hoidma saladuses kõikvõimalikke andmeid patsiendi ja tema tervise kohta, kui seaduses või
kokkuleppel patsiendiga ei ole ette nähtud teisiti. Sarnaselt advokaadi kutsesaladuse ja
vaimuliku pihisaladuse kaitseb patsiendisaladus ehk arsti kutsesaladus usaldussuhet arsti ja
patsiendi vahel. See on üldtunnustatud põhimõte, mille eesmärk on ühelt poolt tagada patsiendi
privaatsus, aga teisalt ka tema usk meditsiinisüsteemi, mille puudumisel ei pruugi inimene ravile
tulla ning võib seetõttu ohustada ennast ja teisi. Patsiendisaladuse mõiste on lai ning
patsiendisaladuse kohta on Riigikohus selgitanud, et näiteks kriminaalmenetluses pole
tervishoiutöötajal mitte üksnes õigus, vaid lausa kohustus keelduda patsiendi kohta ütluste
andmisest ja dokumentide avaldamisest (RKKK 1-20-5071). Seega, tervishoiusektor on
ajalooliselt ja juba valdkonna eripärast lähtuvalt majandusharu, kus väärtustatakse
konfidentsiaalsust ja andmetöötluse turvalisust. Sellest tulenevalt on erinevad
infoturbeprotsessid tervishoiusektoris tööprotsessides sisse kirjutatud juba ammu enne KüTSi
jõustumist. Tervishoid on olemuselt valdkond, kus andmetega käiakse keskmiselt hoolsamalt
ringi ning kus infoturbesse suhtutakse keskmisest tõsisemalt.
2. Majanduslikud ja ressursilised piirangud ja piiratud IT-võimekus
Kuigi meditsiin on valdkond, kus andmed on hoitud keskmiselt turvalisemalt, siis samal ajal on
väiksemate perearstikeskuste ja tervisekeskuste IT-võimekus keskmisest madalam. Väiksemad
perearstikeskused ja teised meditsiinikeskused tegutsevad sageli piiratud ressurssidega.
Keskmises perearstikeskuses ei ole enda IT-osakonda ega IT-tuge, vaid tavapäraselt ostetakse
IT-teenused sisse. E-ITS nõuete regulaarne auditeerimine nõuab aga spetsiifilisi IT-valdkonna
teadmisi. IT-partnerite hinnangul nõuab E-ITS auditeerimine keskmise perearstikeskuse puhul
vähemalt 100 tundi vastava IT-spetsialisti tööd. Lisaks peavad auditi tegemisse olema kaasatud
keskuse enda töötajad – arstid, õed ja ülejäänud personal. Seda rahastust pole arvestatud
üldarstiabi rahastuse kulumudelisse. Kokkuvõtlikult tähendab eeltoodu, et IT-süsteemide
regulaarsed auditid nõuavad olulisi finants- ja inimressursse, mis võiksid muidu olla suunatud
patsientide teenindamiseks ja oluliste tervishoiuteenuste osutamiseks. Väiksemate perearsti- ja
tervisekeskuste sundimine suunama ressursse regulaarsete IT-auditi tegemisele võib ohustada
ka nende elujõulisust. Eriti ohtlik on see maa piirkondade jaoks, kus tervishoiu võimalused on
niigi piiratud.
3. Küberriskide olulisus
Kõik perearstikeskused ei seisne sama suure küberturvalisuse riski ees, mis põhjendaks E-ITS
auditeerimise vajadust iga 3 aasta järel. Väiksemad ja keskmised perearstikeskused töötlevad
vähemtundlikke andmeid võrreldes suuremate haiglatega. Seega on perearstikeskused
madalama riskitasemega võrreldes näiteks suurte Haiglavõrgu arengukava haiglatega, kus
teostatakse operatsioone ning teisi suuremaid protseduure. Perearstikeskuste puhul on ka risk
terviseandmete juurdepääsule küberintsidendi korral väiksem. Perearstikeskuse IT-süsteem
dubleerib riigi poolt hallatavat Terviseportaali. Kõik tervishoiuteenuse osutajad saadavad
andmed Tervise infosüsteemi kaudu Terviseportaali. Terviseportaali kaudu on patsiendi
terviseandmed kättesaadavad ka siis, kui perearstikeskus peaks olema langenud
küberintsidendi ohvriks ning perearstikeskuse süsteemid on näiteks ajutiselt lukustatud.
4. Proportsionaalsus
Ka praegu kehtiva küberturvalisuse seaduse seletuskirjas on auditeerimiskohustuse osas
nenditud, et on võimalik, et auditeerimiskulud on majanduslikult koormavamad subjektidele,
kelle IKT korraldus on oluliselt väiksema mahuga (nt suur osa perearstidest). Seletuskirjast
tulenevalt oli seaduseelnõu eesmärk majandusliku mõju tasakaalustamiseks auditikohustust