Ugroženi podaci o pacijentima
Fond je povezan sa domovima zdravlja, opštim bolnicama, zavodima za hitnu pomoć, stomatološkim ambulantama...
Fond za zdravstveno osiguranje ima urednu evidenciju osiguranika i čuva njihove podatke, ali u dovoljnoj mjeri ne obezbjeđuje njihovu sigurnost, utvrdila je Državna revizorska institucija (DRI).
Revizori su, kontrolom Fonda, procijenili da bi moglo da dođe do narušavanja bezbjednosti podataka građana, ali i da bi negativni efekti mogli da utiču na cjelokupni zdravstveni sistem.
DRI je, kako piše u Izvještaju objavljenom na njihovom sajtu, dala rok Fondu od 60 dana da napravi plan o realizaciji 14 preporuka koje su im upućene. Pola godine dobili su da obavijeste DRI šta su preduzeli da isprave nedostatke.
Revizori su utvrdili da podaci koji se čuvaju u Fondu nijesu kriptovani, pa ih neovlašćene osobe mogu zloupotrijebiti.
Ta institucija, smatraju revizori, nema uspostavljena bezbjednosna interna pravila za zaposlene, pa postoji rizik od narušavanja bezbjednosti podataka.
“Revizijom je utvrđeno da zaposleni jedni drugima znaju korisnička imena i šifre, kao i da šifre od kreiranja nisu promijenjene, pa ih je lako pretpostaviti, te da zaposleni nisu svjesni odgovornosti koju zahtijeva njihovo radno mjesto”, piše u izvještaju.
Konstatuje se da bi mogli da nastanu negativni efekti, koji bi uticali na funkcionisanje cjelokupnog zdravstvenog sistema Crne Gore, jer se ne vrši procjena rizika za procese pokrivene informacionim tehnologijama.
U izvještaju se pojašnjava da informacioni sistem Fonda predstavlja izvor osnovnih podataka o osiguraniku iz kojeg svi ostali subjekti u sistemu dobijaju potrebne podatke i vezu između obveznika uplata doprinosa i pružalaca zdravstvenih usluga.
Fond je na taj način povezan direktno sa Poreskom upravom, Ministarstvom finansija, Agencijom za ljekove, Kliničkim centrom i Centralnim registrom stanovništva.
S druge strane, Fond je integralnim informacionim sistemom zdravstva povezan sa nizom ustanova - Montefarmom, domovima zdravlja, opštim bolnicama, zavodima za hitnu pomoć i transfuziju krvi, privatnim stomatološkim ambulantama, Institutom za javnom zdravlje...
DRI je utvrdila da u Fondu ne postoji plan oporavka od katastrofe:
“Iako se rezervne kopije podataka čuvaju, u slučaju otkaza postoji mogućnost prekida u procesu rada u dužem vremenskom periodu”, piše u izvještaju.
Revizori su zaključili da Fond nije blagovremeno usvojio akta u skladu sa Zakonom o informacionoj bezbjednosti, Uredbom o mjerama informacione bezbjednosti i standardima iz ove oblasti, a posebno IT strategiju, Plan kontinuiteta poslovanja, Plan oporavka od katastrofe, Procjenu rizika, Politiku bezbjednosti informacija i Plan IT bezbjednosti.
Cilj revizije, kako se navodi u izvještaju, bio je da se utvrdi da li je informacioni sistem Fonda u dovoljnoj mjeri obezbjeđuje sigurnost i zaštitu podataka zdravstvenih osiguranika.
Prema zakonu o zaštiti ličnih podataka, to su informacije koji uživaju najviši stepen povjelrjivosti.
( Ana Komatina )