RO-curtea de Conturi

Anexă
la Hotărârea Curții de Conturi

nr.15 din 27 martie 2019
CURTEA DE CONTURI A REPUBLICII MOLDOVA
MD-2001, mun. Chișinău, bd. Ştefan cel Mare și Sfânt nr.69, tel.: (+373) 22 23 25 79, fax: (+373) 22 23 30 20, www.ccrm.md;
e-mail: ccrm@ccrm.md
RAPORTUL
misiunii de follow-up al auditului TI „Cum se asigură protecția datelor cu
caracter personal în domeniul asistenței medicale primare, prelucrate în cadrul
sistemelor informaționale automatizate?”
(Hotărârea Curții de Conturi nr.48 din 05 decembrie 2016)
Chișinău, 2019
CUPRINS
LISTA ACRONIMELOR ..................................................................................................................................... 1
GLOSAR .......................................................................................................................................................... 2
SINTEZA ......................................................................................................................................................... 3
INTRODUCERE ............................................................................................................................................... 4
SFERA ȘI ABORDAREA misiunii de follow-up .................................................................................................. 5
I. CONSTATĂRI ............................................................................................................................................. 7
1.1. Măsurile întreprinse pentru executarea cerințelor expuse în Hotărârea Curții de Conturi nu au
asigurat în deplină măsură eliminarea neajunsurilor constatate de auditul precedent ............................. 7
2.2. Nivelul de implementare a recomandărilor din Raportul misiunii de audit precedente atestă
insuficiența, după caz, ineficiența măsurilor întreprinse în perioada de referință de către factorii de
decizie, fapt ce condiționează persistența neajunsurilor constatate anterior de Curtea de Conturi ........16
II. CONCLUZII GENERALE ............................................................................................................................44
III. RECOMANDĂRI ........................................................................................................................................45
IV. Echipa de audit a Curții de Conturi .........................................................................................................47
ANEXE . ........................................................................................................................................................48
Anexa nr.1. Structura cadrului instituțional aferent AMP ........................................................................48
Anexa nr.2. Analiza corectitudinii datelor generate din SIA AMP în perioada decembrie 2018 – ianuarie
2019.........................................................................................................................................................49
Anexa nr.3. Interconexiunea SIA AMP cu alte SI și registre de stat ..........................................................50
Anexa nr.4. Analiza nivelului de implementare a recomandărilor și executare a cerințelor de către
entitățile vizate în Hotărârea Curții de Conturi nr.48 din 05.12.2016 ......................................................51
LISTA ACRONIMELOR
AMP Asistența medicală primară
AMT Asociația Medicală Teritorială
BCP Business Continuity Plan (Plan de continuitate în afaceri)
BM Banca Mondială
CNAM Compania Națională de Asigurări în Medicină
CC Curtea de Conturi
CGE Centrul de Guvernare Electronică
COI Common Object Interface (Interfață comună a obiectelor)
CMF Centrul Medicilor de Familie
CNF Cerințe nonfuncționale
CNPDCP Centrul Național pentru Protecția Datelor cu Caracter Personal
CR Consiliul Raional
CS Centrul de Sănătate
DRP Disaster Recovery Plan (Plan de recuperare în caz de dezastru)
IaaS Infrastructura ca serviciu
ID Nume de utilizator/identificator de utilizator
IMSP Instituție medico-sanitară publică
ISA Instituția Supremă de Audit
Î.S. „CRIS Întreprinderea de Stat „Centrul Resurselor Informaționale de Stat „Registru””
„Registru””
M-Cloud Platforma tehnologică comună a Guvernului Republicii Moldova ce se
implementează pe baza tehnologiei Cloud Computing
Serviciul electronic guvernamental de autentificare şi control al accesului
MPass
(MPass)
MS Ministerul Sănătății, începând cu anul 2017, după reforma APC, MSMPS
MTIC Ministerul Tehnologiei Informației și Comunicațiilor
OMF Oficiul Medicilor de Familie
OS Oficiul de Sănătate
REODCP Registrul de evidență al operatorilor de date cu caracter personal
RM Republica Moldova
RRSIS Registrul resurselor şi sistemelor informaționale de stat
RSP Registrul de Stat al Populației
SIA AMP Sistemul Informațional Automatizat pentru Asistența Medicală Primară
SIA Sistemul Informațional Automatizat
SI Sistemul Informațional
SIIS Sistemul Informațional Integrat în Sănătate
ÎS STISC Întreprinderea de Stat Serviciul Tehnologia Informației și Securitate Cibernetică
TI Tehnologii Informaționale
TIC Tehnologii Informaționale şi Comunicații
UE Uniunea Europeană
VPN Rețea virtuală privată (Virtual Private Network)
GLOSAR
Acceptanță acord formal ca un serviciu TI, proces sau alte livrabile să fie complete, corecte, de încredere și să
satisfacă cerințele specificate
Administrator global persoană cu studii în domeniul TI, care cunoaște noțiunile medicale, din cadrul MS (echipei tehnice de
implementare), responsabilă de gestionarea, auditul, monitorizarea corespunderii informației,
modificarea, anularea și operarea resurselor SI pentru folosirea acestora de către alți utilizatori
Administrator local persoană din cadrul instituției medicale, responsabilă de gestionarea, auditul utilizatorilor și operarea
drepturilor de acces pentru folosirea de către alți utilizatori a resurselor SI
Autentificare verificarea identificatorului atribuit subiectului de acces, confirmarea autenticității
Bază de date totalitate de date, organizate conform unei structuri conceptuale, ce descriu caracteristicile principale
şi raporturile dintre esențe, destinată unui domeniu sau mai multor domenii de aplicare
Back-up/ copierea datelor pentru a fi protejate împotriva pierderii sau distrugerii integrității ori disponibilității
copii de rezervă originalului
Cerință/ informațiile prezentate de către entitatea auditată/alte organe și instituții vizate în dispozitivul hotărârii
recomandare care atestă faptul că au fost întreprinse măsurile necesare în vederea realizării recomandării/cerinței
executată/ înaintate, fiind eliminate neajunsurile constatate de auditul precedent
implementată
Cerință/recomandare informațiile prezentate de către entitate nu sunt complete, fie măsurile întreprinse nu sunt suficiente,
parțial executată/ fiind doar inițiate unele proceduri, acțiuni, neajunsurile și carențele constatate de auditul precedent
implementată persistând și în perioada supusă verificării
Cerință/recomandare entitatea nu a întreprins măsurile necesare, fie nu a prezentat nicio informație care ar atesta
neexecutată/ întreprinderea unor măsuri în vederea conformării la cerințele și/sau recomandările înaintate, sau
neimplementată acțiunile întreprinse nu sunt adecvate
Ciclu de viață diferite stadii din viața unui Serviciu TI, unui element de configurație, incident, unei probleme, schimbări
etc. Ciclul de viață definește categoriile pentru starea și tranzițiile stării care sunt permise
Controale TI activități specifice desfășurate de persoane sau sisteme concepute pentru a se asigura că obiectivele de
afaceri sunt îndeplinite. Acestea sunt un subset de controale interne ale unei întreprinderi. Controalele
TI se referă la confidențialitatea, integritatea şi disponibilitatea datelor, precum şi la gestionarea
generală a funcției TI ale întreprinderii
Date cu caracter orice informație referitoare la o persoană fizică identificată sau identificabilă (subiect al datelor cu
personal caracter personal). Persoana identificabilă este persoana care poate fi identificată, direct sau indirect,
prin referire la un număr de identificare sau la unul ori mai multe elemente specifice identității sale
fizice, fiziologice, psihice, economice, culturale sau sociale
Dezvoltare proces responsabil de crearea sau modificarea unui serviciu TI ori a unei aplicații. De asemenea, este
folosit pentru a se referi la un rol sau la un grup care îndeplinește o muncă de dezvoltare
Externalizare a serviciu furnizat unuia sau mai multor clienți/beneficiari de către un furnizor de servicii TI. Un serviciu
serviciilor TI TI se bazează pe folosirea TIC și este alcătuit dintr-o combinație de persoane, procese și tehnologii și ar
trebui să fie definit într-un Acord de nivel serviciu agreat/SLA exhaustiv
Help Desk punctul unic de contact între furnizorul de servicii și utilizatori. Un Help Desk/Service Desk tipic
administrează incidentele şi cerințele de servicii și, de asemenea, gestionează comunicarea cu
utilizatorii
Misiune de follow-up acțiune privind verificarea și evaluarea nivelului de implementare a cerințelor și recomandărilor de audit
dispuse printr-o Hotărâre a Curții de Conturi
Mentenanță ansamblu de activități tehnico-organizatorice care au drept scop asigurarea funcționării sistemului la un
nivel agreat de disponibilitate. Prin activități se pot înțelege atât operațiile de întreținere a
componentelor sistemului informatic, cât şi de creare de procese, funcționalități noi destinate să asigure
funcționarea normală sau dezvoltarea sistemului
Modul/e SIA AMP este conceput într-un mod modular, facilitând integrarea ușoară și dezvoltarea de noi
funcționalități, extinderea modulelor și interacțiunea de funcționalități generice
Operator de date cu persoana fizică sau persoana juridică de drept public sau de drept privat, inclusiv autoritatea publică,
caracter personal orice altă instituție ori organizație care, în mod individual sau împreună cu altele, stabileşte scopurile şi
mijloacele de prelucrare a datelor cu caracter personal, prevăzute în mod expres de legislația în vigoare
Sistem informațional totalitate de resurse şi tehnologii informaţionale interdependente, de metode şi de personal, destinată
păstrării, prelucrării şi furnizării de informaţie
Tehnologia folosirea tehnologiei pentru stocarea, comunicarea și procesarea informației. În mod tipic, tehnologia
informației (TI) include calculatoare, telecomunicații, aplicații și alte software-uri. Informația poate include date ale
afacerii, voce, imagini, video etc. Tehnologia informației este adesea folosită pentru a sprijini procesele
afacerii/de business prin intermediul serviciilor TI
Utilizator persoană care acționează sub autoritatea deținătorului de date cu caracter personal, cu drept
recunoscut de acces la sistemele informaționale de date cu caracter personal
Direcția audit TI
SINTEZA
Rezultatele misiunii de verificare relevă că, deși au fost întreprinse unele măsuri rezultative, acestea nu au
asigurat în măsură deplină executarea cerințelor și implementarea recomandărilor înaintate, astfel atestându-
se un nivel relativ redus de executare a cerințelor și implementare a recomandărilor înaintate de auditul
precedent. Acest fapt denotă persistența unor probleme identificate de auditul precedent și în perioada supusă
verificării (2017-2018), cu sporirea gradului de materializare a riscurilor aferente. Totodată, se relevă anumite
progrese în aspecte de reglementare și consolidare a controalelor aferente SIA ce prelucrează date din
domeniul asistenței medicale primare (AMP). Reieșind din cele expuse, se relevă că, din totalul de 45 de cerințe
și recomandări de audit formulate și înaintate prin Hotărârea Curții de Conturi nr.48 din 05.12.20161 (10 cerințe
din Hotărârea Curții de Conturi și 35 de recomandări din Raportul de audit), au fost implementate/executate
integral 15 cerințe și recomandări, parțial implementate – 26, și neimplementate /neexecutate – 4 cerințe și
recomandări. O analiză mai în detaliu a nivelului de implementare/executare a recomandărilor și cerințelor
înaintate prin Hotărârea nominalizată se prezintă în Anexa nr.4 la prezentul Raport.
De menționat că, printre cauzele ce au generat gradul relativ redus de implementare a
recomandărilor, se pot evidenția: capacitățile instituționale insuficiente ale instituțiilor auditate, inclusiv
în domeniul managementului proiectelor și tehnologiilor informaționale, precum și neasigurarea
memoriei instituționale, în contextul fluctuației frecvente a personalului; modificările în cadrul normativ
și instituțional, procesul îndelungat de legiferare a actelor normative etc.
Cele reflectate în constatările de audit indică asupra unei serii de aspecte importante, care necesită
intervenții stringente, în acest sens fiind înaintate un șir de recomandări pentru remedierea
neconformităților și îmbunătățirea activității în domeniile auditate.
În context, identificarea și asigurarea realizării soluțiilor și condițiilor optime ce ar contribui la
consolidarea cadrului instituțional și procedural aferent domeniului, precum și protecția adecvată a
datelor personale constituie o premisă necesară pentru atingerea scopului scontat în aspectul
conformării procedurilor și cerințelor de protecție a datelor cu caracter personal.
1 Hotărârea Curții de Conturi nr.48 din 05.12.2016 „Cu privire la Raportul de audit TI „Cum se asigură protecția datelor cu caracter personal
în domeniul asistenței medicale primare, prelucrate în cadrul sistemelor informaționale automatizate?”, în continuare – Hotărârea Curții
de Conturi nr.48 din 05.12.2016.
3
Direcția audit TI
INTRODUCERE
Curtea de Conturi, fiind motivată de importanța/relevanța modului de asigurare a protecției
datelor cu caracter personal, prelucrate în cadrul sistemelor informaționale, în calitate de Instituție
Supremă de Audit, membră a grupului de lucru EUROSAI privind auditul tehnologiilor informaționale (TI),
a participat, în anul 2016, la misiunea de audit paralel în domeniul respectiv, realizată în comun cu alte
3 Instituții Supreme de Audit (din Belgia, Malta și Lituania).
Auditul efectuat de Curtea de Conturi s-a axat pe evaluarea nivelului de protecție și supraveghere
a datelor cu caracter personal din domeniul medicinei primare, prelucrate în mod automatizat, inclusiv
pe verificarea dacă:
- cadrul normativ-legislativ este adecvat pentru asigurarea protecției datelor cu caracter personal,
îndeosebi a celor privind starea de sănătate, și corespunde legislației europene în domeniu;
- CNPDCP, în calitate de autoritate națională de supraveghere a protecției datelor cu caracter
personal, dispune de instrumente/pârghii suficiente și adecvate pentru monitorizarea prelucrării datelor
cu caracter personal (privind starea de sănătate) și le aplică în mod corespunzător;
- Ministerul Sănătății și instituțiile medicale ce prestează servicii medicale primare dispun de
controale generale adecvate și suficiente pentru a proteja datele cu caracter personal, în special datele
privind starea de sănătate, la prelucrarea acestora în sistemele informaționale automatizate.
Rezultatele auditului, aprobate prin Hotărârea Curții de Conturi nr.48 din 05.12.2016, au relevat
că, per ansamblu, cu unele rezerve de îmbunătățire, sunt asigurate condițiile necesare protecției datelor
cu caracter personal, în conformitate cu cerințele UE, inclusiv din domeniul asistenței medicale primare,
prin instituirea unui cadru normativ-legislativ relevant, a unei autorități naționale responsabile de
monitorizarea și controlul prelucrării datelor cu caracter personal etc. Totodată, auditul a constatat unele
probleme, vulnerabilități și deficiențe majore, precum și alți factori care pot afecta protecția datelor cu
caracter personal, inclusiv din domeniul medicinei primare, prelucrate în cadrul SIA atât la nivel național
(prin implementarea Sistemului Informațional Automatizat „Asistență Medicală Primară”, vezi Anexa nr.1
și Anexa nr.3 la prezentul Raport), cât și la nivelul instituțiilor medicale care prestează servicii de asistență
medicală primară. Acestea sunt generate de delegarea inechitabilă a responsabilităților/atribuțiilor în
raport cu capacitățile disponibile (resurse umane, financiare etc.) ale instituțiilor responsabile vizate în
Raportul auditului precedent. De rând cu acestea, lipsa unei viziuni strategice/decizii unice în domeniul
automatizării asistenței medicale primare, a unui control adecvat din partea entităților responsabile în
acest sens, precum și nedelimitarea clară a responsabilităților/competențelor în cadrul sistemului de
asistență medicală primară (MS, APL/CR) au generat dezvoltarea și utilizarea individuală la nivelul IMSP
a SI pentru automatizarea proceselor în domeniu, condiționând costuri financiare pentru
dezvoltarea/achiziționarea, administrarea și asigurarea mentenanței acestora și riscuri majore privind
protecția datelor și securitatea informației respective.
În acest context, se necesită consolidarea cadrului normativ relevant domeniului, a capacităților
instituționale ale CNPDCP, MS (pentru gestiunea ulterioară a SIA AMP, sistem prevăzut a fi implementat
conform Acordului de Asociere Republica Moldova – Uniunea Europeană), și ale IMSP ce prestează servicii
de asistență medicală primară, precum și responsabilizarea autorităților în vederea
implementării/respectării cerințelor de securitate a datelor cu caracter personal la prelucrarea acestora
în SI. La fel, asigurarea unei conlucrări eficiente între factorii implicați în domeniul aferent tematicii
auditului, cu întreprinderea măsurilor necesare pentru implementarea recomandărilor înaintate de audit,
4
Direcția audit TI
în vederea înlăturării neajunsurilor elucidate în prezentul Raport vor conduce la realizarea scopurilor
propuse (implicit, în aspectul protecției datelor speciale cu caracter personal).
În scopul remedierii neajunsurilor, disfuncționalităților, precum și redresării situației atestate,
Curtea de Conturi, prin Hotărârea nr.48 din 05.12.2016, a înaintat autorităților responsabile (CNPDCP,
MS, CNAM, IMSP auditate, precum și altor organe responsabile) 10 cerințe, dintre care 5 vizează
implementarea recomandărilor din Raportul de audit, precum și 35 de recomandări expuse în Raportul
de audit anexat la Hotărârea Curții de Conturi sus-menționată.
Prezenta misiune de follow-up a fost planificată și realizată în temeiul prevederilor Legii nr.260 din
07.12.20172, Programelor activității de audit a Curții de Conturi pe anii 20183 și, respectiv, 20194 și în
conformitate cu Standardele Internaționale de Audit relevante, puse în aplicare de Curtea de Conturi5,
Manualul de audit TI al Curții6 și bunele practici în domeniul auditului TI7, în scopul evaluării nivelului de
conformare a entităților vizate în dispozitivul Hotărârii respective, cu cuantificarea acțiunilor întreprinse
și identificarea impedimentelor, factorilor subiectivi și obiectivi care au condiționat neexecutarea
cerințelor și neimplementarea recomandărilor înaintate.
SFERA ȘI ABORDAREA AUDITULUI

Pornind de la premisa că auditul follow-up reprezintă o etapă importantă a auditului publici extern,
obiectivul general al misiunii de audit a constat în evaluarea caracterului adecvat și a oportunității
acțiunilor întreprinse de autoritățile vizate pentru executarea cerințelor și implementarea
recomandărilor înaintate de auditul precedent, stabilind dacă entitatea auditată a abordat problemele
în mod adecvat, iar acțiunile corective au remediat situația/neajunsurile constatate. Astfel, în vederea
realizării obiectivului general, prezentul audit și-a propus următoarele obiective specifice:
 factorii de decizie responsabili au întreprins măsurile necesare în vederea conformării la cerințele
și recomandările înaintate de auditul precedent?
 măsurile întreprinse în vederea implementării cerințelor și recomandărilor de audit au avut un
efect pozitiv, eliminând neajunsurile constatate de auditul precedent?
Sfera misiunii de follow-up a constituit acțiunile întreprinse de către entitățile vizate în Hotărârea
Curții de Conturi nr.48 din 05.12.2016 în perioada 2017-2018 (în continuare – perioada de referință), și
anume la: CNPDCP, MS, IMSP AMT „Centru”, IMSP CMF Bălți, IMSP Clinica Universitară de Asistenţă
Medicală Primară a USMF „Nicolae Testemiţanu" (în continuare – IMSP „Clinica Universitară de AMP”),
suplimentar fiind colectate probe de audit de la unele IMSP ce prestează servicii de asistență medicală
primară (AMT „Botanica”, AMT „Buiucani”, AMT „Râșcani”, AMT „Ciocana”, Centrele de Sănătate Orhei,
Călărași, Cimișlia, Spitalul Raional Orhei).
2 Legea nr.260 din 07.12.2017 privind organizarea și funcționarea Curții de Conturi a Republicii Moldova, cu modificările și completările
ulterioare, în continuare – Legea nr.260 din 07.12.2017.
3 Hotărârea Curții de Conturi nr.75 din 29.12.2017 „Cu privire la aprobarea Programului activității de audit a Curții de Conturi pe anul 2018”,
cu modificările și completările ulterioare.

4 Hotărârea Curții de Conturi nr.100 din 21.12.2018 „Cu privire la aprobarea Programului activității de audit a Curții de Conturi pe anul
2019”, cu modificările și completările ulterioare.

5 ISSAI 100 „Principiile fundamentale ale auditului sectorului public”, ISSAI 400 „Principiile fundamentale ale auditului de conformitate”,
ISSAI 5300 „Linii directorii privind auditul TI” și ISSAI 5310 „Metodologia de revizuire a Sistemelor de securitate informațională – Ghidul
privind revizuirea sistemelor de securitate informațională în autoritățile publice”, puse în aplicare prin Hotărârile Curții de Conturi nr.60 din
10.12.2013 și, respectiv, nr.7 din 10.03.2014.
6 Manualul de audit al tehnologiilor informaționale, aprobat prin Hotărârea Curții de Conturi nr.69 din 30.12.2010.
7 COBIT 4.1.– Cadrul de referință, Obiectivele controlului, Ghiduri pentru management, Modele de maturitate (în continuare – COBIT 4.1.).
5
Direcția audit TI
Reieșind din specificul acțiunii de follow-up, precum și ținând cont de obiectivele de audit prestabilite, a
fost selectată o abordare de audit combinată (pe probleme și pe rezultate), prin determinarea progreselor
înregistrate, precum și identificarea riscurilor şi limitărilor, a eventualelor metode de ameliorare a situației
pentru eficientizarea activității instituțiilor din domeniu. De menționat că, la evaluarea nivelului de
conformare a entității cu cerințele și recomandările înaintate de Curte, au fost examinate acțiunile planificate
de MS8 și cele efectiv întreprinse, precum și efectele/rezultatele obținute în acest sens.
În calitate de criterii de audit au servit carențele/deficiențele constatate de auditul precedent, precum
și pe cerințele/recomandările înaintate în acest sens.
În scopul acumulării unor probe de audit suficiente și relevante, au fost realizate principalele proceduri
de audit, precum: contrapunerea informațiilor prezentate de către entitățile vizate, observarea directă,
examinarea documentelor, aplicarea interviurilor şi a chestionarelor. În cadrul misiunii au fost colectate,
sintetizate, analizate şi interpretate toate tipurile de probe de audit: fizice, verbale, documentare și analitice.
De menționat că rezultatele misiunii de follow-up au fost expuse în prezentul Raport, axându-se
pe următoarele aspecte:
 constatarea auditului precedent cu privire la carențele/neajunsurile identificate cu referire la
domeniul auditat;
 cerința/recomandarea înaintată prin Hotărârea Curții de Conturi nr.48 din 05.12.2016;
 sinteza acțiunilor realizate de către entitatea vizată în dispozitivul Hotărârii în vederea remedierii
neajunsurilor constatate;
 concluziile auditului urmare a procedurilor de audit efectuate, cu evaluarea nivelului de
implementare a cerinței/recomandării;
 concluziile generale ale misiunii de verificare, precum și recomandările înaintate.
8 Planul de acțiuni privind implementarea recomandărilor Curții de Conturi expuse în Raportul auditului TI privind protecția datelor cu
caracter personal prelucrate în SI din domeniul asistenței medicale primare, elaborat și aprobat de MS în decembrie 2016.
6
Direcția audit TI
I. CONSTATĂRI
1.1. Măsurile întreprinse pentru executarea cerințelor expuse în Hotărârea Curții de Conturi
nu au asigurat în deplină măsură eliminarea neajunsurilor constatate de auditul precedent.
Pe parcursul perioadei de referință au fost întreprinse anumite acțiuni în vederea eliminării
neajunsurilor constatate de auditul precedent, precum și sporirii eficienței și performanței SIA din
domeniul AMP, fiind înregistrate anumite progrese. Totuși, acestea nu au fost suficiente și adecvate
pentru atingerea impactului scontat. Lipsa/insuficiența capacităților instituționale ale CNPDCP pentru
exercitarea conformă a atribuțiilor legale, ale MSMPS pentru gestionarea eficientă a Sistemului,
neasigurarea memoriei instituționale la nivelul posesorului SIA AMP, a continuității activităților realizate
pe parcursul perioadei de referință condiționează riscuri majore privind protecția datelor și
sustenabilitatea SIA. Acest fapt impune intervenirea promptă a managementului instituțiilor respective,
prin decizii optime și rezonabile, în vederea gestionării riscurilor aferente SIA și sporirii eficacității
acestuia.
Cerința auditului precedent Acțiuni întreprinse
2.1.1. CNPDCP să întreprindă acțiunile corespunzătoare au fost întreprinse unele acțiuni în vederea remedierii
în vederea implementării recomandărilor expuse în neajunsurilor constatate de auditul precedent, aspecte
Raportul de audit reflectate în continuare în prezentul Raport
Efectul măsurilor întreprinse: deși au fost întreprinse anumite acțiuni, acestea, în mare parte, nu au atins impactul scontat.
Astfel, nu a fost asigurată eliminarea neajunsurilor/carențelor constatate de auditul precedent, acestea persistând și în
perioada de referință (2017-2018). Totodată, auditul relevă că unele acțiuni întreprinse creează premisele necesare
pentru îmbunătățirea situației constatate, impactul acestora urmând a se materializa ulterior
Verificările auditului precedent atestă o preocupare insuficientă privind siguranța datelor și

informațiilor cu caracter personal (îndeosebi a celor ce vizează starea de sănătate) prelucrate în cadrul
sistemelor informaționale (SI), deținute de către autoritățile publice, precum și privind asigurarea
condițiilor necesare în acest sens. Totodată, s-a evidențiat necesitatea alinierii la cerințele legislației
europene cu referire la protecția datelor cu caracter personal, revizuirii și ajustării cadrului normativ în
domeniu, potrivit noilor necesități apărute pe parcurs, inclusiv prin elaborarea unor instrucțiuni sectoriale
(în domeniul medical) privind protecția unor astfel de informații, precum și asigurarea condițiilor
rezonabile/suficiente pentru realizarea monitorizării/controlului corespunzător asupra aplicării conforme
a acestora. În același context, s-a relevat că CNPDCP, în calitatea sa de garant al respectării protecției
datelor cu caracter personal, din cauza insuficienței capacităților necesare (inclusiv de resurse umane,
financiare), precum și a unor proceduri adecvate nu a intervenit în măsura corespunzătoare, prin
utilizarea pârghiilor/instrumentelor legale disponibile, pentru aducerea în concordanță cu norma legală
prelucrarea datelor cu caracter personal din domeniul medical, evidențiind, totodată, și necesitatea
consolidării procedurilor interne în scopul asigurării gestionării adecvate a riscurilor aferente activității
Centrului.
Evaluând activitățile realizate de către CNPDCP pe parcursul perioadei de referință în vederea
conformării cu cerințele și recomandările înaintate de Curte prin Hotărârea nr.48 din 05.12.2016, se
atestă un grad de executare relativ redus. Astfel, din totalul de 12 recomandări înaintate, 4 (33%) au fost
calificate ca fiind implementate, 6 (50%) recomandări – parțial implementate, iar 2 (17%) recomandări –
neimplementate. Analiza nivelului de implementare a recomandărilor înaintate de auditul precedent al
Curții de Conturi se prezintă în Figura nr.1 din prezentul Raport.
7
Direcția audit TI
Figura nr.1. Analiza gradului de implementare de către CNPDCP a recomandărilor înaintate de Curtea de
Conturi urmare a auditului precedent, în perioada 2017 – 2018
33%
50% implementate
neimplementate
17% parțial implementate
Sursă: Elaborat de către auditor în baza procedurilor de audit efectuate.

Reieșind din faptul că acțiunile întreprinse de entitatea vizată nu au asigurat în deplină măsură
eliminarea neajunsurilor constatate, contribuind, totodată, la crearea condițiilor necesare îmbunătățirii
situației atestate, auditul consideră cerința ca fiind executată parțial.

2.1.2. CNPDCP să examineze, în comun cu Ministerul La solicitarea CNPDCP, Ministerul Finanțelor a identificat
Finanțelor, după caz, cu alte autorități, posibilitatea și planificat în CBTM 2018-2020 mijloace financiare
identificării mijloacelor financiare necesare pentru pentru asigurarea lucrărilor de mentenanță, după caz,
dezvoltarea Registrului de evidență a operatorilor de date cu ajustarea și actualizarea SIA REODCP
caracter personal, cu includerea acestora în bugetul
instituției
Efectul măsurilor întreprinse: identificarea preliminară a necesităților de dezvoltare, planificare a resurselor financiare
pentru dezvoltarea SIA. Totuși, nefiind realizate, pe parcursul perioadei verificate, ajustări/actualizări necesare în Sistem,
nu s-a asigurat eliminarea neajunsurilor constatate, inclusiv valorificarea potențialelor beneficii și oportunități ale SIA
respectiv
Verificările auditului precedent a constatat un șir de neajunsuri și carențe aferente funcționării și
performanței SIA Registrul de evidență a operatorilor de date cu caracter personal (SIA REODCP).
Totodată, auditul denotă că SIA respectiv, dezvoltat și implementat corespunzător, ar constitui un
instrument eficient în procesul monitorizării prelucrării datelor cu caracter personal, inclusiv prin oferirea
rapoartelor aferente activității Centrului. În aceeași ordine de idei, auditul relevă că, deși potrivit
Conceptului SIA9, Registrul urma să reprezinte „instrumentul cheie care va automatiza activitatea
CNPDCP”, oferind facilități de recepționare şi procesare on-line a solicitărilor din partea operatorilor de
date cu caracter personal şi subiecților datelor cu caracter personal, emiterea deciziilor, generarea
rapoartelor de analiză şi monitorizare a situației la zi la momentul desfășurării activității de audit
precedente, acesta nu asigură oferirea în totalitate Centrului a celor specificate, îndeosebi a rapoartelor
necesare activității instituției.
Prezenta misiune relevă că, deși au fost planificate resurse pentru dezvoltarea SIA respectiv,
precum și planificate, potrivit Planului de acțiuni privind implementarea recomandărilor înaintate de
Curte, a activităților de evaluare a necesităților de dezvoltare a SIA REODCP în scopul eficientizării
9 Cap.
I pct.1 alin.3) din Hotărârea Guvernului nr.883 din 25.11.2011 „Cu privire la aprobarea Conceptului tehnic al sistemului informațional
automatizat „Registrul de stat al operatorilor de date cu caracter personal” (în continuare – Hotărârea Guvernului nr.883 din 25.11.2011).
8
Direcția audit TI
activității Centrului, pe parcursul perioadei de referință, nu au fost realizat/ă un studiu/analiză a

necesităților de dezvoltare a Sistemului, nici efectuate ajustări/modificări în Sistem.
Potrivit motivației CNPDCP, noile reglementări din proiectul Legii privind protecția datelor cu
caracter personal10 nu prevăd obligativitatea operatorilor de date cu caracter personal de a se înregistra
la Centru în calitate de operatori de date cu caracter personal în formula actuală, adică prin intermediul
resursei informaționale automatizate vizate. Astfel, în vederea racordării cadrului național din domeniul
protecției datelor cu caracter personal la noile reglementări și proceduri europene, potrivit proiectului de
Lege menționat supra, operatorii de date cu caracter personal în mare parte vor stabili individual măsurile
de securitate la prelucrarea datelor în SI. În opinia auditului, lipsa unor prevederi exprese în proiectul de
Lege nominalizat referitor la existența și funcționarea Registrului respectiv, nu rezultă nemijlocit în
lichidarea Registrului. Or, necesitatea dezvoltării și menținerii Sistemului rezidă și din scopul, obiectivele
și beneficiile acestuia în eficientizarea activității Centrului.
Reieșind din cele constatate, auditul atestă implementarea cerinței. Totodată, în contextul
adoptării proiectelor de lege nominalizate, aceasta își va pierde actualitatea/relevanța.
2.2.1. MS să examineze rezultatele auditului în cadrul ședinței Rezultatele auditului Curții de Conturi au fost
Colegiului Ministerului Sănătății, în scopul informării acestuia despre examinate în cadrul Colegiului. Ca urmare, a
rezultatele auditului și intensificării eforturilor necesare pentru asigurarea fost emis Ordinul MS nr.919 din 25.11.2016
funcționării adecvate a SIA AMP, cu respectarea prevederilor cu referire prin care a fost aprobat planul de acțiuni
la protecția datelor cu caracter personal din domeniul medical privind implementarea recomandărilor Curții
de Conturi
Efectul măsurilor întreprinse: stabilirea acțiunilor necesare pentru remedierea carențelor și disfuncționalităților constatate
de auditul precedent, cu determinarea responsabililor și a termenelor de realizare a acestora
În contextul celor menționate, auditul atestă executarea cerinței înaintate.

Cerința auditului Acțiuni întreprinse
precedent
2.2.2. MS să întreprindă - în conformitate cu Ordinul MS nr.919 din 25.11.2016, a fost instituit grupul de lucru
măsurile necesare în responsabil de întreprinderea măsurilor, au fost stabilite obiectivele, subdiviziunile
vederea eliminării responsabile și termenele preconizate de execuție, elaborat și aprobat planul de acțiuni
deficiențelor privind implementarea recomandărilor;
constatate de audit, - a fost emisă Dispoziția MS nr.731 d din 24.11.2016, prin care a fost instituit grupul de lucru
prin implementarea responsabil de elaborarea și definitivarea actelor normative necesare pentru implementarea
recomandărilor expuse și darea în exploatare a SIA AMP;
în Raportul de audit - au fost întreprinse un șir de măsuri menite să elimine neajunsurile și problemele constatate
de auditul precedent (aspecte redate în continuare în prezentul Raport)
Efectul măsurilor întreprinse: remedierea unor carențe și neconformități constatate de auditul precedent, precum și
crearea anumitor condiții necesare pentru îmbunătățirea situației aferente protecției datelor cu caracter personal în SIA
AMP. Totodată, insuficiența acțiunilor de remediere, precum și alți factori subiectivi sau obiectivi au condiționat
persistența unor probleme și neajunsuri elucidate de misiunea anterioară a Curții de Conturi, fapt care afectează
performanța și siguranța SI
10Proiect de lege votat la 30.11.2018 în prima lectură în Plenul Parlamentului, care rezonează și transpune Regulamentul (UE) 2016/679 al
Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu
caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE.
9
Direcția audit TI
Evaluând activitățile realizate de către MSMPS pe parcursul perioadei de referință în scopul

conformării cu cerințele și recomandările înaintate de Curte prin Hotărârea nr.48 din 05.12.2016, se
atestă un grad de executare relativ redus, fapt condiționat de o serie de factori obiectivi (modificările
operate în cadrul normativ și instituțional, fluctuația personalului implicat în implementarea SIA AMP,
precum și neasigurarea memoriei instituționale, procesul îndelungat de legiferare a actelor normative
etc.), cât și subiectivi (monitorizarea și, după, caz, implicarea insuficientă de către responsabili,
neasigurarea condițiilor suficiente în vederea eliminării integrale a neajunsurilor constatate). Astfel, din
totalul de 16 recomandări înaintate MS, dintre care 2 în comun cu CNAM și ÎS „CRIS „Registru””, 3 (18%)
au fost calificate ca fiind implementate, 12 (75%) recomandări – parțial implementate, iar 1 recomandare
(6%) – neimplementată, aspecte redate și în Figura nr.2 din prezentul Raport.
Figura nr.2. Analiza gradului de implementare a recomandărilor de către MS în perioada 2017-2018
implementate
19%
neimplementate
6%
parțial implementate
75%
implementate neimplementate parțial implementate
Sursă: Elaborat de către auditor în baza rezultatelor procedurilor de audit efectuate.
Reieșind din faptul că acțiunile întreprinse de entitatea vizată nu au asigurat în deplină măsură
eliminarea neajunsurilor constatate, auditul atestă executarea parțială a cerinței înaintate.
2.2.3. MS să întreprindă - prin Ordinul MSMPS nr.1499 din 14.12.201811, a fost aprobat Regulamentul cu privire
acțiunile corespunzătoare în la structura și funcționarea SIA AMP, precum și stabilite măsurile necesare pentru
vederea asigurării utilizarea Sistemului, inclusiv a celor de acces la acesta, precum și asigurarea protecției
conformării instituțiilor datelor și securității informațiilor în acest sens;
medicale din subordine la - prin Ordinul MSMPS nr.1497 din 14.12.201812, a fost aprobată Politica de securitate a
cadrul legal din domeniul datelor cu caracter personal în cadrul SIA, fiind stabilite responsabilitățile Prestatorilor
protecției datelor cu caracter de servicii de AMP privind întreprinderea măsurilor necesare pentru elaborarea și
personal, în special în partea implementarea Politicii de securitate la nivelul instituțiilor;
ce ține de identificarea - a fost elaborat și înaintat, în modul stabilit, proiectul Hotărârii Guvernului „Pentru
sistemelor de evidență alocarea semnăturilor electronice avansate calificate a utilizatorilor Sistemului
gestionate și înregistrarea în informațional automatizat „Asistența Medicală Primară””, care la moment este la etapa
calitate de operatori de date de consultare;
cu caracter personal - a fost elaborat conceptul Agenției Tehnologii Informaționale în Sănătate, care se
preconiza să preia sarcinile de administrare, mentenanță și audit a SIA AMP;
11 Ordinul MSMPS nr.1499 din 14.12.2018 „Cu privire la utilizarea Sistemului Informațional Automatizat Asistență Medicală Primară în cadrul
Prestatorilor de servicii medicale din Republica Moldova, care prestează servicii medicale de asistență medicală primară, precum și asistență
medicală specializată de ambulator”, în continuare – Ordinul MSMPS nr.1499 din 14.12.2018.
12 Ordinul MSMPS nr.1497 din 14.12.2018 „Cu privire la aprobarea Politicii de securitate a datelor cu caracter personal în cadrul Sistemelor
Informaționale Automatizate (SIA)”, în continuare – Ordinul MSMPS nr.1497 din 14.12.2018.

10
Direcția audit TI
- a fost aprobată Hotărârea Guvernului nr.164 din 07.03.201913, care stabilește

obligativitatea autentificării în SIA AMP prin serviciul guvernamental de autentificare
MPass;
- în scopul realizării Hotărârii Guvernului nr. 164 din 07.03.2019, a fost emis Ordinul
MSMPS nr.338 din 15.03.2019;
- conform prevederilor Hotărârii menționate, prin scrisoarea nr.01-6/40 din 15.03.2019,
Ministerul a remis Serviciului Tehnologii Informaționale și Securitate Cibernetică (STISC)
Lista prestatorilor de servicii medicale, care utilizează SIA AMP, în vederea creării
semnăturilor electronice avansate utilizatorilor Sistemului respectiv. De asemenea, prin
Ordinul menționat au fost indicați prestatorilor de servicii medicale pașii care necesită a
fi întreprinși pentru a solicita crearea semnăturilor electronice pentru utilizatorii SIA
AMP
Efectul măsurilor întreprinse: crearea condițiilor privind asigurarea conformării instituțiilor medicale la prevederile
cadrului normativ aferent domeniului protecției datelor cu caracter personal, impactul acestora urmând a fi cuantificat
ulterior
Verificările efectuate în cadrul misiunii de follow-up denotă că acțiunile realizate de către Minister
în perioada de referință au creat condițiile necesare pentru asigurarea pe viitor a conformării cu cerințele
regulamentare în materie de securitate și protecție a datelor cu caracter personal. În context, se relevă
că, odată cu aprobarea Hotărârii Guvernului nr.138 din 27.02.2019, responsabilitatea privind
administrarea și dezvoltarea ulterioară a SIA AMP a fost delegată Companiei Naționale de Asigurări în
Medicină (CNAM). Astfel, actele normative care reglementează structura și modul de utilizare și
asigurare a securității SIA AMP urmează a fi ajustate la noile condiții/necesități.
Totodată, procedurile de audit realizate au determinat persistența unor carențe/disfuncționalități și
neajunsuri condiționate de insuficiența și, după caz, ineficiența măsurilor întreprinse în vederea
remedierii acestora, aspecte redate în continuare în prezentul Raport.
În contextul celor expuse, auditul atestă executarea parțială a cerinței înaintate.
2.2.4. MS să inițieze, de comun - pe parcursul perioadei de referință, MS a elaborat un set de acte normative care
cu instituțiile ale căror procese au reglementează structura și modul de utilizare și asigurare a securității datelor din SIA
fost automatizate și integrate în AMP, aspecte menționate anterior;
SIA AMP, o revizuire completă a - în scopul ajustării cadrului normativ la cerințele ce țin de punerea în aplicare a
cadrului normativ relevant sistemelor informaționale care includ procesarea datelor cu caracter personal în
activității lor, ținând cont de domeniul medical, MS a elaborat și înaintat în modul stabilit propunerile de rigoare
utilizarea SI respectiv în acest sens, pentru modificarea și completarea Hotărârii Guvernului nr.586 din 24.07.2017, care
cu înaintarea propunerilor de au fost aprobate prin Hotărârea Guvernului nr.283 din 04.04.201814
rigoare în modul stabilit
Efectul măsurilor întreprinse: crearea premiselor necesare pentru asigurarea funcționării conforme a SIA AMP
În contextul acțiunilor realizate pe parcursul perioadei de referință de către Minister, auditul

consideră cerința ca fiind executată.
Cerința auditului Acțiuni întreprinse
precedent
13 Hotărârea Guvernului nr.164 din 07.03.2019 „Privind modul de autentificare în Sistemul informațional automatizat „Asistența Medicală
Primară””, în continuare - Hotărârea Guvernului nr.164 din 07.03.2019.
14 Hotărârea Guvernului nr.283 din 04.04.2018 „Cu privire la modificarea şi completarea Hotărârii Guvernului nr.586 din 24 iulie 2017”.
11
Direcția audit TI
2.2.5. MS să asigure, - organizarea și realizarea ședințelor comune de lucru cu participarea MS și CNPDCP privind
de comun cu CNPDCP, conformarea SIA AMP la cerințele cadrului normativ relevant și asigurarea condițiilor necesare
conformarea pentru înregistrarea SIA AMP în REODCP deținut de Centru;
prelucrării datelor cu - CNPDCP s-a expus asupra unui set de documente elaborat de MS în vederea înregistrării SIA
caracter personal din AMP în SI REODCP, precum și a ghidat și oferit consultări MS și unor instituții medicale prin
domeniul medical la descrierea pașilor ce urmează a fi întreprinși în vederea înregistrării atât a SI din domeniu, cât și
cerințele legale necesitatea identificării altor sisteme de evidență a datelor cu caracter personal gestionate,
aferente pentru asigurarea conformării procesului de prelucrare a datelor personale la cadrul normativ din
domeniu;
- urmare a recomandărilor din partea CNPDCP, MS a definitivat și aprobat setul de acte care
reglementează structura, modul de utilizare și funcționare a SIA AMP, nominalizate anterior;
- pe parcursul anului 2018, în baza plângerilor înaintate de unii subiecți de date, CNPDCP a inițiat
5 controale ale legalității prelucrării datelor cu caracter personal în domeniul medical, în urma
cărora au fost emise decizii privind constatarea încălcării Legii privind protecția datelor cu
caracter personal de către instituții medicale sau angajați – cadre medicale din cadrul acestora,
inclusiv cu intervenirea în calitate de agent constatator
Efectul măsurilor întreprinse: asigurarea condițiilor necesare și asigurarea conformării prelucrării datelor la cerințele
cadrului legal în vigoare, cu înregistrarea, după caz, a unor instituții medicale în calitate de operator de date cu caracter
personal, inclusiv a sistemelor de evidență. Potrivit datelor prezentate de CNPDCP, în perioada 2017- 2018, 17 instituții
medicale s-au conformat prevederilor legale din domeniul protecției datelor personale, fiind înregistrate în SI REODCP, în
calitate de operatori cu mai multe sisteme de evidență gestionate. Totodată, deși au fost create condițiile necesare pentru
asigurarea funcționării conforme a SIA AMP, lipsa unui mecanism eficient de monitorizare condiționează riscuri aferente
atingerii rezultatelor scontate în acest sens
Examinările efectuate în cadrul misiunii de follow-up relevă că, deși s-a evidențiat intensificarea
activităților de înregistrare a instituțiilor medicale în SIA deținut de CNPDCP, precum și sporirea nivelului
de conștientizare a necesităților și cerințelor aferente domeniului protecției datelor, totuși, în opinia
auditului, acestea nu au fost în deplină măsură suficiente, fiind necesare măsuri continue de informare
și supraveghere a activităților de conformare a instituțiilor din domeniul medical la cerințele cadrului
normativ în domeniu. În context, urmare a procedurilor de audit efectuate, inclusiv a intervievărilor și
chestionărilor realizate în cadrul MSMPS și unor IMSP, s-a constatat că unele neconformități atestate de
auditul precedent (neînregistrarea în SIA REODCP, lipsa/insuficiența controalelor/instrucțiunilor aferente
protecției datelor, inclusiv în raport cu părțile terțe etc.), au persistat și pe parcursul perioadei de referință
(aspecte redate în continuare în prezentul Raport).
De menționat că, în perioada desfășurării misiunii de verificare, din 12 IMSP chestionate15, 6 IMSP16
s-au conformat cerințelor legale privind înregistrarea în calitate de operator de date cu caracter personal
în Registrul deținut de Centru, iar alte 3 IMSP17 au inițiat acțiunile necesare în acest sens. În contextul
celor expuse, cerința este calificată ca fiind parțial implementată.
15 IMSP „CMF Bălți”, IMSP „AMT „Ciocana””, IMSP „AMT „Buiucani””, IMSP „AMT „Râșcani””, IMSP „AMT „Botanica””, IMSP Centrele de
Sănătate nr.1 și nr.2 și IMSP Spitalul raional din Orhei, IMSP „Centrul de Sănătate” și IMSP Spitalul raional Călărași, IMSP „Centrul de
sănătate Cimișlia”, IMSP „Clinica Universitară de Asistență Medicală Primară”.
16 IMSP „CMF Bălți”, IMSP „AMT „Ciocana””, IMSP „AMT „Buiucani””, IMSP „AMT „Râșcani””, IMSP „AMT „Botanica””, IMSP Centrul de
Sănătate nr.2 din raionul Orhei.

17 IMSP „Centrul de Sănătate” din raionul Călărași, IMSP „Centrul de sănătate Cimișlia”, IMSP „Clinica Universitară de Asistență Medicală
Primară”.
12
Direcția audit TI
2.3. Instituțiile medico-sanitare publice: AMT „Centru”, „CMF mun. În scopul implementării recomandărilor de
Bălți” și „Clinica Universitară de Asistență Medicală Primară”, pentru audit, IMSP menționate au întreprins, pe
întreprinderea măsurilor necesare de asigurare a alinierii la normele parcursul perioadei de referință, măsurile
privind protecția datelor cu caracter personal, prin implementarea necesare în scopul eliminării neajunsurilor
recomandărilor din Raportul de audit constatate de auditul precedent, aspecte
redate în continuare în prezentul Raport
Efectul măsurilor întreprinse: cu unele rezerve de îmbunătățire, instituțiile medicale respective au asigurat condițiile
necesare pentru conformarea activității cu cerințele regulamentare privind protecția datelor cu caracter personal, inclusiv
prin: consolidarea cadrului normativ intern aferent domeniului protecției datelor cu caracter personal, intensificarea
procedurilor de monitorizare și asigurare a prelucrării datelor cu caracter personal etc.
Verificările efectuate în cadrul misiunii de follow-up denotă că, pe parcursul perioadei de referință,
măsurile întreprinse de către IMSP auditate au avut ca scop îmbunătățirea situației privind protecția
datelor cu caracter personal prelucrate în SI utilizate, consolidarea cadrului normativ intern aferent
domeniului respectiv, precum și a controalelor generale ale Sistemelor utilizate în procesul de prestare
a serviciilor de AMP.
De menționat că, potrivit prevederilor Ordinului MSMPS nr.1499 din 14.12.201818, începând cu
data de 15.12.2018, toți prestatorii de servicii medicale din Republica Moldova, care prestează servicii
de AMP și asistență medicală spitalicească de ambulatoriu urmează să utilizeze SIA AMP în activitatea lor
de prestare a serviciilor de AMP și de raportare către organele de resort.
Astfel, misiunea de follow-up relevă că, deși odată cu aprobarea Ordinului MSMPS menționat s-a
inițiat implementarea la nivel național a SIA AMP de către instituțiile medicale, din cauza unor carențe și
disfuncționalități în funcționare, acesta necesită dezvoltări și îmbunătățiri în scopul asigurării
performanței funcționării și conformării lui cu cerințele actuale. În context, IMSP AMT „Centru” și IMSP
CMF Bălți, în perioada desfășurării activității de verificare, utilizau SIA „MedEx 2.0.” (sistem local),
asigurând, prin implementarea diferitor controale, conformitatea respectării cerințelor de securitate și
protecție informațională.
Generalizând rezultatele procedurilor de audit efectuate, auditul conchide că, pe parcursul
perioadei 2017 – 2018, instituțiile medicale auditate au realizat un șir de acțiuni menite să asigure
conformarea cu prevederile cadrului normativ aferent protecției datelor cu caracter personal, inclusiv cu
eliminarea anumitor neajunsuri constatate de auditul precedent. Totodată, unele acțiuni vizate creează
premisele necesare pentru asigurarea pe viitor a îmbunătățirii situației în domeniu și implementarea
unor mecanisme de monitorizare și control în acest sens.
În contextul celor expuse, auditul concluzionează că, din 7 recomandări formulate și înaintate celor
3 IMSP verificate de auditul precedent, 5 (71%) recomandări au fost calificate ca fiind implementate, iar
2 (29%) – parțial implementate. În același timp, auditul constată că, odată cu implementarea SIA AMP în
cadrul instituțiilor nominalizate, recomandările implementate parțial nu vor mai fi actuale/relevante, vezi
Figura nr.3.
18 Pct.4 din Ordinul MSMPS nr.1499 din 14.12.2018 „Cu privire la utilizarea Sistemului Informațional Automatizat Asistență Medicală Primară
în cadrul Prestatorilor de servicii medicale din Republica Moldova, care prestează servicii medicale de asistență medicală primară precum
și asistență medicală specializată de ambulator”, în continuare – Ordinul MSMPS nr.1499 din 14.12.2018.
13
Direcția audit TI
Figura nr.3. Analiza gradului de implementare a recomandărilor de către IMSP auditate,

în perioada 2017 - 2018
29%
implementate
0%
neimplementate
71%
parțial implementate
Sursă: Elaborat de către auditor în baza analizelor și verificărilor efectuate.
Reieșind din cele expuse, auditul atestă executarea cerinței înaintate.

2.4. Compania Națională de Asigurări în Medicină, Î.S. „CRIS „Registru””, Au fost întreprinse măsurile necesare pentru
implementarea, de comun cu Ministerul Sănătății, a recomandărilor din implementarea cerinței înaintate
Raportul de audit
Efectul măsurilor întreprinse: crearea condițiilor necesare pentru funcționarea eficientă a SIA AMP, prin asigurarea schimbului
de date în acest scop
Reieșind din constatările misiunii de follow-up, se atestă executarea cerinței înaintate.
2.5. Ministerului La solicitările MS nr.01-9/293 din 23.02.2017 și nr. 01-9/335 din 03.03.2017, MTIC a
Tehnologiei Informației și examinat proiectul hotărârii Guvernului cu privire la aprobarea Conceptului tehnic al SIA
Comunicațiilor, Centrului de „Asistența Medicală Primară” și Regulamentului de funcționare al SIA „Asistența Medicală
Guvernare Electronică, pentru Primară”, precum și proiectul hotărârii Guvernului cu privire la aprobarea Conceptului
documentare și oferirea tehnic și Regulamentului de funcționare al SIA „Asistența Medicală Spitalicească”. Drept
consultanței/asistenței rezultat, în adresa MS a fost remis avizul MTIC nr.01/302 din 14.03.2017. Totodată, conform
corespunzătoare Ministerului solicitării MS nr.01-9/631 din 26.04.2017, MTIC a examinat proiectul hotărârii Guvernului
Sănătății la implementarea SIA cu privire la aprobarea Regulamentului „Sistemul Informațional Medical Integrat”. Drept
AMP rezultat, în adresa MS a fost remis avizul MTIC nr.01/579 din 17.05.2017.
Concomitent, pe marginea obiecțiilor și propunerilor expuse în cadrul avizelor MTIC, au avut
loc 3 ședințe de lucru cu reprezentanții MS, în cadrul cărora a fost discutată și agreată
redacția compatibilă cu prevederile legislației în vigoare în domeniul resurselor și sistemelor
informaționale de stat
Efectul măsurilor întreprinse: crearea condițiilor necesare pentru reglementarea funcționării SIA AMP, prin stabilirea cadrului
normativ necesar
În contextul acțiunilor realizate, auditul atestă executarea cerinței înaintate.
2.7. Guvernului Republicii Potrivit scrisorii Cancelariei de Stat nr.21-05-1138 din 22.02.2019:
Moldova, pentru întreprinderea
măsurilor de rigoare în vederea:
2.7.1. asigurării punerii în în vederea respectării angajamentului Republicii Moldova din Planul național de acțiuni
concordanță a actelor legislativ- pentru implementarea Acordului de Asociere Republica Moldova – Uniunea Europeană,
normative ale autorităților publice în partea ce ține de promovarea noului cadru normativ a protecției datelor cu caracter
personal, la 30.11.2018 Parlamentul a adoptat în prima lectură proiectul Legii privind
14
Direcția audit TI
centrale cu Legea nr.133 din protecția datelor cu caracter personal și proiectul Legii privind Centrul Național pentru
08.07.2011 Protecția Datelor cu Caracter Personal (CNPDCP), elaborate de Ministerul Justiției în
comun cu CNPDCP. În lectura a II-a, proiectele vor fi adoptate de următoarea legislatură
parlamentară. Astfel, activitatea de conformare a hotărârilor de Guvern și a actelor
normative ale autorităților administrației publice cu noul cadru legislativ în domeniul
protecției datelor cu caracter personal urmează a fi inițiată după adoptarea legilor
menționate
2.7.2. revizuirii, în comun cu La 08.05.2018 a fost emisă Hotărârea Guvernului nr.414 „Cu privire la măsurile de
Ministerul Sănătății, a cadrului consolidare a centrelor de date în sectorul public și de raționalizare a administrării
legal şi ajustarea acestuia sistemelor informaționale de stat". Aceasta are drept scop asigurarea realizării activităților
referitor la stabilirea formei din Strategia națională de dezvoltare a societății informaționale „Moldova digitală 2020"
organizatorico-juridice a entități (Hotărârea Guvernului nr.857/2013), în partea ce ține de necesitatea stabilirii și delimitării
care va fi responsabilă de clare a funcțiilor de elaborare de cele de implementare a politicii statutului în domeniul
asigurarea gestionării tuturor SI securității cibernetice, precum și de efectuare a auditării securității cibernetice.
din domeniul sănătății Hotărârea Guvernului nr.414/2018 prevede o serie de măsuri și reforme instituționale, în
baza infrastructurilor și instituțiilor existente. Urmare a implementării acestor măsuri,
ministerele și alte autorități administrative centrale subordonate Guvernului au fost
absolvite de necesitatea gestionării implementării și administrării proiectelor TI, astfel
revenindu-le partea de planificare strategică a utilizării tehnologiilor moderne în sectorul
corespunzător (strategiile sectoriale de e-guvernare), participarea la conceptualizarea
soluțiilor/proiectelor TI și utilizarea soluțiilor implementate.
De asemenea, prin Hotărârea Guvernului nr.414/2018, Întreprinderea de Stat ,,Centrul de
Telecomunicații Speciale" a fost reorganizată în Instituția publică ,,Serviciul Tehnologii
Informaționale și Securitate Cibernetică" (STISC) și investită cu funcții de administrare
tehnică și menținere a sistemelor informaționale de stat, inclusiv a celor din gestiunea
Ministerului Sănătății, Muncii și Protecției Sociale. În acest context, noua instituție publică
a preluat în posesie și administrare platforma MCloud și o extinde prin consolidarea
centrelor de date existente în spațiul guvernamental, astfel asigurând o raționalizare și o
aliniere a tuturor centrelor de date la cerințele de securitate și disponibilitate conform
clasificării datelor și a serviciilor. În prezent, STISC, în conlucrare cu posesorii Sistemelor
Informaționale de stat, asigură migrarea sistemelor în platforma MCloud, preluând
administrarea tehnică a acestora și aplicând proceduri unificate de administrare, de
asigurare a calității și de suport pentru utilizatori
2.7.3. examinării Potrivit Cancelariei de Stat, cadrul normativ de reglementare a modului de remunerare a
oportunităților și identificării personalului TI din sectorul public, concentrat în marea lui parte în cadrul instituțiilor
metodelor de stimulare/motivare publice de profil din subordinea ministerelor (Centrul de Tehnologii Informaționale în
a personalului TI din cadrul Finanțe) sau a Cancelariei de Stat (Agenția Servicii Publice, Agenția de Guvernare
instituțiilor de stat, pentru Electronică și STISC), care activează pe principiul de autogestiune, este unul suficient și
minimizarea efectului de permite minimizarea efectului de fluctuație a personalului instituțiilor respective, bazat
fluctuație a acestuia, excluderea pe: art.135 și art.136 alin.(4) lit.a) din Codul muncii al Republicii Moldova nr.154/2003;
dependenței de factorii externi, art.20-22 din Legea salarizării nr.847/2002; Hotărârea Guvernului nr.743/2002 ,,Cu privire
precum și pentru asigurarea la salarizarea angajaților din unitățile cu autonomie financiara"; Hotărârea Guvernului
continuității dezvoltării durabile a nr.165/2010 „Cu privire la cuantumul minim garantat al salariului în sectorul real"
domeniului TI
15
Direcția audit TI
2.2. Nivelul de implementare a recomandărilor din Raportul misiunii de audit precedente

atestă insuficiența, după caz, ineficiența măsurilor întreprinse în perioada de referință de către
factorii de decizie, fapt ce condiționează persistența neajunsurilor constatate anterior de Curtea
de Conturi.
Pe parcursul anilor 2017 – 2018, entitățile vizate au realizat anumite acțiuni în vederea consolidării
cadrului normativ aferent domeniului, precum și asigurării conformării la cerințele regulamentare
corespunzătoare. Totodată, deși s-au înregistrat progrese, nu s-a reușit implementarea în deplină măsură
a recomandărilor înaintate în cadrul misiunii de audit precedente. De menționat că unele acțiuni vizate
creează premisele necesare pentru asigurarea pe viitor a îmbunătățirii situației în domeniu și atingerea
impactului scontat, iar în cazul unor recomandări înaintate de auditul precedent, în contextul adoptării
noului cadru normativ în domeniu, acestea își pot pierde actualitatea.
2.2.1. Descrierea neajunsului constatat de auditul precedent

Auditul precedent a constatat carențe în cadrul normativ aferent domeniului protecției datelor cu
caracter personal, precum și neactualizarea/nearmonizarea actelor normative existente cu prevederile
legale în domeniul supus auditării. Astfel, se menționează că, deși Curtea de Conturi s-a expus și anterior
în Raportul său de audit asupra necesității actualizării Hotărârii Guvernului nr.1123 din 14.12.201019,
verificările auditului denotă neactualizarea acesteia. Necesitatea revizuirii Cerințelor de securitate,
aprobate prin Hotărârea Guvernului menționată, rezidă și prin prisma eliminării discrepanțelor sau
posibilelor interpretări ale unor clauze. Mai mult decât atât, acestea necesită a fi completate cu alte
prevederi, în conformitate cu standardele internaționale relevante, precum și cu bunele practici în
domeniul securității informației ce nu se regăsesc în documentul menționat (de exemplu, accesul
dezvoltatorului/furnizorului la sistemele informaționale – mediul de dezvoltare, teste, producere;
asigurarea disponibilității; managementul schimbării etc.).
Recomandarea auditului precedent Acțiuni întreprinse
1. CNPDCP să revizuiască și să Pe parcursul perioadei de referință, în contextul executării măsurilor de ordin
înainteze, în modul stabilit, legislativ, prevăzute în Planul național de acțiuni pentru implementarea Acordului
propunerile de rigoare, în scopul de Asociere Republica Moldova – Uniunea Europeană în perioada 2017-201920,
actualizării Cerințelor față de CNPDCP a elaborat și înaintat, în modul stabilit, proiecte de acte legislative 21
asigurarea securității datelor cu aferente domeniului protecției datelor cu caracter personal, două dintre care
caracter personal la prelucrarea (proiectul Legii privind protecția datelor cu caracter personal și proiectul Legii
acestora în cadrul sistemelor privind Centrul Naţional pentru Protecția Datelor cu Caracter Personal, care
informaționale de date cu caracter transpun prevederile dreptului comunitar european în materie de protecție a
personal datelor cu caracter personal22), au fost aprobate, în prima lectură, la sfârșitul anului
2018, în Plenul Parlamentului
19 Hotărârea Curții de Conturi nr.57 din 05.11.2013 „Privind Raportul auditului tehnologiilor informaționale cu elemente de performanță
„Care au fost progresele reale și care sunt perspectivele automatizării proceselor în domeniul afacerilor interne?””.
20 Planul național de acțiuni pentru implementarea Acordului de Asociere Republica Moldova – Uniunea Europeană în perioada 2017-2019,
aprobat prin Hotărârea Guvernului nr. 1472 din 30.12.2016.

21 1. proiectul Legii privind protecția datelor cu caracter personal; 2. proiectul Legii privind Centrul Naţional pentru Protecția Datelor cu
Caracter Personal; 3. proiectul Legii privind regimul mijloacelor video; 4. proiectul Legii pentru modificarea şi completarea Legii privind
prevenirea si combaterea criminalității informatice.
22 Regulamentul (UE) 2016/679 a Parlamentului European și a Consiliului din 27.04.2016 privind protecția persoanelor fizice în ceea ce
privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46/CE și Directivei
(UE) 2016/680 ale Parlamentului European și ale Consiliului din 27.04.2016 privind protecția persoanelor fizice referitor la prelucrarea
datelor cu caracter personal de către autoritățile competente în scopul prevenirii, depistării, investigării sau urmăririi penale a infracțiunilor
16
Direcția audit TI
Efectul măsurilor întreprinse: dat fiind că acțiunile întreprinse de către entitatea auditată vizează activități ulterioare,
auditul a fost în imposibilitatea de a cuantifica efectul măsurilor întreprinse. Totodată, acestea creează premise pentru
implementarea recomandării înaintate
Urmare a examinărilor efectuate, nu au fost identificate acțiuni de modificare a Cerințelor față de
asigurarea securității datelor cu caracter personal la prelucrarea acestora în cadrul sistemelor
informaționale de date cu caracter personal23, ceea ce denotă persistența riscurilor identificate de
misiunea de audit precedentă.
Potrivit motivației entității, acest fapt este condiționat de adoptarea noilor Legi specificate mai sus.
În aceeași ordine de idei, se relevă că proiectul Legii privind protecția datelor cu caracter personal conține
un capitol distinct24, care reglementează într-o modalitate mai simplă și mai clară implementarea
măsurilor de securitate, oferind operatorilor o marjă mai mare de a decide asupra măsurilor și mijloacelor
de asigurare a securității datelor, conform noilor tendințe și provocări, având în acest sens toate
instrumentele legale necesare. Drept urmare, odată cu adoptarea proiectului de lege menționat vor fi
operate modificările de rigoare în cadrul normativ aferent domeniului, în scopul alinierii la noile cerințe.
Reieșind din cele expuse, și în contextul adoptării și punerii în aplicare a Legilor nominalizate,
recomandarea va putea fi considerată implementată, ori își va pierde actualitatea.

În aceeași ordine de idei, auditul precedent a identificat și alte acte normativ-legislative neajustate la
Legea nr.133 din 08.07.2011, unele dintre acestea fiind prezentate în Anexa nr.5 la Raportul de audit
respectiv. Mai mult decât atât, existența unor neconcordanțe între prevederile Legii nr.133 din
08.07.2011 și Legii nr.131 din 08.06.201225 influențează într-o anumită măsură asupra procedurilor de
control desfășurate de Centru, existând mai multe inadvertențe, în special, de ordin procedural, precum
și al obiectului de reglementare.
Recomandarea Acțiuni întreprinse
auditului precedent
2. CNPDCP să Acțiunile menționate la compartimentul aferent recomandării cu nr.1, precum și:
examineze și să - în comun cu experții din cadrul Proiectului Twininng26, inițierea activităților de revizuire și
înainteze consolidare a cadrului normativ în domeniu, pentru a pune în aplicare pe deplin principiile de
Guvernului protecție a datelor în sectorul respectiv şi armonizarea acestora cu proiectul de lege privind
propuneri privind protecția datelor şi cu legislația UE. Prin intermediul proiectului, în total, vor fi revizuite 28 de acte
ajustarea actelor legislative și normative;
normative în - în temeiul prevederilor art. 32 alin. (2) al Legii nr.100 din 22.12.2017 27, pe parcursul anului 2018
vigoare aferente au fost supuse avizării de către Centru 87 de proiecte de acte normative naționale/internaționale 28
protecției datelor cu sub aspectul protecției drepturilor și libertăților persoanelor fizice, în privința prelucrării datelor cu
caracter personal
sau al executării pedepselor și privind libera circulație a acestor date și de abrogare a Deciziei-cadru 2008/977/JAI a Consiliului, în continuare
– Regulamentul UE.
23 Hotărârea Guvernului nr.1123 din 14.12.2010 „Privind aprobarea Cerințelor față de asigurarea securității datelor cu caracter personal la
prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal”.

24 Capitolul V „Securitatea prelucrării” din proiectul Legii privind protecția datelor cu caracter personal.
25Legea nr.131 din 08.06.2012 cu privire la controlul de stat asupra activității de întreprinzător, cu modificările și completările ulterioare.
26 Proiectul Twinning „Consolidarea capacităților Centrului pentru Protecția Datelor cu Caracter Personal al RM”, finanțat de Uniunea
Europeană și implementat în perioada octombrie 2017 - octombrie 2018 de către Fundația Germană pentru cooperare juridică
Internațională (IRZ) și de Ministerul Justiției din Letonia, în continuare – Proiectul Twinning, după caz, Proiectul Twinning de consolidare a
capacităților CNPDCP.
27 Legea nr.100 din 22.12.2017 cu privire la actele normative, în continuare – Legea nr.100 din 22.12.2017.
28 13 proiecte de acorduri/tratate internaționale; 27 proiecte de acte normative ale Parlamentului; 47 proiecte de acte normative ale
Guvernului şi ale altor autorități.

17
Direcția audit TI
caracter personal, fiind înaintate obiecții, recomandări și propuneri de rigoare, prin prisma
necesității respectării reglementărilor legale referitoare la protecția datelor cu caracter personal
Efectul măsurilor întreprinse: acțiunile realizate creează premisele necesare în vederea actualizării și armonizării cadrului
normativ în domeniu, în perioada desfășurării misiunii de follow-up nefiind posibil de cuantificat/apreciat impactul
acestora. Totodată, prin avizarea actelor normative naționale/internaționale, s-a asigurat conformarea acestora cerințelor
cadrului normativ în domeniul protecției datelor cu caracter personal
Reieșind din cele expuse, precum și din faptul că acțiunile întreprinse urmează să producă efect
în perspectivă (ulterior), în perioada desfășurării misiunii de follow-up s-a atestat implementarea
recomandării vizate.
Potrivit explicațiilor CNDCP, „având în vedere că în prezent Centrul se află în proces de actualizare
și armonizare a cadrului normativ național în domeniul protecției datelor cu caracter personal la noile
reglementări europene din domeniu, fiind elaborate și adoptate în prima lectură de Parlamentul RM
proiectul Legii privind protecția datelor cu caracter personal și proiectul de Lege privind Centrul Naţional
pentru Protecția Datelor cu Caracter Personal; de asemenea sunt în deplină desfășurare activități de
revizuire a cadrului normativ conex, pentru a pune în aplicare pe deplin principiile de protecție a datelor,
inclusiv în sectorul medical, considerăm această recomandare/cerință irelevantă, în special în contextul
în care, ulterior intrării în vigoare a prevederilor legale noi, cadrul normativ aferent va trebui ajustat noilor
cerințe legale”.

Auditul precedent a relevat faptul că, în conformitate cu art.20 din Legea nr.133 din 08.07.2011,
Centrului i-a fost delegată atribuția de emitere a instrucțiunilor pentru aducerea procesului de prelucrare
de date cu caracter personal în conformitate cu prevederile legii, fără atingerea sferei de competență a
altor organe. În context, s-a constatat că Centrul a elaborat un proiect al Instrucțiunii privind prelucrarea
datelor cu caracter personal privind starea de sănătate, care are ca scop aducerea operațiunilor de
prelucrare a datelor respective, efectuate de autoritățile administrației publice centrale şi locale în
domeniul sănătății şi instituțiile medico-sanitare publice și private din Republica Moldova în conformitate
cu principiile de protecție a datelor cu caracter personal.
3. CNPDCP să asigure definitivarea și aprobarea Planificarea elaborării, începând cu luna decembrie 2018, în cadrul
în modul stabilit a Instrucțiunii cu privire la Proiectului Twinning de consolidare a capacităților CNPDCP a 7
protecția datelor cu caracter personal în instrucțiuni în sfera finanțe, mass-media, supravegherea video,
domeniul medical, cu comunicațiile electronice, aplicarea legii procesului electoral și
promovarea/informarea/instruirea ulterioară a sănătate/domeniul medical
operatorilor de date cu caracter personal
Efectul măsurilor întreprinse: nu a fost posibil de identificat. Totodată, lipsa unor instrucțiuni în domeniul protecției datelor
privind starea de sănătate, influențează asupra realizării scopului preconizat
Ca rezultat al examinărilor efectuate, se denotă că, deși potrivit Planului de acțiuni privind
implementarea recomandărilor de audit ale Curții de Conturi, CNPDCP și-a planificat, până în trimestrul
I al anului 2018, definitivarea, aprobarea și promovarea instrucțiunii nominalizate, în perioada
desfășurării misiunii de follow-up acțiunea nu a fost realizată. Totodată, s-a constatat planificarea acțiunii
respective pentru realizare cu suportul experților din cadrul Proiectului Twinning.
Astfel, potrivit motivației entității, conform Proiectului Twinning, activitățile/acțiunile din cadrul
căruia au suportat în ultima perioadă modificări având în vedere prioritizarea acestora, Instrucțiunea cu
privire la protecția datelor cu caracter personal în domeniul medical, de rând cu alte instrucțiuni
preconizate, va fi elaborată în lunile mai-iunie ale anului 2019.
18
Direcția audit TI
Reieșind din cele expuse, auditul atestă implementarea parțială a recomandării înaintate.

După cum s-a menționat anterior (la cerința nr.2.1.2 din Hotărârea Curții de Conturi nr.48 din
05.12.2016), carențele și disfuncționalitățile, inclusiv tehnice, ale SIA REODCP deținut de Centru
afectează în mod direct eficiența și eficacitatea Registrului, cu impact și asupra eficienței activității
CNPDCP, solicitând intervenții și dezvoltări în scopul asigurării atingerii scopului stabilit.
4. CNPDCP să realizeze o evaluare a - au fost identificate necesitățile de dezvoltare a SIA menționat, fiind
necesităților de dezvoltare a SIA „Registrul de înaintată Ministerului Finanțelor argumentarea privind cheltuielile
evidență a operatorilor de date cu caracter necesare în acest sens, care au fost acceptate şi incluse în bugetul
personal”, în scopul eficientizării acestuia și CNPDCP pentru anul 2018;
optimizării activității - planificarea realizării pe parcursul anului 2018 a unui studiu de
fezabilitate al SI
Efectul măsurilor întreprinse: identificarea și planificarea resurselor pentru îmbunătățirea SIA REODCP, care, însă, nu au
fost realizate pe parcursul perioadei de referință, fapt ce denotă persistența neajunsurilor constatate de auditul precedent
Verificările prezentei misiuni denotă că, deși au fost planificate anumite acțiuni, precum și inițiate
unele analize, pe parcursul perioadei de referință n a fost realizat un studiu exhaustiv privind necesitățile
de dezvoltare/îmbunătățire a SIA nominalizat, nici operate modificări/dezvoltări la acesta.
Potrivit motivației entității, după cum s-a menționat și la cerința nr.2.1.2., odată cu adoptarea noii
Legi privind protecția datelor cu caracter personal, va fi exclusă obligativitatea operatorilor de date cu
caracter personal de a se înregistra la Centru în calitate de operator de date cu caracter personal, în
formula aplicabilă în prezent – prin intermediul REODCP, operatorii fiind obligați, pe propria răspundere,
să respecte normele de securitate a datelor cu caracter personal, stabilite individual în funcție de
specificul operațiunilor de prelucrare și categoria datelor prelucrate, modificare care are scop de a
transpune principiul responsabilizării operatorului de date cu caracter personal.
Mai mult decât atât, acest fapt este susținut și prin concluziile experților proiectului Twinning
expuse urmare a analizei legislației privind protecția datelor cu caracter personal coroborat la prevederile
Regulamentului european privind protecția datelor (GDPR). În acest context, în opinia entității, decade
necesitatea dezvoltării în continuare a SIA REODCP.
Reieșind din cele expuse, auditul califică implementarea parțială a recomandării. Totodată, în
contextul adoptării modificărilor ulterioare în cadrul legislativ respectiv, recomandarea devine irelevantă.

În conformitate cu prevederile cadrului normativ-legislativ29, Centrului îi sunt oferite principalele
instrumente legislative în vederea asigurării unei monitorizări adecvate a respectării legislației privind
protecția datelor cu caracter personal de către operatorii de date cu caracter personal, respectiv, de
persoanele împuternicite de aceștia. Totodată, în contextul Legii nr.229 din 23.09.2010 30, precum și în
contextul implementării Standardelor naționale de control intern31, una din cerințe vizează descrierea
(narativă și/sau schematică) a proceselor operaționale ale instituției. O astfel de descriere ar ajuta
29 Hotărârea Guvernului nr.1123 din 14.12.2010; Hotărârea Guvernului nr.296 din 15.05.2012 „Privind aprobarea Regulamentului
Registrului de evidență a operatorilor de date cu caracter personal” (în continuare – Hotărârea Guvernului nr. 296 din 15.05.2012); Ordinul
Directorului CNPDCP nr.14 din 12.05.2014 „Cu privire la aprobarea Regulamentului privind controlul legalității prelucrărilor de date cu
caracter personal” (în continuare – Regulamentul).
30 Legea nr.229 din 23.09.2010 privind controlul financiar public intern (în continuare – Legea nr.229 din 23.09.2010).
31 Ordinul ministrului Finanțelor nr.182 din 05.11.2015 „Cu privire la aprobarea Standardelor naționale de control intern în sectorul public”.
19
Direcția audit TI
entitatea să identifice rezervele de îmbunătățire a proceselor și procedurilor interne, precum și o mai bună
gestionare a riscurilor la nivelul entității. Constatările auditului precedent denotă că entitatea nu
dispunea de proceduri exhaustive și documente aferente procesului de monitorizare a prelucrării datelor
cu caracter personal, în vederea stabilirii potențialilor operatori de date, a sistemelor de evidență a
datelor cu caracter personal, inclusiv a SIA ce prelucrează date cu caracter personal.
Recomandarea auditului Acțiuni întreprinse
precedent
5. CNPDCP să instituie În vederea implementării proiectelor de legi menționate supra, CNPDCP, împreună cu experții
proceduri adecvate rezidenți din cadrul proiectului Twinning, a inițiat elaborarea cadrului său normativ intern,
privind monitorizarea inclusiv a instrucțiunilor/manualelor privind desfășurarea procedurilor de investigație a
prelucrării datelor cu legalității operațiunilor de prelucrare a datelor cu caracter personal, precum și a celor de
caracter personal supraveghere, monitorizare și prevenire a încălcării principiilor de protecție a datelor cu
caracter personal
Efectul măsurilor întreprinse: măsurile întreprinse creează anumite premise/condiții pentru îmbunătățirea modului de
monitorizare/supraveghere a conformității prelucrării datelor, însă, la momentul desfășurării misiunii de verificare,
impactul acțiunilor nu poate fi cuantificat
Verificările misiunii de follow-up atestă că, pe parcursul perioadei de referință, au fost inițiate
anumite acțiuni de consolidare a cadrului normativ intern aferent activității CNPDCP, inclusiv prin
elaborarea de către experții Twinning a unor proiecte de documente, fapt ce denotă implementarea
parțială a recomandării înaintate de Curte.

Conform art.23 din Legea nr.133 din 08.07.2011, operatorii de date cu caracter personal sunt obligați
să notifice CNPDCP, înainte de prelucrarea datelor cu caracter personal destinate să servească unui scop.
Constatările auditului precedent relevă că, deși pe pagina web a Centrului este disponibil Manualul de
utilizare pentru operatorii de date în Registru32, în scopul facilitării, precum și asigurării completării
corecte a formularului de notificare de către operatorul de date, sunt necesare proceduri documentate,
aprobate în modul stabilit, care pot lua forma unui Ghid sau Regulament, potrivit bunelor practici ale
autorităților similare din alte țări. Mai mult decât atât, este necesar a fi stabilite clar condițiile notificării,
inclusiv documentele obligatorii pentru a fi prezentate de către entitate Centrului în vederea
notificării/înregistrării, în scopul evitării riscurilor de tratare neunivocă a operatorilor de date de către
registrator.
6. CNPDCP să elaboreze instrucțiuni - CNPDCP a elaborat Ghidul privind procedura de înregistrare a operatorilor și a
clare și exhaustive privind modalitatea sistemelor de evidență a datelor cu caracter personal, aprobat prin Ordinul
notificării de către operatorii de date cu Directorului CNPDCP nr.18 din 15.06.2018, care concretizează acțiunile ce
caracter personal a SI către Centru, în urmează să fie efectuate în vederea asigurării realizării obligațiunilor stabilite de
scopul facilitării înțelegerii procesului art. 23 al Legii privind protecția datelor cu caracter personal, care a fost publicat
de completare a formularelor de pe pagina oficială a CNPDCP33;
notificare, a altor proceduri adiționale - de asemenea, au fost făcute modificări primare pe pagina oficială a CNPDCP, în
înregistrării în calitate de operator de partea ce vizează procedura de înregistrare a operatorilor și a sistemelor de
date evidență a datelor cu caracter personal
Efectul măsurilor întreprinse: crearea anumitor condiții care facilitează procesul de înțelegere/notificare de către operatorii
de date cu caracter personal
32 https://registru.datepersonale.md/documents/10192/0/Manual%20Operator%20date%20RODCAP_3.0.pdf
33 http://datepersonale.md/md/cen/
20
Direcția audit TI
Analizele efectuate în cadrul misiunii de verificare relevă că, deși au fost realizate anumite acțiuni
pentru facilitarea procesului de notificare, acestea nu au luat forma unor proceduri documentate,
aprobate în modul stabilit, potrivit bunelor practici ale autorităților similare din alte țări. De menționat
că, potrivit cadrului normativ aferent elaborării actelor normative34, Regulamentele, instrucțiunile,
regulile şi alte acte normative ale autorităților administrației publice centrale de specialitate şi ale
autorităților publice autonome se aprobă prin hotărâre sau ordin care se semnează de către conducătorii
autorităților emitente.
Potrivit motivației entității, în conformitate cu reglementările dreptului comunitar european în
materie de protecție a datelor cu caracter personal, în special Regulamentul (UE) 2016/679, prin noul
proiect de Lege a fost exclusă obligația operatorilor de a notifica sistemele de evidență a datelor
personale către CNPDCP, prin intermediul Registrului de evidență a operatorilor de date cu caracter
personal. În aceste circumstanțe, dispare necesitatea elaborării altor instrucțiuni sau actualizării celor
existente, precum şi promovării acestora, în contextul prevăzut la această recomandare.
Reieșind din cele expuse, auditul atestă implementarea recomandării în cauză.

Constatările auditului precedent denotă că, contrar prevederilor cadrului normativ-legislativ
relevant35, inclusiv ale Regulamentului privind controlul legalității prelucrărilor de date cu caracter
personal, pentru exercitarea atribuțiilor sale de efectuare a controlului legalității/conformității prelucrării
datelor cu caracter personal, în perioada 2014-2016, Centrul nu a planificat controale asupra prelucrării
datelor cu caracter personal, activitatea de control axându-se prioritar pe efectuarea controalelor
inopinate (în baza autosesizărilor sau petițiilor/sesizărilor).
7. CNPDCP să planifice și să asigure realizarea, în inițierea și realizarea controalelor, a sarcinilor atribuite de lege în
modul stabilit, a controalelor conformității prelucrării perioada de referință a fost efectuată exclusiv în temeiul
datelor cu caracter personal, în scopul asigurării plângerilor subiecților de date, prin solicitarea de informații din
atribuțiilor prioritare delegate prin Legea organică oficiu, fără a efectua controlul la fața locului
Efectul măsurilor întreprinse: neplanificarea controalelor asupra conformității prelucrării datelor cu caracter personal, în
modul stabilit de cadrul normativ, determină nerealizarea conformă a atribuțiilor privind verificarea corespunderii cu
cerințele și îndeplinirii condițiilor legale de către operator sau persoana împuternicită de către acesta
Verificările misiunii de follow-up, inclusiv analiza informațiilor oferite de Centru, relevă că până în
prezent nu au fost întreprinse acțiuni concrete pentru conformarea entității la prevederile legale
menționate. Astfel, se constată că și pe parcursul perioadei de referință activitatea de control a Centrului
s-a axat prioritar pe efectuarea controalelor inopinate.
Potrivit motivației entității, „creșterea numărului de plângeri transmise în adresa CNPDCP, precum
și complexitatea acțiunilor întreprinse de angajați în cadrul activității de control asupra conformității
prelucrării datelor cu caracter personal nu permite efectuarea controalelor planificate”. Totodată, în
cadrul proiectului Twinning, cu suportul experților străini, au fost elaborate proiecte de acte normative,
manuale privind procedura de prevenire/supraveghere și monitorizare, care au drept obiectiv de a stabili
o procedură standard pentru angajații CNPDCP privind monitorizarea/supravegherea operațiunilor de
prelucrare a datelor și prevenirea încălcării principiilor de protecție a datelor cu caracter personal. În
aceeași ordine de idei, proiectul noii Legi privind protecția datelor cu caracter personal prevede
34 Art.16 din Legea nr.100 din 22.12.2017.

35 Art.26 din Legea nr.133 din 08.07.2011 privind protecția datelor cu caracter personal (în continuare – Legea nr.133 din 08.07.2011).
21
Direcția audit TI
competențele CNPDCP de a investiga și soluționa cazurile de încălcare ale dispozițiilor normative în

domeniul protecției datelor personale, cu sau fără ieșirea la fața locului, în anumite situații36.
Reieșind din cele constatate, la momentul desfășurării misiunii de follow-up se atestă
neimplementarea recomandării menționate.

Verificările auditului precedent relevă că, în contextul extinderii automatizării proceselor de
business ale entităților publice, respectiv, majorării numărului de SIA existente/utilizate de către acestea,
verificarea prealabilă și controlul legalității prelucrării datelor cu caracter personal implică obligația
deținerii competențelor TI. Se constată că, deși potrivit Legii nr.133 din 08.07.2011, Centrul poate „atrage
specialiști și experți din domenii care necesită cunoștințe speciale pentru participarea la activitățile
menționate, încheind cu ei acorduri de confidențialitate”, se atestă necesitatea „stabilirii unor proceduri
adecvate pentru antrenarea experților” din diverse domenii la realizarea activităților de control.
Recomandarea Acțiuni întreprinse
auditului precedent
8. CNPDCP să instituie o În opinia CNPDCP, instituirea procedurilor menționate s-a realizat potrivit prevederilor noului
procedură adecvată proiect al Legii cu privire la Centrul Național pentru Protecția Datelor cu Caracter Personal,
privind antrenarea adoptat în prima lectură de Parlamentul Republicii Moldova. Astfel, a fost consemnat dreptul
experților în diverse Centrului de a atrage specialiști şi experți din domenii care necesită cunoștințe speciale pentru
domenii, pentru participarea la procesul de investigații, cu încheierea acordurilor de confidențialitate.
efectuarea controlului Totodată, în proiectul menționat au fost statuate prevederi referitoare la componența
securității datelor Consiliului consultativ care activează pe lângă CNPDCP, potrivit cărora:
personale (1) În scopul acordării de consultanță şi de asistență Centrului, pe lângă acesta activează
Consiliul consultativ. Activitatea în cadrul Consiliului nu este remunerată;
(2) Componența Consiliului consultativ constă din experți, în domenii relevante pentru protecția
datelor cu caracter personal37
Efectul măsurilor întreprinse: prin prisma informațiilor prezentate, auditul a fost în imposibilitate de a cuantifica impactul
acțiunilor întreprinse
Misiunea de follow-up relevă că implementarea/instituirea unor proceduri documentate aferente

procesului respectiv derivă și din prevederile Legii nr.229 din 23.09.201038, precum și ale Standardelor
naționale de control intern, în scopul asigurării bunei guvernări a activității instituției prin gestionarea
adecvată a riscurilor aferente. Astfel, potrivit Planului de acțiuni privind implementarea recomandărilor
înaintate de Curtea de Conturi, a fost planificată elaborarea, în I trimestru 2018, a unei proceduri privind
antrenarea experților/specialiștilor din diverse domenii în procesul de control al securității datelor, însă
auditului nu i-au fost prezentate probe concludente în acest sens. Mai mult decât atât, prevederile din
proiectul noii Legi, menționate de Centru, sunt identice cu cele din Legea privind protecția datelor cu
caracter personal, la moment în vigoare. Reieșind din cele expuse, auditul atestă neimplementarea
recomandării înaintate.
36 a) la depunerea cererii subiectului de date sau a reprezentantului legal privind neconformitatea prelucrării datelor personale; b) la
sesizarea din oficiu sau în cazul în care Centrul a fost informat ori dispune de informații privind încălcarea în masă, sistemică sau gravă a
principiilor de protecție a datelor cu caracter personal, cazurile de importanță socială ori în cazurile de supraveghere și prevenire va iniția
activitățile de ajustare/consolidare a procedurilor aferente activității.
37
cum ar fi: drept (științe juridice), științe ale informației, medicină, învățământ, polițienesc, mass-media, TI, protecția
consumatorului, financiar-bancar, resurse umane, un membru al Comisiei parlamentare pentru securitatea națională, apărare
şi ordinea publică, conducerea Centrului, șeful Direcției generale și șefii direcțiilor din cadrul Centrului.
38
Art.14, îndeosebi, alin.(3) lit.g) din Legea nr.229 din 23.09.2010.
22
Direcția audit TI
Potrivit motivației CNPDCP, instituția poate atrage specialiști şi experți din domenii care necesită
cunoștințe speciale pentru participarea la procesul de verificare prealabilă şi de control al legalității
prelucrării datelor cu caracter personal şi încheie cu ei acorduri de confidențialitate. În acest sens,
remarcăm că acesta este un drept al autorității și nu o obligație. Având în vedere că până în prezent nu
au fost înregistrate situații ce ar fi necesitat atragerea unor experți din exterior în procesul de verificare
prealabilă și de control, precum și ținând cont de elaborarea noilor reglementări pe domeniu, instituirea
procedurii recomandate este irelevantă pentru moment.

În aceeași ordine de idei, auditul precedent constată că, în contextul extinderii automatizării
proceselor de business ale entităților publice, respectiv, majorării numărului de SIA existente/utilizate de
către acestea, verificarea prealabilă și controlul legalității prelucrării datelor cu caracter personal implică
obligația deținerii competențelor TI. Astfel, devine indispensabilă consolidarea capacităților interne
aferente în domeniul TIC, inclusiv prin angajarea specialiștilor TI, pentru a răspunde necesităților și
atribuțiilor delegate.
9. CNPDCP să examineze posibilitatea Potrivit modificărilor din Legea nr. 182-XVI din 10 iulie 200839, operate pe
angajării în cadrul Centrului a specialiștilor parcursul anului 2018, efectivul-limită de personal al Centrului a fost
TI pentru asigurarea verificărilor conforme majorat de la 21 de unități până la 45, inclusiv personalul auxiliar.
a cerințelor de securitate aferente CNPDCP a organizat concursuri de suplinire a funcțiilor vacante, una dintre
prelucrării datelor cu caracter personal în SI cerințe fiind studiile în domeniul TI
Efectul măsurilor întreprinse: examinarea și întreprinderea unor acțiuni pentru angajarea în cadrul entității a specialiștilor
în TI
Misiunea de follow-up constată că, ținând cont de tendințele dezvoltării rapide a TIC, consolidarea
capacităților interne aferente în domeniu, inclusiv prin angajarea specialiștilor în TI, pentru a răspunde
necesităților și atribuțiilor delegate, rămâne o problemă importantă care necesită a fi soluționată.
Totodată, deși potrivit explicațiilor entității, în pofida faptului că CNPDCP a organizat concursuri de
suplinire a funcțiilor vacante, una dintre cerințe fiind studii în domeniul TI, până în prezent niciun candidat
cu studii în domeniul TI nu a depus în adresa CNPDCP documentele pentru participarea la concursul de
angajare, reieșind din decalajul major al salarizării specialiștilor TI în privat în raport cu salariul propus de
CNPDCP. Informația despre organizarea concursurilor de suplinire a funcțiilor vacante este publică și
poate fi vizualizată pe www.cariere.gov.md, www.datepersonale.md.
Reieșind din cele expuse, auditul califică recomandarea ca fiind implementată. Totodată, misiunea
de follow-up consideră relevantă în continuare problema privind consolidarea capacităților TI ale
CNPDCP în vederea asigurării exercitării conforme a atribuțiilor delegate prin cadrul legal în contextul
tendinței sporite de utilizare a TIC în procesul de prelucrare a datelor cu caracter personal, fiind necesare
acțiuni adecvate în acest scop.

Constatările auditului precedent denotă că Centrul nu realizează verificări ale modului de
îndeplinire a deciziilor și instrucțiunilor sale emise anterior, pentru aducerea prelucrării datelor cu
caracter personal în conformitate cu prevederile legale, fapt ce poate condiționa prelucrarea ilegală a
datelor cu caracter personal. Astfel, deși potrivit Regulamentului, Centrul poate realiza verificări privind
39 Legea nr.182-XVI din 10.07.2008 cu privire la aprobarea Regulamentului Centrului Național pentru Protecția Datelor cu Caracter Personal,
structurii, efectivului-limită și a modului de finanțare a Centrului Național pentru Protecția Datelor cu Caracter Personal.
23
Direcția audit TI
modul de îndeplinire a deciziilor și instrucțiunilor emise anterior de CNPDCP pentru aducerea prelucrării
datelor cu caracter personal în conformitate cu prevederile legale, acestea luând forma unor controale
inopinate, pe parcursul perioadei auditate entitatea nu a realizat astfel de acțiuni.
precedent
10. CNPDCP să instituie Urmare a deciziilor emise prin care se constată încălcări la prelucrarea datelor cu
proceduri interne și să caracter personal, cu dispunerea, după caz, a suspendării/încetării operațiunilor de
realizeze verificări ale modului prelucrare efectuate ilegal și/sau ștergerii/distrugerii datelor neveridice sau prelucrate
de îndeplinire a deciziilor și ilegal, CNPDCP monitorizează modul de îndeplinire a deciziilor și instrucțiunilor
instrucțiunilor emise anterior consemnate în dispozitivul deciziilor emise. Or, în fiecare decizie emisă de genul celor
de CNPDCP, pentru aducerea indicate supra, CNPDCP indică expres termenul în care urmează a fi înlăturate
procesului de prelucrare a încălcările constatate și termenul în limita căruia entitatea/persoana vizată are
datelor cu caracter personal în obligația de a informa CNPDCP asupra măsurilor întreprinse în vederea executării celor
conformitate cu prevederile dispuse în decizie. Persoanele fizice şi juridice vizate în dispozitivul deciziei sunt
legale, în vederea asigurării obligate să informeze, în termenul stabilit, despre implementarea recomandărilor
respectării acestora şi/sau executarea cerințelor dispuse/înaintate de CNPDCP, iar în cazul
neinformării/neexecutării prescripțiilor indicate în termenul stabilit, în privința
persoanei se intentează proces contravențional, inclusiv pentru neîndeplinirea deciziei
CNPDCP, fapt prevăzut de art. 743 Cod contravențional. În acest sens, subdiviziunile de
resort ale CNPDCP ţin evidența/monitorizează în permanență procesul de executare a
deciziilor de către părți, intervenind, după caz, în calitate de agent constatator conform
prevederilor sus-menționate
Efectul măsurilor întreprinse: în lipsa probelor de audit concludente, auditul nu a fost în măsură să evalueze impactul
acțiunilor întreprinse. Totodată, lipsa unei monitorizări adecvate asupra respectării deciziilor (îndeosebi cele de
suspendare a activităților de prelucrare a datelor) sporește riscul neconformării operatorilor de date cu cerințele cadrului
legal aferent protecției datelor cu caracter personal, cu impact negativ asupra subiectului de date cu caracter personal
Analizând informațiile prezentate de Centru, misiunea de follow-up relevă că nu i-au fost

prezentate probe suficiente și concludente aferente documentării procesului/descrierii procedurilor
privind monitorizarea modului de îndeplinire a deciziilor și instrucțiunilor consemnate în dispozitivul
deciziilor emise.
Potrivit motivației entității, subdiviziunile de resort ale CNPDCP ţin evidenţa/monitorizează în
permanență procesul de executare a deciziilor de către părți, intervenind, după caz, în calitate de agent
constatator conform prevederilor sus-menționate.
Totodată, urmare a adoptării în lectură finală a proiectelor de lege menționate supra, care conțin
reglementări noi privind executarea deciziilor emise de CNPDCP, va urma elaborarea instrucțiunilor
interne în vederea realizării verificării modului de îndeplinire a deciziilor și instrucțiunilor emise anterior
de CNPDCP, prin prisma acestor noi prevederi.
Reieșind din cele constatate, se atestă implementarea parțială a recomandării înaintate.

Auditul precedent a constatat neajunsuri/deficiențe care generează riscuri majore aferente
protecției datelor cu caracter personal prelucrate în cadrul SI din domeniul asistenței medicale primare
implementate de către MS, precum și unele IMSP (aspecte elucidate în cadrul Raportului de audit
respectiv). În context, se denotă că, deși unele instituții auditate din domeniul AMP dispun de
proceduri/politici privind protecția datelor cu caracter personal (la nivelul instituției și la prelucrarea
acestora în SI), acestea nu sunt complete, nici implementate corespunzător. Totodată, se constată
neconformarea unor instituții, operatori de date cu caracter personal, la prevederile legale.
24
Direcția audit TI

11. CNPDCP să examineze rezultatele - în baza scrisorii Curții de Conturi nr.06/2-1025 din 22.09.2016, Centrul s-a
auditului și să inițieze, după caz, autosesizat, inițiind controale ale legalității prelucrării datelor cu caracter
controale pentru asigurarea personal de către unele IMSP40, ca rezultat fiind emise decizii privind suspendarea
conformității prelucrării datelor cu pe un termen de 30 zile a operațiunilor de prelucrare a datelor cu caracter
caracter personal în SI din domeniul personal înaintate spre executare unor IMSP41;
sănătății - pe parcursul anului 2018, efectuarea, în baza plângerilor unor subiecți de date,
a 5 controale privind legalitatea prelucrării datelor în domeniul medical
Efectul măsurilor întreprinse: 4 decizii de suspendare a activităților de prelucrare a datelor cu caracter personal în cazul
neconformării acestora la cerințele cadrului normativ în domeniu și rezilierea de către IMSP respective a contractelor
încheiate cu compania privată, deținătoare a SIA. Totodată, deși CNPDCP nu a prezentat auditului probe suficiente și
adecvate care să ateste întreprinderea, pe parcursul perioadei 2017 – 2018, a măsurilor legale, ținând cont de
neconformitățile elucidate în Raportul de audit al Curții de Conturi, precum și a rezultatelor obținute în acest sens,
verificările efectuate în cadrul misiunii de follow-up atestă conformarea IMSP nominalizate în Raportul auditului precedent
la cerințele cadrului normativ în domeniul protecției datelor cu caracter personal
Verificările prezentei misiuni relevă că, în perioada de referință, acțiunile CNPDCP s-au axat pe
oferirea consultărilor și instruirilor entităților din domeniu spus auditării, în unele cazuri, pe verificarea
prealabilă efectuată în baza informațiilor prezentate în notificare de operator sau persoana împuternicită
de către acesta, care au avut ca rezultat înregistrarea unor IMSP, precum și contribuirea la
corespunderea cu cerințele din domeniu a cadrului regulator aferent SI. Totodată, deși au fost solicitate
în mod repetat, auditului nu i-au fost prezentate probe/informații concludente care ar confirma inițierea,
pe parcursul perioadei 2017 – 2018, a unor controale ale legalității prelucrării datelor cu caracter
personal de către entitățile vizate în Raportul auditului precedent. Mai mult decât atât, potrivit
constatărilor prezentei misiuni, unele neajunsuri constatate de auditul precedent, cu risc asupra
conformității prelucrării datelor cu caracter personal prin intermediul SI din domeniul AMP, au persistat
și în perioada de referință, aspecte redate în continuare în prezentul Raport.
Reieșind din cele expuse, auditul constată implementarea parțială a recomandării înaintate.

Verificările misiunii de audit precedente atestă necesitatea intensificării activităților de informare a
instituțiilor medicale privind necesitatea conformării la cerințele cadrului normativ aferent prelucrării
datelor cu caracter personal, inclusiv cu notificarea și înregistrării în REODCP, deținut de CNPDCP.
precedent
12. CNPDCP, de comun cu MS și - organizarea a 4 ședințe de lucru comune (CNPDCP, MS, compania dezvoltatoare a SIA
IMSP, să organizeze AMP) referitor la acțiunile ce urmează a fi efectuate pentru conformarea Registrului
instruiri/mese rotunde cu medical la cerințele Legii privind protecția datelor cu caracter personal;
specialiștii din domeniul - pe parcursul anului 2018, la sediul CNPDCP au fost acordate 17 consultații instituțiilor
sănătății, pentru familiarizarea medicale în partea ce ţine de procedura de notificare a sistemelor de evidenţă
lor cu normele de protecție a gestionate de către acestea;
datelor cu caracter personal și - Centrul s-a expus asupra unui set de documente elaborat în vederea înregistrării SIA
cu necesitatea respectării AMP, precum și descrierea pașilor ce urmează a fi efectuați în vederea înregistrării
cerințelor de securitate sistemului vizat
40 IMSP CMF Bălți, IMSP Spitalul raional Glodeni, IMSP „Institutul de Ftiziopneumologie „Chiril Draganiuc”, IMSP „Spitalul raional Ungheni”,
IMSP „Spitalul Clinic Municipal pentru Copii nr.1”.
41 IMSP „Spitalul Clinic Municipal pentru Copii nr.1”, IMSP „Institutul de Ftiziopneumologie „Chiril Draganiuc””, IMSP „CMF Bălţi”, IMSP
„Spitalul raional Glodeni”.

25
Direcția audit TI
Efectul măsurilor întreprinse: 17 instituții medicale s-au conformat prevederilor legale din domeniul protecției datelor cu
caracter personal, fiind înregistrate în Registrul deținut de Centru, în calitate de operatori cu mai multe sisteme de evidenţă
gestionate
Verificările efectuate, inclusiv ca urmare a examinării răspunsurilor oferite de IMSP chestionate,

denotă că, deși au fost întreprinse anumite acțiuni de oferire a consultărilor, avizelor la proiectele de
acte normative în domeniu, acestea nu au fost suficiente. Astfel, misiunea de follow-up a constatat IMSP
care până în prezent nu sunt înregistrate în SIA REODCP, aspecte redate și la cerința din pct.2.1.2. al
Hotărârii Curții de Conturi nr.48 din 05.12.2016. Totodată, se relevă că promovarea și informarea privind
normele de protecție a datelor cu caracter personal, precum necesitatea respectării cerințelor de
securitate, reprezintă un proces continuu și necesită o implicare comună atât din partea CNPDCP, cât și
a MS și IMSP. În contextul celor expuse, auditul atestă implementarea parțială a recomandării.
2.2.13. Descrierea carenței constatate de auditul precedent

Auditul precedent a constatat că lipsa unei viziuni strategice/strategii TI unice în domeniul
automatizării asistenței medicale primare, precum și nedelimitarea clară a
responsabilităților/competențelor aferente SI în cadrul sistemului de asistență medicală primară (MS,
APL/CR) au generat dezvoltarea și utilizarea individuală la nivelul IMSP a SI pentru automatizarea
proceselor în domeniu. În context, s-a menționat că MS ar trebui să dețină un control asupra SI utilizate
în domeniul medical. Or, existența unor SI dispersate, individuale în cadrul instituțiilor medicale care
automatizează procesele business din domeniu generează costuri financiare enorme pentru
dezvoltarea/achiziționarea, administrarea și asigurarea mentenanței acestora, precum și riscuri majore
privind securitatea informațională la prelucrarea datelor cu caracter personal în domeniu.
13. MS să efectueze o inventariere a - în anul 2017 la MS a fost efectuat un exercițiu de inventariere care a inclus
SI din domeniul sănătății, inclusiv a colectarea datelor aferente SI utilizate de către IMSP pentru exercitarea atribuțiilor
celor gestionate de către Minister, delegate;
în vederea asigurării unei - a fost emisă Hotărârea Guvernului nr.586 din 24.07.201742 în care au fost indicate
monitorizări exhaustive în domeniu expres SI de bază din Registrul medical: SIA AMP, SIA AMS, SIERUSS, SIA SS, SIA
Transplant
Efectul măsurilor întreprinse: reglementarea SI de bază din Registrul medical, cu delimitarea subiecților raporturilor juridice
de ținere a acestuia (posesorul și deținătorul – MS, registratorii și destinatarii acestuia). Totodată, inventarierea realizată
de Minister nu a fost una completă, iar neasigurarea monitorizării corespunzătoare în domeniu condiționează
materializarea riscurilor identificate de auditul precedent. De menționat că deținerea unei informații exhaustive privind SI
implementate și utilizate de către IMSP contribuie la o mai bună posibilitate a gestionării eficace a acestor sisteme în
domeniul medical
Urmare a analizei informațiilor prezentate de MSMPS, se constată că datele privind instituțiile și SI

utilizate în cadrul acestora nu sunt exhaustive, ceea ce denotă că nu toate instituțiile medicale, precum
și entitățile din subordinea MS au prezentat informațiile solicitate. În context, din totalul de 301 de IMSP
care prestează servicii de AMP43, doar 42 dintre acestea, sau 14 %, au prezentat datele solicitate de MS.
Totodată, se denotă că informațiile prezentate nu specifică SI gestionate/implementate de MS, precum
modul de monitorizare a activităților de automatizare în domeniu, acestea putând fi deduse din
42Hotărârea Guvernului nr.586 din 24.07.2017 „Pentru aprobarea Regulamentului privind modul de ținere a Registrului medical”.
43Date sistematizate de auditor potrivit Ordinului MSMPS nr.1615 din 28.12.2018 „Cu privire la aprobarea Nomenclatorului prestatorilor
de AMP la nivel de raion” și Ordinul MS nr.338 din 05.05.2016 „Cu privire la aprobarea Nomenclatorului instituțiilor medico-sanitare publice
de AMP din mun. Chișinău și Bălți””.
26
Direcția audit TI
Hotărârea Guvernului menționată. Reieșind din cele expuse, se atestă implementarea parțială a
2.2.14. Descrierea abaterii constatate de auditul precedent

Constatările auditului precedent denotă că, deși conform prevederilor legale 44, operatorii de date
cu caracter personal sunt obligați să se notifice și să se înregistreze în Registrul de Evidență a Operatorilor
de Date cu Caracter Personal (REODCP), deținut de CNPDCP, înainte de prelucrarea acestora, MS nu era
înregistrat în Registrul de stat respectiv, nici pentru activitatea de bază, nici pentru SI gestionate/utilizate,
inclusiv SIA AMP. Totodată, se relevă că neînregistrarea SIA AMP în modul stabilit a fost condiționată de
lipsa Conceptului, precum și a altor documente aferente SIA respectiv.
14. MS să întreprindă măsurile - la sfârșitul anului 2016, MS a întreprins acțiunile necesare pentru înregistrarea
necesare pentru înregistrarea în în Registrul deținut de CNPDCP în calitate de operator de date cu caracter
modul stabilit în Registrul de evidență personal, inclusiv pentru sistemul de evidență contabilă;
a operatorilor de date cu caracter - prin Dispoziția MSMPS nr.73/d din 24.11.201745 a fost instituit grupul de lucru
personal a sistemelor responsabil de elaborarea și definitivarea actelor normative necesare pentru
informaționale/de evidență implementarea și darea în exploatare a SIA AMP;
gestionate de către Minister - pe parcursul perioadei de referință, Ministerul a elaborat și aprobat un șir de
ordine privind reglementarea activităților în SIA AMP 46, precum și proiecte de
acte normative relevante47, inclusiv proiectul Conceptului SIA AMP, care la
moment sunt plasate pe pagina web a Ministerului;
- organizarea ședințelor comune cu reprezentanții CNPDCP în vederea
înregistrării SIA AMP în REODCP, precum și cu cei ai CNAM și consilierul principal
de stat al prim-ministrului în domeniul ocrotirii sănătății și dezvoltării sociale, în
vederea identificării unei instituții care să asigure auditul și securitatea datelor
cu caracter personal, și consultări cu Serviciul Tehnologia Informației și
Securitate Cibernetică (STISC) referitor la alocarea semnăturilor electronice
avansate calificate utilizatorilor SIA AMP
Efectul măsurilor întreprinse: MS a fost înregistrat în calitate de operator în REODCP pentru sistemul de evidență
contabilă. Totodată, au fost create anumite condiții necesare pentru înregistrarea SIA AMP în Registrul deținut de
CNPDCP, însă activitățile realizate nu s-au soldat cu rezultatul scontat. Astfel, în perioada desfășurării misiunii de follow-
up, SIA AMP nu a fost înregistrat în Registrul nominalizat, fapt ce condiționează prelucrarea datelor cu caracter personal
în cadrul SI gestionate de MSMPS contrar prevederilor legislației naționale în domeniu48
Verificările efectuate de misiunea de follow-up atestă întreprinderea unui șir de măsuri necesare
pentru asigurarea conformării prelucrării datelor cu caracter personal în SIA AMP și înregistrării
44 Art.23 și art.28 din Legea nr.133 din 08.07.2011.

45 Dispoziția MSMPS nr.73/d din 24.11.2017 „Cu privire la unele măsuri de facilitare a implementării Sistemului Informațional Automatizat
Asistență Medicală Primară (SIA AMP)”.
46 Ordinul MSMPS nr.1498 din 14.12.2018 „Cu privire la aprobarea formularelor de evidență medicală primară, rapoartelor statistice
medicale de ramură, dărilor de seamă generate de SIA AMP” (în continuare – Ordinul nr.1498 din 14.12.2018); Ordinul MSMPS nr.1499 din
14.12.2018 „Cu privire la utilizarea SIA AMP în cadrul prestatorilor de servicii medicale din RM” prin care s-a aprobat și Regulamentul cu
privire la structura și funcționarea SIA AMP; Ordinul nr.1497 din 14.12.2018 „Cu privire la aprobarea Politicii de securitate a datelor cu
caracter personal în cadrul SIA”;
47Proiectul Hotărârii Guvernului pentru alocarea semnăturilor electronice avansate calificate utilizatorilor SIA AMP; proiectul
Regulamentului Serviciului Securitate Informațională; proiectul fișei postului cu stabilirea instituției responsabile de audit și protecție a
datelor cu caracter personal; proiectul Conceptului de dezvoltare a Agenției Tehnologii Informaționale în Sănătate.
48 Legea nr. 133 din 08.07.2011.
27
Direcția audit TI
Sistemului în Registrul de evidență deținut de Centru, însă până în prezent acesta nu a fost înregistrat în
modul stabilit în REODCP.
Potrivit motivației MSMPS, toate documentele și proiectele de ordine au fost consultate cu CNPDCP
în vederea asigurării conformării lor, însă neînregistrarea până în prezent a SIA AMP în Registrul de stat
respectiv a fost condiționată de lipsa unei entități care să asigure administrarea SIA AMP, precum și lipsa
semnăturilor electronice la utilizatorii SIA AMP.
Verificările efectuate relevă că, prin Hotărârea Guvernului nr.138 din 27.02.201849, fiind delegată
responsabilitatea privind administrarea și dezvoltarea ulterioară a SIA AMP Companiei Naționale de
Asigurări în Medicină (CNAM), sunt în proces de ajustare actele normative care reglementează structura
și modul de utilizare și asigurare a securității SIA AMP, stabilirea clară a funcțiilor, inclusiv de audit al
datelor cu caracter personal. În aceeași ordine de idei, în opinia auditului, actele normative aferente
reglementării SIA AMP (Regulamentul de funcționare, Politica de securitate etc.) vor necesita revizuiri și
modificări în vederea ajustării acestora la noile cerințe/prevederi.
Totodată, în opinia MSMPS, odată cu aprobarea Hotărârii Guvernului nr.164 din 07.03.2019, se
modifică radical situația, iar Ministerul, începând cu 01 aprilie 2019, poate deja să solicite CNPDCP
acordarea dreptului de operare a datelor cu caracter personal prin SIA AMP.
În contextul celor expuse, auditul atestă implementarea parțială a recomandării respective.

Verificările auditului precedent au evidențiat dependența critică, în perioada desfășurării auditului
Curții de Conturi, a MS de dezvoltatorul aplicației, în aspectele de securitate, dirijare metodologică și
aplicare a controalelor generale, ținând cont și de lipsa capacităților acestuia de a acoperi de sine stătător
aspectele de mentenanță a SIA AMP. Grație lansării recente în exploatare industrială a Sistemului, povara
privind asigurarea funcționării și a altor procese aferente securității și protecției datelor (care în mod
firesc urmează a fi controlate de Minister) în perioada desfășurării auditului era pusă pe seama
dezvoltatorului, însă în lipsa relațiilor contractuale cu acesta.
15. MS să identifice posibilitățile și să - au fost realizate acțiuni de îndepărtare a neajunsurilor depistate de către
asigure legalizarea raporturilor juridice compania de audit contractată de MS în anul 2016, precum și a celor
între părțile implicate în dezvoltarea constatate de auditul Curții de Conturi;
(Ministerul Sănătății și Compania - a fost semnat actul de acceptanță finală a SIA AMP 50, de primire-predare
dezvoltatoare) a SIA AMP, în scopul evitării dintre MSMPS și Compania dezvoltatoare, fiind extinsă și perioada de
riscului de stopare a serviciilor TI, cu garanție până la data de 31.12.2018, pe parcursul căreia dezvoltatorul a
stabilirea condițiilor de asigurare a asigurat mentenanța Sistemului;
protecției datelor cu caracter personal - a fost achitată integral datoria față de Dezvoltator în valoare de 5,7 mil.
MDL
Efectul măsurilor întreprinse: asigurarea funcționalității SIA AMP, inclusiv prin eliminarea neajunsurilor și problemelor
identificate pe parcursul implementării și utilizării Sistemului
49Hotărârea Guvernului nr.138 din 27.02.2019 „Cu privire la transmiterea unor sisteme informaționale automatizate”, în continuare –
Hotărârea Guvernului nr.138 din 27.02.2019.
50 Procesul-verbal din 21.12.2016 de verificare a îndeplinirii modificărilor în SIA AMP conform scrisorii MS nr.01-9/1910 din 10.11.2016 și
Actul de predare și acceptanță a SIA AMP din 30.05.2017, încheiat între furnizorul European Software Company SRL (în continuare –
Compania dezvoltatoare, după caz, Dezvoltator) și beneficiar, MS.
28
Direcția audit TI
Urmare a analizei informațiilor prezentate, auditul constată că menținerea relațiilor contractuale

dintre MS și Dezvoltator, în baza Contractului încheiat în 201351, a fost asigurată în contextul și condițiile
Încheierii instanței de judecată adoptate la data de 25.07.2018.
Reieșind din cele constatate, auditul atestă implementarea recomandării.
Verificările auditului precedent denotă unele neconformități vizând decizia de divizare a activităților
de administrare a SIA AMP (la nivel global (MS) și la nivel local (IMS)), în contextul în care documentele
de creare a acestuia prevedeau un singur nivel de administrare. Totodată, se relevă suprapunerea
responsabilităților și accesului operatorului cu rol de administrator local și celui de resurse umane. Mai
mult decât atât, auditul a atestat externalizarea serviciilor de administrare la nivel local a SIA AMP,
condiționată inclusiv de lipsa angajaților TI în cadrul unor IMSP, fapt ce generează atât costuri adiționale
la utilizarea Sistemului, în unele cazuri nejustificate suficient, precum și riscuri majore privind protecția
datelor cu caracter personal, în contextul în care instituțiile medicale nu au capacitățile necesare (tehnice
– TI) în vederea monitorizării/verificării/controlului respectării de către acestea a cerințelor relevante.
Astfel, se impune implementarea activităților de control adecvate, acțiuni urgente din partea MS și IMSP,
utilizatori ai SIA AMP.
16. Să revizuiască modul de - a fost aprobat Regulamentul cu privire la structura și funcționarea Sistemului
administrare existent a SIA AMP Informațional Automatizat „Asistență Medicală Primară” (SIA AMP) 52, care
(central și local), cu stabilește modul de administrare a SIA AMP (central și local), descrie acțiunile
identificarea/stabilirea unei soluții care vor fi întreprinse de către administratori în vederea asigurării administrării
optime care ar asigura administrarea eficiente și securității informaționale a SIA AMP, inclusiv acțiuni de audit al
eficientă și conformă a Sistemului, și securității și mecanismelor de gestionare a conturilor utilizatorilor;
evitarea riscurilor de securitate a - prin Hotărârea Guvernului nr.138 din 27.02.2019, SIA AMP a trecut în
datelor cu caracter personal administrarea CNAM
Efectul măsurilor întreprinse: asigurarea condițiilor necesare pentru administrarea Sistemului prin
reglementarea/divizarea explicită a sarcinilor și responsabilităților de administrare la nivel central și local
Urmare a verificărilor efectuate, misiunea de follow-up denotă că modificări esențiale în modul de

administrare a SIA AMP, situație constatată de către auditul precedent al Curții de Conturi, nu au fost
realizate. Astfel, deși au fost reglementate responsabilitățile și nivelul de acces al operatorilor cu rol de
administrare (global și local), nu au fost identificate probe concludente care ar confirma eliminarea
neajunsurilor constatate de auditul precedent în aspectul gestionării riscurilor financiare și de securitate.
De menționat că, pe parcursul perioadei de referință, administrarea tehnică la nivel global a SIA AMP
a fost efectuată de către Serviciul tehnologiei informației și comunicațiilor din cadrul Ministerului, cu
suportul companiei dezvoltatoare53 în baza garanției acordate potrivit Contractului. Totodată, potrivit
Regulamentului nominalizat54, începând cu anul 2019, pentru asigurarea bunei funcționări și dezvoltări
continue a SIA AMP, a fost desemnat responsabil Serviciul Securitatea Informațională din cadrul MSMPS,
care nu a fost totuși instituit.
Odată cu intrarea în vigoare a Hotărârii Guvernului nr.138 din 27.02.2019, începând cu data de
01.03.2019, responsabilitatea de administrare și dezvoltare ulterioară a Sistemului a revenit CNAM.
51
Contractul nr.CPS 23/2013 din 17.06.2013, încheiat între MS și Compania dezvoltatoare.
52 Regulamentul cu privire la structura și funcționarea Sistemului Informațional Automatizat „Asistență Medicală Primară” (SIA AMP),
aprobat prin Ordinul MSMPS nr.1499 din 14.12.2018.
53 Pct. 5 din Demersul auditorului către MSMPS din 12.02.2019.
54 Pct.13 din Regulamentul cu privire la structura și funcționarea SIA AMP, aprobat prin Ordinul MSMPC nr.1499 din 14.12.2018.
29
Direcția audit TI
Concomitent, analizând informațiile oferite de Cancelaria de Stat, auditul constată că, în conformitate cu
prevederile pct.32 subpct.3 din Hotărârea Guvernului nr.414 din 08.05.201855, începând cu 01.01.2019,
Instituția Publică Serviciul Tehnologia Informației și Securitate Cibernetică (în continuare - STISC) urma
să preia în administrare și menținere SI de stat, inclusiv cele gestionate de MSMPS. În context, se relevă
necesitatea revizuirii și ajustării documentelor aferente SIA AMP, precum și definirea și delimitarea
administrării SIA de stat, în vederea armonizării acestora la noile cerințe și prevederi și asigurării
eficienței utilizării resurselor în acest scop.
Astfel, reieșind din cele constatate, recomandarea se califică ca fiind parțial implementată.

Verificările auditului precedent au elucidat un șir de disfuncționalități/neconformități și carențe ale
SIA AMP, condiționate, inclusiv, de lipsa controalelor automatizate în Sistem, precum și de
neconfigurarea adecvată a componentelor acestuia, fapt ce generează riscuri majore aferente securității
și protecției datelor cu caracter personal prelucrate în cadrul SI respectiv.
17. MS să analizeze erorile și - solicitarea56 și verificarea57 gradului de eliminare și soluționare de către Companie
disfuncționalitățile generate de SIA a neconformităților ce țin de dezvoltarea și implementarea SIA AMP;
AMP, ca urmare a configurării - instituirea grupului tehnic de lucru în baza Dispoziției viceministrului sănătății
necorespunzătoare a SI, precum și a nr.783/d din 05.12.201658, responsabil de elucidarea problemelor legate de
cauzelor acestora, cu întreprinderea asigurarea protecției datelor cu caracter personal la prelucrarea acestora în SIA AMP
măsurilor necesare de eliminare a și înaintarea Companiei dezvoltatoare a propunerilor referitor la neconformitățile
lor, asigurând conformarea cu legate de protecția datelor;
cerințele de securitate a datelor cu - instituirea grupului de lucru în baza Dispoziției Viceministrului sănătății nr.817d din
caracter personal 20.12.201659 pentru verificarea înlăturării de către Compania dezvoltatoare a tuturor
neconformităților depistate în SIA AMP
Efectul măsurilor întreprinse: eliminarea unor neajunsuri constatate de auditul precedent contribuie la îmbunătățirea
performanței Sistemului, precum și asigură condiții pentru controlul riscului aferent protecției datelor cu caracter personal.
În același timp, analiza insuficientă și neeliminarea cauzelor generatoare conduc la persistența problemelor și
disfuncționalităților SIA AMP, fapt ce diminuează posibilitatea acestuia de a-și atinge scopul pentru care a fost instituit
Urmare a analizei informațiilor prezentate de către Minister referitor la modificările efectuate de

către dezvoltator, echipa de audit nu a identificat probe concludente ce ar confirma că acesta a eliminat
toate neajunsurile și disfuncționalitățile constatate de auditul precedent. De menționat că dezvoltatorul
nu a efectuat o documentare corespunzătoare asupra modificărilor/ajustărilor operate în cadrul
Sistemului, pentru a oferi o asigurare rezonabilă asupra calității produselor dezvoltate.
Analizând informațiile Companiei privind eliminarea deficiențelor identificate de auditul Curții de
Conturi și auditul privat, contractat de MS pentru realizarea unei evaluări exhaustive a Sistemului în anul
2016, s-a constatat că, în mare parte, unele care se răsfrâng asupra performanței SI, precum și securității
și prelucrării datelor în cadrul SIA AMP nu au fost soluționate eficient, Dezvoltatorul oferind doar unele
explicații privind apariția acestora.
55 Hotărârea Guvernului nr.414 din 08.05.2018 „Cu privire măsurile de consolidare a centrelor de date în sectorul public și de raționalizare
a administrării sistemelor informaționale de stat”, în continuare – Hotărârea Guvernului nr.414 din 08.05.2019.
56 Scrisoarea MS nr.01-9/1910 din 10.11.2016 adresată companiei European Software Company SRL.
57 Proces-verbal de verificare a îndeplinirii modificărilor în SIA AMP, conform Scrisorii MS nr.01-09/1910 din 10.11.2016.
58 Dispoziția viceministrului sănătății nr.783/d din 05.12.2016 „Cu privire la crearea grupului tehnic de lucru, în procesul de implementare
a Sistemului Informațional Automatizat Asistența Medicală Primară”.

59 Dispoziția viceministrului sănătății nr.817d din 20.12.2016 „Cu privire la crearea grupului de lucru”.
30
Direcția audit TI
Totodată, analizând erorile raportate de către utilizatorii SIA AMP pe parcursul anului 2018, au fost
identificate probleme care persistă și în prezent (aferente mecanismului de jurnalizare a operațiunilor
efectuate în Sistem, accesul și eficiența submodului de audit, gestionarea accesului la SI, implementarea
controalelor TI suficiente etc.). În context, se relevă că, deși Dezvoltatorul a asigurat implementarea
metodei de autentificare prin intermediul MPass, în prezent, accesul utilizatorilor la SIA AMP, în
majoritatea cazurilor, se realizează prin login și parolă. Acest fapt a fost condiționat de o serie de factori
obiectivi, inclusiv: resursele financiare necesare pentru asigurarea utilizatorilor cu semnături electronice
etc. În aceeași ordine de idei, auditul atestă divergențe de date în rapoarte/informații generate de SIA
AMP, vezi Anexa nr.2 la prezentul Raport, ceea ce, din nou, denotă existența unor disfuncționalități,
posibil de programare/configurare ale SI.
După cum s-a menționat anterior, odată cu aprobarea Hotărârii Guvernului nr.164 din 07.03.2019,
cu emiterea Ordinului MSMPS nr.338 din 15.03.2019 și cu alte activități conexe, au fost create condițiile
necesare ca, începând cu 01 aprilie 2019, autentificarea în SIA AMP să fie efectuată prin semnătura
electronică (prin intermediul MPass), fapt ce va asigura securitatea accesului la datele din Sistem, fiind
astfel îndeplinită una din condițiile cele mai importante pentru protecția datelor cu caracter personal.
Totodată, conform Hotărârii Guvernului nr.138 din 27.02.2019, fiind delegată responsabilitatea
privind administrarea și dezvoltarea ulterioară a SIA AMP către CNAM, sunt în proces de ajustare actele
normative care reglementează structura, modul de utilizare și asigurare a securității SIA AMP, stabilirea
clară a funcțiilor, inclusiv de audit al datelor cu caracter personal.
Reieșind din constatările misiunii de verificare, recomandarea se consideră parțial implementată.
2.2.18. Descrierea neconformității constatate de auditul precedent

Constatările auditului precedent denotă că SIA AMP a fost dezvoltat (creat) și implementat cu
nerespectarea în deplină măsură a procedurilor aferente dezvoltării unui produs software60. În context,
se evidențiază că SIA AMP a fost dezvoltat/creat în lipsa unei Concepții elaborate și aprobate în modul
stabilit61, care ar fi prezentat o viziune generală asupra Sistemului, respectiv, ar fi stat la baza elaborării
ulterioare a documentației tehnice. Totodată, deși potrivit Documentului de licitație, SIA AMP este parte
componentă a SIMI, Concepția SIMI, aprobată de Guvern încă în anul 200462, nu prevede expres un astfel
de subsistem/sistem. Mai mult decât atât, auditul elucidează neajunsurile ce țin de nedocumentarea
corespunzătoare a activităților pe parcursul implementării SI (a schimbărilor, copiilor de rezervă, evidența
incidentelor, gestionarea erorilor, concepția și planificarea mentenanței etc.).
18. MS să întreprindă măsurile necesare în - Ministerul a elaborat și aprobat un șir de acte care stabilesc cadrul de
vederea conformării cu cerințele cadrului reglementare și funcționare a SIA AMP;
normativ privind exploatarea produsului - a fost planificată actualizarea SIMI până la sfârșitul anului 2019, precum
informatic și ajustarea și consolidarea cadrului normativ aferent funcționării SIA AMP
racordat la noile cerințe și modificări
Efectul măsurilor întreprinse: crearea anumitor condiții de reglementare pentru utilizarea la nivel național a SIA AMP.
Totuși, ținând cont de faptul că noile reglementări au fost aprobate la sfârșitul anului 2018, iar la începutul anului 2019
administrarea și dezvoltarea ulterioară a Sistemului a fost transferată CNAM, impactul acțiunilor nu a fost posibil de
cuantificat. Totodată, neconformarea integrală la cerințele cadrului normativ privind exploatarea produsului informatic,
în perioada de referință, generează riscuri aferente continuității și sustenabilității Sistemului.
60 Ordinul MTIC nr.78 din 01.06.2006 „Cu privire la aprobarea reglementărilor tehnice „Procesele ciclului de viață al software-ului” RT
38370656 - 002:2006”.
61 Art.22 alin.(1) din Legea nr.467-XV din 21.11.2003 cu privire la informatizare şi la resursele informaționale de stat.
62 Hotărârea Guvernului nr.1128 din 14.12.2004 „Cu privire la aprobarea Concepției Sistemului Informațional Medical Integrat”.
31
Direcția audit TI
Urmare a verificărilor efectuate, auditorul relevă că, deși a fost elaborat și aprobat un set de acte
care reglementează activitatea în SIA AMP, conform prevederilor cadrului normativ relevant63,
documentația aferentă SIA AMP nu este una completă, aspecte confirmate în continuare în prezentul
Raport la compartimentul de vizează procedurile aferente mentenanței Sistemului, modului de efectuare
și testare a copiilor de rezervă, planului de continuitate și recuperare în caz de dezastru etc. În contextul
constatărilor identificate, recomandarea se consideră parțial implementată.
De menționat că, potrivit pct.3 din Hotărârea Guvernului nr.138 din 27.02.2019, Ministerul
urmează, pe parcursul anului 2019, să asigure ajustarea cadrului normativ aferent SIA AMP, precum și
revizuirea și modificarea Concepției Sistemului Informațional Medical Integrat64 și a Regulamentului
privind modul de ținere a Registrului medical65, cu înaintarea propunerilor de rigoare în modul stabilit.

Auditul precedent a constatat că SIA AMP a fost dezvoltat/creat în lipsa unei Concepții elaborate și
aprobate în modul stabilit. Totodată, atât Regulamentul de funcționare a Sistemului, cât și Politica de
securitate și protecție a datelor cu caracter personal din cadrul SI ale Ministerului necesitau o revizuire și
actualizare în contextul modificărilor parvenite pe parcursul implementării Sistemului, precum și pentru
corespunderea la cerințele cadrului legal.
19. MS să elaboreze, după caz, să revizuiască și să Pe parcursul perioadei de referință, Ministerul a întreprins
înainteze pentru aprobare, în modul stabilit, măsurile necesare în vederea asigurării cadrului normativ de
proiecte de acte normative aferente SIA, inclusiv funcționare a SIA AMP, inclusiv: Regulamentul cu privire la
Concepția SIA AMP, Regulamentul de funcționare a structura și funcționarea SIA AMP, care cuprinde proceduri,
SIA AMP, precum și a procedurilor aferente modele de documente necesare pentru asigurarea accesului și
protecției datelor cu caracter personal și securității utilizarea SI66; Politica de securitate, proiectul Regulamentului
informației, în vederea asigurării instrumentelor și Serviciului de Securitate Informațională, proiectul Concepției SIA
pârghiilor necesare pentru gestiunea eficientă și AMP67 etc., care au fost înaintate pentru aprobare în modul stabilit
regulamentară a SIA
Efectul măsurilor întreprinse: crearea condițiilor pentru gestiunea eficientă și regulamentară a SIA AMP. Totodată,
existența unor acte aferente sistemului la stadiul de proiect au avut impact nefavorabil asupra gestiunii regulamentare a
sistemului, cum ar fi neînregistrarea în REODCP, deținut de Centru etc.
În contextul celor expuse, auditul atestă implementarea parțială a recomandării. Totodată, în

contextul modificărilor intervenite în cadrul normativ, inclusiv în aspectul determinării administratorului
Sistemului, responsabil și de dezvoltarea ulterioară a acestuia, auditul consideră stringent necesară
revizuirea și asigurarea menținerii actualizate a documentației aferente SIA AMP, precum și elaborarea
și înaintarea în modul stabilit a Concepției SI respectiv.
63 Ordinul MTIC nr.78 din 01.06.2006.

64 Hotărârea Guvernului nr.1128 din 14.10.2004 „Cu privire la aprobarea Concepției Sistemului Informațional Medical Integrat”, în
continuare – Hotărârea Guvernului nr.1128 din 14.10.2004.
65 Hotărârea Guvernului nr.586 din 2407.2017.
66 Contract-tip privind acordarea dreptului de registrator SIA AMP, model de cerere pentru atribuirea contului de utilizator în SIA AMP,
matricea de acces a modulelor funcționale ale SIA AMP în funcție de rolul utilizatorului și tipul de date cu caracter personal accesat,
instrucțiunea de acordare a accesului utilizatorilor SIA AMP.
67 Proiectul Hotărârii Guvernului „Cu privire la aprobarea Conceptului tehnic și Regulamentului de funcționare a Sistemului Informațional
Automatizat „Asistență medicală primară””, elaborat în anul 2017.

32
Direcția audit TI
Potrivit constatărilor auditului precedent, Ministerul nu dispunea de proceduri documentate privind

managementul schimbărilor potrivit reglementărilor naționale și bunelor practici în domeniu68, precum și
nu asigura documentarea modificărilor operate în SIA. Astfel, deși au fost operate schimbări esențiale în
cadrul Sistemului, îndeosebi pe parcursul anului 2016, acestea nu au fost documentate corespunzător, în
special cele care erau efectuate „în regim de urgență”, pentru a înlătura deficiențele apărute, fapt care
ar fi trebuit să contribuie la formarea capacităților interne de gestiune adecvată ulterioară a Sistemului
și să condiționeze dependența prea mare de câteva persoane-cheie (inclusiv din exterior).
Recomandarea auditului Acțiunile întreprinse
precedent
20. MS să instituie un mecanism - MSMPS a realizat un șir de măsuri privind determinarea unei entități/subdiviziuni
de monitorizare/verificare a care urma să asigure realizarea atribuțiilor de monitorizare și control al respectării
respectării cerințelor legale cerințelor legale privind securitatea datelor cu caracter personal prelucrate în SIA AMP,
privind securitatea datelor cu inclusiv: elaborarea Regulamentului Serviciului de Securitate Informațională, care așa și
caracter personal la prelucrarea nu a fost instituit până în prezent; elaborarea conceptului pentru crearea unei agenții
acestora în SIA AMP de către care să administreze toate SI din domeniul sănătății, consultări cu reprezentanții
utilizatorii Sistemului, inclusiv CNPDCP, precum și cu CNAM etc.;
prin efectuarea unor controale, - stabilirea în Regulamentul privind structura și funcționarea SIA AMP pentru utilizatorii
cu întreprinderea măsurilor cu rol de administrare în Sistem (global și local) a atribuțiilor/responsabilităților de audit
corespunzătoare al securității, protecției datelor și gestionării conturilor utilizatorilor
Efectul măsurilor întreprinse: acțiunile vizate nu s-au soldat cu rezultatele scontate în perioada de referință
Verificările efectuate în cadrul misiunii de follow-up denotă insuficiența măsurilor întreprinse în

vederea asigurării mecanismului de monitorizare/verificare a respectării cerințelor legale, fapt
condiționat și de nesoluționarea problemelor/disfuncționalităților în modulul Administrare și în perioada
de referință. Totodată, urmare a intervievării responsabililor din cadrul unor instituții medicale, la nivelul
IMSP nu au fost identificate incidente de securitate. La nivel central, auditului nu i-au fost prezentate
probe concludente care ar fi confirmat realizarea anumitor acțiuni de monitorizare și verificare a
respectării de către utilizatori a cerințelor legale corespunzătoare.
În contextul celor expuse, se atestă implementarea parțială a recomandării respective.

Verificările auditului relevă că, în contextul modificărilor în aplicație, realizate pe parcursul anului
2016 de către dezvoltator, documentația aferentă utilizării Sistemului (Ghidurile utilizatorilor, manualul
administratorului, cât și Regulamentul de utilizare a SIA AMP etc.) nu este actualizată. Acest fapt
condiționează dificultăți în utilizarea Sistemului, precum și riscul de neasigurare a sustenabilității
acestuia, a memoriei instituționale.
21. MS, în funcție de modificările intervenite în - Compania dezvoltatoare a asigurat actualizarea ghidurilor de
fluxurile modulelor integrate în SIA AMP, să asigure utilizare a SIA AMP pentru utilizatorii cu diferite roluri, în
ajustarea și completarea documentației aferente conformitate cu ultimele actualizări în Sistem. Ghidurile
funcționării SIA AMP (ghidurile/manualele pentru actualizate sunt disponibile în SIA AMP la compartimentul de
utilizatori, ghidul administratorului SIA, documentația documente încărcate;
tehnică a infrastructurii etc.), cu asigurarea instruirii - Regulamentul privind utilizarea SIA AMP a fost revizuit și
utilizatorilor în acest sens aprobat prin Ordinul MSMPS nr.1499 din 14.12.2018
68 ISO 27002:20013.
33
Direcția audit TI
Efectul măsurilor întreprinse: urmare a ajustării documentației aferente utilizării SIA AMP (manualele utilizatorilor SIA
AMP), a fost asigurată posibilitatea de ghidare și autoinstruire pentru utilizatorii SIA respectiv.
Urmare a analizelor efectuate, auditul atestă disponibilitatea manualelor utilizatorilor SIA AMP
(versiunea 2017) în modulul Notificări din Sistem, cu excepția manualului administratorului global, care
prezintă un rol esențial în asigurarea administrării și gestionări adecvate a Sistemului. De menționat că
despre disponibilitatea manualelor aferente este expres indicat și în Regulamentul cu privire la structura
și funcționarea SIA AMP, aprobat prin ordinul MSMPS menționat anterior.
Totodată, testarea corespunderii manualului pentru utilizatorul Operator Registratură, efectuată
de către auditor în comun cu reprezentantul Ministerului, nu a identificat divergențe/carențe
semnificative. Mai mult decât atât, potrivit răspunsurilor oferite de către IMSP chestionate/intervievate,
manualele sunt relevante, necesitând, după caz, unele descrieri mai detaliate.
În aceeași ordine de idei, conform explicațiilor reprezentanților MSMPS, manualele sunt actualizate
și corespund situației reale a SIA AMP în perioada realizării auditului de follow-up, dat fiind că, pe
parcursul perioadei de referință, nu au fost operate modificări esențiale în fluxurile aferente proceselor
automatizate în SIA AMP. Referitor la instruiri, auditul relevă că, pe parcursul perioadei de referință,
acestea au fost realizate de către administratorii locali, la necesitate, fiind oferite consultări telefonice
de către echipa de mentenanță.
În contextul celor expuse, precum și ținând cont de faptul că auditorului nu i-au fost prezentate
probe concludente care ar fi confirmat actualizarea manualului administratorului global, precum și a
documentației tehnice a infrastructurii SIA AMP, auditul consideră că recomandarea a fost implementată
parțial.

Potrivit constatărilor auditului precedent, Ministerul nu dispunea de proceduri documentate privind
managementul schimbărilor potrivit bunelor practici69. Totodată, s-a evidențiat faptul că, deși au fost
operate schimbări esențiale în cadrul Sistemului, îndeosebi pe parcursul anului 2016, acestea nu au fost
documentate corespunzător, în special cele care erau efectuate „în regim de urgență”, pentru a înlătura
deficiențele apărute, fapt care ar fi trebuit să contribuie la formarea capacităților interne de gestiune
adecvată ulterioară a Sistemului și condiționează dependența prea mare de câteva persoane-cheie
(inclusiv din exterior).
Recomandarea auditului precedent Acțiunile întreprinse
22. MS să instituie și să asigure - pe parcursul perioadei de referință, MSMPS a contractat un consultant care la
respectarea procedurilor demoment dezvoltă documentația necesară pentru managementul schimbărilor;
management al schimbărilor, cu - a fost inițiată elaborarea fluxului de colectare și implementare a cererilor de
documentarea adecvată aschimbare, formularul de solicitare a cererii de schimbare, modelul jurnalului cererilor
modificărilor intervenite în SIA AMP de schimbări și procedura de revizuire și procesare (acceptare sau respingere) a
cererilor de schimbare
Efectul măsurilor întreprinse: crearea condițiilor necesare pentru asigurarea pe viitor a unui management eficient al
schimbărilor în SIA AMP. Totodată, neeliminarea neajunsurilor constatate de auditul precedent, inclusiv de documentare a
schimbărilor efectuate în perioada 2017-2018, condiționează materializarea riscurilor aferente continuității Sistemului
Verificările efectuate în cadrul misiunii de follow-up denotă că, deși la solicitarea MS70, în perioada
de referință, Dezvoltatorul a operat unele schimbări esențiale asupra componentelor SIA AMP, acestea
69 ISO 27002:20013.
70 Scrisoarea MS nr.01-9/1910 din 10.11.2016.
34
Direcția audit TI
nu au fost documentate corespunzător. Totodată, examinările efectuate constată că, la sfârșitul anului
2018, reprezentanții Ministerului au elaborat procedurile aferente managementului schimbărilor, care
urmează a fi aprobate și implementate corespunzător.
În contextul celor expuse, misiunea de verificare califică implementarea parțială a recomandării
respective.
2.2.23. Descrierea neajunsurilor constatate de auditul precedent

Auditul precedent a constatat faptul că Ministerul nu dispune de proceduri documentate privind
modalitatea și periodicitatea de efectuare și testare a copiilor de rezervă a datelor. Totodată, lipsa unui
Plan de continuitate și a unui Plan de recuperare în caz de dezastru (BCP și DRP) amplifică riscul de
nerestabilire a SIA AMP în cazul materializării acestuia.
23. MS să asigure continuitatea serviciilor prin instituirea și - efectuarea automatizată a copiilor de rezervă;
implementarea unor proceduri adecvate privind modul și - contractarea unui consultant responsabil de
periodicitatea efectuării și testării copiilor de rezervă ale SIA dezvoltarea documentației necesare pentru planul de
AMP, precum și a unui plan de continuitate și de recuperare în continuitate și de recuperare în caz de dezastru, în scopul
caz de dezastru, cu monitorizarea și testarea periodică a asigurării sustenabilității SIA AMP
realizării acestuia în scopul asigurării sustenabilității SIA AMP
Efectul măsurilor întreprinse: lipsa procedurilor privind modul și periodicitatea efectuării și testării copiilor de rezervă,
precum și documentarea acestora, a planului de continuitate și recuperare în caz de dezastru în perioada de referință
denotă faptul că riscul de sistare a Sistemului, precum și de pierdere a datelor sensibile din cadrul acestuia nu a fost
controlat de către deținătorul SIA
Verificările prezentei misiuni denotă că, deși potrivit motivației entității, pe parcursul perioadei de
referință, copiile de rezervă pentru SIA AMP se efectuau zilnic în mod automatizat și complet pentru
toate bazele de date aferente SIA, care se află pe platforma guvernamentală MCloud, la solicitarea
echipei de audit, entitatea nu a prezentat probe concludente care ar confirma faptul că acestea sunt
verificate/testate periodic în scopul validării. Totodată, Ministerul a elaborat procedurile de
efectuare/testare a copiilor de rezervă, care urmează a fi definitivate, aprobate și implementate
corespunzător. De menționat că, în conformitate cu prevederile cadrului normativ 71, entitatea este
responsabilă de asigurarea protejării datelor procesate în cadrul SI proprii găzduite pe platforma MCloud,
precum şi crearea şi stocarea copiilor de rezervă.
În contextul celor menționate, recomandarea se consideră implementată parțial, iar cuantificarea
impactului acțiunilor inițiate ar putea fi evaluată după implementarea acestora.

Auditul precedent a constatat lipsa unui mecanism eficient și adecvat de gestionare a incidentelor,
de comunicare a problemelor intervenite pe parcursul implementării și utilizării SIA AMP. Astfel, s-a
relevat că, pe parcursul perioadei auditate, majoritatea adresărilor/incidentelor din partea utilizatorilor
erau comunicate prin intermediul programului Skype (la care au acces utilizatorii cu rol de administrator
al SIA AMP, inclusiv Compania dezvoltatoare, MS, IMSP), fără reglementările aferente și măsurile de
securitate corespunzătoare. Totodată, s-a atestat că Ministerul nu deținea controlul asupra mijlocului de
comunicare a incidentelor (grupul Skype), mai ales în contextul în care persoanele care nu mai activau în
cadrul instituțiilor utilizatori ai SIA AMP aveau acces la grupul Skype, având și posibilitatea vizualizării
tuturor înregistrărilor care includeau și date cu caracter personal. Totodată, deși incidentele erau
71Secţiunea 2, pct.7 din Regulamentul aprobat prin Hotărârea Guvernului nr.128 din 20.02.2014 „Privind platforma tehnologică
guvernamentală comună (MCloud)”.
35
Direcția audit TI
înregistrate de către responsabilul din cadrul Ministerului, acestea nu erau analizate și documentate
corespunzător, cu evidențierea cauzei problemelor apărute, pentru a fi utilizate în procesul de luare a
deciziilor de a efectuare a ajustărilor necesare în Sistem, în scopul eliminării acestora și neadmiterii
repetării lor pe viitor, fapt ce afecta eficiența utilizării SIA respectiv.
24. MS, să identifice și să instituie un - MSMPS a transmis o solicitare către Serviciul Tehnologia Informației și
mecanism adecvat de comunicare (help Securității Cibernetice (STISC) prin care solicită să fie pus la dispoziție serviciul
desk) cu utilizatorii Sistemului despre guvernamental Service desk pentru utilizatorii SIA AMP. Prin utilizarea acestui
erorile generate de SIA AMP, precum și sistem, administratorii SIA AMP vor dispune de instrumentele necesare de
despre solicitările utilizatorilor privind comunicare cu utilizatorii și de urmărire a solicitărilor din partea utilizatorilor;
problemele apărute la utilizarea acestuia, - comunicarea erorilor în perioada de referință s-a realizat prin intermediul
cu monitorizarea soluționării de rigoare telefonului și prin e-mail
Efectul măsurilor întreprinse: deși au fost întreprinse unele acțiuni, nu s-a asigurat instituirea unui mecanism eficient de
comunicare cu utilizatorii SI (la nivel local și central), fapt ce a condiționat și în perioada auditată persistența carențelor
constatate de auditul precedent. De asemenea, lipsa unei evidențe adecvate a sesizărilor parvenite și, respectiv, a înlăturării
erorilor depistate în utilizarea SIA AMP, a stabilirii cauzelor apariției și monitorizării înlăturării acestora diminuează eficiența
și performanța utilizării Sistemului
Examinând acțiunile întreprinse de Minister pe parcursul perioadei de referință, se relevă că

acestea nu au fost suficiente pentru eliminarea neajunsurilor constatate de auditul precedent. Totodată,
analiza erorilor raportate de către utilizatorii Sistemului la adresa electronică de suport a Ministerului,
precum și răspunsurile oferite de către IMSP chestionate, se denotă probleme repetitive, fapt ce denotă
că nu au fost identificate și eliminate cauzele generatoare ale erorilor și disfuncționalităților, ci
consecințele acestora.
Reieșind din cele constatate, se atestă neimplementarea recomandării în cauză. Totodată, în
contextul noilor condiții de administrare a SIA AMP, prevăzute de cadrul normativ în vigoare (CNAM și
STISC), este necesară o revizuire și identificare/delimitare clară a modalității de comunicare și soluționare
a incidentelor/erorilor/problemelor apărute în procesul de utilizare a SIA AMP, în vederea eficientizării
resurselor și optimizării activităților în procesul de luare a deciziilor aferente.

Verificările auditului precedent denotă că, contrar prevederilor legale corespunzătoare72, SIA AMP
nu a fost înregistrat în Registrul de stat deținut de CNPDCP, precum și în Registrul resurselor
informaționale de stat, deținut de MTIC. Printre factorii care au condiționat neînregistrarea, l-a constituit
și lipsa conceptului, precum și a altor documente aferente SI respectiv.
25. MS să întreprindă măsurile - pe parcursul perioadei de referință, Ministerul a întreprins un șir de măsuri
corespunzătoare în vederea asigurării în vederea înregistrării SIA AMP în Registrul de evidență deținut de CNPDCP
înregistrării SIA AMP în Registrul resurselor (aspecte redate mai sus în prezentul Raport), precum și acțiunile necesare
informaționale de stat, deținut de MTIC, pentru înregistrarea în Registrul resurselor și sistemelor informaționale,
precum și în Registrul de evidență a deținut anterior de MTIC (elaborarea și coordonarea proiectului Concepției
operatorilor de date cu caracter personal al SIA AMP, a Regulamentului de organizare și funcționare a Sistemului etc.)
CNPDCP
Efectul măsurilor întreprinse: crearea condițiilor necesare pentru înregistrarea SIA AMP în Registrele de stat nominalizate și,
respectiv, conformarea cu cerințele cadrului normativ relevant

36
Direcția audit TI
Analiza acțiunilor întreprinse atestă o preocupare conștiincioasă și consecventă a managementului

Ministerului privind conformarea la prevederile cadrului normativ relevant. Referitor la înregistrarea SIA
AMP în Registrul resurselor informaționale de stat, auditul menționează că, urmare a auditului Curții de
Conturi aferent evidenței resurselor și sistemelor informaționale de stat73, s-a constatat că Registrul
resurselor informaționale de stat nu a fost instituit, iar potrivit modificărilor operate în cadrul legal,
acesta urmează a fi dezvoltat în viitorul apropiat de către I.P. Agenția Servicii Publice.
Reieșind din cele constatate, auditul consideră recomandarea ca fiind parțial implementată, dat fiind
faptul că, în scopul realizării ei, au fost efectuate un șir de acțiuni care însă nu s-au soldat cu înregistrarea
SIA AMP în SI REODCP.

Potrivit constatărilor auditului precedent, lipsa unei viziuni strategice unice asupra automatizării
proceselor din domeniul medical, precum și a unui control adecvat din partea entităților responsabile în
acest sens și nedelimitarea clară a responsabilităților/competențelor în cadrul sistemului de asistență
medicală primară (MS, APL/CR) au generat dezvoltarea și utilizarea individuală la nivelul unor IMSP a SI,
condiționând costuri financiare pentru dezvoltarea/achiziționarea, administrarea și asigurarea
mentenanței acestora și riscuri majore privind protecția datelor și securitatea informației respective.
În context, auditul a atestat că, deși potrivit Ordinului MS nr.1023 din 03.10.2014, a fost lansată
implementarea SIA AMP în cadrul instituțiilor medicale, indiferent de forma juridică a acestora, care
prestează servicii de asistență medicală primară, nu a fost revăzut/abrogat Ordinul MS nr.617 din
07.09.2010, astfel unele IMSP continuă să utilizeze SIA „MedEx 2.0.”. Mai mult decât atât, auditul denotă
inițierea implementării, în paralel cu SIA AMP, de către unele IMSP (CMF mun. Bălți) a Sistemului
Informațional Integrat în Sănătate (în continuare – SIIS), promovat intensiv și implementat în sectorul
medical de către un agent economic.
26. MS să examineze situația privind Ministerul a elaborat și aprobat acte interne care obligă prestatorii serviciilor de AMP
utilizarea în paralel cu SIA AMP și a utilizarea în activitatea lor a SIA AMP, respectiv:
altor SI care automatizează - Ordinul MSMPS nr.1499 din 14.12.2018, potrivit căruia directorii instituțiilor vor
procesele de business din asistența asigura realizarea măsurilor obligatorii imediate pentru utilizarea SIA AMP, vor asigura
medicală primară, cu adoptarea toate condițiile necesare utilizării SIA AMP, a infrastructurii, administratorilor etc.;
unei decizii în acest sens, pentru - Ordinul MSMPS nr.1498 din 14.12.2018, care stabilește lista formularelor de evidență
evitarea/excluderea riscurilor medicală primară, rapoartelor statistice medicale de ramură, dărilor de seamă
economico-financiare, de fraudă și generate de SIA AMP;
de securitate a datelor privind - Ordinul MSMPS nr.1497 din 14.12.2018, care stabilește Politica de securitate a
starea de sănătate a pacienților etc. datelor cu caracter personal în cadrul SIA respectiv
Efectul măsurilor întreprinse: crearea condițiilor necesare pentru utilizarea la nivel național a SIA AMP. Totodată, în scopul
asigurării eliminării situației și materializării riscurilor constatate de auditul precedent, se necesită întreprinderea măsurilor
necesare pentru dezvoltarea și asigurarea funcționalității SIA AMP, precum și instituirea unui mecanism eficient de
monitorizare și control de utilizare exclusiv a SI respectiv la prestarea serviciilor de AMP de către entitățile corespunzătoare
Verificările efectuate în cadrul misiunii de follow-up atestă utilizarea, pe parcursul perioadei de

referință, a SIA „MedEx 2.0.” (în cadrul IMSP „CMF Bălți” și IMSP AMT „Centru” și a SIA „CabiMed” – în
cadrul IMSP „Clinica Universitară”), acestea deținând o bază de date complexă cu date personale ale
73Misiunea de audit al performanței privind evidența resurselor și sistemelor informaționale de stat, desfășurată de Curtea de Conturi în
2018. (HOTĂRÂREA CCRM nr.62 din 02.08.2018).
37
Direcția audit TI
pacienților. Potrivit informațiilor oferite, se constată că, în anul 2017, IMSP „CMF Bălți” a sistat utilizarea
SIIS, reziliind contractul cu Compania prestatoare, iar la sfârșitul anului 2018, IMSP „Clinica Universitară”
a sistat utilizarea SI „CabiMed”, începând cu ianuarie 2019, IMSP nominalizate inițiind
implementarea/utilizarea SIA AMP. De menționat că Ordinele MSMPS care sunt în vigoare până în
prezent74 oferă posibilitatea utilizării în cadrul IMSP atât a SIA AMP, cât și a SI „MedEx 2.0.”.
Deși, potrivit explicațiilor Ministerului, Ordinul nr.1499 din 14.12.2018 și Ordinul nr.1023 din
03.10.2014 reglementează etape diferite – de lansare a implementării și de utilizare la nivel național, iar
Ordinul MS nr.617 din 07.09.2010, care stabilește implementarea și utilizarea SIA „MedEx 2.0.” a produs
efecte juridice pentru perioada 2010, nefiind necesară abrogarea ultimelor 2 ordine menționate, în opinia
auditului, este necesară o revizuire a actelor normative nominalizate, în scopul excluderii situațiilor de
confuz, cât și de utilizare în paralel a SIA nominalizate.
Totodată, ținând cont de faptul că SIA utilizate pe parcursul perioadei 2008 (SIA „CabiMed”) și 2010
(SIA „MedEx 2.0.”) de către IMSP menționate mai sus dețin o bază de date consistentă a informațiilor cu
privire la pacienți etc., asigurarea condițiilor necesare și migrarea datelor în SIA AMP ar contribui la o
eficientizare a activităților/resurselor instituțiilor respective. Mai mult decât atât, instituirea unei
Strategii TI în domeniul medical, care ar include și o viziune unică în domeniul automatizării asistenței
medicale primare, precum și delimitarea clară a responsabilităților/competențelor aferente SI în cadrul
sistemului de AMP (MS, APL/CR) ar contribui la eficientizarea resurselor alocate în acest scop, precum și
la gestionarea riscurilor aferente securității și protecției datelor.
În contextul celor menționate, precum și ținând cont de faptul că în prezent SIA AMP necesită
dezvoltări și ajustări pentru îmbunătățirea performanței și funcționalității sale, auditul califică
recomandarea ca fiind parțial implementată.

Auditul precedent a evidențiat necesitatea formalizării procesului de schimb de informații dintre SIA
AMP și SI deținut de CNAM, în scopul asigurării condițiilor legale, precum și eficientizării activităților.
27. MS, în comun cu CNAM, să încheie un acord privind Pe parcursul anului 2018, a fost semnat acordul privind
formalizarea schimbului de date necesar formării corecte și schimbul de date între MSMPS și CNAM (nr.57 din
consistente a resurselor informaționale aferente 30.03.2018)
funcționării SIA AMP
Efectul măsurilor întreprinse: schimbul de date între SI ale CNAM și SIA AMP a fost implementat, testat și pus în funcțiune,
fapt ce contribuie la eficientizarea utilizării SIA AMP
Reieșind din examinările efectuate, auditul atestă implementarea recomandării. Totodată, în

contextul modificărilor intervenite la începutul anului curent (transmiterea SIA AMP în administrare și
mentenanță de la MSMPS către CNAM), acordul urmează a fi revăzut și reziliat.
2.2.28. Descrierea carenței identificate de auditul precedent

Auditul precedent a evidențiat necesitatea revizuirii contractului încheiat dintre MS și Î.S. „CRIS
„Registru””, ținând cont de modificările intervenite pe parcurs, pentru asigurarea disponibilității datelor
necesare și relevante utilizatorilor Sistemului și excluderea dublării sau generării unor date inutile și
contradictorii.
74Ordinul nr.617 din 07.09.2010 „Cu privire la implementarea Sistemului informațional pentru Asistență Medicală Primară MedEx 2.0.”,
Ordinul MS nr.1023 din 03.10.2014 „Cu privire la lansarea implementării Sistemului Informațional Automatizat în asistență Medicală
Primară”, Ordinul MSMPS nr.1499 din 14.12.2018.
38
Direcția audit TI

28. MS, în comun cu ÎS „CRIS „Registru””, să revizuiască Urmare a revizuirilor efectuate, a fost semnat Acordul
acordul încheiat privind schimbul de informații între adițional nr.3/523-AD privind modificarea Contractului
sistemele informaționale deținute, ținând cont de nr.578-I din 04.09.2012 cu privire la interacțiunea
modificările intervenite pe parcurs, pentru asigurarea informațională prin intermediul Common Object Interface
disponibilității datelor necesare și relevante utilizatorilor (COI), astfel încât să se țină cont de modificările
Sistemului și excluderea dublării sau generării unor date intervenite pe parcurs
inutile și contradictorii
Efectul măsurilor întreprinse: schimbul de date dintre SI contribuie la o eficientizare a activităților și utilizării SIA AMP
În contextul celor menționate, auditul atestă implementarea recomandării înaintate. Concomitent,

misiunea de follow-up relevă că modificările intervenite pe parcursul anilor 2017-2018, inclusiv
obligativitatea asigurării schimbului de date prin intermediul platformei guvernamentale de
interoperabilitate75, contractul nominalizat urmează a fi revizuite și reziliate în modul stabilit.

Verificările auditului precedent denotă că unele IMSP auditate, deși dețineau o Politică de Securitate
Informațonală, precum și alte proceduri de protecție a datelor cu caracter personal la nivel de instituție,
nu corespundeau în totalitate Cerințelor de securitate aprobate de Guvern, nefiind asigurată nici
implementarea adecvată a prevederilor acestora, fapt care a generat neconformități/deficiențe descrise
în compartimentele corespunzătoare ale Raportului de audit. Mai mult decât atât, în contextul
externalizării anumitor servicii TI (de administrare/mentenanță a SI etc.), nu au fost stabilite
măsurile/controalele aferente protecției datelor în raport cu părțile terțe, potrivit bunelor practici în
domeniul securității informaționale.
29. IMSP: AMT Centru, CMF mun. Bălți și Clinica Universitară Pe parcursul perioadei de referință, IMSP76 nominalizate
de Asistență Medicală Primară să revizuiască politica de au ajustat documentele de politică privind protecția
securitate a datelor cu caracter personal, inclusiv datelor cu caracter personal la condițiile și necesitățile
reglementările aferente protecției datelor cu caracter intervenite, asigurând condițiile necesare pentru
personal, în vederea ajustării acestora la cerințele cadrului protecția și securitatea datelor cu caracter personal
normativ, precum și la necesitățile intervenite (specificarea prelucrate în cadrul Instituțiilor
măsurilor de protecție a datelor în raport cu părțile terțe etc.)
75 Legea nr.142 din 19.07.2018 cu privire la schimbul de date și interoperabilitate.

76 Ordinul AMT „Centru” nr.199 din 28.12.2017 „Cu privire la protecția datelor cu caracter personal”, abrogat prin Ordinul IMSP AMT
„Centru” nr.156 din 27.12.2018 „Cu privire la prelucrarea datelor cu caracter personal în AMT „Centru””, prin care au fost aprobate un șir
de acte aferente domeniului, inclusiv: Politica de securitate privind protecția datelor cu caracter personal, Regulamentele cu privire la
protecția datelor cu caracter personal la prelucrarea acestora pe suport de hârtie, electronic etc., Regulamentul cu privire la accesul în
încăpere și la serverul sistemului informațional, Regulamentul privind supravegherea prin mijloace video, Registrul cu privire la crearea și
lichidarea accesului logic la sistemele informatice, Registrul de înregistrare a persoanelor cu acces la încăperea de servere, Registrul cu
privire la crearea și verificarea copiilor BD „MedEx 2.0.”, precum și nominalizate persoanele responsabile și determinate activitățile necesare
în vederea asigurării protecției și securității datelor; Ordinul IMSP Clinica Universitară de AMP nr.13-A din 31.01.2017 „Cu privire la
implementarea politicii de securitate a prelucrării datelor cu caracter personal în cadrul IMSP CUAMP”; Regulamentul privind asigurarea
securității datelor cu caracter personal a pacienților în cadrul IMSP Clinica Universitară de AMP „Nicolae Testemițanu”, precum și alte
regulamente aferente, aprobate la data de 04.03.2019, și ordine interne privind nominalizarea persoanelor responsabile și a activităților
necesare pentru asigurarea protecției datelor cu caracter personal în cadrul IMSP; Ordinul IMSP „CMF mun.Bălți” nr.54 din 28.02.2018 „Cu
privire la aprobarea Regulamentului intern privind asigurarea securității datelor cu caracter personal în cadrul IMSP CMF mun.Bălți”, prin
care au fost aprobate 7 Regulamente aferente domeniului menționat, inclusiv: Regulamentul privind asigurarea securității datelor medicale
cu caracter personal în cadrul IMSP „Centrul Medicilor de Familie din Municipiul Bălți” etc.
39
Direcția audit TI
Efectul măsurilor întreprinse: crearea condițiilor necesare pentru conformarea activității IMSP cu cerințele cadrului
normativ aferent domeniului protecției datelor cu caracter personal și securității informației
Evaluând activitățile realizate de către IMSP nominalizate, auditul atestă implementarea


Potrivit constatărilor auditului precedent, lipsa unor măsuri adecvate de protecție a datelor cu
caracter personal, precum și neacordarea, la nivelul IMSP, a unei atenții sporite protecției datelor cu
caracter personal cu privire la starea sănătății, prelucrate în SIA, generează vulnerabilități privind
confidențialitatea datelor. Totodată, se concluzionează că, deși cadrul normativ aferent domeniului
medical cu privire la protecția datelor privind starea sănătății pare a fi unul complex, lipsa sau insuficienta
conștientizare a importanței protecției datelor sensibile cu caracter personal de către unii lucrători
medicali determină neconformarea cu prevederile legale în această privință, fapt confirmat atât de
rezultatul controalelor CNPDCP, cât și de către auditul precedent.
30. IMSP: AMT Centru, IMSP CMF mun. Periodic în cadrul IMSP au fost organizate instruiri pentru personalul
Bălți și IMSP Clinica Universitară de medical privind cerințele de securitate la prelucrarea datelor cu caracter
Asistență Medicală Primară să informeze personal, precum și privind modificările intervenite în cadrul normativ
angajații instituției privind cerințele de aferent. Totodată, în cadrul ședințelor interne se atenționează
securitate la prelucrarea datelor cu colaboratorii despre necesitatea respectării legislației în vigoare la
caracter personal și să asigure prelucrarea datelor cu caracter personal ale pacienților, precum și
implementarea/respectarea acestora, prin necesitatea prelucrării acestora doar în baza acordului informat, semnat
instituirea unui mecanism intern adecvat de fiecare pacient în parte sau a reprezentantului sau legal prin
de monitorizare/control confirmarea faptului cu actele necesare
Efectul măsurilor întreprinse: crearea condițiilor necesare pentru asigurarea respectării prevederilor cadrului normativ
aferent domeniului protecției datelor cu caracter personal, impactul acestora urmând a fi cuantificat ulterior
Verificările efectuate în cadrul misiunii de follow-up atestă implicarea conștiincioasă a conducerii

IMSP respective în aspectul informării și asigurării respectării cerințelor pentru securitatea și protecția
datelor cu caracter personal, la prelucrarea acestora inclusiv prin SIA. Analizele efectuate denotă că, pe
parcursul perioadei de referință, nu au fost constatate cazuri/incidente cu privire la nerespectarea
prevederilor de rigoare.
Reieșind din cele menționate, auditul atestă implementarea recomandării înaintate celor 3 IMSP.

Auditul precedent a constatat că, deși conform prevederilor legale77, operatorii de date cu caracter
personal sunt obligați să se notifice și să se înregistreze în Registrul de evidență a operatorilor de date cu
caracter personal, unele IMSP auditate nu erau înregistrate, în modul stabilit, în Registrul respectiv
deținut de CNPDCP, nici pentru activitatea de bază, nici pentru SI gestionate/utilizate în activitatea lor.
31. IMSP AMT Centru, CMF mun. Bălți și Clinica Universitară de IMSP nominalizate au întreprins pe parcursul
Asistență Medicală Primară să întreprindă măsurile necesare în perioadei de referință măsurile necesare și s-au
vederea înregistrării instituției, în modul stabilit, în calitate de înregistrat, în modul stabilit, în Registrul de evidență a
operator de date cu caracter personal, în Registrul de evidență a operatorilor de date cu caracter personal, deținut de
Centrul Național pentru Protecția Datelor cu Caracter

40
Direcția audit TI
operatorilor de date cu caracter personal, pentru sistemele Personal atât pentru activitatea de bază, cât și pentru
informaționale și de evidență deținute sistemele de evidență utilizate78
Efectul măsurilor întreprinse: conformarea la cerințele cadrului legal privind înregistrarea în REODCP deținut de CNPDCP.
Crearea premiselor necesare pentru asigurarea funcționării conforme a SIA AMP
În contextul acțiunilor realizate pe parcursul perioadei de referință, auditul atestă implementarea

recomandării înaintate de Curtea de Conturi.

Auditul precedent a constatat faptul că controalele aferente securității accesului (logic, fizic și la
rețea) la resursele Sistemelor informaționale, menite să asigure automatizarea proceselor de AMP la
nivelul unor IMSP auditate, nu asigurau pe deplin cerințele privind protecția datelor cu caracter personal.
Astfel, verificările auditului au elucidat un șir de neconformități, condiționate, în principiu, de
erori/deficiențe, inclusiv de configurarea neadecvată a SIA utilizate (SIA „MedEx 2.0.”, SIA „CabiMed”,
SIIS), precum și de neaplicarea corespunzătoare și insuficientă a controalelor TI relevante, inclusiv a
prevederilor aferente securității informaționale și protecției datelor cu caracter personal, fapt ce
condiționa riscuri majore în acest sens.
32. Conducerea AMT Centru, CMF mun. Bălți și Clinica IMSP verificate de auditul precedent au stabilit procedurile și
Universitară de Asistență Medicală Primară să instituie controalele necesare pentru asigurarea accesului (logic, fizic și
controalele necesare în vederea asigurării securității la rețea), reflectate în Regulamentele și politicile menționate la
accesului (logic, fizic și la rețea) la resursele TI, în scopul
pct.29.
evitării riscurilor de securitate posibile, cu Totodată, se evidențiază că IMSP AMT „Centru” a instituit
documentarea adecvată a acestora mecanisme eficiente de evidență și monitorizare a
implementării acestora
Efectul măsurilor întreprinse: crearea condițiilor necesare pentru asigurarea securității și protecției datelor cu caracter
personal prelucrate în cadrul SI de către instituțiile medicale respective
Urmare a verificărilor realizate, se relevă că măsurile întreprinse pe parcursul perioadei de

referință de către factorii de decizie ai instituțiilor medicale vizate au consolidat cadrul instituțional,
inclusiv normativ, privind gestionarea accesului la resursele TI din cadrul entităților respective. Totodată,
misiunea de follow-up atestă necesitatea consolidării aplicării controalelor TI prin prisma asigurării
eficientizării acestora, precum și a mecanismului de monitorizare continuă a funcționalității controalelor
și procedurilor implementate în scopul conformării la cerințele cadrului normativ în domeniu.
Se constată că acțiunile realizate în vederea utilizării SIA AMP au influențat condițiile necesare în
vederea îmbunătățirii situației. Ca urmare, recomandarea se consideră parțial implementată.

Verificările auditului precedent denotă că serviciile disponibile de copii de rezervă a datelor și de
recuperare în caz de dezastru pentru SIA „CabiMed” și SIA „MedEx 2.0.” oferă o protecție
necorespunzătoare a datelor, punând în pericol continuitatea serviciului și ar putea afecta capacitatea
IMSP de a se conforma la responsabilitățile legale. Astfel, s-a evidențiat lipsa unui plan de continuitate și
78 În baza deciziilor nr. DA - 1492672122972 și nr. DA - 1492672412613 din 20.04.2017, IMSP „CMF mun. Bălți” a primit autorizarea
operațiunilor de prelucrare a datelor cu caracter personal în domeniu, iar prin Decizia nr.DD - 1492671702563 din 20.04.2017, este
înregistrată în calitate de operator de date cu caracter personal; IMSP AMT „Centru” este deja înregistrată în calitate de operator de date
în Registrul de evidență a operatorilor de date cu caracter personal la nr.0000007-001 și nr.0000007-002 din 10.10.2012; IMSP „Clinica
Universitară de Asistență Medicală Primară” s-a înregistrat în REODCP pentru activitatea de bază și pentru sistemele de evidență utilizate
în activitatea instituției (nr.1551868278575; nr. 1551871504069 și nr.1552298764857 din 06.03.2019).
41
Direcția audit TI
de recuperare în caz de dezastru, precum și documentarea insuficientă a procesului și procedurilor

aferente restabilirii datelor și funcționalității SIA implementate și utilizate din copiile de rezervă.
33. IMSP AMT Centru, CMF mun. Bălți și Clinica Universitară de - actualizarea de către IMSP AMT „Centru” a procedurilor
Asistență Medicală Primară să asigure continuitatea serviciilor interne referitor la modul și periodicitatea efectuării și
prin instituirea și implementarea unor proceduri adecvate testării copiilor de rezervă;
privind modul și periodicitatea efectuării și testării copiilor de - crearea și ținerea, în modul stabilit, de către IMSP AMT
rezervă ale SIA AMP, precum și a unui plan de continuitate și de „Centru” a Registrului cu privire la crearea și verificarea
recuperare în caz de dezastru, cu monitorizarea și testarea copiilor BD „Medex 2.0.”
periodică a realizării acestuia în scopul asigurării sustenabilității
Efectul măsurilor întreprinse. crearea condițiilor necesare pentru asigurarea continuității serviciilor și recuperării datelor în
caz de dezastru
Verificările prezentei misiuni denotă că, deși potrivit motivației entităților (IMSP „CMF Bălți” și
IMSP „Clinica Universitară de AMP”), pe parcursul perioadei de referință, copiile de rezervă pentru SIA
utilizate se efectuau zilnic în mod automatizat de sistem, cu verificarea funcționalității și integrității
acestora, auditorului nu i-au fost prezentate probe de audit suficiente și documentate care ar confirma
activitățile realizate în acest sens, inclusiv procedurile de efectuare/testare a copiilor de rezervă. În
aceeași ordine de idei, nu a fost elaborat, implementat și testat, în modul stabilit, un Plan de recuperare
în caz de dezastru pentru SIA utilizate. În contextul celor expuse, auditul califică recomandarea ca fiind
parțial implementată.
De menționat că, în contextul conformării IMSP cu prevederile Ordinului MSMPS nr.1497 din
14.12.2018, respectiv, privind implementarea SIA AMP, reieșind din noile responsabilități, recomandarea
devine irelevantă/își pierde actualitatea, dat fiind faptul că activitățile aferente efectuării copiilor de
rezervă și elaborarea unui plan de continuitate și recuperare în caz de dezastru sunt în responsabilitatea
administratorului SIA AMP.

Potrivit concluziilor auditului precedent, în contextul externalizării anumitor servicii TI (de
administrare/mentenanță a SI etc.), IMSP ar fi trebuit să stabilească un șir de măsuri aferente protecției
datelor în raport cu părțile terțe, precum și un mecanism adecvat de monitorizare și control, în scopul
asigurării conformării acestora cu cerințele cadrului normativ relevant și gestionării riscurilor de
securitate a datelor și informațiilor sensibile prelucrate în SIA utilizate în activitatea de prestare a
serviciilor de AMP.
34. Conducerea AMT Centru, CMF mun. - în urma revizuirilor efectuate, instituțiile medicale respective au stabilit, în
Bălți și Clinica Universitară de Asistență reglementările interne aferente protecției datelor cu caracter personal,
Medicală Primară să stabilească, în procedurile de rigoare în cazul externalizării serviciilor de administrare a
contractele de prestare a serviciilor TI, serviciilor TI;
măsurile de rigoare în vederea asigurării - actualizarea contractelor de mentenanță a SIA încheiate de IMSP „Clinica
informației/protecției datelor în raport cu Universitară” în perioada de referință prin introducerea clauzelor cu privire la
părțile terțe. protecția datelor cu caracter personal79
Efectul măsurilor întreprinse: crearea condițiilor necesare pentru asigurarea protecției datelor cu caracter personal și a
securității informațiilor în cazul externalizării serviciilor TI de către IMSP
79Acordul de confidențialitate, semnat potrivit prevederilor politicii de securitate a IMSP, parte a Contractelor încheiate între IMSP „Clinica
Universitară de AMP” și ICS „INFO World” SRL cu privire la achiziționarea serviciilor de mentenanță pentru SIA „CabiMed”, în perioada 2017-
2018.
42
Direcția audit TI
Ca rezultat al analizei informațiilor prezentate, auditul atestă că, în perioada de referință,

contractele de prestare a serviciilor TI, încheiate de către IMSP AMT „Centru” și IMSP Clinica
Universitară80 pe parcursul perioadei de referință prevăd măsurile de rigoare în vederea asigurării
informației/protecției datelor în raport cu părțile terțe. Totodată, în contextul rezilierii 81, în anul 2016, a
contractului încheiat între IMSP „CMF mun.Bălți” și „PAS Integrator” SRL aferent serviciilor de
implementare și administrare a SIIS și sistarea utilizării acestuia în cadrul IMSP, cu întreprinderea
măsurilor corespunzătoare în acest sens, pe parcursul perioadei de referință instituția medicală
respectivă nu a externalizat servicii TI. Totodată, administrarea SIA „MedEdx 2.0.” a fost realizată exclusiv
de către angajații instituției.
În contextul celor expuse, auditul consideră recomandarea ca fiind implementată.

Auditul precedent atestă că, lipsa unei viziuni strategice/strategii TI unice în domeniul automatizării
asistenței medicale primare, precum și nedelimitarea clară a responsabilităților/competențelor aferente
SI în cadrul sistemului de asistență medicală primară între MS și APL/CR au generat dezvoltarea,
achiziționarea, implementarea și utilizarea individuală la nivelul IMSP a SI pentru automatizarea
proceselor în domeniul AMP, altele decât SIA AMP deținut de MS, care nu sunt interoperabile și generează
costuri financiare enorme pentru dezvoltarea/achiziționarea, administrarea și asigurarea mentenanței
acestora, precum și riscuri majore privind securitatea informațională.
35. IMSP AMT Centru, CMF În urma examinărilor efectuate, inclusiv prin prisma riscurilor constatate, IMSP auditate
mun. Bălți și Clinica au realizat măsurile necesare, inclusiv:
Universitară de Asistență - IMSP „CMF mun. Bălți” a reziliat Contractul de servicii cu operatorul privat, sistând
Medicală Primară să utilizarea SIIS, cu întreprinderea activităților corespunzătoare ulterioare. Totodată,
reexamineze modul de pe parcursul perioadei de referință, în cadrul IMSP CMF Bălți a fost utilizat SIA
prelucrare a datelor personale „MedEx 2.0.”, instituția întreprinzând anumite măsuri pentru asigurarea securității
ale pacienților în SI, altele datelor. Începând cu anul 2019, în conformitate cu Ordinul MSMPS nr.1497 din
decât cele gestionate și 14.12.2018, instituția este în proces de implementare a SIA AMP în cadrul activității
implementate la nivel național de prestare a serviciilor de AMP;
de MS, în scopul conformării cu - până la implementarea/ajustarea definitivă a SIA AMP, IMSP „AMT Centru”
cerințele stabilite, precum și utilizează SIA „MedEx 2.0.”, asigurând condițiile necesare pentru conformarea cu
evitării riscurilor majore în cerințele cadrului normativ privind securitatea și protecția datelor;
acest sens (financiare, de - IMSP „Clinica Universitară de AMP”, în perioada 2017 – 2018, a utilizat SIA
fraudare, de securitate) „CabiMed”, asigurând anumite cerințe de securitate, iar începând cu anul 2019 82 a
inițiat implementarea SIA AMP, deținut de MSMPS, sistând, în modul stabilit,
utilizarea SIA „CabiMed”
Efectul măsurilor întreprinse: conformarea cu cerințele stabilite de MSMPS, precum și cu cadrul normativ aferent domeniului
protecției datelor cu caracter personal la utilizarea SI în cadrul prestării serviciilor de AMP
Verificările auditului relevă că, pe parcursul perioadei de referință, entitățile vizate au utilizat SI
identificate de auditul precedent, asigurând anumite măsuri pentru protecția datelor cu caracter
80 A fost prevăzut Acordul de confidențialitate în contractele încheiate între IMSP „Clinica Universitară de AMP” și ICS INFO World SRL cu
privire la achiziționarea serviciilor de mentenanță pentru SIA „CabiMed”, în perioada 2017-2018.
81 Acordul din 29.12.2016 de reziliere a Contractului de servicii nr.16 din 05.03.2015, încheiat între CMF mun.Bălți și „PAS Integrator” SRL.
82 Ordinul IMSP „Clinica Universitară de AMP” nr.102-A din 17.12.2018 „Cu privire la organizarea implementării Sistemului Informațional
Automatizat (SIA AMP)”.

43
Direcția audit TI
personal și securitatea informației. Totodată, potrivit informațiilor oferite de IMSP „Clinica Universitară
de AMP”, pentru mentenanța SIA „CabiMed” au fost utilizate resurse financiare în valoare de 256,5 mii
MDL. În aceeași ordine de idei, mentenanța SIA „MedEx 2.0.”, utilizat în cadrul IMAP „AMT Centru” și
IMSP „CMF mun.Bălți”, a fost realizată de către angajații instituțiilor respective, nefiind suportate costuri
suplimentare, inclusiv efectuate ajustări/modificări/dezvoltări.
De menționat că, începând cu anul 2019, instituțiile nominalizate sunt în proces de implementare
a SIA AMP, care urmează a fi dezvoltat și ajustat în modul corespunzător, pentru a răspunde necesităților
actuale. Ținând cont de faptul că SIA utilizate de către instituțiile medicale respective dețin o bază de
date consistentă aferentă activității de acordare a serviciilor de AMP, auditul consideră necesară
examinarea posibilităților și întreprinderea acțiunilor de rigoare în vederea migrării datelor deținute în
SIA AMP în scopul eficientizării activității IMSP.
Reieșind din cele expuse, precum și având în vedere activitățile realizate de IMSP până în prezent,
auditul atestă implementarea recomandării respective.
II. CONCLUZII GENERALE

Asigurarea și realizarea condițiilor necesare pentru protecția datelor cu caracter personal prelucrate în
cadrul SI, inclusiv din domeniul medical, reprezintă o condiție imperativă în procesul de dezvoltare a țării și
corespunde cerințelor/reglementărilor cadrului comunitar în domeniu.
Astfel, în vederea eliminării neajunsurilor/carențelor și problemelor identificate de Curtea de Conturi ca
rezultat al auditului precedent, precum și conformării prelucrării datelor cu caracter personal în SI la bunele
practici în domeniu, pe parcursul ultimilor 2 ani, CNPDCP, MSMPS și instituțiile medicale au întreprins anumite
acțiuni în materie de consolidare a capacităților instituționale, a cadrului normativ în domeniu, precum și de
respectare a cerințelor legale privind prelucrare datelor cu caracter personal.
Totodată, analizând măsurile întreprinse de către entitățile menționate în prezentul Raport, prin prisma
impactului scontat, misiunea de follow-up relevă că, pe parcursul anilor 2017-2018, acestea nu au asigurat în
deplină măsură executarea cerințelor și implementarea recomandărilor înaintate prin Hotărârea precedentă a
Curții de Conturi.
Prin urmare, potrivit nivelului de executare/implementare, se remarcă că, în perioada desfășurării misiunii de
verificare, din numărul total de 45 de cerințe și recomandări formulate, 15 (33%) au fost calificate drept executate,
26 (57%) au fost parțial executate, iar 4 nu au fost implementate (10%). De menționat că, din perspectiva
reformării cadrului normativ în domeniul protecției datelor cu caracter personal, unele recomandări își vor pierde
actualitatea, fapt ce a determinat nereiterarea acestora în prezentul Raport. Totodată, unele măsuri întreprinse la
sfârșitul anului 2018 creează premisele necesare în vederea îmbunătățirii situației constatate.
Printre factorii care au influențat nivelul redus de implementare a recomandărilor și de executare a cerințelor,
se pot evidenția: procesul îndelungat de legiferare a actelor normative, proiectelor de legi aferente domeniului
protecției datelor cu caracter personal, aplicarea superficială a prevederilor legislației în domeniu, insuficiența
capacităților instituționale necesare în acest sens.
De menționat că identificarea și asigurarea realizării soluțiilor și condițiilor optime ce ar contribui la
consolidarea cadrului instituțional și procedural aferent domeniului, precum și protecția adecvată a datelor cu
caracter personal prelucrate în cadrul SIA constituie o necesitate stringentă pentru atingerea scopului scontat, în
aspectul conformării procedurilor și cerințelor de protecție a datelor cu caracter personal.
44
Direcția audit TI
În contextul celor expuse, cerințele și recomandările înaintate conducerii instituțiilor supuse verificării, care
nu au fost implementate sau implementate parțial, se reiterează și se reformulează în prezentul Raport, după cum
urmează.
III. RECOMANDĂRI
Recomandări Conducerii Centrului Național pentru Protecția Datelor cu Caracter Personal:
1. să revizuiască și să înainteze, în modul stabilit, propunerile de rigoare în scopul
actualizării/armonizării cadrului normativ aferent domeniului protecției datelor cu caracter personal în
conformitate cu noile cerințe intervenite;
2. să asigure definitivarea și aprobarea, în modul stabilit, a Instrucțiunii cu privire la protecția datelor
cu caracter personal în domeniul medical, cu promovarea/informarea/instruirea ulterioară a operatorilor
de date cu caracter personal;
3. să revizuiască cadrul normativ intern, în scopul consolidării acestuia prin instituirea procedurilor
documentate aferente proceselor de:
3.1. monitorizare a prelucrării datelor cu caracter personal, inclusiv de planificare anuală a
activităților de control;
3.2. antrenare a experților/specialiștilor din diverse domenii, pentru efectuarea controlului
securității datelor cu caracter personal;
3.3. verificare a modului de îndeplinire a deciziilor și instrucțiunilor emise anterior de CNPDCP,
pentru aducerea procesului de prelucrare a datelor cu caracter personal în conformitate cu prevederile
legale, în vederea asigurării respectării acestora;
4. să planifice și să realizeze, în modul stabilit, controale ale conformității prelucrării datelor cu
caracter personal, în scopul asigurării atribuțiilor prioritare delegate prin cadrul legal din domeniu;
5. să întreprindă măsuri în vederea asigurării capacităților TI ale CNPDCP în scopul realizării
atribuțiilor legale de monitorizare a prelucrării datelor cu caracter personal, inclusiv prin SIA.
Recomandări conducerii Ministerului Sănătății, Muncii și Protecției Sociale:

6. să efectueze o inventariere/evaluare a sistemelor informaționale implementate în domeniul
sănătății, inclusiv a celor gestionate de către Minister, în vederea asigurării unei monitorizări exhaustive
în domeniu;
7. să examineze situația constatată de audit, condiționată de lipsa unui document strategic care ar
reflecta viziunea unică asupra automatizării proceselor din domeniul medical, și să asigure planificarea
utilizării tehnologiilor moderne TI în sectorul medical, cu elaborarea și implementarea unei strategii TI în
acest sens;
8. în comun cu Compania Națională de Asigurări în Medicină și Serviciul Tehnologia Informației și
Securitate Cibernetică, să revizuiască modul existent de administrare a SIA AMP (central și local), cu
identificarea/stabilirea unei soluții optime în acest sens, delimitarea clară a responsabilităților ce ar
asigura administrarea eficientă și conformă a Sistemului, evitarea riscurilor de securitate a datelor cu
caracter personal;
9. în comun cu Compania Națională de Asigurări în Medicină, să revizuiască și să înainteze
propunerile de rigoare pentru ajustarea cadrului normativ aferent funcționării eficiente și conforme a
SIA AMP la cerințele actuale;
45
Direcția audit TI
10. să revizuiască contractele și acordurile încheiate privind schimbul de informații între SIA AMP
și alte SI de stat în vederea conformării la noile cerințe privind implementarea cadrului de
interoperabilitate;
11. în comun cu CNAM, CNPDCP și IMSP, să organizeze instruiri/mese rotunde cu specialiștii din
domeniul sănătății, pentru familiarizarea lor cu normele de protecție a datelor cu caracter personal și cu
necesitatea respectării cerințelor de securitate<
Recomandări conducerii Companiei Naționale de Asigurări în Medicină:

12. să instituie un mecanism eficient de monitorizare și control al utilizării SIA AMP, în scopul
asigurării respectării cerințelor legale privind securitatea datelor cu caracter personal la prelucrarea
acestora în SIA AMP de către utilizatorii Sistemului, cu întreprinderea măsurilor corespunzătoare în acest
sens;
13. în funcție de modificările în fluxurile aferente modulelor integrate în SIA AMP, să asigure
ajustarea, completarea și menținerea actualizată și sistematică a documentației aferente funcționării SIA
AMP (ghidurile/manualele pentru utilizatori, ghidul administratorului SIA, documentația tehnică a
infrastructurii etc.), cu asigurarea instruirii utilizatorilor în acest sens;
14. să instituie și să asigure respectarea procedurilor de management al schimbărilor, cu
documentarea adecvată a modificărilor intervenite în SIA AMP;
15. să asigure continuitatea serviciilor prin instituirea și implementarea unor proceduri adecvate
privind modul și periodicitatea efectuării și testării copiilor de rezervă ale SIA AMP, precum și elaborarea
unui plan de continuitate și de recuperare în caz de dezastru, cu monitorizarea și testarea periodică a
realizării acestuia în scopul asigurării sustenabilității SIA AMP;
16. să identifice și să instituie un mecanism adecvat de comunicare și gestionare a erorilor și
disfuncționalităților generate de SIA AMP (help desk), raportate pe parcursul utilizării Sistemului de către
utilizatori, în vederea soluționării și excluderii acestora pe viitor, rezultate din analiza cauzelor
generatoare;
Recomandări conducerii CNAM, în comun cu MSMPS:

17. să întreprindă măsurile necesare pentru înregistrarea, în modul stabilit, în Registrul de evidență
a operatorilor de date cu caracter personal, deținut de CNPDCP, a sistemelor informaționale/de evidență
gestionate de către Minister, inclusiv prin elaborarea documentației tehnice aferente în acest sens;
18. să analizeze erorile și disfuncționalitățile generate de SIA AMP, inclusiv cele rezultate din
configurarea necorespunzătoare a SI, elucidate de auditul Curții de Conturi, precum și a cauzelor
acestora, cu întreprinderea măsurilor necesare de eliminare a lor;
19. ținând cont de neajunsurile și necesitățile de consolidare/ajustare a SIA AMP la cerințele
actuale, precum și de conformare a acestuia cu cerințele de securitate a datelor cu caracter personal, să
reexamineze decizia privind implementarea la nivel național a SIA AMP, cu identificarea soluției optime
în acest sens;
20. în comun cu IMSP AMT „Centru”, IMSP „Clinica Universitară de Asistenţă Medicală Primară a
USMF „Nicolae Testemiţanu” și IMSP „Centrul Medicilor de Familie din mun. Bălți, după caz, alte instituții
medicale care prestează servicii de asistență medicală primară, să examineze posibilitățile și
oportunitatea migrării datelor din SIA utilizate de către IMSP respective în SIA AMP în scopul eficientizării
activității acestora și asigurării continuității și sustenabilității datelor;
46
Direcția audit TI
Recomandări conducerii IMSP AMT „Centru”, IMSP „Clinica Universitară de Asistență Medicală Primară a
USMF „Nicolae Testemițanu”, IMSP „Centrul Medicilor de Familie din mun.Bălți”:
21. să întreprindă măsurile necesare pentru implementarea în continuare a procedurilor necesare în
vederea asigurării securității accesului (logic, fizic și la rețea) la resursele TI, în scopul evitării riscurilor de
securitate posibile, cu documentarea adecvată a acestora.
IV. Echipa de audit a Curții de Conturi
Șef al echipei de audit Natalia Balaban-Uncu,

Șef al Direcției audit TI
Membrii echipei de audit

Vladimir Cazimir,
Auditor public principal
Marina Cataraga,
Auditor public principal
Responsabil de audit
Vasile Moșoi,
Șef al Direcției generale
auditul gestiunii economice
corporative, tehnologiilor
informaționale și autorităților
de reglementare
47
Direcția audit TI
ANEXE
Anexa nr.1
Structura cadrului instituțional aferent AMP
Consiliul Raional
Ministerul Sănătății, Muncii și Protecției Sociale Agenția Națională pentru Sănătate Publică Consiliul municipal Chișinău
(Structură de coordonare a sectorului sănătății)
Centrul de Sănătate
de nivel raional / Centre de
Spitale Raionale(34) Sănătate Spitale Clinice
Centrul Medicilor de CMF(0) AMT(5)
familie(6) (autonome)(240) Republicane(2)
Direcția Sănătății a
Spitale Clinice
Consilului municipal
Municipale(1)
Centre de Sănătate Chișinău
Centre de Sănătate
(fără
(fără
autonome)(52) CIMF(0) CS(14)
autonome)(10)
Oficii ale medicului

Oficii ale medicului
de Familie(542)
de Familie(59)
Oficii de
Oficii de
sănătate(330)
sănătate(30)
Legendă
Subordonare administrativă
Raportare
Flux financiar din AOAM

(conform contractului)
CNAM
(Agenția teritorială)
Sursă: Prezentat de către MSMPS la solicitarea auditului.

48
Direcția audit TI
Anexa nr.2
Analiza corectitudinii datelor generate din SIA AMP în perioada decembrie 2018 – ianuarie 2019
Situația din: Tipuri de institutii Total Total programări Programări Total grafice de Total rețete Total consulturi Total angajări
instituții online lucru
Decembrie 2018 IMSP CS, CMF autonome 259 7 180 076 125 270 156 784 716 804 149 074 13015
IMSP SR 32 827 121 128 944 16 298 27 5 265 1373
IM Private 10 150 594 2 207 8 689 12 645 4 408 249
Total 301 8 157 791 256 421 181 771 729 476 158 747 14637
Ianuarie 2019 IMSP CS, CMF autonome 259 7 180 038 125 269 156 783 716 803 195 066 13015
IMSP SR 32 827 114 128 944 16 298 27 6 792 1373
Private 10 150 593 2 207 8 689 12 645 5 321 249
Total 301 8 157 745 256 420 181 770 729 475 207 179 14637
Diferențe: IMSP 0 -38 -1 -1 -1 45 992 0
(ianuarie 2019- IMSP SR 0 -7 0 0 0 1 527 0
decembrie 2018) Institutii Private 0 -1 0 0 0 913 0
Sursă: Date sistematizate de către auditor în baza informațiilor extrase din SIA AMP și prezentate de către responsabilul din cadrul MSMPS.
49
Direcția audit TI
Anexa nr.3
Interconexiunea SIA AMP cu alte SI și registre de stat
Sursă: Prezentată de către responsabilii MSMPS la solicitarea echipei de audit în cadrul misiunii de follow-up.
50
Direcția audit TI
Anexa nr.4
Analiza nivelului de implementare a recomandărilor și de executare a cerințelor de către entitățile vizate
în Hotărârea Curții de Conturi nr.48 din 05.12.2016
Numărul cerinței/ Centrul Național pentru Ministerul Compania ÎS CRIS IMSP IMSP IMSP „Clinica Ministerul Centrul de
recomandării Protecția Datelor cu Sănătății/ Națională de „Registru” AMT „CMF Universitară de Tehnologiei Guvernare
Caracter Personal MSMPS Asigurări în „Centru” mun. Asistență Medicală Informației și Electronică
Medicină Bălți” Primară” Comunicațiilor
2.1.1 P
2.1.2 E
2.2.1 E
2.2.2 P
Cerințe
2.2.3 P
2.2.4 E
2.2.5 P
2.3 E E E
2.4 E E
2.5 E E
1 E
2 E
3 P
4 P
5 P
6 E
Recomandări
7 N
8 N
9 E
10 P
11 P
12 P
13 P
14 P
15 E
16 P
51
Direcția audit TI
17 P
18 P
19 P
20 P
21 P
22 P
23 P
24 N
25 P
26 P
27 E
28 E
29 E E E
30 E E E
31 E E E
32 P P P
33 P P P
34 E E E
35 E E E
E (Executat) 5 5 1 1 6 6 6 1 1
P (Parțial
Total
Executată) 7 15 0 0 2 2 2 0 0
N
(Neexecutat) 2 1 0 0 0 0 0 0 0
Sursă: Elaborat de către auditor în baza informațiilor analizate și testărilor efectuate pe parcursul misiunii de follow-up.
52

RO-curtea de Conturi

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

RO-curtea de Conturi

Încărcat de

Drepturi de autor:

Formate disponibile

Anexă

la Hotărârea Curții de Conturi

CURTEA DE CONTURI A REPUBLICII MOLDOVA

SFERA ȘI ABORDAREA AUDITULUI

cu modificările și completările ulterioare.

2019”, cu modificările și completările ulterioare.

Verificările auditului precedent atestă o preocupare insuficientă privind siguranța datelor și

Sursă: Elaborat de către auditor în baza procedurilor de audit efectuate.

Cerința auditului precedent Acțiuni întreprinse

activității Centrului, pe parcursul perioadei de referință, nu au fost realizat/ă un studiu/analiză a

În contextul celor menționate, auditul atestă executarea cerinței înaintate.

Evaluând activitățile realizate de către MSMPS pe parcursul perioadei de referință în scopul

implementate neimplementate parțial implementate

Sursă: Elaborat de către auditor în baza rezultatelor procedurilor de audit efectuate.

Informaționale Automatizate (SIA)”, în continuare – Ordinul MSMPS nr.1497 din 14.12.2018.

- a fost aprobată Hotărârea Guvernului nr.164 din 07.03.201913, care stabilește

În contextul acțiunilor realizate pe parcursul perioadei de referință de către Minister, auditul

Sănătate nr.2 din raionul Orhei.

Figura nr.3. Analiza gradului de implementare a recomandărilor de către IMSP auditate,

Sursă: Elaborat de către auditor în baza analizelor și verificărilor efectuate.

Reieșind din cele expuse, auditul atestă executarea cerinței înaintate.

2.2. Nivelul de implementare a recomandărilor din Raportul misiunii de audit precedente

2.2.1. Descrierea neajunsului constatat de auditul precedent

aprobat prin Hotărârea Guvernului nr. 1472 din 30.12.2016.

2.2.2. Descrierea neajunsului constatat de auditul precedent

prelucrarea acestora în cadrul sistemelor informaționale de date cu caracter personal”.

Guvernului şi ale altor autorități.

2.2.3. Descrierea neajunsului constatat de auditul precedent

2.2.4. Descrierea neajunsului constatat de auditul precedent

2.2.5. Descrierea neajunsului constatat de auditul precedent

2.2.6. Descrierea neajunsului constatat de auditul precedent

2.2.7. Descrierea neajunsului constatat de auditul precedent

34 Art.16 din Legea nr.100 din 22.12.2017.

competențele CNPDCP de a investiga și soluționa cazurile de încălcare ale dispozițiilor normative în

2.2.8. Descrierea neajunsului constatat de auditul precedent

Misiunea de follow-up relevă că implementarea/instituirea unor proceduri documentate aferente

2.2.9. Descrierea neajunsului constatat de auditul precedent

2.2.10. Descrierea neajunsului constatat de auditul precedent

Analizând informațiile prezentate de Centru, misiunea de follow-up relevă că nu i-au fost

2.2.11. Descrierea neajunsului constatat de auditul precedent

Recomandarea auditului precedent Acțiuni întreprinse

2.2.12. Descrierea neajunsului constatat de auditul precedent

„Spitalul raional Glodeni”.

Verificările efectuate, inclusiv ca urmare a examinării răspunsurilor oferite de IMSP chestionate,

2.2.13. Descrierea carenței constatate de auditul precedent

Urmare a analizei informațiilor prezentate de MSMPS, se constată că datele privind instituțiile și SI

2.2.14. Descrierea abaterii constatate de auditul precedent

44 Art.23 și art.28 din Legea nr.133 din 08.07.2011.

2.2.15. Descrierea abaterii constatate de auditul precedent

Urmare a analizei informațiilor prezentate, auditul constată că menținerea relațiilor contractuale

Urmare a verificărilor efectuate, misiunea de follow-up denotă că modificări esențiale în modul de

2.2.17. Descrierea abaterii constatate de auditul precedent

Urmare a analizei informațiilor prezentate de către Minister referitor la modificările efectuate de

a Sistemului Informațional Automatizat Asistența Medicală Primară”.

2.2.18. Descrierea neconformității constatate de auditul precedent

2.2.19. Descrierea neconformității constatate de auditul precedent

În contextul celor expuse, auditul atestă implementarea parțială a recomandării. Totodată, în

2.2.20. Descrierea abaterii constatate de auditul precedent

63 Ordinul MTIC nr.78 din 01.06.2006.

Automatizat „Asistență medicală primară””, elaborat în anul 2017.

Potrivit constatărilor auditului precedent, Ministerul nu dispunea de proceduri documentate privind

Verificările efectuate în cadrul misiunii de follow-up denotă insuficiența măsurilor întreprinse în

2.2.21. Descrierea carenței constatate de auditul precedent

2.2.22. Descrierea abaterii constatate de auditul precedent