Documente Academic
Documente Profesional
Documente Cultură
MD-2001, mun. Chișinău, bd. Ştefan cel Mare și Sfânt nr.69, tel.: (+373) 22 23 25 79, fax: (+373) 22 23 30 20, www.ccrm.md;
e-mail: ccrm@ccrm.md
RAPORTUL
misiunii de follow-up al auditului TI „Cum se asigură protecția datelor cu
caracter personal în domeniul asistenței medicale primare, prelucrate în cadrul
sistemelor informaționale automatizate?”
(Hotărârea Curții de Conturi nr.48 din 05 decembrie 2016)
Chișinău, 2019
CUPRINS
LISTA ACRONIMELOR ..................................................................................................................................... 1
GLOSAR .......................................................................................................................................................... 2
SINTEZA ......................................................................................................................................................... 3
INTRODUCERE ............................................................................................................................................... 4
SFERA ȘI ABORDAREA misiunii de follow-up .................................................................................................. 5
I. CONSTATĂRI ............................................................................................................................................. 7
1.1. Măsurile întreprinse pentru executarea cerințelor expuse în Hotărârea Curții de Conturi nu au
asigurat în deplină măsură eliminarea neajunsurilor constatate de auditul precedent ............................. 7
2.2. Nivelul de implementare a recomandărilor din Raportul misiunii de audit precedente atestă
insuficiența, după caz, ineficiența măsurilor întreprinse în perioada de referință de către factorii de
decizie, fapt ce condiționează persistența neajunsurilor constatate anterior de Curtea de Conturi ........16
II. CONCLUZII GENERALE ............................................................................................................................44
III. RECOMANDĂRI ........................................................................................................................................45
IV. Echipa de audit a Curții de Conturi .........................................................................................................47
ANEXE . ........................................................................................................................................................48
Anexa nr.1. Structura cadrului instituțional aferent AMP ........................................................................48
Anexa nr.2. Analiza corectitudinii datelor generate din SIA AMP în perioada decembrie 2018 – ianuarie
2019.........................................................................................................................................................49
Anexa nr.3. Interconexiunea SIA AMP cu alte SI și registre de stat ..........................................................50
Anexa nr.4. Analiza nivelului de implementare a recomandărilor și executare a cerințelor de către
entitățile vizate în Hotărârea Curții de Conturi nr.48 din 05.12.2016 ......................................................51
LISTA ACRONIMELOR
AMP Asistența medicală primară
AMT Asociația Medicală Teritorială
BCP Business Continuity Plan (Plan de continuitate în afaceri)
BM Banca Mondială
CNAM Compania Națională de Asigurări în Medicină
CC Curtea de Conturi
CGE Centrul de Guvernare Electronică
COI Common Object Interface (Interfață comună a obiectelor)
CMF Centrul Medicilor de Familie
CNF Cerințe nonfuncționale
CNPDCP Centrul Național pentru Protecția Datelor cu Caracter Personal
CR Consiliul Raional
CS Centrul de Sănătate
DRP Disaster Recovery Plan (Plan de recuperare în caz de dezastru)
IaaS Infrastructura ca serviciu
ID Nume de utilizator/identificator de utilizator
IMSP Instituție medico-sanitară publică
ISA Instituția Supremă de Audit
Î.S. „CRIS Întreprinderea de Stat „Centrul Resurselor Informaționale de Stat „Registru””
„Registru””
M-Cloud Platforma tehnologică comună a Guvernului Republicii Moldova ce se
implementează pe baza tehnologiei Cloud Computing
Serviciul electronic guvernamental de autentificare şi control al accesului
MPass
(MPass)
MS Ministerul Sănătății, începând cu anul 2017, după reforma APC, MSMPS
MTIC Ministerul Tehnologiei Informației și Comunicațiilor
OMF Oficiul Medicilor de Familie
OS Oficiul de Sănătate
REODCP Registrul de evidență al operatorilor de date cu caracter personal
RM Republica Moldova
RRSIS Registrul resurselor şi sistemelor informaționale de stat
RSP Registrul de Stat al Populației
SIA AMP Sistemul Informațional Automatizat pentru Asistența Medicală Primară
SIA Sistemul Informațional Automatizat
SI Sistemul Informațional
SIIS Sistemul Informațional Integrat în Sănătate
ÎS STISC Întreprinderea de Stat Serviciul Tehnologia Informației și Securitate Cibernetică
TI Tehnologii Informaționale
TIC Tehnologii Informaționale şi Comunicații
UE Uniunea Europeană
VPN Rețea virtuală privată (Virtual Private Network)
GLOSAR
Acceptanță acord formal ca un serviciu TI, proces sau alte livrabile să fie complete, corecte, de încredere și să
satisfacă cerințele specificate
Administrator global persoană cu studii în domeniul TI, care cunoaște noțiunile medicale, din cadrul MS (echipei tehnice de
implementare), responsabilă de gestionarea, auditul, monitorizarea corespunderii informației,
modificarea, anularea și operarea resurselor SI pentru folosirea acestora de către alți utilizatori
Administrator local persoană din cadrul instituției medicale, responsabilă de gestionarea, auditul utilizatorilor și operarea
drepturilor de acces pentru folosirea de către alți utilizatori a resurselor SI
Autentificare verificarea identificatorului atribuit subiectului de acces, confirmarea autenticității
Bază de date totalitate de date, organizate conform unei structuri conceptuale, ce descriu caracteristicile principale
şi raporturile dintre esențe, destinată unui domeniu sau mai multor domenii de aplicare
Back-up/ copierea datelor pentru a fi protejate împotriva pierderii sau distrugerii integrității ori disponibilității
copii de rezervă originalului
Cerință/ informațiile prezentate de către entitatea auditată/alte organe și instituții vizate în dispozitivul hotărârii
recomandare care atestă faptul că au fost întreprinse măsurile necesare în vederea realizării recomandării/cerinței
executată/ înaintate, fiind eliminate neajunsurile constatate de auditul precedent
implementată
Cerință/recomandare informațiile prezentate de către entitate nu sunt complete, fie măsurile întreprinse nu sunt suficiente,
parțial executată/ fiind doar inițiate unele proceduri, acțiuni, neajunsurile și carențele constatate de auditul precedent
implementată persistând și în perioada supusă verificării
Cerință/recomandare entitatea nu a întreprins măsurile necesare, fie nu a prezentat nicio informație care ar atesta
neexecutată/ întreprinderea unor măsuri în vederea conformării la cerințele și/sau recomandările înaintate, sau
neimplementată acțiunile întreprinse nu sunt adecvate
Ciclu de viață diferite stadii din viața unui Serviciu TI, unui element de configurație, incident, unei probleme, schimbări
etc. Ciclul de viață definește categoriile pentru starea și tranzițiile stării care sunt permise
Controale TI activități specifice desfășurate de persoane sau sisteme concepute pentru a se asigura că obiectivele de
afaceri sunt îndeplinite. Acestea sunt un subset de controale interne ale unei întreprinderi. Controalele
TI se referă la confidențialitatea, integritatea şi disponibilitatea datelor, precum şi la gestionarea
generală a funcției TI ale întreprinderii
Date cu caracter orice informație referitoare la o persoană fizică identificată sau identificabilă (subiect al datelor cu
personal caracter personal). Persoana identificabilă este persoana care poate fi identificată, direct sau indirect,
prin referire la un număr de identificare sau la unul ori mai multe elemente specifice identității sale
fizice, fiziologice, psihice, economice, culturale sau sociale
Dezvoltare proces responsabil de crearea sau modificarea unui serviciu TI ori a unei aplicații. De asemenea, este
folosit pentru a se referi la un rol sau la un grup care îndeplinește o muncă de dezvoltare
Externalizare a serviciu furnizat unuia sau mai multor clienți/beneficiari de către un furnizor de servicii TI. Un serviciu
serviciilor TI TI se bazează pe folosirea TIC și este alcătuit dintr-o combinație de persoane, procese și tehnologii și ar
trebui să fie definit într-un Acord de nivel serviciu agreat/SLA exhaustiv
Help Desk punctul unic de contact între furnizorul de servicii și utilizatori. Un Help Desk/Service Desk tipic
administrează incidentele şi cerințele de servicii și, de asemenea, gestionează comunicarea cu
utilizatorii
Misiune de follow-up acțiune privind verificarea și evaluarea nivelului de implementare a cerințelor și recomandărilor de audit
dispuse printr-o Hotărâre a Curții de Conturi
Mentenanță ansamblu de activități tehnico-organizatorice care au drept scop asigurarea funcționării sistemului la un
nivel agreat de disponibilitate. Prin activități se pot înțelege atât operațiile de întreținere a
componentelor sistemului informatic, cât şi de creare de procese, funcționalități noi destinate să asigure
funcționarea normală sau dezvoltarea sistemului
Modul/e SIA AMP este conceput într-un mod modular, facilitând integrarea ușoară și dezvoltarea de noi
funcționalități, extinderea modulelor și interacțiunea de funcționalități generice
Operator de date cu persoana fizică sau persoana juridică de drept public sau de drept privat, inclusiv autoritatea publică,
caracter personal orice altă instituție ori organizație care, în mod individual sau împreună cu altele, stabileşte scopurile şi
mijloacele de prelucrare a datelor cu caracter personal, prevăzute în mod expres de legislația în vigoare
Sistem informațional totalitate de resurse şi tehnologii informaţionale interdependente, de metode şi de personal, destinată
păstrării, prelucrării şi furnizării de informaţie
Tehnologia folosirea tehnologiei pentru stocarea, comunicarea și procesarea informației. În mod tipic, tehnologia
informației (TI) include calculatoare, telecomunicații, aplicații și alte software-uri. Informația poate include date ale
afacerii, voce, imagini, video etc. Tehnologia informației este adesea folosită pentru a sprijini procesele
afacerii/de business prin intermediul serviciilor TI
Utilizator persoană care acționează sub autoritatea deținătorului de date cu caracter personal, cu drept
recunoscut de acces la sistemele informaționale de date cu caracter personal
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
SINTEZA
Rezultatele misiunii de verificare relevă că, deși au fost întreprinse unele măsuri rezultative, acestea nu au
asigurat în măsură deplină executarea cerințelor și implementarea recomandărilor înaintate, astfel atestându-
se un nivel relativ redus de executare a cerințelor și implementare a recomandărilor înaintate de auditul
precedent. Acest fapt denotă persistența unor probleme identificate de auditul precedent și în perioada supusă
verificării (2017-2018), cu sporirea gradului de materializare a riscurilor aferente. Totodată, se relevă anumite
progrese în aspecte de reglementare și consolidare a controalelor aferente SIA ce prelucrează date din
domeniul asistenței medicale primare (AMP). Reieșind din cele expuse, se relevă că, din totalul de 45 de cerințe
și recomandări de audit formulate și înaintate prin Hotărârea Curții de Conturi nr.48 din 05.12.20161 (10 cerințe
din Hotărârea Curții de Conturi și 35 de recomandări din Raportul de audit), au fost implementate/executate
integral 15 cerințe și recomandări, parțial implementate – 26, și neimplementate /neexecutate – 4 cerințe și
recomandări. O analiză mai în detaliu a nivelului de implementare/executare a recomandărilor și cerințelor
înaintate prin Hotărârea nominalizată se prezintă în Anexa nr.4 la prezentul Raport.
De menționat că, printre cauzele ce au generat gradul relativ redus de implementare a
recomandărilor, se pot evidenția: capacitățile instituționale insuficiente ale instituțiilor auditate, inclusiv
în domeniul managementului proiectelor și tehnologiilor informaționale, precum și neasigurarea
memoriei instituționale, în contextul fluctuației frecvente a personalului; modificările în cadrul normativ
și instituțional, procesul îndelungat de legiferare a actelor normative etc.
Cele reflectate în constatările de audit indică asupra unei serii de aspecte importante, care necesită
intervenții stringente, în acest sens fiind înaintate un șir de recomandări pentru remedierea
neconformităților și îmbunătățirea activității în domeniile auditate.
În context, identificarea și asigurarea realizării soluțiilor și condițiilor optime ce ar contribui la
consolidarea cadrului instituțional și procedural aferent domeniului, precum și protecția adecvată a
datelor personale constituie o premisă necesară pentru atingerea scopului scontat în aspectul
conformării procedurilor și cerințelor de protecție a datelor cu caracter personal.
1 Hotărârea Curții de Conturi nr.48 din 05.12.2016 „Cu privire la Raportul de audit TI „Cum se asigură protecția datelor cu caracter personal
în domeniul asistenței medicale primare, prelucrate în cadrul sistemelor informaționale automatizate?”, în continuare – Hotărârea Curții
de Conturi nr.48 din 05.12.2016.
3
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
INTRODUCERE
Curtea de Conturi, fiind motivată de importanța/relevanța modului de asigurare a protecției
datelor cu caracter personal, prelucrate în cadrul sistemelor informaționale, în calitate de Instituție
Supremă de Audit, membră a grupului de lucru EUROSAI privind auditul tehnologiilor informaționale (TI),
a participat, în anul 2016, la misiunea de audit paralel în domeniul respectiv, realizată în comun cu alte
3 Instituții Supreme de Audit (din Belgia, Malta și Lituania).
Auditul efectuat de Curtea de Conturi s-a axat pe evaluarea nivelului de protecție și supraveghere
a datelor cu caracter personal din domeniul medicinei primare, prelucrate în mod automatizat, inclusiv
pe verificarea dacă:
- cadrul normativ-legislativ este adecvat pentru asigurarea protecției datelor cu caracter personal,
îndeosebi a celor privind starea de sănătate, și corespunde legislației europene în domeniu;
- CNPDCP, în calitate de autoritate națională de supraveghere a protecției datelor cu caracter
personal, dispune de instrumente/pârghii suficiente și adecvate pentru monitorizarea prelucrării datelor
cu caracter personal (privind starea de sănătate) și le aplică în mod corespunzător;
- Ministerul Sănătății și instituțiile medicale ce prestează servicii medicale primare dispun de
controale generale adecvate și suficiente pentru a proteja datele cu caracter personal, în special datele
privind starea de sănătate, la prelucrarea acestora în sistemele informaționale automatizate.
Rezultatele auditului, aprobate prin Hotărârea Curții de Conturi nr.48 din 05.12.2016, au relevat
că, per ansamblu, cu unele rezerve de îmbunătățire, sunt asigurate condițiile necesare protecției datelor
cu caracter personal, în conformitate cu cerințele UE, inclusiv din domeniul asistenței medicale primare,
prin instituirea unui cadru normativ-legislativ relevant, a unei autorități naționale responsabile de
monitorizarea și controlul prelucrării datelor cu caracter personal etc. Totodată, auditul a constatat unele
probleme, vulnerabilități și deficiențe majore, precum și alți factori care pot afecta protecția datelor cu
caracter personal, inclusiv din domeniul medicinei primare, prelucrate în cadrul SIA atât la nivel național
(prin implementarea Sistemului Informațional Automatizat „Asistență Medicală Primară”, vezi Anexa nr.1
și Anexa nr.3 la prezentul Raport), cât și la nivelul instituțiilor medicale care prestează servicii de asistență
medicală primară. Acestea sunt generate de delegarea inechitabilă a responsabilităților/atribuțiilor în
raport cu capacitățile disponibile (resurse umane, financiare etc.) ale instituțiilor responsabile vizate în
Raportul auditului precedent. De rând cu acestea, lipsa unei viziuni strategice/decizii unice în domeniul
automatizării asistenței medicale primare, a unui control adecvat din partea entităților responsabile în
acest sens, precum și nedelimitarea clară a responsabilităților/competențelor în cadrul sistemului de
asistență medicală primară (MS, APL/CR) au generat dezvoltarea și utilizarea individuală la nivelul IMSP
a SI pentru automatizarea proceselor în domeniu, condiționând costuri financiare pentru
dezvoltarea/achiziționarea, administrarea și asigurarea mentenanței acestora și riscuri majore privind
protecția datelor și securitatea informației respective.
În acest context, se necesită consolidarea cadrului normativ relevant domeniului, a capacităților
instituționale ale CNPDCP, MS (pentru gestiunea ulterioară a SIA AMP, sistem prevăzut a fi implementat
conform Acordului de Asociere Republica Moldova – Uniunea Europeană), și ale IMSP ce prestează servicii
de asistență medicală primară, precum și responsabilizarea autorităților în vederea
implementării/respectării cerințelor de securitate a datelor cu caracter personal la prelucrarea acestora
în SI. La fel, asigurarea unei conlucrări eficiente între factorii implicați în domeniul aferent tematicii
auditului, cu întreprinderea măsurilor necesare pentru implementarea recomandărilor înaintate de audit,
4
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
în vederea înlăturării neajunsurilor elucidate în prezentul Raport vor conduce la realizarea scopurilor
propuse (implicit, în aspectul protecției datelor speciale cu caracter personal).
În scopul remedierii neajunsurilor, disfuncționalităților, precum și redresării situației atestate,
Curtea de Conturi, prin Hotărârea nr.48 din 05.12.2016, a înaintat autorităților responsabile (CNPDCP,
MS, CNAM, IMSP auditate, precum și altor organe responsabile) 10 cerințe, dintre care 5 vizează
implementarea recomandărilor din Raportul de audit, precum și 35 de recomandări expuse în Raportul
de audit anexat la Hotărârea Curții de Conturi sus-menționată.
Prezenta misiune de follow-up a fost planificată și realizată în temeiul prevederilor Legii nr.260 din
07.12.20172, Programelor activității de audit a Curții de Conturi pe anii 20183 și, respectiv, 20194 și în
conformitate cu Standardele Internaționale de Audit relevante, puse în aplicare de Curtea de Conturi5,
Manualul de audit TI al Curții6 și bunele practici în domeniul auditului TI7, în scopul evaluării nivelului de
conformare a entităților vizate în dispozitivul Hotărârii respective, cu cuantificarea acțiunilor întreprinse
și identificarea impedimentelor, factorilor subiectivi și obiectivi care au condiționat neexecutarea
cerințelor și neimplementarea recomandărilor înaintate.
2 Legea nr.260 din 07.12.2017 privind organizarea și funcționarea Curții de Conturi a Republicii Moldova, cu modificările și completările
ulterioare, în continuare – Legea nr.260 din 07.12.2017.
3 Hotărârea Curții de Conturi nr.75 din 29.12.2017 „Cu privire la aprobarea Programului activității de audit a Curții de Conturi pe anul 2018”,
ISSAI 5300 „Linii directorii privind auditul TI” și ISSAI 5310 „Metodologia de revizuire a Sistemelor de securitate informațională – Ghidul
privind revizuirea sistemelor de securitate informațională în autoritățile publice”, puse în aplicare prin Hotărârile Curții de Conturi nr.60 din
10.12.2013 și, respectiv, nr.7 din 10.03.2014.
6 Manualul de audit al tehnologiilor informaționale, aprobat prin Hotărârea Curții de Conturi nr.69 din 30.12.2010.
7 COBIT 4.1.– Cadrul de referință, Obiectivele controlului, Ghiduri pentru management, Modele de maturitate (în continuare – COBIT 4.1.).
5
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Reieșind din specificul acțiunii de follow-up, precum și ținând cont de obiectivele de audit prestabilite, a
fost selectată o abordare de audit combinată (pe probleme și pe rezultate), prin determinarea progreselor
înregistrate, precum și identificarea riscurilor şi limitărilor, a eventualelor metode de ameliorare a situației
pentru eficientizarea activității instituțiilor din domeniu. De menționat că, la evaluarea nivelului de
conformare a entității cu cerințele și recomandările înaintate de Curte, au fost examinate acțiunile planificate
de MS8 și cele efectiv întreprinse, precum și efectele/rezultatele obținute în acest sens.
În calitate de criterii de audit au servit carențele/deficiențele constatate de auditul precedent, precum
și pe cerințele/recomandările înaintate în acest sens.
În scopul acumulării unor probe de audit suficiente și relevante, au fost realizate principalele proceduri
de audit, precum: contrapunerea informațiilor prezentate de către entitățile vizate, observarea directă,
examinarea documentelor, aplicarea interviurilor şi a chestionarelor. În cadrul misiunii au fost colectate,
sintetizate, analizate şi interpretate toate tipurile de probe de audit: fizice, verbale, documentare și analitice.
De menționat că rezultatele misiunii de follow-up au fost expuse în prezentul Raport, axându-se
pe următoarele aspecte:
constatarea auditului precedent cu privire la carențele/neajunsurile identificate cu referire la
domeniul auditat;
cerința/recomandarea înaintată prin Hotărârea Curții de Conturi nr.48 din 05.12.2016;
sinteza acțiunilor realizate de către entitatea vizată în dispozitivul Hotărârii în vederea remedierii
neajunsurilor constatate;
concluziile auditului urmare a procedurilor de audit efectuate, cu evaluarea nivelului de
implementare a cerinței/recomandării;
concluziile generale ale misiunii de verificare, precum și recomandările înaintate.
8 Planul de acțiuni privind implementarea recomandărilor Curții de Conturi expuse în Raportul auditului TI privind protecția datelor cu
caracter personal prelucrate în SI din domeniul asistenței medicale primare, elaborat și aprobat de MS în decembrie 2016.
6
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
I. CONSTATĂRI
1.1. Măsurile întreprinse pentru executarea cerințelor expuse în Hotărârea Curții de Conturi
nu au asigurat în deplină măsură eliminarea neajunsurilor constatate de auditul precedent.
Pe parcursul perioadei de referință au fost întreprinse anumite acțiuni în vederea eliminării
neajunsurilor constatate de auditul precedent, precum și sporirii eficienței și performanței SIA din
domeniul AMP, fiind înregistrate anumite progrese. Totuși, acestea nu au fost suficiente și adecvate
pentru atingerea impactului scontat. Lipsa/insuficiența capacităților instituționale ale CNPDCP pentru
exercitarea conformă a atribuțiilor legale, ale MSMPS pentru gestionarea eficientă a Sistemului,
neasigurarea memoriei instituționale la nivelul posesorului SIA AMP, a continuității activităților realizate
pe parcursul perioadei de referință condiționează riscuri majore privind protecția datelor și
sustenabilitatea SIA. Acest fapt impune intervenirea promptă a managementului instituțiilor respective,
prin decizii optime și rezonabile, în vederea gestionării riscurilor aferente SIA și sporirii eficacității
acestuia.
Cerința auditului precedent Acțiuni întreprinse
2.1.1. CNPDCP să întreprindă acțiunile corespunzătoare au fost întreprinse unele acțiuni în vederea remedierii
în vederea implementării recomandărilor expuse în neajunsurilor constatate de auditul precedent, aspecte
Raportul de audit reflectate în continuare în prezentul Raport
Efectul măsurilor întreprinse: deși au fost întreprinse anumite acțiuni, acestea, în mare parte, nu au atins impactul scontat.
Astfel, nu a fost asigurată eliminarea neajunsurilor/carențelor constatate de auditul precedent, acestea persistând și în
perioada de referință (2017-2018). Totodată, auditul relevă că unele acțiuni întreprinse creează premisele necesare
pentru îmbunătățirea situației constatate, impactul acestora urmând a se materializa ulterior
Figura nr.1. Analiza gradului de implementare de către CNPDCP a recomandărilor înaintate de Curtea de
Conturi urmare a auditului precedent, în perioada 2017 – 2018
33%
50% implementate
neimplementate
17% parțial implementate
9 Cap.
I pct.1 alin.3) din Hotărârea Guvernului nr.883 din 25.11.2011 „Cu privire la aprobarea Conceptului tehnic al sistemului informațional
automatizat „Registrul de stat al operatorilor de date cu caracter personal” (în continuare – Hotărârea Guvernului nr.883 din 25.11.2011).
8
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
10Proiect de lege votat la 30.11.2018 în prima lectură în Plenul Parlamentului, care rezonează și transpune Regulamentul (UE) 2016/679 al
Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu
caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.
9
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
parțial implementate
75%
Reieșind din faptul că acțiunile întreprinse de entitatea vizată nu au asigurat în deplină măsură
eliminarea neajunsurilor constatate, auditul atestă executarea parțială a cerinței înaintate.
Cerința auditului precedent Acțiuni întreprinse
2.2.3. MS să întreprindă - prin Ordinul MSMPS nr.1499 din 14.12.201811, a fost aprobat Regulamentul cu privire
acțiunile corespunzătoare în la structura și funcționarea SIA AMP, precum și stabilite măsurile necesare pentru
vederea asigurării utilizarea Sistemului, inclusiv a celor de acces la acesta, precum și asigurarea protecției
conformării instituțiilor datelor și securității informațiilor în acest sens;
medicale din subordine la - prin Ordinul MSMPS nr.1497 din 14.12.201812, a fost aprobată Politica de securitate a
cadrul legal din domeniul datelor cu caracter personal în cadrul SIA, fiind stabilite responsabilitățile Prestatorilor
protecției datelor cu caracter de servicii de AMP privind întreprinderea măsurilor necesare pentru elaborarea și
personal, în special în partea implementarea Politicii de securitate la nivelul instituțiilor;
ce ține de identificarea - a fost elaborat și înaintat, în modul stabilit, proiectul Hotărârii Guvernului „Pentru
sistemelor de evidență alocarea semnăturilor electronice avansate calificate a utilizatorilor Sistemului
gestionate și înregistrarea în informațional automatizat „Asistența Medicală Primară””, care la moment este la etapa
calitate de operatori de date de consultare;
cu caracter personal - a fost elaborat conceptul Agenției Tehnologii Informaționale în Sănătate, care se
preconiza să preia sarcinile de administrare, mentenanță și audit a SIA AMP;
11 Ordinul MSMPS nr.1499 din 14.12.2018 „Cu privire la utilizarea Sistemului Informațional Automatizat Asistență Medicală Primară în cadrul
Prestatorilor de servicii medicale din Republica Moldova, care prestează servicii medicale de asistență medicală primară, precum și asistență
medicală specializată de ambulator”, în continuare – Ordinul MSMPS nr.1499 din 14.12.2018.
12 Ordinul MSMPS nr.1497 din 14.12.2018 „Cu privire la aprobarea Politicii de securitate a datelor cu caracter personal în cadrul Sistemelor
Verificările efectuate în cadrul misiunii de follow-up denotă că acțiunile realizate de către Minister
în perioada de referință au creat condițiile necesare pentru asigurarea pe viitor a conformării cu cerințele
regulamentare în materie de securitate și protecție a datelor cu caracter personal. În context, se relevă
că, odată cu aprobarea Hotărârii Guvernului nr.138 din 27.02.2019, responsabilitatea privind
administrarea și dezvoltarea ulterioară a SIA AMP a fost delegată Companiei Naționale de Asigurări în
Medicină (CNAM). Astfel, actele normative care reglementează structura și modul de utilizare și
asigurare a securității SIA AMP urmează a fi ajustate la noile condiții/necesități.
Totodată, procedurile de audit realizate au determinat persistența unor carențe/disfuncționalități și
neajunsuri condiționate de insuficiența și, după caz, ineficiența măsurilor întreprinse în vederea
remedierii acestora, aspecte redate în continuare în prezentul Raport.
În contextul celor expuse, auditul atestă executarea parțială a cerinței înaintate.
Cerința auditului precedent Acțiuni întreprinse
2.2.4. MS să inițieze, de comun - pe parcursul perioadei de referință, MS a elaborat un set de acte normative care
cu instituțiile ale căror procese au reglementează structura și modul de utilizare și asigurare a securității datelor din SIA
fost automatizate și integrate în AMP, aspecte menționate anterior;
SIA AMP, o revizuire completă a - în scopul ajustării cadrului normativ la cerințele ce țin de punerea în aplicare a
cadrului normativ relevant sistemelor informaționale care includ procesarea datelor cu caracter personal în
activității lor, ținând cont de domeniul medical, MS a elaborat și înaintat în modul stabilit propunerile de rigoare
utilizarea SI respectiv în acest sens, pentru modificarea și completarea Hotărârii Guvernului nr.586 din 24.07.2017, care
cu înaintarea propunerilor de au fost aprobate prin Hotărârea Guvernului nr.283 din 04.04.201814
rigoare în modul stabilit
Efectul măsurilor întreprinse: crearea premiselor necesare pentru asigurarea funcționării conforme a SIA AMP
13 Hotărârea Guvernului nr.164 din 07.03.2019 „Privind modul de autentificare în Sistemul informațional automatizat „Asistența Medicală
Primară””, în continuare - Hotărârea Guvernului nr.164 din 07.03.2019.
14 Hotărârea Guvernului nr.283 din 04.04.2018 „Cu privire la modificarea şi completarea Hotărârii Guvernului nr.586 din 24 iulie 2017”.
11
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
2.2.5. MS să asigure, - organizarea și realizarea ședințelor comune de lucru cu participarea MS și CNPDCP privind
de comun cu CNPDCP, conformarea SIA AMP la cerințele cadrului normativ relevant și asigurarea condițiilor necesare
conformarea pentru înregistrarea SIA AMP în REODCP deținut de Centru;
prelucrării datelor cu - CNPDCP s-a expus asupra unui set de documente elaborat de MS în vederea înregistrării SIA
caracter personal din AMP în SI REODCP, precum și a ghidat și oferit consultări MS și unor instituții medicale prin
domeniul medical la descrierea pașilor ce urmează a fi întreprinși în vederea înregistrării atât a SI din domeniu, cât și
cerințele legale necesitatea identificării altor sisteme de evidență a datelor cu caracter personal gestionate,
aferente pentru asigurarea conformării procesului de prelucrare a datelor personale la cadrul normativ din
domeniu;
- urmare a recomandărilor din partea CNPDCP, MS a definitivat și aprobat setul de acte care
reglementează structura, modul de utilizare și funcționare a SIA AMP, nominalizate anterior;
- pe parcursul anului 2018, în baza plângerilor înaintate de unii subiecți de date, CNPDCP a inițiat
5 controale ale legalității prelucrării datelor cu caracter personal în domeniul medical, în urma
cărora au fost emise decizii privind constatarea încălcării Legii privind protecția datelor cu
caracter personal de către instituții medicale sau angajați – cadre medicale din cadrul acestora,
inclusiv cu intervenirea în calitate de agent constatator
Efectul măsurilor întreprinse: asigurarea condițiilor necesare și asigurarea conformării prelucrării datelor la cerințele
cadrului legal în vigoare, cu înregistrarea, după caz, a unor instituții medicale în calitate de operator de date cu caracter
personal, inclusiv a sistemelor de evidență. Potrivit datelor prezentate de CNPDCP, în perioada 2017- 2018, 17 instituții
medicale s-au conformat prevederilor legale din domeniul protecției datelor personale, fiind înregistrate în SI REODCP, în
calitate de operatori cu mai multe sisteme de evidență gestionate. Totodată, deși au fost create condițiile necesare pentru
asigurarea funcționării conforme a SIA AMP, lipsa unui mecanism eficient de monitorizare condiționează riscuri aferente
atingerii rezultatelor scontate în acest sens
Examinările efectuate în cadrul misiunii de follow-up relevă că, deși s-a evidențiat intensificarea
activităților de înregistrare a instituțiilor medicale în SIA deținut de CNPDCP, precum și sporirea nivelului
de conștientizare a necesităților și cerințelor aferente domeniului protecției datelor, totuși, în opinia
auditului, acestea nu au fost în deplină măsură suficiente, fiind necesare măsuri continue de informare
și supraveghere a activităților de conformare a instituțiilor din domeniul medical la cerințele cadrului
normativ în domeniu. În context, urmare a procedurilor de audit efectuate, inclusiv a intervievărilor și
chestionărilor realizate în cadrul MSMPS și unor IMSP, s-a constatat că unele neconformități atestate de
auditul precedent (neînregistrarea în SIA REODCP, lipsa/insuficiența controalelor/instrucțiunilor aferente
protecției datelor, inclusiv în raport cu părțile terțe etc.), au persistat și pe parcursul perioadei de referință
(aspecte redate în continuare în prezentul Raport).
De menționat că, în perioada desfășurării misiunii de verificare, din 12 IMSP chestionate15, 6 IMSP16
s-au conformat cerințelor legale privind înregistrarea în calitate de operator de date cu caracter personal
în Registrul deținut de Centru, iar alte 3 IMSP17 au inițiat acțiunile necesare în acest sens. În contextul
celor expuse, cerința este calificată ca fiind parțial implementată.
Cerința auditului precedent Acțiuni întreprinse
15 IMSP „CMF Bălți”, IMSP „AMT „Ciocana””, IMSP „AMT „Buiucani””, IMSP „AMT „Râșcani””, IMSP „AMT „Botanica””, IMSP Centrele de
Sănătate nr.1 și nr.2 și IMSP Spitalul raional din Orhei, IMSP „Centrul de Sănătate” și IMSP Spitalul raional Călărași, IMSP „Centrul de
sănătate Cimișlia”, IMSP „Clinica Universitară de Asistență Medicală Primară”.
16 IMSP „CMF Bălți”, IMSP „AMT „Ciocana””, IMSP „AMT „Buiucani””, IMSP „AMT „Râșcani””, IMSP „AMT „Botanica””, IMSP Centrul de
Primară”.
12
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
2.3. Instituțiile medico-sanitare publice: AMT „Centru”, „CMF mun. În scopul implementării recomandărilor de
Bălți” și „Clinica Universitară de Asistență Medicală Primară”, pentru audit, IMSP menționate au întreprins, pe
întreprinderea măsurilor necesare de asigurare a alinierii la normele parcursul perioadei de referință, măsurile
privind protecția datelor cu caracter personal, prin implementarea necesare în scopul eliminării neajunsurilor
recomandărilor din Raportul de audit constatate de auditul precedent, aspecte
redate în continuare în prezentul Raport
Efectul măsurilor întreprinse: cu unele rezerve de îmbunătățire, instituțiile medicale respective au asigurat condițiile
necesare pentru conformarea activității cu cerințele regulamentare privind protecția datelor cu caracter personal, inclusiv
prin: consolidarea cadrului normativ intern aferent domeniului protecției datelor cu caracter personal, intensificarea
procedurilor de monitorizare și asigurare a prelucrării datelor cu caracter personal etc.
Verificările efectuate în cadrul misiunii de follow-up denotă că, pe parcursul perioadei de referință,
măsurile întreprinse de către IMSP auditate au avut ca scop îmbunătățirea situației privind protecția
datelor cu caracter personal prelucrate în SI utilizate, consolidarea cadrului normativ intern aferent
domeniului respectiv, precum și a controalelor generale ale Sistemelor utilizate în procesul de prestare
a serviciilor de AMP.
De menționat că, potrivit prevederilor Ordinului MSMPS nr.1499 din 14.12.201818, începând cu
data de 15.12.2018, toți prestatorii de servicii medicale din Republica Moldova, care prestează servicii
de AMP și asistență medicală spitalicească de ambulatoriu urmează să utilizeze SIA AMP în activitatea lor
de prestare a serviciilor de AMP și de raportare către organele de resort.
Astfel, misiunea de follow-up relevă că, deși odată cu aprobarea Ordinului MSMPS menționat s-a
inițiat implementarea la nivel național a SIA AMP de către instituțiile medicale, din cauza unor carențe și
disfuncționalități în funcționare, acesta necesită dezvoltări și îmbunătățiri în scopul asigurării
performanței funcționării și conformării lui cu cerințele actuale. În context, IMSP AMT „Centru” și IMSP
CMF Bălți, în perioada desfășurării activității de verificare, utilizau SIA „MedEx 2.0.” (sistem local),
asigurând, prin implementarea diferitor controale, conformitatea respectării cerințelor de securitate și
protecție informațională.
Generalizând rezultatele procedurilor de audit efectuate, auditul conchide că, pe parcursul
perioadei 2017 – 2018, instituțiile medicale auditate au realizat un șir de acțiuni menite să asigure
conformarea cu prevederile cadrului normativ aferent protecției datelor cu caracter personal, inclusiv cu
eliminarea anumitor neajunsuri constatate de auditul precedent. Totodată, unele acțiuni vizate creează
premisele necesare pentru asigurarea pe viitor a îmbunătățirii situației în domeniu și implementarea
unor mecanisme de monitorizare și control în acest sens.
În contextul celor expuse, auditul concluzionează că, din 7 recomandări formulate și înaintate celor
3 IMSP verificate de auditul precedent, 5 (71%) recomandări au fost calificate ca fiind implementate, iar
2 (29%) – parțial implementate. În același timp, auditul constată că, odată cu implementarea SIA AMP în
cadrul instituțiilor nominalizate, recomandările implementate parțial nu vor mai fi actuale/relevante, vezi
Figura nr.3.
18 Pct.4 din Ordinul MSMPS nr.1499 din 14.12.2018 „Cu privire la utilizarea Sistemului Informațional Automatizat Asistență Medicală Primară
în cadrul Prestatorilor de servicii medicale din Republica Moldova, care prestează servicii medicale de asistență medicală primară precum
și asistență medicală specializată de ambulator”, în continuare – Ordinul MSMPS nr.1499 din 14.12.2018.
13
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
29%
implementate
0%
neimplementate
71%
parțial implementate
centrale cu Legea nr.133 din protecția datelor cu caracter personal și proiectul Legii privind Centrul Național pentru
08.07.2011 Protecția Datelor cu Caracter Personal (CNPDCP), elaborate de Ministerul Justiției în
comun cu CNPDCP. În lectura a II-a, proiectele vor fi adoptate de următoarea legislatură
parlamentară. Astfel, activitatea de conformare a hotărârilor de Guvern și a actelor
normative ale autorităților administrației publice cu noul cadru legislativ în domeniul
protecției datelor cu caracter personal urmează a fi inițiată după adoptarea legilor
menționate
2.7.2. revizuirii, în comun cu La 08.05.2018 a fost emisă Hotărârea Guvernului nr.414 „Cu privire la măsurile de
Ministerul Sănătății, a cadrului consolidare a centrelor de date în sectorul public și de raționalizare a administrării
legal şi ajustarea acestuia sistemelor informaționale de stat". Aceasta are drept scop asigurarea realizării activităților
referitor la stabilirea formei din Strategia națională de dezvoltare a societății informaționale „Moldova digitală 2020"
organizatorico-juridice a entități (Hotărârea Guvernului nr.857/2013), în partea ce ține de necesitatea stabilirii și delimitării
care va fi responsabilă de clare a funcțiilor de elaborare de cele de implementare a politicii statutului în domeniul
asigurarea gestionării tuturor SI securității cibernetice, precum și de efectuare a auditării securității cibernetice.
din domeniul sănătății Hotărârea Guvernului nr.414/2018 prevede o serie de măsuri și reforme instituționale, în
baza infrastructurilor și instituțiilor existente. Urmare a implementării acestor măsuri,
ministerele și alte autorități administrative centrale subordonate Guvernului au fost
absolvite de necesitatea gestionării implementării și administrării proiectelor TI, astfel
revenindu-le partea de planificare strategică a utilizării tehnologiilor moderne în sectorul
corespunzător (strategiile sectoriale de e-guvernare), participarea la conceptualizarea
soluțiilor/proiectelor TI și utilizarea soluțiilor implementate.
De asemenea, prin Hotărârea Guvernului nr.414/2018, Întreprinderea de Stat ,,Centrul de
Telecomunicații Speciale" a fost reorganizată în Instituția publică ,,Serviciul Tehnologii
Informaționale și Securitate Cibernetică" (STISC) și investită cu funcții de administrare
tehnică și menținere a sistemelor informaționale de stat, inclusiv a celor din gestiunea
Ministerului Sănătății, Muncii și Protecției Sociale. În acest context, noua instituție publică
a preluat în posesie și administrare platforma MCloud și o extinde prin consolidarea
centrelor de date existente în spațiul guvernamental, astfel asigurând o raționalizare și o
aliniere a tuturor centrelor de date la cerințele de securitate și disponibilitate conform
clasificării datelor și a serviciilor. În prezent, STISC, în conlucrare cu posesorii Sistemelor
Informaționale de stat, asigură migrarea sistemelor în platforma MCloud, preluând
administrarea tehnică a acestora și aplicând proceduri unificate de administrare, de
asigurare a calității și de suport pentru utilizatori
2.7.3. examinării Potrivit Cancelariei de Stat, cadrul normativ de reglementare a modului de remunerare a
oportunităților și identificării personalului TI din sectorul public, concentrat în marea lui parte în cadrul instituțiilor
metodelor de stimulare/motivare publice de profil din subordinea ministerelor (Centrul de Tehnologii Informaționale în
a personalului TI din cadrul Finanțe) sau a Cancelariei de Stat (Agenția Servicii Publice, Agenția de Guvernare
instituțiilor de stat, pentru Electronică și STISC), care activează pe principiul de autogestiune, este unul suficient și
minimizarea efectului de permite minimizarea efectului de fluctuație a personalului instituțiilor respective, bazat
fluctuație a acestuia, excluderea pe: art.135 și art.136 alin.(4) lit.a) din Codul muncii al Republicii Moldova nr.154/2003;
dependenței de factorii externi, art.20-22 din Legea salarizării nr.847/2002; Hotărârea Guvernului nr.743/2002 ,,Cu privire
precum și pentru asigurarea la salarizarea angajaților din unitățile cu autonomie financiara"; Hotărârea Guvernului
continuității dezvoltării durabile a nr.165/2010 „Cu privire la cuantumul minim garantat al salariului în sectorul real"
domeniului TI
15
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
19 Hotărârea Curții de Conturi nr.57 din 05.11.2013 „Privind Raportul auditului tehnologiilor informaționale cu elemente de performanță
„Care au fost progresele reale și care sunt perspectivele automatizării proceselor în domeniul afacerilor interne?””.
20 Planul național de acțiuni pentru implementarea Acordului de Asociere Republica Moldova – Uniunea Europeană în perioada 2017-2019,
Caracter Personal; 3. proiectul Legii privind regimul mijloacelor video; 4. proiectul Legii pentru modificarea şi completarea Legii privind
prevenirea si combaterea criminalității informatice.
22 Regulamentul (UE) 2016/679 a Parlamentului European și a Consiliului din 27.04.2016 privind protecția persoanelor fizice în ceea ce
privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE și Directivei
(UE) 2016/680 ale Parlamentului European și ale Consiliului din 27.04.2016 privind protecția persoanelor fizice referitor la prelucrarea
datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor
16
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Efectul măsurilor întreprinse: dat fiind că acțiunile întreprinse de către entitatea auditată vizează activități ulterioare,
auditul a fost în imposibilitatea de a cuantifica efectul măsurilor întreprinse. Totodată, acestea creează premise pentru
implementarea recomandării înaintate
Urmare a examinărilor efectuate, nu au fost identificate acțiuni de modificare a Cerințelor față de
asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor
informaționale de date cu caracter personal23, ceea ce denotă persistența riscurilor identificate de
misiunea de audit precedentă.
Potrivit motivației entității, acest fapt este condiționat de adoptarea noilor Legi specificate mai sus.
În aceeași ordine de idei, se relevă că proiectul Legii privind protecția datelor cu caracter personal conține
un capitol distinct24, care reglementează într-o modalitate mai simplă și mai clară implementarea
măsurilor de securitate, oferind operatorilor o marjă mai mare de a decide asupra măsurilor și mijloacelor
de asigurare a securității datelor, conform noilor tendințe și provocări, având în acest sens toate
instrumentele legale necesare. Drept urmare, odată cu adoptarea proiectului de lege menționat vor fi
operate modificările de rigoare în cadrul normativ aferent domeniului, în scopul alinierii la noile cerințe.
Reieșind din cele expuse, și în contextul adoptării și punerii în aplicare a Legilor nominalizate,
recomandarea va putea fi considerată implementată, ori își va pierde actualitatea.
sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, în continuare
– Regulamentul UE.
23 Hotărârea Guvernului nr.1123 din 14.12.2010 „Privind aprobarea Cerințelor față de asigurarea securității datelor cu caracter personal la
Europeană și implementat în perioada octombrie 2017 - octombrie 2018 de către Fundația Germană pentru cooperare juridică
Internațională (IRZ) și de Ministerul Justiției din Letonia, în continuare – Proiectul Twinning, după caz, Proiectul Twinning de consolidare a
capacităților CNPDCP.
27 Legea nr.100 din 22.12.2017 cu privire la actele normative, în continuare – Legea nr.100 din 22.12.2017.
28 13 proiecte de acorduri/tratate internaționale; 27 proiecte de acte normative ale Parlamentului; 47 proiecte de acte normative ale
caracter personal, fiind înaintate obiecții, recomandări și propuneri de rigoare, prin prisma
necesității respectării reglementărilor legale referitoare la protecția datelor cu caracter personal
Efectul măsurilor întreprinse: acțiunile realizate creează premisele necesare în vederea actualizării și armonizării cadrului
normativ în domeniu, în perioada desfășurării misiunii de follow-up nefiind posibil de cuantificat/apreciat impactul
acestora. Totodată, prin avizarea actelor normative naționale/internaționale, s-a asigurat conformarea acestora cerințelor
cadrului normativ în domeniul protecției datelor cu caracter personal
Reieșind din cele expuse, precum și din faptul că acțiunile întreprinse urmează să producă efect
în perspectivă (ulterior), în perioada desfășurării misiunii de follow-up s-a atestat implementarea
recomandării vizate.
Potrivit explicațiilor CNDCP, „având în vedere că în prezent Centrul se află în proces de actualizare
și armonizare a cadrului normativ național în domeniul protecției datelor cu caracter personal la noile
reglementări europene din domeniu, fiind elaborate și adoptate în prima lectură de Parlamentul RM
proiectul Legii privind protecția datelor cu caracter personal și proiectul de Lege privind Centrul Naţional
pentru Protecția Datelor cu Caracter Personal; de asemenea sunt în deplină desfășurare activități de
revizuire a cadrului normativ conex, pentru a pune în aplicare pe deplin principiile de protecție a datelor,
inclusiv în sectorul medical, considerăm această recomandare/cerință irelevantă, în special în contextul
în care, ulterior intrării în vigoare a prevederilor legale noi, cadrul normativ aferent va trebui ajustat noilor
cerințe legale”.
Ca rezultat al examinărilor efectuate, se denotă că, deși potrivit Planului de acțiuni privind
implementarea recomandărilor de audit ale Curții de Conturi, CNPDCP și-a planificat, până în trimestrul
I al anului 2018, definitivarea, aprobarea și promovarea instrucțiunii nominalizate, în perioada
desfășurării misiunii de follow-up acțiunea nu a fost realizată. Totodată, s-a constatat planificarea acțiunii
respective pentru realizare cu suportul experților din cadrul Proiectului Twinning.
Astfel, potrivit motivației entității, conform Proiectului Twinning, activitățile/acțiunile din cadrul
căruia au suportat în ultima perioadă modificări având în vedere prioritizarea acestora, Instrucțiunea cu
privire la protecția datelor cu caracter personal în domeniul medical, de rând cu alte instrucțiuni
preconizate, va fi elaborată în lunile mai-iunie ale anului 2019.
18
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Reieșind din cele expuse, auditul atestă implementarea parțială a recomandării înaintate.
Verificările prezentei misiuni denotă că, deși au fost planificate anumite acțiuni, precum și inițiate
unele analize, pe parcursul perioadei de referință n a fost realizat un studiu exhaustiv privind necesitățile
de dezvoltare/îmbunătățire a SIA nominalizat, nici operate modificări/dezvoltări la acesta.
Potrivit motivației entității, după cum s-a menționat și la cerința nr.2.1.2., odată cu adoptarea noii
Legi privind protecția datelor cu caracter personal, va fi exclusă obligativitatea operatorilor de date cu
caracter personal de a se înregistra la Centru în calitate de operator de date cu caracter personal, în
formula aplicabilă în prezent – prin intermediul REODCP, operatorii fiind obligați, pe propria răspundere,
să respecte normele de securitate a datelor cu caracter personal, stabilite individual în funcție de
specificul operațiunilor de prelucrare și categoria datelor prelucrate, modificare care are scop de a
transpune principiul responsabilizării operatorului de date cu caracter personal.
Mai mult decât atât, acest fapt este susținut și prin concluziile experților proiectului Twinning
expuse urmare a analizei legislației privind protecția datelor cu caracter personal coroborat la prevederile
Regulamentului european privind protecția datelor (GDPR). În acest context, în opinia entității, decade
necesitatea dezvoltării în continuare a SIA REODCP.
Reieșind din cele expuse, auditul califică implementarea parțială a recomandării. Totodată, în
contextul adoptării modificărilor ulterioare în cadrul legislativ respectiv, recomandarea devine irelevantă.
19
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
entitatea să identifice rezervele de îmbunătățire a proceselor și procedurilor interne, precum și o mai bună
gestionare a riscurilor la nivelul entității. Constatările auditului precedent denotă că entitatea nu
dispunea de proceduri exhaustive și documente aferente procesului de monitorizare a prelucrării datelor
cu caracter personal, în vederea stabilirii potențialilor operatori de date, a sistemelor de evidență a
datelor cu caracter personal, inclusiv a SIA ce prelucrează date cu caracter personal.
Recomandarea auditului Acțiuni întreprinse
precedent
5. CNPDCP să instituie În vederea implementării proiectelor de legi menționate supra, CNPDCP, împreună cu experții
proceduri adecvate rezidenți din cadrul proiectului Twinning, a inițiat elaborarea cadrului său normativ intern,
privind monitorizarea inclusiv a instrucțiunilor/manualelor privind desfășurarea procedurilor de investigație a
prelucrării datelor cu legalității operațiunilor de prelucrare a datelor cu caracter personal, precum și a celor de
caracter personal supraveghere, monitorizare și prevenire a încălcării principiilor de protecție a datelor cu
caracter personal
Efectul măsurilor întreprinse: măsurile întreprinse creează anumite premise/condiții pentru îmbunătățirea modului de
monitorizare/supraveghere a conformității prelucrării datelor, însă, la momentul desfășurării misiunii de verificare,
impactul acțiunilor nu poate fi cuantificat
Verificările misiunii de follow-up atestă că, pe parcursul perioadei de referință, au fost inițiate
anumite acțiuni de consolidare a cadrului normativ intern aferent activității CNPDCP, inclusiv prin
elaborarea de către experții Twinning a unor proiecte de documente, fapt ce denotă implementarea
parțială a recomandării înaintate de Curte.
32 https://registru.datepersonale.md/documents/10192/0/Manual%20Operator%20date%20RODCAP_3.0.pdf
33 http://datepersonale.md/md/cen/
20
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Analizele efectuate în cadrul misiunii de verificare relevă că, deși au fost realizate anumite acțiuni
pentru facilitarea procesului de notificare, acestea nu au luat forma unor proceduri documentate,
aprobate în modul stabilit, potrivit bunelor practici ale autorităților similare din alte țări. De menționat
că, potrivit cadrului normativ aferent elaborării actelor normative34, Regulamentele, instrucțiunile,
regulile şi alte acte normative ale autorităților administrației publice centrale de specialitate şi ale
autorităților publice autonome se aprobă prin hotărâre sau ordin care se semnează de către conducătorii
autorităților emitente.
Potrivit motivației entității, în conformitate cu reglementările dreptului comunitar european în
materie de protecție a datelor cu caracter personal, în special Regulamentul (UE) 2016/679, prin noul
proiect de Lege a fost exclusă obligația operatorilor de a notifica sistemele de evidență a datelor
personale către CNPDCP, prin intermediul Registrului de evidență a operatorilor de date cu caracter
personal. În aceste circumstanțe, dispare necesitatea elaborării altor instrucțiuni sau actualizării celor
existente, precum şi promovării acestora, în contextul prevăzut la această recomandare.
Reieșind din cele expuse, auditul atestă implementarea recomandării în cauză.
Verificările misiunii de follow-up, inclusiv analiza informațiilor oferite de Centru, relevă că până în
prezent nu au fost întreprinse acțiuni concrete pentru conformarea entității la prevederile legale
menționate. Astfel, se constată că și pe parcursul perioadei de referință activitatea de control a Centrului
s-a axat prioritar pe efectuarea controalelor inopinate.
Potrivit motivației entității, „creșterea numărului de plângeri transmise în adresa CNPDCP, precum
și complexitatea acțiunilor întreprinse de angajați în cadrul activității de control asupra conformității
prelucrării datelor cu caracter personal nu permite efectuarea controalelor planificate”. Totodată, în
cadrul proiectului Twinning, cu suportul experților străini, au fost elaborate proiecte de acte normative,
manuale privind procedura de prevenire/supraveghere și monitorizare, care au drept obiectiv de a stabili
o procedură standard pentru angajații CNPDCP privind monitorizarea/supravegherea operațiunilor de
prelucrare a datelor și prevenirea încălcării principiilor de protecție a datelor cu caracter personal. În
aceeași ordine de idei, proiectul noii Legi privind protecția datelor cu caracter personal prevede
36 a) la depunerea cererii subiectului de date sau a reprezentantului legal privind neconformitatea prelucrării datelor personale; b) la
sesizarea din oficiu sau în cazul în care Centrul a fost informat ori dispune de informații privind încălcarea în masă, sistemică sau gravă a
principiilor de protecție a datelor cu caracter personal, cazurile de importanță socială ori în cazurile de supraveghere și prevenire va iniția
activitățile de ajustare/consolidare a procedurilor aferente activității.
37
cum ar fi: drept (științe juridice), științe ale informației, medicină, învățământ, polițienesc, mass-media, TI, protecția
consumatorului, financiar-bancar, resurse umane, un membru al Comisiei parlamentare pentru securitatea națională, apărare
şi ordinea publică, conducerea Centrului, șeful Direcției generale și șefii direcțiilor din cadrul Centrului.
38
Art.14, îndeosebi, alin.(3) lit.g) din Legea nr.229 din 23.09.2010.
22
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Potrivit motivației CNPDCP, instituția poate atrage specialiști şi experți din domenii care necesită
cunoștințe speciale pentru participarea la procesul de verificare prealabilă şi de control al legalității
prelucrării datelor cu caracter personal şi încheie cu ei acorduri de confidențialitate. În acest sens,
remarcăm că acesta este un drept al autorității și nu o obligație. Având în vedere că până în prezent nu
au fost înregistrate situații ce ar fi necesitat atragerea unor experți din exterior în procesul de verificare
prealabilă și de control, precum și ținând cont de elaborarea noilor reglementări pe domeniu, instituirea
procedurii recomandate este irelevantă pentru moment.
39 Legea nr.182-XVI din 10.07.2008 cu privire la aprobarea Regulamentului Centrului Național pentru Protecția Datelor cu Caracter Personal,
structurii, efectivului-limită și a modului de finanțare a Centrului Național pentru Protecția Datelor cu Caracter Personal.
23
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
modul de îndeplinire a deciziilor și instrucțiunilor emise anterior de CNPDCP pentru aducerea prelucrării
datelor cu caracter personal în conformitate cu prevederile legale, acestea luând forma unor controale
inopinate, pe parcursul perioadei auditate entitatea nu a realizat astfel de acțiuni.
Recomandarea auditului Acțiuni întreprinse
precedent
10. CNPDCP să instituie Urmare a deciziilor emise prin care se constată încălcări la prelucrarea datelor cu
proceduri interne și să caracter personal, cu dispunerea, după caz, a suspendării/încetării operațiunilor de
realizeze verificări ale modului prelucrare efectuate ilegal și/sau ștergerii/distrugerii datelor neveridice sau prelucrate
de îndeplinire a deciziilor și ilegal, CNPDCP monitorizează modul de îndeplinire a deciziilor și instrucțiunilor
instrucțiunilor emise anterior consemnate în dispozitivul deciziilor emise. Or, în fiecare decizie emisă de genul celor
de CNPDCP, pentru aducerea indicate supra, CNPDCP indică expres termenul în care urmează a fi înlăturate
procesului de prelucrare a încălcările constatate și termenul în limita căruia entitatea/persoana vizată are
datelor cu caracter personal în obligația de a informa CNPDCP asupra măsurilor întreprinse în vederea executării celor
conformitate cu prevederile dispuse în decizie. Persoanele fizice şi juridice vizate în dispozitivul deciziei sunt
legale, în vederea asigurării obligate să informeze, în termenul stabilit, despre implementarea recomandărilor
respectării acestora şi/sau executarea cerințelor dispuse/înaintate de CNPDCP, iar în cazul
neinformării/neexecutării prescripțiilor indicate în termenul stabilit, în privința
persoanei se intentează proces contravențional, inclusiv pentru neîndeplinirea deciziei
CNPDCP, fapt prevăzut de art. 743 Cod contravențional. În acest sens, subdiviziunile de
resort ale CNPDCP ţin evidența/monitorizează în permanență procesul de executare a
deciziilor de către părți, intervenind, după caz, în calitate de agent constatator conform
prevederilor sus-menționate
Efectul măsurilor întreprinse: în lipsa probelor de audit concludente, auditul nu a fost în măsură să evalueze impactul
acțiunilor întreprinse. Totodată, lipsa unei monitorizări adecvate asupra respectării deciziilor (îndeosebi cele de
suspendare a activităților de prelucrare a datelor) sporește riscul neconformării operatorilor de date cu cerințele cadrului
legal aferent protecției datelor cu caracter personal, cu impact negativ asupra subiectului de date cu caracter personal
24
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Verificările prezentei misiuni relevă că, în perioada de referință, acțiunile CNPDCP s-au axat pe
oferirea consultărilor și instruirilor entităților din domeniu spus auditării, în unele cazuri, pe verificarea
prealabilă efectuată în baza informațiilor prezentate în notificare de operator sau persoana împuternicită
de către acesta, care au avut ca rezultat înregistrarea unor IMSP, precum și contribuirea la
corespunderea cu cerințele din domeniu a cadrului regulator aferent SI. Totodată, deși au fost solicitate
în mod repetat, auditului nu i-au fost prezentate probe/informații concludente care ar confirma inițierea,
pe parcursul perioadei 2017 – 2018, a unor controale ale legalității prelucrării datelor cu caracter
personal de către entitățile vizate în Raportul auditului precedent. Mai mult decât atât, potrivit
constatărilor prezentei misiuni, unele neajunsuri constatate de auditul precedent, cu risc asupra
conformității prelucrării datelor cu caracter personal prin intermediul SI din domeniul AMP, au persistat
și în perioada de referință, aspecte redate în continuare în prezentul Raport.
Reieșind din cele expuse, auditul constată implementarea parțială a recomandării înaintate.
40 IMSP CMF Bălți, IMSP Spitalul raional Glodeni, IMSP „Institutul de Ftiziopneumologie „Chiril Draganiuc”, IMSP „Spitalul raional Ungheni”,
IMSP „Spitalul Clinic Municipal pentru Copii nr.1”.
41 IMSP „Spitalul Clinic Municipal pentru Copii nr.1”, IMSP „Institutul de Ftiziopneumologie „Chiril Draganiuc””, IMSP „CMF Bălţi”, IMSP
Efectul măsurilor întreprinse: 17 instituții medicale s-au conformat prevederilor legale din domeniul protecției datelor cu
caracter personal, fiind înregistrate în Registrul deținut de Centru, în calitate de operatori cu mai multe sisteme de evidenţă
gestionate
42Hotărârea Guvernului nr.586 din 24.07.2017 „Pentru aprobarea Regulamentului privind modul de ținere a Registrului medical”.
43Date sistematizate de auditor potrivit Ordinului MSMPS nr.1615 din 28.12.2018 „Cu privire la aprobarea Nomenclatorului prestatorilor
de AMP la nivel de raion” și Ordinul MS nr.338 din 05.05.2016 „Cu privire la aprobarea Nomenclatorului instituțiilor medico-sanitare publice
de AMP din mun. Chișinău și Bălți””.
26
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Hotărârea Guvernului menționată. Reieșind din cele expuse, se atestă implementarea parțială a
recomandării înaintate.
Verificările efectuate de misiunea de follow-up atestă întreprinderea unui șir de măsuri necesare
pentru asigurarea conformării prelucrării datelor cu caracter personal în SIA AMP și înregistrării
medicale de ramură, dărilor de seamă generate de SIA AMP” (în continuare – Ordinul nr.1498 din 14.12.2018); Ordinul MSMPS nr.1499 din
14.12.2018 „Cu privire la utilizarea SIA AMP în cadrul prestatorilor de servicii medicale din RM” prin care s-a aprobat și Regulamentul cu
privire la structura și funcționarea SIA AMP; Ordinul nr.1497 din 14.12.2018 „Cu privire la aprobarea Politicii de securitate a datelor cu
caracter personal în cadrul SIA”;
47Proiectul Hotărârii Guvernului pentru alocarea semnăturilor electronice avansate calificate utilizatorilor SIA AMP; proiectul
Regulamentului Serviciului Securitate Informațională; proiectul fișei postului cu stabilirea instituției responsabile de audit și protecție a
datelor cu caracter personal; proiectul Conceptului de dezvoltare a Agenției Tehnologii Informaționale în Sănătate.
48 Legea nr. 133 din 08.07.2011.
27
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Sistemului în Registrul de evidență deținut de Centru, însă până în prezent acesta nu a fost înregistrat în
modul stabilit în REODCP.
Potrivit motivației MSMPS, toate documentele și proiectele de ordine au fost consultate cu CNPDCP
în vederea asigurării conformării lor, însă neînregistrarea până în prezent a SIA AMP în Registrul de stat
respectiv a fost condiționată de lipsa unei entități care să asigure administrarea SIA AMP, precum și lipsa
semnăturilor electronice la utilizatorii SIA AMP.
Verificările efectuate relevă că, prin Hotărârea Guvernului nr.138 din 27.02.201849, fiind delegată
responsabilitatea privind administrarea și dezvoltarea ulterioară a SIA AMP Companiei Naționale de
Asigurări în Medicină (CNAM), sunt în proces de ajustare actele normative care reglementează structura
și modul de utilizare și asigurare a securității SIA AMP, stabilirea clară a funcțiilor, inclusiv de audit al
datelor cu caracter personal. În aceeași ordine de idei, în opinia auditului, actele normative aferente
reglementării SIA AMP (Regulamentul de funcționare, Politica de securitate etc.) vor necesita revizuiri și
modificări în vederea ajustării acestora la noile cerințe/prevederi.
Totodată, în opinia MSMPS, odată cu aprobarea Hotărârii Guvernului nr.164 din 07.03.2019, se
modifică radical situația, iar Ministerul, începând cu 01 aprilie 2019, poate deja să solicite CNPDCP
acordarea dreptului de operare a datelor cu caracter personal prin SIA AMP.
În contextul celor expuse, auditul atestă implementarea parțială a recomandării respective.
49Hotărârea Guvernului nr.138 din 27.02.2019 „Cu privire la transmiterea unor sisteme informaționale automatizate”, în continuare –
Hotărârea Guvernului nr.138 din 27.02.2019.
50 Procesul-verbal din 21.12.2016 de verificare a îndeplinirii modificărilor în SIA AMP conform scrisorii MS nr.01-9/1910 din 10.11.2016 și
Actul de predare și acceptanță a SIA AMP din 30.05.2017, încheiat între furnizorul European Software Company SRL (în continuare –
Compania dezvoltatoare, după caz, Dezvoltator) și beneficiar, MS.
28
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
51
Contractul nr.CPS 23/2013 din 17.06.2013, încheiat între MS și Compania dezvoltatoare.
52 Regulamentul cu privire la structura și funcționarea Sistemului Informațional Automatizat „Asistență Medicală Primară” (SIA AMP),
aprobat prin Ordinul MSMPS nr.1499 din 14.12.2018.
53 Pct. 5 din Demersul auditorului către MSMPS din 12.02.2019.
54 Pct.13 din Regulamentul cu privire la structura și funcționarea SIA AMP, aprobat prin Ordinul MSMPC nr.1499 din 14.12.2018.
29
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Concomitent, analizând informațiile oferite de Cancelaria de Stat, auditul constată că, în conformitate cu
prevederile pct.32 subpct.3 din Hotărârea Guvernului nr.414 din 08.05.201855, începând cu 01.01.2019,
Instituția Publică Serviciul Tehnologia Informației și Securitate Cibernetică (în continuare - STISC) urma
să preia în administrare și menținere SI de stat, inclusiv cele gestionate de MSMPS. În context, se relevă
necesitatea revizuirii și ajustării documentelor aferente SIA AMP, precum și definirea și delimitarea
administrării SIA de stat, în vederea armonizării acestora la noile cerințe și prevederi și asigurării
eficienței utilizării resurselor în acest scop.
Astfel, reieșind din cele constatate, recomandarea se califică ca fiind parțial implementată.
55 Hotărârea Guvernului nr.414 din 08.05.2018 „Cu privire măsurile de consolidare a centrelor de date în sectorul public și de raționalizare
a administrării sistemelor informaționale de stat”, în continuare – Hotărârea Guvernului nr.414 din 08.05.2019.
56 Scrisoarea MS nr.01-9/1910 din 10.11.2016 adresată companiei European Software Company SRL.
57 Proces-verbal de verificare a îndeplinirii modificărilor în SIA AMP, conform Scrisorii MS nr.01-09/1910 din 10.11.2016.
58 Dispoziția viceministrului sănătății nr.783/d din 05.12.2016 „Cu privire la crearea grupului tehnic de lucru, în procesul de implementare
30
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Totodată, analizând erorile raportate de către utilizatorii SIA AMP pe parcursul anului 2018, au fost
identificate probleme care persistă și în prezent (aferente mecanismului de jurnalizare a operațiunilor
efectuate în Sistem, accesul și eficiența submodului de audit, gestionarea accesului la SI, implementarea
controalelor TI suficiente etc.). În context, se relevă că, deși Dezvoltatorul a asigurat implementarea
metodei de autentificare prin intermediul MPass, în prezent, accesul utilizatorilor la SIA AMP, în
majoritatea cazurilor, se realizează prin login și parolă. Acest fapt a fost condiționat de o serie de factori
obiectivi, inclusiv: resursele financiare necesare pentru asigurarea utilizatorilor cu semnături electronice
etc. În aceeași ordine de idei, auditul atestă divergențe de date în rapoarte/informații generate de SIA
AMP, vezi Anexa nr.2 la prezentul Raport, ceea ce, din nou, denotă existența unor disfuncționalități,
posibil de programare/configurare ale SI.
După cum s-a menționat anterior, odată cu aprobarea Hotărârii Guvernului nr.164 din 07.03.2019,
cu emiterea Ordinului MSMPS nr.338 din 15.03.2019 și cu alte activități conexe, au fost create condițiile
necesare ca, începând cu 01 aprilie 2019, autentificarea în SIA AMP să fie efectuată prin semnătura
electronică (prin intermediul MPass), fapt ce va asigura securitatea accesului la datele din Sistem, fiind
astfel îndeplinită una din condițiile cele mai importante pentru protecția datelor cu caracter personal.
Totodată, conform Hotărârii Guvernului nr.138 din 27.02.2019, fiind delegată responsabilitatea
privind administrarea și dezvoltarea ulterioară a SIA AMP către CNAM, sunt în proces de ajustare actele
normative care reglementează structura, modul de utilizare și asigurare a securității SIA AMP, stabilirea
clară a funcțiilor, inclusiv de audit al datelor cu caracter personal.
Reieșind din constatările misiunii de verificare, recomandarea se consideră parțial implementată.
60 Ordinul MTIC nr.78 din 01.06.2006 „Cu privire la aprobarea reglementărilor tehnice „Procesele ciclului de viață al software-ului” RT
38370656 - 002:2006”.
61 Art.22 alin.(1) din Legea nr.467-XV din 21.11.2003 cu privire la informatizare şi la resursele informaționale de stat.
62 Hotărârea Guvernului nr.1128 din 14.12.2004 „Cu privire la aprobarea Concepției Sistemului Informațional Medical Integrat”.
31
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Urmare a verificărilor efectuate, auditorul relevă că, deși a fost elaborat și aprobat un set de acte
care reglementează activitatea în SIA AMP, conform prevederilor cadrului normativ relevant63,
documentația aferentă SIA AMP nu este una completă, aspecte confirmate în continuare în prezentul
Raport la compartimentul de vizează procedurile aferente mentenanței Sistemului, modului de efectuare
și testare a copiilor de rezervă, planului de continuitate și recuperare în caz de dezastru etc. În contextul
constatărilor identificate, recomandarea se consideră parțial implementată.
De menționat că, potrivit pct.3 din Hotărârea Guvernului nr.138 din 27.02.2019, Ministerul
urmează, pe parcursul anului 2019, să asigure ajustarea cadrului normativ aferent SIA AMP, precum și
revizuirea și modificarea Concepției Sistemului Informațional Medical Integrat64 și a Regulamentului
privind modul de ținere a Registrului medical65, cu înaintarea propunerilor de rigoare în modul stabilit.
matricea de acces a modulelor funcționale ale SIA AMP în funcție de rolul utilizatorului și tipul de date cu caracter personal accesat,
instrucțiunea de acordare a accesului utilizatorilor SIA AMP.
67 Proiectul Hotărârii Guvernului „Cu privire la aprobarea Conceptului tehnic și Regulamentului de funcționare a Sistemului Informațional
68 ISO 27002:20013.
33
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Efectul măsurilor întreprinse: urmare a ajustării documentației aferente utilizării SIA AMP (manualele utilizatorilor SIA
AMP), a fost asigurată posibilitatea de ghidare și autoinstruire pentru utilizatorii SIA respectiv.
Urmare a analizelor efectuate, auditul atestă disponibilitatea manualelor utilizatorilor SIA AMP
(versiunea 2017) în modulul Notificări din Sistem, cu excepția manualului administratorului global, care
prezintă un rol esențial în asigurarea administrării și gestionări adecvate a Sistemului. De menționat că
despre disponibilitatea manualelor aferente este expres indicat și în Regulamentul cu privire la structura
și funcționarea SIA AMP, aprobat prin ordinul MSMPS menționat anterior.
Totodată, testarea corespunderii manualului pentru utilizatorul Operator Registratură, efectuată
de către auditor în comun cu reprezentantul Ministerului, nu a identificat divergențe/carențe
semnificative. Mai mult decât atât, potrivit răspunsurilor oferite de către IMSP chestionate/intervievate,
manualele sunt relevante, necesitând, după caz, unele descrieri mai detaliate.
În aceeași ordine de idei, conform explicațiilor reprezentanților MSMPS, manualele sunt actualizate
și corespund situației reale a SIA AMP în perioada realizării auditului de follow-up, dat fiind că, pe
parcursul perioadei de referință, nu au fost operate modificări esențiale în fluxurile aferente proceselor
automatizate în SIA AMP. Referitor la instruiri, auditul relevă că, pe parcursul perioadei de referință,
acestea au fost realizate de către administratorii locali, la necesitate, fiind oferite consultări telefonice
de către echipa de mentenanță.
În contextul celor expuse, precum și ținând cont de faptul că auditorului nu i-au fost prezentate
probe concludente care ar fi confirmat actualizarea manualului administratorului global, precum și a
documentației tehnice a infrastructurii SIA AMP, auditul consideră că recomandarea a fost implementată
parțial.
Verificările efectuate în cadrul misiunii de follow-up denotă că, deși la solicitarea MS70, în perioada
de referință, Dezvoltatorul a operat unele schimbări esențiale asupra componentelor SIA AMP, acestea
69 ISO 27002:20013.
70 Scrisoarea MS nr.01-9/1910 din 10.11.2016.
34
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
nu au fost documentate corespunzător. Totodată, examinările efectuate constată că, la sfârșitul anului
2018, reprezentanții Ministerului au elaborat procedurile aferente managementului schimbărilor, care
urmează a fi aprobate și implementate corespunzător.
În contextul celor expuse, misiunea de verificare califică implementarea parțială a recomandării
respective.
Verificările prezentei misiuni denotă că, deși potrivit motivației entității, pe parcursul perioadei de
referință, copiile de rezervă pentru SIA AMP se efectuau zilnic în mod automatizat și complet pentru
toate bazele de date aferente SIA, care se află pe platforma guvernamentală MCloud, la solicitarea
echipei de audit, entitatea nu a prezentat probe concludente care ar confirma faptul că acestea sunt
verificate/testate periodic în scopul validării. Totodată, Ministerul a elaborat procedurile de
efectuare/testare a copiilor de rezervă, care urmează a fi definitivate, aprobate și implementate
corespunzător. De menționat că, în conformitate cu prevederile cadrului normativ 71, entitatea este
responsabilă de asigurarea protejării datelor procesate în cadrul SI proprii găzduite pe platforma MCloud,
precum şi crearea şi stocarea copiilor de rezervă.
În contextul celor menționate, recomandarea se consideră implementată parțial, iar cuantificarea
impactului acțiunilor inițiate ar putea fi evaluată după implementarea acestora.
înregistrate de către responsabilul din cadrul Ministerului, acestea nu erau analizate și documentate
corespunzător, cu evidențierea cauzei problemelor apărute, pentru a fi utilizate în procesul de luare a
deciziilor de a efectuare a ajustărilor necesare în Sistem, în scopul eliminării acestora și neadmiterii
repetării lor pe viitor, fapt ce afecta eficiența utilizării SIA respectiv.
Recomandarea auditului precedent Acțiuni întreprinse
24. MS, să identifice și să instituie un - MSMPS a transmis o solicitare către Serviciul Tehnologia Informației și
mecanism adecvat de comunicare (help Securității Cibernetice (STISC) prin care solicită să fie pus la dispoziție serviciul
desk) cu utilizatorii Sistemului despre guvernamental Service desk pentru utilizatorii SIA AMP. Prin utilizarea acestui
erorile generate de SIA AMP, precum și sistem, administratorii SIA AMP vor dispune de instrumentele necesare de
despre solicitările utilizatorilor privind comunicare cu utilizatorii și de urmărire a solicitărilor din partea utilizatorilor;
problemele apărute la utilizarea acestuia, - comunicarea erorilor în perioada de referință s-a realizat prin intermediul
cu monitorizarea soluționării de rigoare telefonului și prin e-mail
Efectul măsurilor întreprinse: deși au fost întreprinse unele acțiuni, nu s-a asigurat instituirea unui mecanism eficient de
comunicare cu utilizatorii SI (la nivel local și central), fapt ce a condiționat și în perioada auditată persistența carențelor
constatate de auditul precedent. De asemenea, lipsa unei evidențe adecvate a sesizărilor parvenite și, respectiv, a înlăturării
erorilor depistate în utilizarea SIA AMP, a stabilirii cauzelor apariției și monitorizării înlăturării acestora diminuează eficiența
și performanța utilizării Sistemului
26. MS să examineze situația privind Ministerul a elaborat și aprobat acte interne care obligă prestatorii serviciilor de AMP
utilizarea în paralel cu SIA AMP și a utilizarea în activitatea lor a SIA AMP, respectiv:
altor SI care automatizează - Ordinul MSMPS nr.1499 din 14.12.2018, potrivit căruia directorii instituțiilor vor
procesele de business din asistența asigura realizarea măsurilor obligatorii imediate pentru utilizarea SIA AMP, vor asigura
medicală primară, cu adoptarea toate condițiile necesare utilizării SIA AMP, a infrastructurii, administratorilor etc.;
unei decizii în acest sens, pentru - Ordinul MSMPS nr.1498 din 14.12.2018, care stabilește lista formularelor de evidență
evitarea/excluderea riscurilor medicală primară, rapoartelor statistice medicale de ramură, dărilor de seamă
economico-financiare, de fraudă și generate de SIA AMP;
de securitate a datelor privind - Ordinul MSMPS nr.1497 din 14.12.2018, care stabilește Politica de securitate a
starea de sănătate a pacienților etc. datelor cu caracter personal în cadrul SIA respectiv
Efectul măsurilor întreprinse: crearea condițiilor necesare pentru utilizarea la nivel național a SIA AMP. Totodată, în scopul
asigurării eliminării situației și materializării riscurilor constatate de auditul precedent, se necesită întreprinderea măsurilor
necesare pentru dezvoltarea și asigurarea funcționalității SIA AMP, precum și instituirea unui mecanism eficient de
monitorizare și control de utilizare exclusiv a SI respectiv la prestarea serviciilor de AMP de către entitățile corespunzătoare
73Misiunea de audit al performanței privind evidența resurselor și sistemelor informaționale de stat, desfășurată de Curtea de Conturi în
2018. (HOTĂRÂREA CCRM nr.62 din 02.08.2018).
37
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
pacienților. Potrivit informațiilor oferite, se constată că, în anul 2017, IMSP „CMF Bălți” a sistat utilizarea
SIIS, reziliind contractul cu Compania prestatoare, iar la sfârșitul anului 2018, IMSP „Clinica Universitară”
a sistat utilizarea SI „CabiMed”, începând cu ianuarie 2019, IMSP nominalizate inițiind
implementarea/utilizarea SIA AMP. De menționat că Ordinele MSMPS care sunt în vigoare până în
prezent74 oferă posibilitatea utilizării în cadrul IMSP atât a SIA AMP, cât și a SI „MedEx 2.0.”.
Deși, potrivit explicațiilor Ministerului, Ordinul nr.1499 din 14.12.2018 și Ordinul nr.1023 din
03.10.2014 reglementează etape diferite – de lansare a implementării și de utilizare la nivel național, iar
Ordinul MS nr.617 din 07.09.2010, care stabilește implementarea și utilizarea SIA „MedEx 2.0.” a produs
efecte juridice pentru perioada 2010, nefiind necesară abrogarea ultimelor 2 ordine menționate, în opinia
auditului, este necesară o revizuire a actelor normative nominalizate, în scopul excluderii situațiilor de
confuz, cât și de utilizare în paralel a SIA nominalizate.
Totodată, ținând cont de faptul că SIA utilizate pe parcursul perioadei 2008 (SIA „CabiMed”) și 2010
(SIA „MedEx 2.0.”) de către IMSP menționate mai sus dețin o bază de date consistentă a informațiilor cu
privire la pacienți etc., asigurarea condițiilor necesare și migrarea datelor în SIA AMP ar contribui la o
eficientizare a activităților/resurselor instituțiilor respective. Mai mult decât atât, instituirea unei
Strategii TI în domeniul medical, care ar include și o viziune unică în domeniul automatizării asistenței
medicale primare, precum și delimitarea clară a responsabilităților/competențelor aferente SI în cadrul
sistemului de AMP (MS, APL/CR) ar contribui la eficientizarea resurselor alocate în acest scop, precum și
la gestionarea riscurilor aferente securității și protecției datelor.
În contextul celor menționate, precum și ținând cont de faptul că în prezent SIA AMP necesită
dezvoltări și ajustări pentru îmbunătățirea performanței și funcționalității sale, auditul califică
recomandarea ca fiind parțial implementată.
Efectul măsurilor întreprinse: crearea condițiilor necesare pentru conformarea activității IMSP cu cerințele cadrului
normativ aferent domeniului protecției datelor cu caracter personal și securității informației
operatorilor de date cu caracter personal, pentru sistemele Personal atât pentru activitatea de bază, cât și pentru
informaționale și de evidență deținute sistemele de evidență utilizate78
Efectul măsurilor întreprinse: conformarea la cerințele cadrului legal privind înregistrarea în REODCP deținut de CNPDCP.
Crearea premiselor necesare pentru asigurarea funcționării conforme a SIA AMP
78 În baza deciziilor nr. DA - 1492672122972 și nr. DA - 1492672412613 din 20.04.2017, IMSP „CMF mun. Bălți” a primit autorizarea
operațiunilor de prelucrare a datelor cu caracter personal în domeniu, iar prin Decizia nr.DD - 1492671702563 din 20.04.2017, este
înregistrată în calitate de operator de date cu caracter personal; IMSP AMT „Centru” este deja înregistrată în calitate de operator de date
în Registrul de evidență a operatorilor de date cu caracter personal la nr.0000007-001 și nr.0000007-002 din 10.10.2012; IMSP „Clinica
Universitară de Asistență Medicală Primară” s-a înregistrat în REODCP pentru activitatea de bază și pentru sistemele de evidență utilizate
în activitatea instituției (nr.1551868278575; nr. 1551871504069 și nr.1552298764857 din 06.03.2019).
41
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Verificările prezentei misiuni denotă că, deși potrivit motivației entităților (IMSP „CMF Bălți” și
IMSP „Clinica Universitară de AMP”), pe parcursul perioadei de referință, copiile de rezervă pentru SIA
utilizate se efectuau zilnic în mod automatizat de sistem, cu verificarea funcționalității și integrității
acestora, auditorului nu i-au fost prezentate probe de audit suficiente și documentate care ar confirma
activitățile realizate în acest sens, inclusiv procedurile de efectuare/testare a copiilor de rezervă. În
aceeași ordine de idei, nu a fost elaborat, implementat și testat, în modul stabilit, un Plan de recuperare
în caz de dezastru pentru SIA utilizate. În contextul celor expuse, auditul califică recomandarea ca fiind
parțial implementată.
De menționat că, în contextul conformării IMSP cu prevederile Ordinului MSMPS nr.1497 din
14.12.2018, respectiv, privind implementarea SIA AMP, reieșind din noile responsabilități, recomandarea
devine irelevantă/își pierde actualitatea, dat fiind faptul că activitățile aferente efectuării copiilor de
rezervă și elaborarea unui plan de continuitate și recuperare în caz de dezastru sunt în responsabilitatea
administratorului SIA AMP.
79Acordul de confidențialitate, semnat potrivit prevederilor politicii de securitate a IMSP, parte a Contractelor încheiate între IMSP „Clinica
Universitară de AMP” și ICS „INFO World” SRL cu privire la achiziționarea serviciilor de mentenanță pentru SIA „CabiMed”, în perioada 2017-
2018.
42
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Verificările auditului relevă că, pe parcursul perioadei de referință, entitățile vizate au utilizat SI
identificate de auditul precedent, asigurând anumite măsuri pentru protecția datelor cu caracter
80 A fost prevăzut Acordul de confidențialitate în contractele încheiate între IMSP „Clinica Universitară de AMP” și ICS INFO World SRL cu
privire la achiziționarea serviciilor de mentenanță pentru SIA „CabiMed”, în perioada 2017-2018.
81 Acordul din 29.12.2016 de reziliere a Contractului de servicii nr.16 din 05.03.2015, încheiat între CMF mun.Bălți și „PAS Integrator” SRL.
82 Ordinul IMSP „Clinica Universitară de AMP” nr.102-A din 17.12.2018 „Cu privire la organizarea implementării Sistemului Informațional
personal și securitatea informației. Totodată, potrivit informațiilor oferite de IMSP „Clinica Universitară
de AMP”, pentru mentenanța SIA „CabiMed” au fost utilizate resurse financiare în valoare de 256,5 mii
MDL. În aceeași ordine de idei, mentenanța SIA „MedEx 2.0.”, utilizat în cadrul IMAP „AMT Centru” și
IMSP „CMF mun.Bălți”, a fost realizată de către angajații instituțiilor respective, nefiind suportate costuri
suplimentare, inclusiv efectuate ajustări/modificări/dezvoltări.
De menționat că, începând cu anul 2019, instituțiile nominalizate sunt în proces de implementare
a SIA AMP, care urmează a fi dezvoltat și ajustat în modul corespunzător, pentru a răspunde necesităților
actuale. Ținând cont de faptul că SIA utilizate de către instituțiile medicale respective dețin o bază de
date consistentă aferentă activității de acordare a serviciilor de AMP, auditul consideră necesară
examinarea posibilităților și întreprinderea acțiunilor de rigoare în vederea migrării datelor deținute în
SIA AMP în scopul eficientizării activității IMSP.
Reieșind din cele expuse, precum și având în vedere activitățile realizate de IMSP până în prezent,
auditul atestă implementarea recomandării respective.
44
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
În contextul celor expuse, cerințele și recomandările înaintate conducerii instituțiilor supuse verificării, care
nu au fost implementate sau implementate parțial, se reiterează și se reformulează în prezentul Raport, după cum
urmează.
III. RECOMANDĂRI
Recomandări Conducerii Centrului Național pentru Protecția Datelor cu Caracter Personal:
1. să revizuiască și să înainteze, în modul stabilit, propunerile de rigoare în scopul
actualizării/armonizării cadrului normativ aferent domeniului protecției datelor cu caracter personal în
conformitate cu noile cerințe intervenite;
2. să asigure definitivarea și aprobarea, în modul stabilit, a Instrucțiunii cu privire la protecția datelor
cu caracter personal în domeniul medical, cu promovarea/informarea/instruirea ulterioară a operatorilor
de date cu caracter personal;
3. să revizuiască cadrul normativ intern, în scopul consolidării acestuia prin instituirea procedurilor
documentate aferente proceselor de:
3.1. monitorizare a prelucrării datelor cu caracter personal, inclusiv de planificare anuală a
activităților de control;
3.2. antrenare a experților/specialiștilor din diverse domenii, pentru efectuarea controlului
securității datelor cu caracter personal;
3.3. verificare a modului de îndeplinire a deciziilor și instrucțiunilor emise anterior de CNPDCP,
pentru aducerea procesului de prelucrare a datelor cu caracter personal în conformitate cu prevederile
legale, în vederea asigurării respectării acestora;
4. să planifice și să realizeze, în modul stabilit, controale ale conformității prelucrării datelor cu
caracter personal, în scopul asigurării atribuțiilor prioritare delegate prin cadrul legal din domeniu;
5. să întreprindă măsuri în vederea asigurării capacităților TI ale CNPDCP în scopul realizării
atribuțiilor legale de monitorizare a prelucrării datelor cu caracter personal, inclusiv prin SIA.
45
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
10. să revizuiască contractele și acordurile încheiate privind schimbul de informații între SIA AMP
și alte SI de stat în vederea conformării la noile cerințe privind implementarea cadrului de
interoperabilitate;
11. în comun cu CNAM, CNPDCP și IMSP, să organizeze instruiri/mese rotunde cu specialiștii din
domeniul sănătății, pentru familiarizarea lor cu normele de protecție a datelor cu caracter personal și cu
necesitatea respectării cerințelor de securitate<
46
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Recomandări conducerii IMSP AMT „Centru”, IMSP „Clinica Universitară de Asistență Medicală Primară a
USMF „Nicolae Testemițanu”, IMSP „Centrul Medicilor de Familie din mun.Bălți”:
21. să întreprindă măsurile necesare pentru implementarea în continuare a procedurilor necesare în
vederea asigurării securității accesului (logic, fizic și la rețea) la resursele TI, în scopul evitării riscurilor de
securitate posibile, cu documentarea adecvată a acestora.
Marina Cataraga,
Auditor public principal
Responsabil de audit
Vasile Moșoi,
Șef al Direcției generale
auditul gestiunii economice
corporative, tehnologiilor
informaționale și autorităților
de reglementare
47
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
ANEXE
Anexa nr.1
Structura cadrului instituțional aferent AMP
Consiliul Raional
Ministerul Sănătății, Muncii și Protecției Sociale Agenția Națională pentru Sănătate Publică Consiliul municipal Chișinău
(Structură de coordonare a sectorului sănătății)
Centrul de Sănătate
de nivel raional / Centre de
Spitale Raionale(34) Sănătate Spitale Clinice
Centrul Medicilor de CMF(0) AMT(5)
familie(6) (autonome)(240) Republicane(2)
Direcția Sănătății a
Spitale Clinice
Consilului municipal
Municipale(1)
Centre de Sănătate Chișinău
Centre de Sănătate
(fără
(fără
autonome)(52) CIMF(0) CS(14)
autonome)(10)
Oficii de
Oficii de
sănătate(330)
sănătate(30)
Legendă
Subordonare administrativă
Raportare
Anexa nr.2
Analiza corectitudinii datelor generate din SIA AMP în perioada decembrie 2018 – ianuarie 2019
Situația din: Tipuri de institutii Total Total programări Programări Total grafice de Total rețete Total consulturi Total angajări
instituții online lucru
Decembrie 2018 IMSP CS, CMF autonome 259 7 180 076 125 270 156 784 716 804 149 074 13015
IMSP SR 32 827 121 128 944 16 298 27 5 265 1373
IM Private 10 150 594 2 207 8 689 12 645 4 408 249
Total 301 8 157 791 256 421 181 771 729 476 158 747 14637
Ianuarie 2019 IMSP CS, CMF autonome 259 7 180 038 125 269 156 783 716 803 195 066 13015
IMSP SR 32 827 114 128 944 16 298 27 6 792 1373
Private 10 150 593 2 207 8 689 12 645 5 321 249
Total 301 8 157 745 256 420 181 770 729 475 207 179 14637
Diferențe: IMSP 0 -38 -1 -1 -1 45 992 0
(ianuarie 2019- IMSP SR 0 -7 0 0 0 1 527 0
decembrie 2018) Institutii Private 0 -1 0 0 0 913 0
Sursă: Date sistematizate de către auditor în baza informațiilor extrase din SIA AMP și prezentate de către responsabilul din cadrul MSMPS.
49
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Anexa nr.3
Interconexiunea SIA AMP cu alte SI și registre de stat
Sursă: Prezentată de către responsabilii MSMPS la solicitarea echipei de audit în cadrul misiunii de follow-up.
50
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
Anexa nr.4
Analiza nivelului de implementare a recomandărilor și de executare a cerințelor de către entitățile vizate
în Hotărârea Curții de Conturi nr.48 din 05.12.2016
Numărul cerinței/ Centrul Național pentru Ministerul Compania ÎS CRIS IMSP IMSP IMSP „Clinica Ministerul Centrul de
recomandării Protecția Datelor cu Sănătății/ Națională de „Registru” AMT „CMF Universitară de Tehnologiei Guvernare
Caracter Personal MSMPS Asigurări în „Centru” mun. Asistență Medicală Informației și Electronică
Medicină Bălți” Primară” Comunicațiilor
2.1.1 P
2.1.2 E
2.2.1 E
2.2.2 P
Cerințe
2.2.3 P
2.2.4 E
2.2.5 P
2.3 E E E
2.4 E E
2.5 E E
1 E
2 E
3 P
4 P
5 P
6 E
Recomandări
7 N
8 N
9 E
10 P
11 P
12 P
13 P
14 P
15 E
16 P
51
CURTEA DE CONTURI A REPUBLICII MOLDOVA
Direcția audit TI
17 P
18 P
19 P
20 P
21 P
22 P
23 P
24 N
25 P
26 P
27 E
28 E
29 E E E
30 E E E
31 E E E
32 P P P
33 P P P
34 E E E
35 E E E
E (Executat) 5 5 1 1 6 6 6 1 1
P (Parțial
Total
Executată) 7 15 0 0 2 2 2 0 0
N
(Neexecutat) 2 1 0 0 0 0 0 0 0
Sursă: Elaborat de către auditor în baza informațiilor analizate și testărilor efectuate pe parcursul misiunii de follow-up.
52