mõjutatud patsiente õigusest kahjunõue esitada, kuid praeguseks neid saabunud ei ole.

"Kliinikum menetleb kõiki kahjunõudeid konkreetse juhtumi asjaolude alusel," vastas Piiri küsimusele, kas nad on valmis inimestele hüvitist maksma.

Ida-Tallinna keskhaigla kirjutas inimestele, kelle terviseandmeid ebaseaduslikult on alla laetud, et kui andmete vargus on neile põhjustanud varalist või mittevaralist kahju, on neil võimalik sellest haiglat teavitada.

"ITK menetleb ja hüvitab esitatud kahjunõudeid vastavalt õigusaktidest tulenevatest nõuetest, kaasates vajadusel kahju hüvitamise protsessi kindlustusseltsi. Nõudeid ei ole me hetkel saanud," tõdes haigla kommunikatsiooni- ja turundusosakonna juht Inge Suder.

Lekkest võib saada Eesti esimene suur andmekaitseprotsess

Tehnoloogia ja andmekaitse advokaat Risto Hübner ütles, et andmelekke eest vastutavad ka Asper Biogene'i kliendid ja sellest võib saada Eesti esimene suur andmekaitseprotsess hulga kohtuvaidluste ja kahjunõuetega. Seejuures vastutavad tema sõnul kahjude eest ka Asper Biogene'i teenuseid kasutanud tervishoiuasutused.

"Lekkinud failides oli erakordselt tundlikke andmeid, mille avalikukstulek võib inimesi rängalt kahjustada," sõnas Hübner. "Seaduse järgi vastutavad tervishoiuteenuse pakkujad kogu tarneahela eest ehk vastutavad ka tervishoiuasutused, kelle patsientide andmed Asper Biogene'ist lekkisid."

Andmekaitse inspektsiooni andmetel puudutab andmeleke 42 tervishoiuasutust, sealhulgas mitut suurt haiglat ja muud Asper Biogene'i teenuseid kasutanud ettevõtet.

"Eestis puudub nii suure andmelekke pretsedent, aga suure tõenäosusega peab andmekaitse inspektsioon algatama järelevalvemenetluse ka Asper Biogene'i klientide suhtes," lausus Hübner. "Välja tuleb selgitada, kas Asper Biogene'i kliendid, kelle patsientide andmed on lekkinud, on isikuandmete vastutava töötlejana teinud andmete kaitsmiseks kõik vajaliku."

Advokaat tõi välja, et GDPR-ina tuntud Euroopa Liidu andmekaitse üldmäärus kohustab isikuandmete vastutavat töötlejat tagama vajalikke meetmeid andmete turvaliseks käitlemiseks. Isikuandmete vastutavad töötlejad, antud juhul näiteks haiglad, peavad suutma tõendada, et on rakendanud vajalikke tehnilisi ja korralduslikke meetmeid andmete kaitsmiseks.

"Näiteks isikuandmete krüpteerimata kujul edastamist on raske näha piisava meetmena, mis tähendab, et tõenäoliselt satuvad haiglad kaasvastutajate sekka," sõnas Hübner.

Ta lisas, et Euroopa Liidu kohus leidis alles neljapäeval avaldatud otsuses, et ainuüksi inimese kartus tema lekkinud isikuandmete võimaliku väärkasutuse pärast võib olla käsitletav mittevaralise kahjuna ning anda aluse kahjunõudeks.

Hübneri kinnitusel sarnaneb juhtum hiljutise andmelekkega Soomes, mis lõppes 2000 patsiendi andmed kurjategijatele kaotanud tervishoiufirma Vastaamo pankrotiga.

Andmekaitse inspektsiooni peadirektori Pille Lehise sõnul on Asper Biogene andmebaasist lekkinud andmete seas analüüsivastuseid inimese nime, isikukoodi ja muu sellisega ning pdf-dokumente, millest osa on ka väga lihtsalt arusaadavad. Andmelekke ajaline ulatus jookseb 2009. aastast kuni tänase päevani, kokku on andmeid, mis rünnakuga kätte saadi, 33 gigabaiti.

Novembri keskel teatas Asper Biogene politseile, riigi infosüsteemi ametile ja andmekaitse inspektsioonile, et ettevõte sai 11. novembril teada, et keegi on nende andmebaasi ebaseaduslikult sisse tunginud ning laadinud alla erinevaid faile. Asjaolude selgitamiseks alustas politsei kriminaalmenetlust ja andmekaitse inspektsioon alustas andmetöötleja suhtes järelevalvemenetlust.

Hea lugeja, näeme et kasutate vanemat brauseri versiooni või vähelevinud brauserit.

Parema ja terviklikuma kasutajakogemuse tagamiseks soovitame alla laadida uusim versioon mõnest meie toetatud brauserist: