Datu aizsardzība un sīkdatņu izmantošana

E-veselības sistēmā personas datu apstrāde tiek veikta saskaņā ar Vispārīgo datu aizsardzības regulu, Fizisko personu datu apstrādes likumu un citiem Latvijas Republikā spēkā esošiem normatīvajiem aktiem.

E-veselības pārzinis saskaņā ar Ministru kabineta 2014.gada 11.marta noteikumu Nr.134 “Noteikumi par vienoto veselības nozares elektronisko informācijas sistēmu” 2.punktu ir Nacionālais veselības dienests, reģ. Nr. 90009649337, Cēsu iela 31 k-3, 6.ieeja, Rīga, Latvija, LV-1012.

Autorizēšanās E-veselības portālā iespējama tikai ar drošiem personas elektroniskās identifikācijas līdzekļiem:

1. Ar kvalificētiem personas elektroniskās identifikācijas līdzekļiem:
   • 1.1.e-ID karte
   • 1.2.e-paraksts karte
   • 1.3.e-paraksts karte+
   • 1.4.e-paraksts mobile
   • 1.5.eIDAS eID

      

2. internetbankas personas identifikāciju (līdz 31.12.2023.).

 ​

Ikvienai personai ir tiesības uz savu personas datu aizsardzību. Tāpēc pacienta medicīnisko informāciju E-veselības sistēmā drīkst apskatīt tikai pacients un ārstējošie ārsti, autorizējoties E-veselības portālā www.eveseliba.gov.lv, vai izmantojot informācijas sistēmu, kas integrēta darbam ar E-veselību.

E-veselības portālā iedzīvotājs var noskaidrot, kurš un kad ir skatījies viņa datus, kā arī noteikt vai liegt pieeju saviem medicīnas datiem. Taču jāņem vērā, ka, liedzot ārstniecības personām pieeju saviem medicīniskajiem datiem, pacientam jāapzinās risks, ko informācijas neesamība var radīt ārstniecības procesam. Ārstu piekļuvi saviem veselības datiem E-veselības portālā var atjaunot jebkurā laikā.

Saskaņā ar Ārstniecības likumu un Pacientu tiesību likumu, fiziskas personas veselības datus ārstniecības personas var izmantot tikai ārstniecībai jeb veselības aprūpes pakalpojumu sniegšanai.

Atbilstoši likumdošanā esošajiem normatīvajiem aktiem Nacionālais veselības dienests E-veselības sistēmā nodrošina apritē esošās informācijas konfidencialitāti, tostarp informācijas nodošanu tikai tām personām, kuras ir pilnvarotas to saņemt un lietot. Nacionālais veselības dienests par sistēmā esošajiem datiem var sniegt informāciju pēc pašas personas pieprasījuma vai trešo personu pieprasījuma, ja to paredz normatīvie akti.

E-veselības sistēmā ikvienai persona ir iespēja pašai aplūkot sistēmā uzkrātos personīgos datus. Tāpat sadaļā “Auditācijas pieraksti” personai pieejama pilnīga informācija par to, kas un kad ir apstrādājis, kā arī aplūkojis sistēmā esošos personas datus.

Ja Jums ir aizdomas, ka Jūsu dati E-veselības sistēmā tiek apstrādāti nelikumīgi, Jums ir tiesības vērsties ar iesniegumu Datu valsts inspekcijā, kur tas tiks izvērtēts. Ja iesniegums būs pamatots, nelikumīgā datu apstrāde tiks pārtraukta, savukārt datu apstrādes sistēmas pārzinis var tikt administratīvi sodīts.

Gadījumā, ja konstatējat, ka E-veselības sistēmā Jūsu personas dati ir nepilnīgi, novecojoši, nepatiesi vai pretlikumīgi iegūti, Jums ir tiesības pieprasīt, lai tie tiek papildināti, precizēti vai dzēsti.

E- veselības sistēmas drošības pārbaudes tiek veiktas regulāri. Turklāt Pasaules Veselības organizācija (PVO) norādījusi, ka  E-veselības sistēma ir droša un satraukumam par iespējamām problēmām ar datu aizsardzību nav pamata!

Vienlaikus atgādinām, ka  NVD aizsargā sistēmas informācijas un tehniskos resursus, izvērtē un nosaka sistēmas drošības apdraudējumu risku, kā arī atjauno drošu sistēmas darbību, gadījumā, ja radies sistēmas apdraudējums.

• Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (2016. gada 27. aprīlis) par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti un ar ko atceļ Direktīvu 95/46/EK

• Fizisko personu datu apstrādes likums
• Ārstniecības likums
• Pacientu tiesību likums
• Noteikumi par vienoto veselības nozares elektronisko informācijas sistēmu
• Kārtība, kādā tiek nodrošināta informācijas un komunikācijas tehnoloģiju sistēmu atbilstība minimālajām drošības prasībām
  
  

Prasības piekļuvei E-veselības sistēmai, izmantojot E-veselības sistēmas portālu

• Piekļūt Vienotās veselības nozares elektroniskās informācijas sistēmas (turpmāk – E-veselības sistēma) portālam www.eveseliba.gov.lv, iespējams, izmantojot jaunākās, darbam ar E-veselības sistēmu ieteicamās interneta pārlūkprogrammu versijas (Google Chrome, Mozilla Firefox un Opera (Eparaksta/eID kartes izmantošana uz Opera pārlūka netiek atbalstīta)).

• Iestāde pēc E-veselības līguma noslēgšanas 30 (trīsdesmit) dienu laikā rakstveidā iesniedz Nacionālajam veselības dienestam (turpmāk - Dienestam) aizpildītu veidlapu “Pieteikums VVIS pieslēgumam, izmantojot E-veselības sistēmas portālu (Iestādes administratora lomas pieteikums)”, kas pieejama Dienesta vietnē, norādot Iestādes administratoru un izmantotās funkcionalitātes. 

• Izmaiņu gadījumā Iestāde 5 (piecu) darba dienu laikā pēc izmaiņu spēkā stāšanās iesniedz Dienestam rakstveidā attiecīgās aktualizētas Līguma 3.1. punktā norādīto veidlapu.​

• Iestādē, kurā nodarbināti mazāk par 5 (pieciem) darbiniekiem, E-veselības sistēmas lietotāju tiesības pēc Iestādes pieprasījuma piešķir, maina, bloķē vai anulē Dienests pēc veidlapas “Pieteikums VVIS lietotāju tiesību piešķiršanai vai izmaiņām nelielā iestādē”, kas pieejama Dienesta vietnē, saņemšanas 5 (piecu) darba dienu laikā, skaitot no veidlapas saņemšanas brīža Dienestā. Šajā gadījumā Iestādei nav jāiesniedz Līguma 3.1. punktā minētā veidlapa, un par iestādes administratoru ir uzskatāms Dienests. Dienests nosūta veidlapā norādītajai Iestādes kontaktpersonai informāciju par piekļuves tiesību un Lietotāju izveidi.

• Iestādes administratora piekļuves tiesības E-veselības sistēmā Dienests izveido, izbeidz vai maina 5 (piecu) darba dienu laikā pēc Līguma 3.1. vai 3.3.punktā minēto Iestādes veidlapu saņemšanas Dienestā. 

• Informāciju par piekļuves tiesību izveidi Dienests nosūta Iestādes administratoram uz veidlapā norādīto Iestādes administratora elektroniskā pasta adresi. Iestādes administrators E-veselības sistēmā tiek autentificēts, izmantojot personas elektroniskās autentifikācijas līdzekli (piemēram, internetbankas, e-paraksts, eID karte).​

• E-veselības sistēmas Lietotāju tiesības Iestādes darbiniekiem Iestādes administrators piešķir, maina, bloķē vai anulē, nodrošinot rakstisku pierādījumu saglabāšanu Iestādē par Lietotāju tiesību piešķiršanas, maiņas, bloķēšanas vai anulēšanas pamatojumu. Rakstiskus pierādījumus par Lietotāja tiesību piešķiršanas, maiņas, bloķēšanas vai anulēšanas pamatojumu Iestāde uzglabā vismaz 10 (desmit) gadus.​

• Iestāde ir atbildīga par Iestādes administratora darbībām E-veselības sistēmā, piešķirot un/vai mainot Lietotāju tiesības darbam ar E-veselības sistēmas Portālu.

Piekļuve E-veselības sistēmai, izmantojot iestādes informācijas sistēmu

• Piekļuve E-veselības sistēmai, izmantojot Iestādes informācijas sistēmu, tiek piešķirta, ja Iestāde vai Iestādes informācijas sistēmas izstrādātājs ir izstrādājis un notestējis datu apmaiņu starp Iestādes informācijas sistēmu un E-veselības informācijas sistēmu.​

• Iestāde pēc Līguma noslēgšanas 30 (trīsdesmit) dienu laikā rakstveidā iesniedz Dienestam aizpildītu veidlapu “Pieteikums VVIS pieslēgumam, izmantojot Iestādes informācijas sistēmu”, kas pieejama Dienesta vietnē (turpmāk – pieteikums). Pieteikumam elektroniski pievieno arī Līguma 4.9. punktā minētā sertifikāta publisko atslēgu.​

• Pēc Līguma 4.2. punktā minētā pieteikuma saņemšanas Dienestā, 5 (piecu) darba dienu laikā, skaitot no saņemšanas brīža, Dienests izveido E-veselības sistēmā Informācijas sistēmas lietotāja tiesības un nosūta uz veidlapā minētās Iestādes kontaktpersonas elektroniskā pasta adresi apstiprinājumu, ka piekļuve ir izveidota.

• Pirms Veselības datu apmaiņas uzsākšanas E-veselības sistēmas produkcijas vidē, Iestādes pienākums ir pārliecināties par datu apmaiņas pareizu darbību starp Iestādes informācijas sistēmas un E-veselības sistēmas testa vidēm. Pēc Dienesta pieprasījuma Iestāde Dienestam iesniedz savu vai trešās puses apliecinājumu par datu apmaiņas pārbaudi produkcijas vidē un tās pareizu darbību starp Iestādes informācijas sistēmu un E-veselības sistēmu.​

• Datu apmaiņa produkcijas vidē notiek, izmantojot Hypertext Transfer Protocol Secure (HTTPS) protokolu un tīmekļa pakalpju tehnoloģijas, kur datu pārraides kanāls tiek šifrēts ar vismaz 2048 bitu atslēgas garumu un SHA-2 algoritmu. Dienests var precizēt atslēgas garumu un algoritmu līguma izpildes laikā, par to rakstveidā informējot Iestādi.​​

• Datu apmaiņas šifrēšanai izmanto x.509 standarta sertifikātu, ko ir izsniedzis uzticams sertifikācijas pakalpojumu sniedzējs, kas iekļauts Latvijā akreditētu uzticamu sertifikācijas pakalpojumu sniedzēju reģistrā.​

• Nesaistes CRL (certificate revocation list) atjauno no uzticamā sertifikācijas pakalpojuma sniedzēja izplatīšanas punkta ne retāk kā vienu reizi 24 stundās un, ja sertifikāts ir atsaukts vai kā citādi apturēta tā darbība, datu apmaiņa automātiski tiek pārtraukta.​

• Datu apmaiņas pieslēguma identifikācijai un autentifikācijai starp Pušu pārziņā esošajām informācijas sistēmām ir jāizmanto x.509 standarta sertifikāts, ko ir izsniedzis uzticams sertifikācijas pakalpojumu sniedzējs. Šo sertifikātu var izsniegt Puses vai trešā puse, ja sertifikāts atbilst šādiem nosacījumiem:

- sertifikātam ir savs CA (Certificate Authority), kurš ir publiski pieejams;

- tiek nodrošināts publiski pieejams CRL, lai pārbaudītu, ka izdotais sertifikāts ir derīgs un nav atsaukts;

- sertifikāta izdevējs nodrošina CA un CRL aktualitāti;

- sertifikāta izdevējs nodrošina CA informācijas sistēmas drošību.

• Pusēm nekavējoties CRL ir jāreģistrē pieslēguma identifikācijas un autentifikācijas sertifikāts, ja sertifikāts ir atsaukts, netiek izmantots, nokļuvis trešo personu rīcībā, vai ir iestājušies citi drošības vai organizatoriski apstākļi, kāpēc šo sertifikātu nevar droši turpināt izmantot datu apmaiņā.​

• Iestāde, iesūtot E-veselības sistēmā Iestādes informācijas sistēmas izveidotus Pacientu elektroniskos medicīniskos dokumentus (CDA HL7 formātā), tos paraksta ar x.509 standarta sertifikātu, kurš nodrošina informācijas nemainīgumu. Arī šim sertifikātam piemērojami Līguma 4.9. punktā minētie nosacījumi.​

• Par Lietotāju pieslēguma autentifikāciju un attiecīgā Lietotāja piekļuvi E-veselības sistēmai atbild Iestāde.

  ​

Plašāka informācija par piekļuvi E-veselības sistēmai pieejama līgumā par E-veselības sistēmas izmantošanu.

Vispārējās drošības prasības

Ārstniecības iestādēm un aptiekām, kuras piekļūst E-veselības sistēmai, izmantojot ārstniecības iestādes vai aptiekas informācijas sistēmu, kas ir integrēta ar E-veselības sistēmu, ir pienākums nodrošināt Ministru kabineta 2014. gada 11. marta noteikumi Nr. 134 "Noteikumi par vienoto veselības nozares elektronisko informācijas sistēmu" 14.punkta noteiktās prasības:

1. Ārstniecības iestādes vai aptiekas informācijas sistēmā nav iespējama masveida datu kopēšana.
​

2. Ir izstrādāti normatīvajos aktos par valsts informācijas sistēmu vispārējām drošības prasībām noteiktie dokumenti.
​

3. Informācijas sistēmā izmanto programmatūru, ar kuru veic auditācijas pierakstus, reģistrējot datus par notikumiem informācijas sistēmā, lai nodrošinātu iespēju novērtēt to ietekmi uz informācijas sistēmas drošību.
​

4. Ir noteikti informācijas sistēmas informācijas un tehniskie resursi atbilstoši normatīvajiem aktiem, kas regulē elektronisko dokumentu apriti un glabāšanu.
​

5. Ir nodrošināta savietojamās sistēmas un savietotāja atbilstība vismaz šādām savietojamās sistēmas un savietotāja infrastruktūras aizsardzības prasībām:
​

• savietojamās sistēmas un savietotāja infrastruktūru (serverus, disku masīvus, komutatorus, kuriem pieslēgti sistēmas serveri) aizsargā pret neautorizētu piekļuvi, zādzībām un tīšiem vai netīšiem bojājumiem (piemēram, plūdi, ugunsgrēks);
• savietojamās sistēmas un savietotāja drošības pārvaldnieks ir atbildīgs par to, lai savietojamās sistēmas un savietotāja infrastruktūras telpās iekļūtu tikai tās personas, kurām darba pienākumu izpildei nepieciešama fiziska piekļuve savietojamās sistēmas un savietotāja infrastruktūrai;
• savietojamās sistēmas un savietotāja infrastruktūras telpas aprīko ar apsardzes signalizāciju (detektori, kuri fiksē nesankcionētu durvju un logu atvēršanu), dūmu un uguns detektoriem, automatizētu gāzes ugunsdzēšanas sistēmu vai nodrošina tās ar ugunsdzēšanas aparātiem.

6. Ir nodrošināta savietojamās sistēmas un savietotāja atbilstība šādām savietojamās sistēmas un savietotāja loģiskās aizsardzības prasībām:

• savietojamās sistēmas un savietotāja iekšējos datortīklus nodala no interneta ar ugunsmūra palīdzību;
• savietojamās sistēmas un savietotāja infrastruktūru (serverus, disku masīvus) nodala atsevišķā apakštīklā vai nodala ar ugunsmūra palīdzību;
• ja tehniskais risinājums to pieļauj, nodrošina savietojamās sistēmas un savietotāja pretvīrusa aizsardzību. Pretvīrusa programmas datubāzes atjaunošanu nodrošina vismaz reizi dienā;
• nodrošina nepārtrauktu savietojamās sistēmas un savietotāja darba vides drošības apdraudējumu novēršanu, izmantojot ielaušanās mēģinājumu noteikšanu un aizsardzības sistēmu;
• izmantojot tikai šifrētu pieslēgumu un daudzfaktoru autentifikāciju, nodrošina attālinātas piekļuves ierobežošanu savietojamās sistēmas un savietotāja administrēšanai;
• organizē atsevišķi savietojamās sistēmas un savietotāja uzlabojumu testēšanu šīm vajadzībām izveidotā testa vidē, kas nodalīta no savietojamās sistēmas un 5. punktā minētajām prasībām;
• piekļuvi savietojamās sistēmas un savietotāja administrēšanas un pārvaldības funkcionalitātei nodrošina tikai tām personām, kurām savietojamajā sistēmā un savietotājā esošā informācija atbilstošā apmērā ir nepieciešama darba pienākumu veikšanai.
  
  

7. Tās personas darba līgumā vai amata aprakstā, kas apkalpo savietojamo sistēmu vai savietotāju, ir iekļauts nosacījums par konfidencialitātes prasību ievērošanu attiecībā uz datiem, kas nonāk šīs personas rīcībā, veicot darba pienākumus. Ja savietojamo sistēmu vai savietotāju apkalpo trešā persona, konfidencialitātes prasības ir noteiktas dokumentā, ar kuru nodibina tiesiskās attiecības.

8. Šo prasību 7. punktā minētā persona pirms darba pienākumu izpildes uzsākšanas ar parakstu ir apliecinājusi, ka ir iepazīstināta ar savietojamās sistēmas vai savietotāja drošības politiku, savietojamās sistēmas vai savietotāja drošības noteikumiem un citiem savietojamās sistēmas vai savietotāja darbību reglamentējošiem dokumentiem.


Informācijas avots: Ministru kabineta noteikumi Nr.134 “Noteikumi par vienotās veselības nozares elektroniskās informācijas sistēmu”.

Sīkdatņu izmantošana

Izmantojot šo interneta vietni, Jūs apstiprināt vietnē izvietoto sīkdatņu (cookies) izmantošanu ar mērķi uzlabot informācijas aprites un e-pakalpojumu kvalitāti, kā arī turpmāku informācijas aprites nodrošinājumu. Šajā vietnē tiek izmantota uzņēmuma „Google Inc”  programma „Google Analytics”, kura izmanto lietotāja datorā uzglabātas sīkdatnes un ļauj analizēt statistikas datus par to, kā tiek izmantota attiecīgā vietne. 

Lai atteiktos no sīkdatnēm vai izslēgtu esošās, aicinām tās dzēst no Jūsu pārlūkprogrammas (izmantotās pārlūkprogrammas uzstādījumos). Jāatzīmē, ka tādā gadījumā Jums būs manuāli jāpielāgo iestatījumi ikreiz, kad apmeklēsiet vietni, turklāt pastāv iespējamība, ka tādējādi daži vietnes pakalpojumi un funkcijas nedarbosies pilnvērtīgi vai pilnībā.

Kas ir sīkdatnes?
Sīkdatnes (cookies) ir neliela apjoma faili, kuras tīmekļa pārlūkprogrammā uzglabā informāciju par lietotāju, lai uzlabotu lietotāja ērtības, apmeklējot lapu nākamajās reizēs. Sīkdatnes nerada apdraudējumu interneta vietnes apmeklētāja izmantotajām ierīcēm (dators, viedtālrunis) un nesniedz iespēju identificēt lietotāju.

Plašāka informācija par sīkdatnēm (angļu valodā): http://www.allaboutcookies.org/