Kuula artiklit

Autor: Kärt Pormeister • 21. veebruar 2024

Kuula artiklit

Möödunud sügisel rullus avalikkuse ees lahti andmelekke skandaal, mis puudutas ühte küberrünnaku ohvriks langenud meditsiinilaborit. Ründe tulemusel said kurjategijad enda valdusesse suure hulga patsientide terviseandmeid sisaldavaid dokumente. Küsimuses, kas keegi peale küberkurjategijate võimaliku kahju eest patsientide ees vastutab, peaks keskne olema see, kas rünnaku ohvriks langenud meditsiinilabor rakendas piisaval määral küberturbemeetmeid, mille rakendamist saaks ühelt tervishoiuasutuselt mõistlikult eeldada.

See, kas meditsiinilabor oma küberturbega seotud kohustusi rikkus, peab selguma menetluse või kohtuvaidluse käigus. Mitu andmekaitseeksperti on avalikes aruteludes väitnud, et kõik rünnaku ohvriks langenud meditsiinilaborist analüüse tellinud tervishoiuteenuse osutajad peaksid vastutama laboriga solidaarselt. Viimati mainitu on tervishoiusüsteemi kui terviku mõttes väga põhimõttelise tähtsusega, mille osas ei peaks keegi pinnapealsetele eeldustele tuginema ega kergekäeliselt järeldusteni ruttama. Kahjuks on avalikes aruteludes aga põhiküsimustest üsna kaugele valgutud. Teiste hulgas on paanikat külvanud õiguskantsler, kes seadis kahtluse alla, kuidas või miks üks eraettevõttest labor üldse isikuandmeid töödelda saab või miks neid pärast laborianalüüside tegemist säilitab.

Riigilt tulnud kriitika on suures osas tekitanud hämmingut, sest tervishoiusüsteemi reguleerib ju riik ise. Esiteks on riik loonud süsteemi, kus enamik tervishoiuteenuse osutajaid on eraettevõtted – ka näiteks Ida-Tallinna keskhaigla on aktsiaselts ehk äriühing, mis sellest, et Tallinna linna omandis. Teiseks on tervishoiuteenuse osutajatel vastavalt riigi loodud regulatsioonile kohustus koostada ja säilitada patsiendi isiku tuvastamist võimaldavaid raviteenuse osutamise dokumente. Et raviteenuse osa on ka laboriuuringud, ei tohiks olla kahtlust, kas meditsiinilabor on tervishoiuteenuse osutaja või mitte – loomulikult on.

Seadusandja pidanud vajalikuks, et tervishoiuteenuse osutajatel tuleb enamikku raviga seotud dokumentidest ja andmetest säilitada 30 aastat. Seda ka heal põhjusel: nimelt on patsiendil, kellel tekkis raviveast tervisekahjustus, või tema lähedastel, kui raviviga viis patsiendi surmani, teoorias võimalik kuni 30 aasta jooksul alates ravivea tegemisest esitada kahjunõue. Selleks, et kahjunõuet päriselt esitada või selle esitamist kaaluda saaks, peab olema säilinud raviteenuse osutamise dokumentatsioon. Vastasel juhul pole üldse võimalik hinnata, kas ja millises raviteenuse osutamise etapis raviviga võis esineda. Sellest tulenevalt on dokumenteerimis- ja säilitamiskohustusel lisaks patsiendi õiguste kaitsmisele ka oluline roll ravikvaliteedi tagamisel ja edendamisel.

Patsiendil on seega oma õiguste maksmapanekuks vaja, et raviteenuse osutamisega seotud dokumendid ja andmed säiliksid vähemalt nii kaua, kuni tal on seaduse järgi võimalik kahjunõuet esitada. Riik on pannud säilitamiskohustuse tervishoiuteenuse osutajatele, kuigi riigil on ka enda andmekogud, nagu riiklik tervise infosüsteem, kus kõigi Eesti inimeste tervisedokumente tähtajatult (!) säilitatakse. Tervishoiuteenuse osutajad peavad teatud dokumente kindlasti edastama ka viimati mainitusse, kuid detailsem raviteenuse osutamise info säilib tervishoiuteenuse osutajate juures.

Kui nüüd küsida, et miks peaks laborianalüüsidega seotud andmeid ja dokumente säilitama labor ja miks ei võiks selle eest vastutada patsiendi ravi eesmärgil laborilt analüüse tellinud raviasutus, on vastus lihtne: nende asutuste pädevus ja ekspertiisid on erinevad. Näiteks ei pruugi analüüsi tellinud raviasutusel, näiteks perearstil, olla ega peagi olema võimekust (näiteks tarkvara) mingi analüüsi täisraporti lugemiseks või mõistmiseks.

Järgmise etteheitena meditsiinisektorile võiks küsida, et miks parasjagu patsiendi ravis mitte kasutatavaid andmeid ja dokumente ei pseudonüümita: nimed ja isikukoodid võiks ju asendada koodidega nii, et küberkurjategijad, kel õnnestub dokumente alla laadida, ei saaks tuvastada, kelle tervisedokumendiga tegemist on. Esiteks dikteerivad teatud dokumentide sisu õigusaktid, nõudes muuhulgas, et need peavad sisaldama patsiendi nime ja isikukoodi. Samasugune nõue kehtib ka näiteks vereproovi katsutitele – ka nendel peab olema ära märgitud nimi ja isikukood. Teiseks tekitab pseudonüümimine lisariske patsiendile, kuna ükski süsteem pole ideaalne ning dokumendid, andmed ja proovid võivad pseudonüümimise korral kergemini segamini minna. Asjad segamini minekuks pole paraku isegi pseudonüümimist vaja: näiteks mullu esines perearstide kasutatavas Medisofti tarkvaras viga, mille tulemusel sattusid patsientide haiguslugudesse teiste inimeste raviga seotud andmed. Sellise vea risk oleks veel kõrgem, kui meditsiinisektoris rakendataks ulatuslikumalt pseudonüümimist.

Oluline on ka aru saada, et patsientidel puudub praeguses süsteemis oma raviandmetesse puutuv otsustusõigus ja autonoomia: patsient ei saa raviasutusele öelda, et kustuta mu andmed ära või ära saada neid riiklikku tervise infosüsteemi. Andmete säilitamine ja ka riikliku süsteemi edastamine on tervishoiuteenuse osutajate seadusest tulenevad kohustused.

Kui riik on loonud süsteemi, kus tervishoiuteenust osutavad eraettevõtetest teenuseosutajad, kes peavad teenuse osutamist dokumenteerima ja dokumente 30 aastat säilitama, on täiesti arusaamatu, kuidas saavad riigi esindajad avalikult sõna võttes neid fakte lihtsalt eirata.

Eesti tervishoiusüsteemi kui terviku vaatest on veelgi tõsisem asjaolu, et riigi esindajad tunduvad pidavat labori vastu toimunud rünnaku eest vastutavaks ka kõiki laborist uuringuid tellinud tervishoiuteenuse osutajaid.

Paraku ei ole igal tervishoiuteenuse osutajal võimekust kõiki patsiendi aitamiseks vajalikke uuringuid ise teha. Näiteks ei tee perearstid ise vereproovide laboratoorseid analüüse – ei saakski, sest perearsti ja laboriarsti kvalifikatsioonid on erinevad. See tähendab, et kui pererastikeskuses ei ole oma laborit koos pädeva personaliga, peab teenuse tellima meditsiinilaboritelt.

Seni avalikkusele esitatud seisukohtade pinnalt tundub riik leidvat, et kui mõne sellise meditsiinilabori vastu toimub küberrünnak ning tuvastatakse labori küberturbega seotud rikkumine, peaksid tekkinud kahju eest solidaarselt vastutama kõik laborist uuringuid tellinud terviseasutused, sh näiteks perearstid. Sellisel käsitlusel võivad olla tervishoiusüsteemi kui terviku suhtes katastroofilised tagajärjed.

Kui riik, rinde eesjoonel andmekaitse inspektsiooniga, otsustab, et raviasutused vastutavad teineteise andmetöötluse käigus tekkinud kahju eest solidaarselt, tekib sellega tervishoiusüsteemi kollapsi oht. Tervishoiusüsteem võib elada üle ühe tervishoiuteenuse osutaja pankrotistumise kahjunõuete tulemusel, kuid kindlasti ei kannata see ära kümnete asutuste põhjaminekut.

Kõige esimese asjana – enne kui üldse kellegi vastutusest ja kahjunõuetest rääkida saab – tuleb kindlaks teha, kas küberrünnaku ohvriks langenud meditsiinilabor rikkus oma kohustusi või mitte. Kui kohustusi ei rikutud, st kui labor rakendas küberturbemeetmeid, mille rakendamist temalt mõistlikult võis oodata, ei saa rääkida ka vastutusest kahju eest. Ehkki menetlused selle osas alles käivad, on meditsiinilabor ja sellelt uuringuid tellinud tervishoiuteenuse asutused avalikes aruteludes juba justkui süüdi mõistetud.

Kärt Pormeister on vabakutseline õigusnõustaja, kes muuhulgas osutab andmekaitsespetsialisti teenust ühele tervishoiuteenuse osutajale, arvamusloos esitab autor vaid isiklikke seisukohti.

Kuula artiklit

Kas andmekaitseõigus võib viia Eesti tervishoiusüsteemi kokku kukkumiseni?