Vastus pöördumisele

Suur-Ameerika 1 / 10122 Tallinn / 626 9301 / [email protected] / www.sm.ee / registrikood 70001952

Tallinna Koolitervishoid [email protected]

Teie 09.03.2026 nr 1-11/2/

Meie 27.03.2026 nr 5.2-2/621-2

Kooliõdede töökohtade andmeside turvalisus

Lugupeetud Kädi Lepp Täname Teid pöördumise eest. Nõustume, et koolitervishoiuteenuse osutamisel koolikeskkonnas kerkivad praktikas infoturbe ja vastutuse jaotusega seotud küsimused, kuna kooliõed töötlevad oma igapäevatöös terviseandmeid, mis on isikuandmete kaitse üldmääruse1 tähenduses eriliiki isikuandmed ning mille töötlemisel tuleb rakendada kõrgendatud turvameetmeid. Koolitervishoiuteenuse osutamisel tuleb täiendavalt lähtuda tervishoiuteenuste korraldamise seadusest2, küberturvalisuse seadusest3, infosüsteemide turbenõuetest, sealhulgas Eesti infoturbestandardist (E-ITS).4 Seejuures toome aga välja ka selle, et koolides töödeldakse ka muul juhul eriliigilisi isikuandmeid ning koolide võrguühendused peavad olema selleks nõuetekohased. Tervishoiuteenuse osutajana ei saa siiski vaid sellele lootma jääda. Infoturbe meetmete rakendamisel tuleb tagada, et terviseandmete töötlemine toimub turvalises keskkonnas ning et andmete konfidentsiaalsus, terviklus ja käideldavus on tagatud, rakendades riskile vastavaid tehnilisi ja korralduslikke meetmeid. Tervishoiuteenuste korraldamise seadust kohaldatakse ka koolitervishoiuteenuse osutamise korraldusele koolides koos põhikooli- ja gümnaasiumiseadusest tulenevate erisustega. Kuna koolitervishoiuteenus on ambulatoorne õendusabiteenus on see reguleeritud tervishoiuteenuste korraldamise seaduse § 24 lõike 2, § 25 lõigete 2 ja 3, § 251 lõike 4 ning põhikooli- ja

gümnaasiumiseaduse § 43 lõike 1 alusel ministri määrusega5. Kooliõe töökoha kasutamine kooli või kohaliku omavalitsuse hallatavas võrgus ei ole iseenesest välistatud, kui kasutatav lahendus vastab terviseandmete töötlemise kõrgendatud turbenõuetele. Jagatud või üldkasutatava koolivõrgu kasutamine ilma tehniliste eraldus- ja kaitsemeetmeteta ei ole terviseandmete töötlemise jaoks piisav. E-ITS näeb ette võrgu tsoneerimise, võrgusegmentide loogilise eraldamise, sealhulgas VLAN- i kasutamise ning eelduse kasutada kaugühenduste puhul VPN-lahendusi. AKI ja RIA avalikud juhised toetavad tugeva krüpteerimise kasutamist tundlike andmete töötlemisel ja edastamisel, seega eeldatakse muuhulgas, et:

1. kooliõe töökoht peab asuma eraldatud võrgusegmendis või kasutama muud samaväärselt turvalist võrgu eraldamise lahendust;

2. ühendus tervishoiuteenuse osutaja infosüsteemidega peab toimuma turvalise kaugühenduse kaudu tervishoiuteenuse osutaja hallatavasse võrku;

1 Euroopa Parlamendi ja nõukogu määrus (EL) 2016/679, 27. aprill 2016, füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus). 2 Tervishoiuteenuste korraldamise seadus–Riigi Teataja. 3 Küberturvalisuse seadus–Riigi Teataja. 4 E-ITS. 5 Iseseisva õendusabiteenuse osutamine ja õendusabi erialad.

2

3. terviseandmete edastamiseks ei tohi kasutada kaitsmata või jagatud sidekanaleid; 4. kooli pidaja ja tervishoiuteenuse osutaja peavad kirjalikult kokku leppima taristu,

ligipääsu, intsidentide käsitluse, logimise, toe ja vastutuse jaotuse. Samas märgime, et E-ITSi üksikasjalik tehniline tõlgendamine ja siduvate infoturbenõuete metoodiline juhendamine kuulub eeskätt RIA pädevusse, nõu saab küsida aadressilt [email protected]; isikuandmete kaitse järelevalve ja tõlgendused aga Andmekaitse Inspektsiooni pädevusse. Koolitervishoiuteenuse nõuetekohase osutamise üle teostab oma pädevuse piires järelevalvet Terviseamet. Sotsiaalministeerium on valmis teemat vajadusel täiendavalt arutama ning osalema ühtsete praktikate kujundamises koostöös asjaomaste osapooltega. Lugupidamisega (allkirjastatud digitaalselt) Nele Labi asekantsler Raili Sillart [email protected]