MBROJTJA E TË DHËNAVE SHËNDETËSORE PËRMES …
106
University of Business and Technology in Kosovo University of Business and Technology in Kosovo UBT Knowledge Center UBT Knowledge Center Theses and Dissertations Student Work Summer 6-2018 MBROJTJA E TË DHËNAVE SHËNDETËSORE PËRMES MBROJTJA E TË DHËNAVE SHËNDETËSORE PËRMES VLERËSIMIT TË RISKUT DHE NDËRTIMIT TË SISTEMIT TË VLERËSIMIT TË RISKUT DHE NDËRTIMIT TË SISTEMIT TË MENAXHIMIT TË SIGURISË SË INFORMACIONIT MENAXHIMIT TË SIGURISË SË INFORMACIONIT Selim Kolgeci Follow this and additional works at: https://knowledgecenter.ubt-uni.net/etd
Transcript of MBROJTJA E TË DHËNAVE SHËNDETËSORE PËRMES …
University of Business and Technology in Kosovo University of Business and Technology in Kosovo
UBT Knowledge Center UBT Knowledge Center
Theses and Dissertations Student Work
Summer 6-2018
MBROJTJA E TË DHËNAVE SHËNDETËSORE PËRMES MBROJTJA E TË DHËNAVE SHËNDETËSORE PËRMES
VLERËSIMIT TË RISKUT DHE NDËRTIMIT TË SISTEMIT TË VLERËSIMIT TË RISKUT DHE NDËRTIMIT TË SISTEMIT TË
MENAXHIMIT TË SIGURISË SË INFORMACIONIT MENAXHIMIT TË SIGURISË SË INFORMACIONIT
Selim Kolgeci
Follow this and additional works at: https://knowledgecenter.ubt-uni.net/etd
Kolegji UBT
Fakulteti i Sistemeve të Informacionit
S
MBROJTJA E TË DHËNAVE SHËNDETËSORE PËRMES
VLERËSIMIT TË RISKUT DHE NDËRTIMIT TË SISTEMIT TË
MENAXHIMIT TË SIGURISË SË INFORMACIONIT
Programi MasterS
Selim Kolgeci
S
Qershor 2018
Prishtinë
UBT College
Faculty of Information Systems
S
HEALTHCARE DATA PROTECTION THROUGH RISK
ASSESMENT AND BUILDING OF THE INFORMATION SECURITY
MANAGEMENT SYSTEM
Master degreeS
Selim Kolgeci
S
June 2018
Prishtinë
Kolegji UBT
Fakulteti i Sistemeve të Informacionit
S
Punim Diplome
Viti akademik 2014 – 2015
S
S
MBROJTJA E TË DHËNAVE SHËNDETËSORE PËRMES
VLERËSIMIT TË RISKUT DHE NDËRTIMIT TË SISTEMIT TË
MENAXHIMIT TË SIGURISË SË INFORMACIONIT
Selim Kolgeci
Mentori: Dr. Ylber Limani
S
Qershor 2018
Ky punim është përpiluar dhe dorëzuar në përmbushjen e kërkesave të
pjesshme për Shkallën Master
ABSTRAKT
Sistemet e Menaxhimit të Sigurisë së Informacionit dhe mbrojtja e privatësisë e të dhënave
shëndetësorë është një problem në rritje. Regjistrimi i të dhënave të pacientëve në formë
elektronike, nevoja në rritje për shkëmbimin e informacioneve mes pacientëve dhe
institucioneve, dhe procese të tjera ndërlidhëse, të gjitha këto na drejtojnë në nevojën për të
pasur një sistem të informacionit më të sigurt.
Viteve të fundit sulmet në bazat e të dhënave shëndetësore janë gjithmonë e në rritje, në
fakt të dhënat shëndetësore janë caku i numrit më të madh të sulmeve kibernetike në botë.
Në këtë punim diplome janë identifikuar rreziqet e mundshme që i kanosen sistemit të
informacionit në shëndetësi, është bërë një përmbledhje për sistemet e informacionit në
shëndetësi, si dhe janë dhënë rekomandimet për përmirësimin e sigurisë së këtij sistemi. Në
mënyrë kritike janë vëzhguar zbulimet e ndryshme në sigurinë e informacioneve dhe
privatësisë në shëndetësi.
S
FALËNDERIME
Dua të shpreh falënderimin dhe respektin e thellë për ndihmën e vazhdueshme të profesorit
dhe mentorit tim Dr. Ylber Limani, i cili ka qenë përkrah, në mbështetje të plotë të
zhvillimit të temës time të diplomës dhe periudhës së studimeve në UBT. Faleminderit
shumë për gjithë këshillimin, ndarjen e diturisë dhe profesionalizmit e shfaqur me mua
gjatë tërë kësaj kohe.
Falënderoj të gjithë profesorët dhe menaxhmentin e UBT-së për përkushtimin e tyre në
krijimin e gjeneratave të suksesshme në Kosovë.
Jam shumë mirënjohës dhe falënderues ndaj gruas time dhe dy fëmijëve të mi për gjithë
durimin dhe kujdesin, familjes së gjerë, miqve dhe kolegëve. Mbi gjithçka i jam shumë
falënderues Zotit, që në mesin e tërë ngarkesës dhe angazhimeve të mia, më jep forcë për
gjithçka.
Prishtinë, 19 Korrik 2018
Selim Kolgeci
1. PËRMBAJTJA
2. LISTA E FIGURAVE ............................................................................................................................ 7
3. LISTA E TABELAVE ............................................................................................................................ 8
Shëndetësia dhe Informatika .................................................................................................................... 2 ORGANIZATAT SHËNDETËSORE .............................................................................................................................. 2 BARTËSIT E SEKTORIT SHËNDETËSORË ..................................................................................................................... 2 PERSONI IDENTIFIKUES ......................................................................................................................................... 3
Pacienti ..................................................................................................................................................... 3 Asetet ........................................................................................................................................................ 4 Garancia .................................................................................................................................................... 4
1. HYRJE ............................................................................................................................................... 7
2. SHQYRTIMI I LITËRATURËS ............................................................................................................. 10
2.1. SISTEMET E INFORMACIONIT NË SHËNDETËSI ............................................................................................ 10 2.1.1. Menaxhimi i Informacionit në Sektorin Shëndetësorë .............................................................. 11 2.1.2. Siguria e informacionit në shëndetësi ....................................................................................... 13 2.1.3. Përse është e nevojshme siguria e informacionit? .................................................................... 15 2.1.4. Siguria dhe administrimi i informacionit në Shëndetësi ........................................................... 17 2.1.5. Mbrojtja e tё dhënave shëndetësore ........................................................................................ 18 2.1.6. Kërcënimet dhe dobësitë në sigurinë e tё dhënave shëndetësore ............................................ 20
2.2. SISTEMET E INFORMACIONIT DHE SIGURIA E INFORMACIONIT SHËNDETËSORË NË KOSOVË.................................. 22 2.2.1. Analiza e sektorit shëndetësor dhe sistemit statistikor shëndetësor ekzistues ........................ 23 2.2.2. Rrjeti ekzistues i ofruesve të shërbimeve shëndetësore ............................................................ 24 2.2.3. Koncepti i Sistemit të Informacionit Shëndetësorë të integruar ............................................... 26
2.3. TRAJTIMI I TË DHËNAVE SHËNDETËSORE NË KOSOVË .................................................................................. 26 2.3.1. Mbrojtjen e të Dhënave Personale- Infrastruktura Ligjore ....................................................... 26 2.3.2. Ligjet ekzistuese ........................................................................................................................ 27 2.3.3. Agjencia Shtetërore për Mbrojtjen e të Dhënave Personale ..................................................... 29 2.3.4. Roli i Agjencia Shtetërore për Mbrojtjen e të Dhënave Personale ............................................ 30
2.4. RISKU DHE MENAXHIMI I RISKUT NË RAPORT ME SISTEMET E MENAXHIMIT TË SIGURISË SË INFORMACIONIT NË
SHËNDETËSI ..................................................................................................................................................... 31 2.4.1. Menaxhimi i Riskut ................................................................................................................... 31 2.4.2. Risku ......................................................................................................................................... 31 2.4.3. Standardet e Menaxhimit të Riskut .......................................................................................... 32 2.4.4. Menaxhimi i Riskut sipas ISO 31000 ......................................................................................... 33 2.4.5. Vlerësimi i riskut ....................................................................................................................... 33 2.4.6. Trajtimi i riskut .......................................................................................................................... 34 2.4.7. Kriteret e pranimit të riskut ...................................................................................................... 35 2.4.8. Planifikimi i përmirësimit të sigurisë ......................................................................................... 36 2.4.9. Deklarata e zbatimit ................................................................................................................. 36 2.4.10. Risku dhe Pasojat në (mos)administrimin e të dhënave shëndetësore ................................ 37
2.5. FAKTORËT E RREZIKUT QË NDIKOJNË NË CENIMIN E SIGURISË SË SISTEMEVE TË INFORMACIONIT SHËNDETËSORË .... 37 2.5.1. Digjitalizimi dhe rreziku në rritje – faktor rreziku ..................................................................... 40 2.5.2. Rreziqet të tjera teknike në Sistemin e Informacionit në Shëndetësi ........................................ 40 2.5.3. Rreziku nga Viruset Kompjuterik............................................................................................... 41 2.5.4. Rastet me Vjedhjet e Informacionit Shëndetësore dhe Pasojat ................................................ 42
3. DEFINIMI I PROBLEMIT ................................................................................................................... 45
3.1. PYETJET HULUMTUESE ........................................................................................................................ 46 3.2. PËRJASHTIMET NGA QËLLIMI I STUDIMIT .................................................................................................. 47
4. METODOLOGJIA ............................................................................................................................. 48
4.1. METODAT E HULUMTIMIT .................................................................................................................... 49 4.1.1. Metoda Krahasuese .................................................................................................................. 49 4.1.2. Metoda e Përshkruese .............................................................................................................. 50 4.1.3. Metoda analitike ...................................................................................................................... 50 4.1.4. Metoda e observimit me raste të veçanta .................................................................................... 51
5. ANALIZA E REZULTATEVE DHE REKOMANDIMET PRAKTIKE ............................................................. 52
5.1. QASJA E PROPOZUAR POLITIKO-RREGULLATIVE ......................................................................................... 52 5.1.1. Standardet e ndryshme për sigurinë e Sistemeve te Informacionit .......................................... 54 5.1.2. ISO Standardi 27000 ................................................................................................................. 54 5.1.3. Dallimi mes ISO 27001 dhe 27002 ............................................................................................ 55
5.2. MBROJTJA E INFORMACIONIT SHËNDETËSORË PËRMES NDËRTIMIT TË SISTEMIT TË MENAXHIMIT TË SIGURISË SË
INFORMACIONIT (SMSI) .................................................................................................................................... 56 5.2.1. Çfarë është SMSI? ..................................................................................................................... 56 5.2.2. Qëllimi i ndërtimit të SMSI ........................................................................................................ 57 5.2.3. Proceset e ndërtimit të një Sistemi të Menaxhimit të Sigurisë së Informacionit të bazuara në praktikat më të mira ............................................................................................................................... 59
5.3. PROCESI I NDËRTIMIT TE SMSI ............................................................................................................. 62 5.3.1. Pesë hapat për ndërtimin e SMSI’së bazuar në ISO 27000 ....................................................... 62 5.3.2. Zbatimi dhe funksionimi i Sigurisë së Sistemit të Informacionit ............................................... 65
5.4. PROCESI I VLERËSIMIT TË RISKUT PËR NJË SMSI TË SIGURT ......................................................................... 66 5.4.1. Menaxhimi i Riskut përmes ndërtimit dhe implementimit të SMSI .......................................... 70 5.4.2. Përfitimet e pritshme nga implementimi i SMSI ....................................................................... 70 5.4.3. Implementimi i Sistemit të Menaxhuar të Sigurisë së Informacionit ........................................ 72
5.5. REKOMANDIMET PRAKTIKE BAZUAR NË ISO 27001 / 27002 ..................................................................... 73 5.5.1. Si dizajnohet një rrjetë e sigurt? ............................................................................................... 73 5.5.2. Si të mbrohet Softueri? ............................................................................................................ 74 5.5.3. Si të bëhet kontrolli i qasjes në ndërtesë?................................................................................. 74 5.5.4. Si të bëhet trajnimi dhe vetëdijesimi i stafit që merren me menaxhimin e Sistemeve të Informacionit? ......................................................................................................................................... 75 5.5.5. Si realizohet qasja fizike në qendrën e të dhënave? ................................................................. 75 5.5.6. Si te behet kontrolli, Monitorimi dhe Rishikimi i Sigurisë së Informacionit? ............................. 76 5.5.7. Si të realizohet qasja me laptop në Qendrën e të Dhënave? .................................................... 77 5.5.8. Si realizohet kontrolli i pavarur? ............................................................................................... 77
5.6. REKOMANDIMET PRAKTIKE NË RAST TË CENIMIT NË OPERIMIN E SISTEMIT TË INFORMACIONIT NË SHËNDETËSI ...... 78 Rasti 1: Ndalesa e Shërbimit Spitalor ...................................................................................................... 79 Rasti 2: Sulmi ndaj personave të caktuar ................................................................................................ 79 Rasti 3: Hakmarrja personale .................................................................................................................. 80
6. DISKUTIME DHE PERFUNDIME ........................................................................................................ 82
6.1. PROBLEMET DHE NEVOJAT E SIGURISË SË INFORMACIONIT NË SHËNDETËSINË ................................................. 83 6.2. NEVOJAT E SIGURISË ........................................................................................................................... 83
6.2.1. Siguria e Sistemeve të Informacionit- Hulumtimet në të ardhmen........................................... 85
7. SHTOJCAT ...................................................................................................................................... 86
7.1. SHTOJCA A: MATRICA E MENAXHIMIT TË RISKUT ...................................................................................... 86 7.2. SHTOJCA B: GDPR ............................................................................................................................. 87
Çfarë është (General Data Protection Regulation) GDPR? ...................................................................... 87 Kush është i afektuar nga GDPR? ............................................................................................................ 88
2. LISTA E FIGURAVE
Figura 1 Menaxhimi i sigurisë së informacionit siguron informacion të duhur në vendin e duhur në
kohen e duhur. ................................................................................................................................... 12 Figura 2 Ballina e Formulari i Agjencise Shtetrore te Konrollit për të regjistruar Kontrolluesit. ..... 31 Figura 3 Procesi i Zhvillimit të metodologjisë se hulumtimit. .......................................................... 48 Figura 4 Qëllimi i Sistemit të Menaxhimit të Sigurisë së Informacionit. ......................................... 52 Figura 5 Familja e Standardeve të ISO27000. .................................................................................. 58 Figura 6 Korniza e SMSI bazuar në ISO 27001/27002 [18]. ............................................................ 69 Figura 7 Procesi i Implementimit të SMSI. ....................................................................................... 72
3. LISTA E TABELAVE
Tabela 1 Rastet e Vjedhjeve si pasoj e sulmeve në Sistemin e Informacionit Shëndetësorë në SHBA
[23]. ................................................................................................................................................... 43 Tabela 2 Proceset e ndërtimit të një SMSI sipas modelit PDCA [3]. ................................................ 60 Tabela 3 Vlerësimi i Riskut në raport me ndërtimin e SMSI. ........................................................... 68 Tabela 4 Struktura e SMSI e shprehur në formë matrice tabelare, adoptuar nga [18]. ..................... 71 Tabela 5 Paraqitja e sigurisë së nevojshme dhe masat që duhet të merren. ...................................... 84 Tabela 6 Ekzemplare- matrice për menaxhimin e riskut. .................................................................. 86
1
TERMET DHE DEFINICIONET
Definicioni Sistem i Informacionit
Sistem të Informacionit mund të quajmë një sistem kompjuterik apo një grup
komponentësh që shërbejnë për mbledhjen, krijimin, ruajtjen, procedimin, dhe shpërndarjen
e informatave. Sistemi i Informacionit në mënyrë tipike përfshinë harduerë dhe softuerë,
përdoruesit e sistemit dhe vetë të dhënat.
Çfarë është Sistemi i Informacionit?
Një sistem informacioni (SI) është një grup i përbërësve që ndër veprojnë për të prodhuar
informacione. Një sistem informacioni është një sistem i përbërë nga njerëzit dhe
kompjuterët që përpunojnë ose interpretojnë informacionin. Ky term përdoret nganjëherë
edhe në qasje më të kufizuara për t'iu referuar vetëm programeve të përdorura për të
drejtuar një databazë kompjuterike ose për t'iu referuar vetëm një sistemi kompjuterik.
Sistem i Informacionit është gjithashtu një studim akademik i sistemeve me një referencë
specifike për informacionin dhe rrjetet plotësuese të pajisjeve dhe programeve që njerëzit
dhe organizatat përdorin për të mbledhur, filtruar, përpunuar, krijuar dhe shpërndarë të
dhënat. Theksi vihet në një sistem informacioni që ka një kufi definitiv, përdoruesit,
përpunuesit, ruajtjen, inputet, rezultatet dhe rrjetet e lartpërmendura të komunikimit.
Çdo sistem informacioni specifik synon të mbështesë operacionet, menaxhimin dhe
vendimmarrjen. Një sistem informacioni është teknologjia e informacionit dhe komunikimit
(TIK) që përdor një organizatë, si dhe mënyra në të cilën njerëzit nder veprojnë me këtë
teknologji në mbështetje të proceseve të biznesit apo organizimit.
2
Termat Shëndetësorë
Shëndetësia dhe Informatika
Shëndetësia dhe Informatika se bashku përbëjnë një disiplinë shkencore që ka të bëjë me
detyrat njohëse, përpunimin e informatave dhe praktikat e komunikimit në shëndetësi,
arsimin dhe punën kërkimore, duke përfshirë shkencën e informacionit dhe teknologjisë për
të mbështetur këto detyra.
Shëndetësia dhe Sistemet e Informacionit
Mbledhje e tё dhënave në lidhje me shëndetin e një subjekti të kujdesit (pacientit) në formë
kompjuterike e procesuar si informatë, e ruajtur, e transmetueshme dhe e mundshme për
t’ju qasur nga persona të autorizuar
Sektori Shëndetësorë
Çdo lloj shërbimi që ofrohet nga profesionistë apo para-profesionistët që ka ndikim në
gjendjen shëndetësore tё njeriut.
Organizatat Shëndetësore
Term i përgjithshëm që përdoret për të përshkruar shumë lloje të organizatave që ofrojnë
shërbime të kujdesit shëndetësore.
Profesionistët Shëndetësorë
Personi i cili është i autorizuar nga një organ i pranuar dhe i kualifikuar për të kryer detyrat
e caktuara të kujdesit shëndetësorë.
Bartësit e Sektorit Shëndetësorë
Çdo person apo organizatë që është e përfshirë ose e lidhur me ofrimin e kujdesit
shëndetësor për pacientet, apo kujdesin dhe mirëqenien e pacientëve.
3
Personi Identifikues
Ai apo Ajo e cili mund të identifikohet, direkt ose indirekt, në veçanti duke iu referuar një
numri identifikimi, një ose më shumë faktorëve të veçantë fiziologjik, mendor, fizik,
ekonomik, kulturorë apo social të identitetit.
Pacienti
Subjekti i përkujdesjes shëndetësorë.
Tё dhënat personale shëndetësore
Informacioni në lidhje me një person të identifikueshëm që ndërlidhet me shëndetin fizik
dhe mendor të individit, ose të ofrimit të shërbimeve shëndetësore për individin, dhe të cilat
mund të përfshijnë:
a) Informacion në lidhje me regjistrimin e individit për ofrimin e shërbimeve shëndetësore;
b) Informacion në lidhje me pagesat apo të drejtën për kujdesin shëndetësor në lidhje me
individin;
c) Një numër apo simbol i veçantë për një individ për ta identifikuar në mënyrë unike
individuale për qëllime shëndetësorë;
d) Çdo informacion i mbledhur në lidhje me individin gjatë ofrimit të shërbimeve
shëndetësore;
e) Informacione që rrjedhin nga testimi ose ekzaminimi mjekësorë i një pjese të trupit ose
substance trupore;
f) Identifikimin e një personi (p.sh. profesionisti shëndetësorë) si ofrues i kujdesit
shëndetësor ndaj individit [4].
4
Termat e Sigurisë së Informacionit
Asetet
Gjithçka qe ka vlerë për organizatën. Në përmbajtjen e sigurisë së informacioneve në
shëndetësi. Në këtë kontekst asetet përfshijnë:
informatat shëndetësorë;
shërbimet e TI’së;
hardueri;
softueri;
pajisjet e komunikimit;
mediumi;
pajisjet e TI’së;
pajisjet mjekësorë që incizojnë apo raportojnë të dhënat e pacientëve.
Dosja Elektronike Shëndetësore (DESH)
Dosja Elektronike Shëndetësore (DESH) përshkruhet si koncept i grumbullimit elektronik
të të dhënave shëndetësore personale dhe informatave të kujdesit shëndetësor – nga lindja
gjerë në vdekje.
Garancia
Rezultat i një sërë proceseve të pajtueshmërisë përmes të cilave një organizatë arrin
besimin në statusin e menaxhimit të informacioneve të sigurisë së saj.
Vlerësimi i Pajtueshmërisë
5
Proceset me të cilat një organizatë konfirmon se kontrollet e sigurisë së informacionit janë
vënë në vend, janë operacionale dhe efektive.
Shënim: Këto procese ndërlidhen specifikisht me kontrollet e sigurisë të vëna për të
mbështetur kërkesat ligjore të legjislacionit relevant siç janë rregulloret dhe ligjet që
mbështeten në Direktivat e Bashkimit Evropian për Mbrojtën e të Dhënave Personale [4].
Konfidencialiteti
Pronë, aset apo informatë e cila nuk është e lejuar për qasje apo zbulim për individët e pa
autorizuar, për entitetet apo proceset.
Integriteti i të dhënave
Pronë, aset, informatë apo të dhëna që nuk janë ndryshuar apo shkatërruar në mënyrë të
paautorizuar.
Disponueshmëria
Mundësia për t’ju qasur apo përdorë një pronë, aset apo informatë bazuar në pëlqimin me
entitetin që jep autorizimet.
Administrimi i Informacionit
Proceset me të cilat një organizatë sigurohet se rreziqet për informacionet e saj, aftësitë
operacionale dhe integriteti i organizatës janë identifikuar në mënyrë efektive dhe janë të
menaxhueshme.
Siguria e Informacionit
Siguria e Informacionit ka të bëj me ruajtjen e konfidencialitetit, integritetit dhe
disponueshmerisë së informacionit.
Risku
Kombinimi i probabilitetit të një ngjarjeje dhe pasojat e saj.
6
Vlerësimi i Riskut
Procesi i përgjithshëm i analizës dhe vlerësimit të rrezikut.
Menaxhimi i Riskut
Aktivitetet e koordinuara për të drejtuar dhe kontrolluar një organizatë në lidhje me
rrezikun. Menaxhimi i riskut zakonisht përfshinë vlerësimin, trajtimin, pranimin dhe
komunikimin e riskut.
Trajtimi i Riskut
Procesi i përzgjedhjes dhe zbatimit të masave për të modifikuar (zakonisht për të reduktuar)
riskun.
Integriteti i Sistemit
Vendi në të cilin një sistem kryen funksionin e tij për qëllime tё caktuara në mënyrë të
pacenuar, të lirë nga ndërhyrjet apo manipulimet aksidentale, apo të paautorizuara të
sistemit.
Kërcënimet
Shkaku i mundshëm i një incidenti të padëshiruar, që mund të rezultojë në dëme të një
sistemi apo organizatë.
Dobësitë
Dobësia e një aseti ose grupi të aseteve që mund të keqpërdoren nga një ose më shumë
kërcënim.
7
1. HYRJE
Përderisa mbrojta dhe siguria e informatave personale është e rëndësishme për të gjithë
individët, korporatat, institucionet dhe qeveritë, ka kërkesa të veçanta në sektorin e
shëndetësisë që duhet të adresohen në mënyrë që të sigurohet konfidencialiteti, integriteti,
disponushmëria dhe auditimi i informatave personale shëndetësore.
Ky lloj i informatave është vlerësuar nga shumë si të qenit ndër më të ndjeshmit nga të
gjitha llojet e informatave personale. Integriteti i informatave shëndetësore duhet të
mbrohet që të bëhet siguria e pacientit, dhe një komponentë e rëndësishme e kësaj sigurie
është që të sigurojë që i tërë cikli jetësor i këtyre informatave të jetë gjithashtu në
dispozicion për tu audituar.
Disponueshmëria e tё dhënave shëndetësore është kritike për të ofruar shëndetësi efektive.
Sistemet informatike shëndetësore duhet ti adresojnë kërkesat unike që dalin gjatë
procesimit të informacioneve në shëndetësi. Procesimi i tillë është i eksponuar ndaj risqeve
të ndryshme si p.sh. fatkeqësive natyrore, dështimit të sistemeve dhe ngufatjes së
shërbimeve nga sulmet (si “denial-of-service attacks”), apo sulmeve të ndryshme
kibernetike, keqpërdorimeve, etj..
Mbrojtja e konfidencialitetit, integritetit dhe disponueshmërisë të tё dhënave shëndetësore
kërkon një sektorë specifik, tё sofistikuar, të përberë nga ekspertë të kësaj lëmie, duke
përdorur metodat, standardet dhe pajisjet e duhura.
Të dhënat mjekësore të pacientëve tani regjistrohen në mënyrë elektronike dhe potenciali
për keqpërdorim apo qasje në këto informata të ndjeshme është i lartë dhe gjithnjë në rritje.
Nevoja për siguri efektive të TI’së të menaxhimit të sektorit shëndetësor ka arritur në pik të
ndjeshme dhe duhet që sa më parë të trajtohet, sidomos kur marrim parasysh faktin se në
çfarë niveli ka arritur shkëmbimi i të dhënave mjekësorë përmes teknologjisë informative e
në veçanti përmes rrjetit pa tela, që shpesh herë mund të konsiderohet një rrezik nga qasjet
8
mё tё lehta dhe sulmeve siç mund të jetë ai përmes personit të tretë (Man in the Middle
Attack) [1].
Nëse teknologjia nuk implementohet dhe nuk aplikohet në mënyrë të duhur, atëherë këto
teknologji komplekse do të rrisin rrezikun e cenueshmërisë sё konfidencialitetit, integritetit
dhe disponueshmërisë të të dhënave.
Nëse risku potencial për tu ballafaquar me sulmet dhe dobësitë e lartcekura nuk merret
seriozisht, mundësia që informacioni i ndjeshëm shëndetësorë të dëmtohet, apo keqpërdoret
është e lartë.
Pa marrë parasysh madhësisë, lokacionit dhe modelit të shërbimit me të cilin shkëmbehen
informatat, të gjitha organizatat shëndetësore duhet që të kenë kontroll të rreptë në vendet e
tyre në mënyrë që të mbrojnë informatat e shëndetit që u janë besuar. Duke marrë parasysh
që sulmet në këtë lloj sistemi janë të vazhdueshme, asnjë organizatë shëndetësore nuk
mund të arrijë përsosmërinë në mbrojtje të plotë, dhe si të tilla asnjë subjekt i kujdesit
mjekësorë nuk është imun ndaj një fatkeqësie të tillë.
Shumë profesionistë shëndetësorë veprojnë nëpër klinika vetanake apo në klinika të vogla
privatë në të cilat nuk kemi kurrfarë sistemi të dedikuar të TI’së përmes të cilit menaxhohen
apo mbrohen këto të dhëna.
Prandaj organizatat shëndetësore përmes kontrollit dhe auditimit të vazhdueshëm të
Qeverisë respektivisht Ministrisë së Shëndetësisë dhe institucioneve tjera përkatëse duhet
që patjetër të kenë politika të qarta që përfshijnë udhëheqje koncize dhe specifike në
zgjedhjen dhe implementimin e kontrolleve të tilla. Ky lloj i udhëheqjes duhet të jetë i
adoptueshëm për rangun e gjerë të lokacioneve dhe modeleve për shërbimet shëndetësore
qofshin ato publike apo privatë [1].
Përfundimisht, me rritjen e shkëmbimeve elektronike të personelit shëndetësore në mes
profesionistëve shëndetësore do të ketë një përfitim të qartë në adoptimin e një reference të
përbashkët për sigurinë dhe menaxhimin e të dhënave në shëndetësi
9
Qëllimi dhe Objektivat e këtij hulumtimi përfshijnë:
Realizimin e praktikave më të mira në raport me mbrojtjen e të dhënave.
Përmirësimin e sigurisë së Sistemit të Informacionit në sektorin shëndetësorë.
Tërheqjen e vëmendjes për rëndësinë e ndjeshmërisë se Sistemit të Informacionit në
Shëndetësi.
10
2. SHQYRTIMI I LITËRATURËS
2.1.Sistemet e informacionit në shëndetësi
Të dhënat, Informacioni dhe Sistemi
- Të dhënat janë faktet e para dhe shifrat që janë të përpunuara për të prodhuar
informacionin.
- Informacionet janë të dhënat që janë përpunuar dhe janë të rëndësishme dhe të
dobishme për përdoruesit.
- Sistemi është një grup i metodave, veglave, procedurave të detajuara dhe rutinave të
krijuara për të kryer një aktivitet të veçantë, për të kryer një detyrë, ose për të zgjidhur
një problem. Ne rastin qe po shtjellojmë, sistemi përfshinë veglat kompjuterike ku
procedohen, ruhen, distribuohen të dhënat shëndetësore.
Kur flasim për Sistemet e Informacionit dhe Shëndetësinë duhet të mendojmë për njeriun
dhe të dhënat e tij shëndetësore të regjistruara në makinë kompjuterike.
Sistemi i Informacionit është i lidhur me teknologjinë dhe si i tillë nuk ka dyshim që SI
mundëson një potencial të madh për organizatat shëndetësore. Teknologjia ndihmon në
zvogëlimin e kostos, dhe ndihmon në përmirësimin e rezultateve të dhëna [43].
Cikli i zhvillimit të Sistemeve të Informacionit në Shëndetësi përfshinë:
a. Të dhënat e pacientit.
b. Informacionet e përpunuara.
c. Detajet profesionale të kujdestarit shëndetësore.
d. Sigurinë dhe Monitorimin.
e. Detajet e trajtimit.
f. Teknologjinë.
11
Përdorimi i Sistemeve të Informacionit në Shëndetësi është jetik. Si i tillë ai mundëson një
menaxhim të shpejtë, të saktë dhe të suksesshëm si dhe ndihmon për të shpëtuar jetën e
pacientit.
Sistemet e Informacionit mundësojnë transformimin e kujdesit shëndetësorë në:
Materiale të regjistruara elektronike.
Menaxhim e të dhënave klinike.
Menaxhimin e avancuar të kujdesit kritik.
Sistemet e Informacionit janë çelësi kryesorë për shëndetësinë efektive sot. Ndikimi i
përdorimit të Sistemeve të Informacionit në shëndetësi është: qasja më e lehtë në të dhënat
e pacientit, ku do dhe kur do herë [28].
Më tej Sistemi i Informacionit në Shëndetësi mundëson:
Vendimmarrjen e shpejtë ne aspektin klinik- të shpëtuarit e jetës së njeriut.
Parandalimin në kohen e duhur nga rreziqet shëndetësorë- kujdesin për popullatën.
Pra, sistemet e informacionit mundësojnë qasjen e kujdesit gjithëpërfshirës (holistik) në
kualitet të kujdesit për jetën e njeriut.
2.1.1. Menaxhimi i Informacionit në Sektorin Shëndetësorë
Sistemet e Menaxhimit të Sigurisë së Informacionit (SMSI) janë një nga elementët
thelbësore për forcimin e sistemit shëndetësor. SMSI është një sistem i mbledhjes së të
dhënave i projektuar posaçërisht për të mbështetur planifikimin, menaxhimin dhe
vendimmarrjen në mjediset dhe organizatat shëndetësore.
12
Figura 1 Menaxhimi i sigurisë së informacionit siguron informacion të duhur në vendin e duhur në kohen e
duhur.
Kur flasim për Sistemin e Informacionit ne Shëndetësi duhet të kemi parasysh procesimin
dhe ruajtjen apo regjistrimin elektronike të informacionit shëndetësorë. Të përfshira në këtë
informacion janë të dhënat demografike, shënimet e progresit, problemet, medikamentet,
shenjat vitale, historia e kaluar mjekësore, imunizimet, të dhënat laboratorike dhe raportet e
radiologjisë. Regjistrimi elektronik i informacionit shëndetësorë automatizon dhe
riorganizon rrjedhën e punës dhe në përgjithësi lehtëson punën e punëtorit shëndetësorë.
Regjistrimi elektronik i informacionit shëndetësorë ka aftësinë për të gjeneruar të dhëna të
plota të një takimi klinik të pacientit me mjekun - si dhe mbështetjen e aktiviteteve të tjera
të lidhura me kujdesin direkt ose indirekt përmes ndërfaqes - duke përfshirë mbështetjen e
bazuar në dëshmi, menaxhimin e cilësisë dhe raportimin e rezultateve.
Sistemet e informacionit të kujdesit shëndetësor procesojnë, ruajnë, menaxhojnë ose
transmetojnë informacione që kanë të bëjnë me shëndetin e individëve ose aktivitetet e një
organizatë që punon brenda sektorit shëndetësorë.
13
Ka lloje të ndryshme të sistemeve të informacionit në kujdesin shëndetësorë, duke
përfshirë:
• Sistemet operacionale dhe taktikat për klasifikimin e lehtë të informacionit.
• Sistemet klinike dhe administrative për menaxhimin e detajeve të pacientit
në nivel administrativ.
• Sisteme të bazuara në kryerjen e detyrave të tilla si regjistrimi elektronik i të
dhënave mjekësore (Electorin Medical Records EMR).
• Sistemet financiare për menaxhimin e aplikimeve të faturimit dhe
aktiviteteve financiare [21].
2.1.2. Siguria e informacionit në shëndetësi
Ruajtja e konfidencialitetit, disponueshmerisë dhe integritetit (përfshirë autenticitetin,
përgjegjësinë dhe mundësinë e auditimit) janë qëllimet kryesore për sigurinë e tё dhënave.
Nё shëndetësi, kujdesi i privatësisë sё subjekteve varet nga ruajtja e konfidencialitetit
shëndetësor personal [12].
Për të ruajtur konfidencialitetit duhet të merren masa për të siguruar integritetin e të
dhënave, edhe në qoftë se e vetmja arsye mund tё jetë korruptimi i integritetit tё dhënave
apo kontrollit tё qasjes. Përveç kësaj, siguria e pacientit varet nga ruajtja e integritetit tё
informacionit shëndetësor personal. Dështimi për të bërë këtë mund të rezultojë në
sëmundje, lëndime apo edhe nё vdekje tё pacientit. Në të njëjtën mënyrë niveli i lartë i
disponueshmerisë është një atribut veçanërisht i rëndësishëm i sistemeve shëndetësore, ku
trajtimi i pacientit është primar dhe si i tillë duhet tё trajtohet nё kohë. Në të vërtetë
fatkeqësitë mund të çojnë në ndërprerje të sistemeve tjera të TI-së të cilat nuk janë të
lidhura me shëndetësi, dhe kjo mund të ndodhë pikërisht në kohën kur informacionet që
gjenden në sistemet e shëndetësisë janë të nevojshme në mënyrë kritike kohore. Për më
tepër, sulmet kibernetike ndaj sistemeve (siç ёshtё Denial of Service- DoS) po bëhen
gjithnjë e më të zakonshme [1].
14
Kontrollet e cekura në kapitullin 5 janë identifikuar si të përshtatshme pёr sistemin
shëndetësorë për të mbrojtur konfidencialitetit, integritetin dhe disponueshmërinë e tё
dhënave shëndetësore personale dhe për të siguruar që qasja në informata të tilla mund të
auditohet dhe të monitorohet [19].
Këto kontrolle ndihmojnë në parandalimin e gabimeve në praktikën mjekësore që mund të
pasojnë nga dështimi i ruajtjes së integritetit të informacionit shëndetësore. Përveç kësaj,
ato ndihmojnë për të siguruar që vazhdimësia e shërbimeve mjekësore është duke u ruajtur.
Ka implikime shtesë që formojnë qëllimet e sigurisë sё tё dhënave shëndetësore. Ato
përfshijnë:
a) zbatimin e obligimeve ligjore, siç shprehen në ligjet e aplikueshme për
mbrojtjen e të dhënave si dhe në rregulloren për mbrojtjen e të drejtave të
privatësisë së subjektit;
b) ruajtjen e privatësisë dhe sigurisë duke themeluar praktika sa më të mira në
informatikën shëndetësore;
c) ruajtjen e individëve dhe organizatave nё raport me përgjegjësit e
organizatave shëndetësore dhe profesionistëve të shëndetit;
d) mbështetjen e zbatimit të menaxhimit sistematik të rrezikut brenda
organizatave shëndetësore;
e) plotësimin e nevojave të sigurisë të identifikuara në situata të zakonshme në
shëndetësi;
f) uljen e kostove operative duke lehtësuar rritjen e përdorimit të teknologjisë
në një mënyrë të sigurt, ne vend të sigurt, dhe të menaxhuar mirë që
mbështet - por nuk i kufizojnë - aktivitetet aktuale shëndetësore;
g) ruajtjen e besimit publik në organizatat shëndetësorë dhe sistemet e
informacionit qe këto organizata mbështeten mbi to;
h) ruajtjen e standardeve profesionale dhe etikës të themeluara në lidhje me
shëndetësinë në organizata profesionale (për aq sa siguria informacionit ruan
konfidencialitetin dhe integritetin e tё dhënave shëndetësore);
15
i) sistemet elektronike të informacionit në shëndetësi të operojnë në një mjedis
të përshtatshëm dhe të sigurt kundër kërcënimeve;
j) duke lehtësuar ndërveprimet në mes sistemeve shëndetësore, meqenëse tё
dhënat shëndetësore sipas nevojës apo kërkesës bartën nga një institucion nё
tjetrin, ndonjëherë edhe jashtë shteteve apo kufijve juridik, si tё tilla nё këto
lloj ndërveprime trajtimi i tyre duhet që patjetër tё siguroj vazhdimisht
konfidencialitetit, integritetin dhe disponueshmërinë e tё dhënave [7].
2.1.3. Përse është e nevojshme siguria e informacionit?
Siguria e sistemeve të informacionit është mbrojtja e sistemeve të informacionit ndaj qasjes
së paautorizuar në sistem, apo mbrojtja nga keqpërdorimi, ndryshimi i paautorizuar i
informacionit (qoftë në ruajtjen, përpunimin apo shpërndarjen e tij).
Informacioni, proceset mbështetëse, sistemet dhe rrjetet janë asete të rëndësishme të
biznesit. Përcaktimi, arritja, ruajtja dhe përmirësimi i sigurisë së informacionit janë
thelbësore për të ruajtur një avantazh konkurrues, rentabilitetin, pajtueshmërinë ligjore dhe
imazhin e organizatës.
Organizatat, sistemet dhe rrjetet e tyre të informacionit ballafaqohen me kërcënime të
sigurisë nga një gamë e gjerë fushash duke përfshirë mashtrimin kompjuterik, spiunazhin,
sabotimet, vandalizmat, fatkeqësitë natyrore, etj..
Shkaqet e dëmtimeve si kodet e keq-shkruara të programimit, piratëria kompjuterike dhe
sulmet e mohimit të shërbimit (Denial of Service Attacks – DoS) janë bërë më të
zakonshme, më ambicioze dhe gjithnjë e më të sofistikuara.
Siguria e informacionit është e rëndësishme për të dy llojet e organizatave, tё sektorit
publik dhe atij privat si dhe shërben për të mbrojtur infrastrukturat kritike që ndërlidhen me
to. Në të dy sektorët, siguria e informacionit do të funksionojë si një nxitës, p.sh. për të
arritur e-qeverisjen ose e-biznesin, dhe për të shmangur ose zvogëluar risqet përkatëse.
16
Ndërlidhja e rrjeteve publike dhe privatë dhe ndarja e burimeve të informacionit rrisin
vështirësinë e arritjes së kontrollit të qasjes [30]. Prirja për të përdorur sisteme të
shpërndara informatike ka dobësuar edhe efektivitetin e një kontrolli tё centralizuar dhe të
specializuar. Në fillim shumë sisteme tё tё dhënave nuk kanë qenë të dizajnuara të jenë të
sigurta apo krijuesit e këtyre sistemeve nuk e kanë menduar si kritike pjesën e sigurisë se
sistemit në fjale. Qëllimi kryesor ka qenë operimi dhe mundësia qe te realizohet procesimi,
ruajtja dhe shfletimi i te dhënave.
Siguria që mund të arrihet me mjetë teknike është e kufizuar, dhe duhet të mbështetet nga
menaxhimi dhe procedurat e përshtatshme. Identifikimi se cili kontroll sigurie duhet të jetë
aktiv, kërkon planifikim të kujdesshëm dhe vëmendje në çdo detaj. Menaxhimi i sigurisë së
informacionit kërkon pjesëmarrje nga të gjithë punonjësit në organizatë. Mund të kërkohet
pjesëmarrja e aksionarëve, furnizuesve, palëve të treta, konsumatorëve apo palëve të tjera të
jashtme. Këshillat nga specialistë apo organizata jashtë organizatës kryesore shpesh herё
kanë rezultuar të jenë të nevojshme.
Në ligjin për mbrojtjen e të dhënave personale të Republikës së Kosovës rëndësia e
informatave shëndetësorë konsiderohet si jetike dhe si të tilla këto lloje të dhënash hynë në
kategorinë e të dhënave personale të ndjeshme. Për më shumë kjo është çfarë përcaktohet
në Nenin 2 pika 1.16. të ligjit për mbrojtjen e të dhënave personale: “Të dhëna personale të
ndjeshme - të dhënat personale që zbulojnë origjinën etnike ose racore, pikëpamjet politike
ose filozofike, përkatësitë fetare, anëtarësimin në sindikata ose çdo të dhënë për gjendjen
shëndetësore ose jetën seksuale, çfarëdo përfshirje në ose heqje nga evidencat penale ose të
kundërvajtjeve që ruhen në pajtim me ligjin. Karakteristikat biometrike gjithashtu
konsiderohen si të dhëna personale të ndjeshme nëse këto të fundit mundësojnë
identifikimin e një subjekti të të dhënave në lidhje me cilëndo nga rrethanat e
lartpërmendura në këtë nën-paragraf” [6], [36].
17
2.1.4. Siguria dhe administrimi i informacionit në Shëndetësi
Administrimi i Informacionit paraqet proceset me të cilat një organizatë sigurohet se
rreziqet për informacionet e saj, aftësitë operacionale dhe integriteti i organizatës janë
identifikuar në mënyrë efektive dhe janë të menaxhueshme.
Në vitet e fundit qeverisja e korporatave është bërë një çështje kritike për të gjitha llojet e
organizatave. Si përgjigje drejt rregullatorëve të përfshirë janë marrë iniciativa të tilla siç
janë këto akte: “Sarbanes Oxley Act”, “Health Insurance Portability and Accountability
Act” nё SHBA, “Akti i marrëveshjes Evropiane”, Basel, "Turnbull Code” i Mbretërisë së
Bashkuar dhe “KontraG” i Gjermanisë. Gjithashtu vartësia në rritje e organizatave në
informacionet dhe teknologjitë mbështetëse e bën administrimin e informacionit një
komponent të rëndësishëm të proceseve për menaxhimin e riskut operacional.
Shumë fusha të menaxhimit të informacionit, të tilla si akreditimi dhe mbrojtja e të dhënave
mund të konsiderohen se janë pjesë e fushës së administrimit të informacionit. Është me
rëndësi jetike që fushëveprimi i administrimit të informacionit të mbështesë dhe ndihmojë
në vazhdimin e shpërndarjes së sigurisë së informacionit, kështu që ti kushtojnë gjithmonë
vëmendjen e duhur konfidencialitetit, integritetit dhe disponueshmerisë. Siguria e
informacionit është qartë një komponentë kritik duke bërë të mundur aspektet më të gjera të
administrimit të informacionit [8].
Ndonëse organizatat shëndetësore mund të ndryshojnë në pozicionet e tyre në mënyrën e
administrimit klinik dhe të korporatave, rëndësia e integrimit dhe marrja pjesë në qeverisjen
e informacionit duhet të jetë përtej debatit, si një mbështetje vitale për të dyja.
Organizatat shëndetësore po bëhen në mënyre kritike gjithnjë e më shumë të varura në
sistemet e informacionit. Për të ndihmuar ofrimin e kujdesit shëndetësorë duke shfrytëzuar
teknologjitë mbështetëse në vendimmarrje dhe tendencat drejt "të bazuarit në fakte" në
vend se “tё bazuarit në përvojë" në shëndetësi po bëhet gjithnjë e më e qartë dhe si e tillë
është ne rritje. Ngjarjet në të cilat kur humbja e integritetit, disponueshmerisë dhe
18
konfidencialitetit ndodhë mund të kenë një ndikim të rëndësishëm dhe se problemet që
lindin nga ndikimet e tilla do të pasqyrojnë dështimet në obligimet etike dhe ligjore të
pandara në një “detyrë kujdesi”.
Në të gjitha vendet dhe juridiksionet padyshim do të ketë raste të studimeve ku shkeljet e
tilla kanë çuar dhe çojnë në keq-diagnostifikim, vdekje apo zgjatje të periudhës sё shërimit.
Prandaj korniza e administrimit klinik duhet të trajtojë në mënyrë efektive menaxhimin e
sigurisë së riskut të informacionit si të barabartë me rëndësinë e trajtimit të planeve të
kujdesit, strategjisë së menaxhimit të infeksioneve dhe çështjeve tjera të menaxhimit klinik
[8].
Organizatat e kujdesit shëndetësor qëndrojnë ose shuhen bazuar në cilësinë e të dhënave që
udhëheqësit e tyre përdorin për të marrë vendime strategjike biznesi dhe klinike. Roli i
administrimit të informacionit, i cili i afrohet informatave si një pasuri strategjike, është të
sigurojë integritetin e të gjitha këtyre të dhënave dhe informacioneve, ndërmarrjeve të lira,
të sigurta dhe të sakta.
Praktikat e administrimit të informacionit do të ndryshojnë mënyrën se si ne menaxhojmë
dhe përdorim informacionin, duke krijuar një avantazh konkurrues në treg për ata që e
bëjnë këtë punë mirë [20].
2.1.5. Mbrojtja e tё dhënave shëndetësore
Brenda sektorit shëndetësore ka disa lloje të informatave në të cilat konfidencialiteti,
integriteti dhe disponushmëria duhet të jenë të mbrojtura:
a) Tё dhënat personale shëndetësore;
b) Të dhënat e pseudonimizuara të cilat rrjedhin nga informacionet shëndetësore
personale përmes metodologjive tё caktuara;
19
c) Të dhëna statistikore dhe kërkimore duke përfshirë të dhënat anonime që rrjedhin
nga informacioni personal shëndetësor nga heqja e identifikimit personal tё të
dhënave për arsye të caktuara;
d) Njohuri klinike / mjekësore qё nuk kanë të bëjnë me ndonjë subjekt të veçantë të
kujdesit, këtu përfshihen të dhëna që mbështesin vendime klinike (p.sh. të dhëna
ndaj reagimit negativ të drogës);
e) Të dhënat për profesionistët e shëndetit, personelit dhe vullnetarëve;
f) Informacioni i lidhur me mbikëqyrjen e shëndetit publik;
g) Gjurmë të auditimit të tё dhënave, të gjeneruara nga sistemet e informacionit
shëndetësor që përmbajnë tё dhёna shëndetësore personale ose të dhëna të
pseudonimizuara që rrjedhin nga informacioni shëndetësor personal ose që
përmbajnë të dhëna rreth veprimeve të përdoruesve, lidhur me informacionin
shëndetësor personal;
h) Siguria e sistemit tё të dhënave për sistemet e informacionit në shëndetësi, përfshirë
këtu kontrollin e qasjes sё të dhënave dhe sisteme tjera të lidhura me sigurinë dhe
konfigurimin e të dhënave për sistemet e informacionit të shëndetësisë;
Shkalla në të cilën konfidencialiteti, integriteti dhe disponueshmëria duhet të ruhet, varet
prej natyrës së informatave, përdorimit për të cilit ajo është vënë, dhe rreziqeve ndaj të
cilave ajo është e ekspozuar. Për shembull, të dhënat statistikore nё piken (c) mund të mos
jenë konfidenciale, por duke mbrojtur integritetin e tyre mund të jenë shumë të rëndësishme
[9].
Gjithashtu të dhënat nё gjurmët e auditimit nё piken (g) mund të mos kërkojnë
disponueshmëri të lartë (arkivimi i shpeshtë me një kohë të rikthimit të matur me orë në
vend se me sekonda mund të mjaftojë në një aplikim të caktuar) por përmbajtja e tij mund
të jetë shumë konfidenciale. Vlerësimi i riskut mund të përcaktojë siç duhet nivelin e
përpjekjes së nevojshme për të mbrojtur konfidencialitetin, integritetin dhe
disponueshmërinë e informacionit. Rezultatet e vlerësimit të rregullt të riskut duhet të jenë
të pajisur me prioritetet dhe burimet e organizatës implementuese [9].
20
2.1.6. Kërcënimet dhe dobësitë në sigurinë e tё dhënave shëndetësore
Llojet e kërcënimeve të sigurisë së tё dhënave dhe dobësitë ndryshojnë shumë, siç
ndryshojnë edhe përshkrimet e tyre. Megjithëse asnjëra nuk është me të vërtetë unike në
shëndetësi, çfarë është unike në shëndetësi është grupi i faktorëve që duhet të merren
parasysh kur vlerësohen kërcënimet dhe dobësitë. Nga natyra e tyre organizatat
shëndetësore veprojnë në një mjedis ku vizitoret dhe publiku në përgjithësi nuk mund të
përjashtohen plotësisht.
Në organizatat e mëdha shëndetësore, volumi absolut i njerëzve që lëvizin nëpër zonat
operative është i rëndësishëm. Këta faktorë rrisin cenueshmërinë e sistemeve në kërcënime
fizike. Gjasat janë tё mëdha që kërcënime të tilla të ndodhin dhe mund të rriten kur
subjektet janë emocionalisht tё prekur apo të sëmurë mentalisht apo për arsye tё tjera.
Shumë organizata shëndetësore kanë një financim tё dobët dhe anëtarët e stafit tё tyre janë
të detyruar të punojnë nën stres të lartë, madje shumë nga ta janë të detyruar që të punojnë
edhe në vende të tjera vetëm për të siguruar të ardhura të mjaftueshme. Ne gjendje të
ngjashme në shume raste i gjejmë edhe punëtorët e sektorit shëndetësorë ne Republikën e
Kosovës. Për shkak të lodhjes, depresionit dhe niveli të lartë të stresit kjo shpesh mund të
rezultojë në norma të rritura të gabimeve, përfshirë këtu edhe kryerjen e procedurave të
pasakta tё cilat mund tё rezultojnë nё cenushmёrinё e tё dhënave shëndetësore [10].
Pasojat tjera të kufizimeve të tilla të burimeve përfshijnë sistemet e projektuara,
implementuara dhe të drejtuara në një mënyrë tepër të rastësishme ose kur sistemet janë
mbajtur në shërbim pёr një periudhë të gjatë pasi ato duhet të kishin dalë kohë mё parё
jashtë përdorimit.
Këta faktorë mund të rrisin potencialin e disa llojeve të kërcënimeve dhe mund të
përkeqësojnë cenueshmerinë. Nga ana tjetër, kujdesi klinik është një proces që përfshinë
një gamë tё gjerë të stafit profesional, teknik, administrativ, ndihmës dhe vullnetarë, shumë
prej të cilëve shohin punën e tyre si një profesion jetësor. Përkushtimi i tyre dhe diversiteti i
21
përvojës që ata mund tё kenë shpesh herё mund qё në mënyrë të dobishme të reduktoj
ekspozimin ndaj cenueshmerisë sё tё dhënave shëndetësore [19].
Niveli i lartë i trajnimeve profesionale të marra nga shumë profesionistë të shëndetit
gjithashtu përcakton shëndetësinë si subjekt larg nga shumë sektorë tjerë industrialë, dhe
kjo pa dyshim ndihmon në reduktimin e rasteve të kërcënimeve të brendshme. Rëndësia
kritike në identifikimin e saktë të subjekteve tё kujdesit dhe përputhjen e saktë me të dhënat
të tyre shëndetësore i shpie organizatat shëndetësore për të mbledhur informacione të
detajuara identifikuese.
Regjistrat rajonalë ose lokal të pacientit (p.sh. regjistrat e subjekteve të kujdesit
shëndetësorë) janë nganjëherë më gjithëpërfshirës dhe të azhurnuar nё bazat e tё dhënave
për identifikimin e informacioneve në dispozicion në një juridiksion qё ёshtё edhe mё afër
pacientit (p.sh. regjistrat e njё pacienti nga Suhareka mund tё jenё mё tё plota dhe mё tё
përditësuara nё Qendrën e Mjekësisë familjare nё Suharekë sesa që janë nё njё qendër tё
llojit tё njëjtë nё Prizren apo vende tjera tё këtij rajoni). Ky informacion i identifikuar është
vlerë e madhe potenciale për ata të cilët mund ta keqpërdorin atё për të kryer vjedhje të
identitetit tё pacientit, prandaj duhet të mbrohet në mënyrë rigoroze ku do dhe kur do herë.
Mjedisi shëndetësor, me kërcënimet dhe dobësitë e tij unike, duhet të konsiderohet dhe tё
trajtohet me kujdes të veçantë. Në vende të ndryshme të botës, organizatat shëndetësore dhe
sistemet e tyre të informacionit janë ballafaquar me kërcënimet e sigurisë nga më të
ndryshmet duke përfshirë:
Mashtrimin duke përdorur kompjuterët
Sabotimet
Vandalizëm
Zjarrin ose përmbytjet
Hakimet kompjuterike
Sulmet nga refuzimi i shërbimit (DOS)
Man in the Middle Attack
22
2.2. Sistemet e informacionit dhe siguria e informacionit shëndetësorë në Kosovë
Pasqyra e Kosovës
Kosova është shtet i vogël (10.887 km2) dhe i ri (pavarësia është shpallur më 17 shkurt
2008)me 2,1 milion banorë që i përkasin moshës më të re në Evropë (53% janë më të rinj se
25 vjet) me jetëgjatësi mesatare prej 68.8 vite.
Me GDP përafërsisht 1.500 € për kokë banori, Kosova është shteti më i varfër në Evropë.
Rritja e ngadalësuar ekonomike (rreth 3% në 2006), shkalla e lartë e papunësisë prej rreth
45%1, rritja e varfërisë (18% e popullatës është në varfëri të skajshme) dhe ekonomia e
brishtë i pengojnë investimet dhe zhvillimin. Kjo gjendje e kombinuar me kufizimet në
ofrimin e shërbimeve shëndetësore, mirëqenien sociale dhe kapacitetin arsimor, ka
rezultuar në një shkallë shumë të lartë të vulnerabilitetit struktural socio-ekonomik,
mungesës së kohezionit social dhe të zhvillimit të stukturuar të kapitalit njerëzor. Të gjitha
këto janë parakushte për zhvillim ekonomik [13].
Megjithatë, sipas raporteve qeveritare, qeveria është duke i luftuar zellshëm këto mangësi,
përfshirë zhvillimin e strategjive sektoriale zhvillimore dhe progresin drejt anëtarësimit në
Bashkimin Evropian. Integrimi në Bashkimin Evropian paraqet një hap të rëndësishme drejt
stabilitetit regjional dhe prosperitetit ekonomik. Ministria e Shëndetësisë së bashku me
Ministrinë e Mirëqenies Sociale dhe Ministrinë e Arsimit, ka hartuar strategjinë për të
kontribuar në zhvillimin socio-ekonomik, përmes zhvillimit të mjeteve të Procesit të
Stabilizim Asocimit (PSA) e gjithashtu edhe ngritjes së kapaciteteve për shfrytëzim të
asistencës së ofruar përmes Instrumentit të Para anëtarësimit [13].
23
2.2.1. Analiza e sektorit shëndetësor dhe sistemit statistikor shëndetësor ekzistues
Institucionet e sektorit të kujdesit shëndetësor dhe rrjeti i ofruesve
Ministria e Shëndetësisë (MSH) e transformuar nga Departamenti i Shëndetësisë dhe
Mirëqenies Sociale dhe i Planifikimit Hapësinor në vitin 2002, është autoriteti më i lartë
shëndetësor në Kosovë. Duke u mbështetur në ligjin për shëndetësi, Ministria e
Shëndetësisë (MSH) merr vendime për themelimin e institucioneve dytësore dhe tretësore
shëndetësore, gjersa Drejtoritë Komunale për Shëndetësi (DKSH) marrin vendime për
institucionet e kujdesit parësor shëndetësor (KPSH) [13].
Komunat janë përgjegjëse për ofrimin e KPSH dhe përcjelljen e gjendjes shëndetësore të
qytetarëve, përmes konceptit të mjekësisë familjare. MSH dhe DKSH bashkëpunojnë në
implementimin e marrëveshjeve vjetore për ofrimin e shërbimeve. Kuvendi komunal
aprovon planin operacional për zhvillimin e KPSH në pajtim me planin afat-mesëm të
aprovuar nga Qeveria e Kosovës [13].
Aktivitetet e shëndetit publik ofrohen nga Instituti Kombëtar i Shëndetësisë Publike të
Kosovës (IKSHPK) përmes zyrës së saj qendrore dhe gjashtë institutet regjionale në: Pejë,
Gjakovë, Prizren, Ferizaj, Gjilan dhe Mitrovicë. IKSHPK është i organizuar në
departamente të Epidemiologjisë, Ekologjisë Humane, Mikrobiologjisë, Mjekësisë Sociale
dhe Sistemit Informativ Shëndetësor. Për më tepër, IKSHPK vepron si trup këshillëdhënës
(përkrahje teknike) i MSH.
Rrjeti i ofrimit të shërbimeve është i organizuar në nivelin parësor, dytësor dhe atë tretësor.
KPSH ofrohet nga 33 komuna përmes Qendrave Kryesore të Mjekësisë Familjare (QKMF)
dhe Qendrave të Mjekësisë Familjare (QMF), njësive ambulantore të quajtura punktë,
Qendrave Shëndetësore Emergjentë (në komuna me mbi 150.000 banorë), barnatoreve
komunale dhe atyre në QMF, si dhe qendrave të rehabilitimit. Aty ku qasja në spitale nuk
është e lehtë, QKMFtë kanë edhe njësinë e maternitetit (14 në përgjithësi). Përveç kësaj, tri
qendra të grave ofrojnë mbështëtje të pjesërishme për nivelin e KPSH dhe atë spitalor.
24
Kujdesi Dytësor Shëndetësor (KDSH) ofrohet nga spitali universitar në Prishtinë dhe pesë
spitale regjionale në Mitrovicë, Pejë, Gjakovë, Prizren, Gjilan si dhe nga katër spitale të
qytetit në Ferizaj, Mitrovicën veriore, Graçanicë dhe Vushtrri. Përveç tyre, shërbime
dytësore shëndetësore ofrojnë edhe qendrat diagnostike dhe terapeutike, qendrat për
shëndet oral dhe kujdes dental, si dhe qendrat rehabilituese speciale. Niveli dytësor i
kujdesit shëndetësor, gjithashtu ofron shërbime të shëndetit mendor për pacientë dhe
familjarë të tyre, përmes Qendrave të Shëndetit Mendor (QSHM) [3].
Kujdesi Tretësor Shëndetësor (KTSH) ofron shërbime mjekësore të specializuara përmes
institucioneve shëndetësore që ndërlidhen me Universitetin dhe atë kryesisht me Qendrën
Klinike Universitare të Kosovës (QKUK). QKUK përbëhet nga disa klinika dhe institute si
dhe Qendra Klinike Universitare Stomatologjike e Kosovës. Ky nivel gjithashtu përfshinë
institutet kombëtare siç janë Qendra Kombëtare e Transfuzionit e cila menaxhon “bankën”
e gjakut; Institutin Kombëtar të Mjekësisë së Punës që merret me kujdesin shëndetësor të
punëtorëve; dhe IKSHPK i cili ofron programe për edukim shëndetësor, promovim,
parandalim dhe mbrojtje shëndetësore, por gjithashtu është edhe burim kryesor për
mbledhjen dhe analizën e të dhënave mjekësore.
Sektori shëndetësor privat është duke u zhvilluar shumë shpejtë dhe është i koncentruar
kryesisht në kujdes ambulator, shërbime diagnostike, farmaci dhe stomatologji. Integrimi i
sektorit privat është një ndër prioritetet kryesore të SSSH [13].
2.2.2. Rrjeti ekzistues i ofruesve të shërbimeve shëndetësore
Objektet nën menaxhimin e Ministrisë së Shëndetësisë:
1 Spital i Kujdesit Shëndetësor Tretësor, Qendra Klinike Universitare në Prishtinë;
1 Objekt për Kujdes Tretësor Stomatologjik, i cili gjithashtu vepron edhe si objekt i
kujdesit stomatologjik dytësor;
2 Institute të Mjekësisë së Punës;
25
2 Qendra rehabilituese
5 Spitale Regjionale të Kujdesit Dytësor Shëndetësor;
4 Spitale të Qytetit të Kujdesit Dytësor Shëndetësor, të cilat janë të strukturuara
ngjashëm me spitalet regjionale;
1 Institut Kombëtar të Shëndetësisë Publike të Kosovës (1 qendror dhe 6 regjional);
6 Qendra të shëndetit mendor të bazuara në komunitet;
1 Qendër Kombëtare të Transfuzionit të Gjakut;
1 Qendër të Telemjekësisë;
1 Institut të Mjekësisë Sportive
Objektet nën menaxhimin e komunave:
34 Qendra Kryesore të Mjekësisë Familjare – nga të cilat 14 kanë njësi të
maternitetit dhe 13 njësi të tuberkulozit;
152 Qendra të Mjekësisë Familjare;
263 Punkte.
Institucionet shëndetësore privatë të licencuara
54 institucione Shëndetësore Privatë;
54 qendra diagnostike dhe Terapeutike;
14 spitale.
26
2.2.3. Koncepti i Sistemit të Informacionit Shëndetësorë të integruar
Në strategjinë e Ministrisë së Shëndetësisë për Sistemin e Informacionit Shëndetësorë
elektronike për 2010-2020 kjo e fundit prezanton të dhëna mbi Sistemin e Informacionit
Elektronik Shëndetësor SISH.
Termi Sistemi Informativ Shëndetësor (SISH) në këtë strategji duhet të kuptohet si një seri
e veprimeve, instrumenteve dhe metodave formale që aplikohen për grumbullim,
personalizim, organizim, menaxhim dhe distribuim të informatave në kuadër të sektorit
shëndetësor, në mënyrë të tillë që këto informata të jenë të besueshme dhe në dispozicion të
personave/ institucioneve të duhura në kohën e duhur, të dobishme për përmirësimin e
kujdesit shëndetësor dhe të menaxhimit të burimeve të paketa në sektorin shëndetësor.
Bazuar në definimin e lartcekur mënyrat praktike të ofrimit dhe qasjes në të
dhëna/informata në SISH mund të marrin forma të shumta, si p.sh. informacione në letër,
informacione verbale, apo përmes përdorimit të infrastrukturës së teknologjisë informative
(TI) dhe aplikacioneve të TI’së me qëllim të shkëmbimit elektronik të të
dhënave/informatave [13].
2.3.Trajtimi i të dhënave shëndetësore në Kosovë
2.3.1. Mbrojtjen e të Dhënave Personale- Infrastruktura Ligjore
Në Republikën e Kosovës, e drejta e mbrojtjes së të dhënave personale dhe e privatësisë
është e drejtë e garantuar me Kushtetutë dhe me Ligjin për Mbrojtjen e të Dhënave
Personale. Kjo e drejtë e garantuar me nenin 36 të Kushtetutës së Republikës së Kosovës
përfshinë respektimin e jetës private dhe familjare, pacenueshmërinë e banesës, fshehtësinë
e korrespondencës, telefonisë dhe komunikimeve të tjera dhe mbrojtjen e të dhënave
personale. Gjithashtu, zbatimi i drejtpërdrejtë i marrëveshjeve dhe instrumenteve
27
ndërkombëtare që garantojnë të drejtat dhe liritë e njeriut të përcaktuara me nenin 22 të
Kushtetutës së Republikës së Kosovës, siç janë:
1) Deklarata Universale për të Drejtat e Njeriut;
2) Konventa Evropiane për Mbrojtjen e të Drejtave dhe Lirive Themelore të Njeriut dhe
Protokollet e saj;
Në bazë të nenit 53 të Kushtetutës së Republikës së Kosovës, vendimet gjyqësore të
Gjykatës Evropiane për të Drejtat e Njeriut janë drejtpërdrejt të aplikueshme edhe në
vendin tonë. Konventat dhe direktivat evropiane, të cilat rregullojnë fushën e mbrojtjes së
të dhënave dhe privatësisë janë: Konventa 108/EC dhe protokollet shtesë (për mbrojtjen e
individëve në lidhje me përpunimin automatik të të dhënave personale); Direktiva
95/46/EC; Direktiva 2002/58/EC (e-privatësia dhe komunikimet elektronike).
Në vitin 2010, Kuvendi i Kosovës aprovoi Ligjin për Mbrojtjen e të Dhënave Personale
(03/L-172) i cili përcakton të drejtat, përgjegjësitë, parimet dhe masat lidhur me mbrojtjen e
të dhënave personale dhe themeloi institucionin që është përgjegjës për mbikëqyrjen e
legjitimitetit të përpunimit të të dhënave.
2.3.2. Ligjet ekzistuese
Kategorizimi i të dhënave personale shëndetësore.
Sipas ligjit nr. 03/l-172 për mbrojtjen e të dhënave personale, neni 1.16. që trajton
rregulloren mbi të dhënat personale të ndjeshme - të dhënat personale të ndjeshme janë ato
informata që zbulojnë origjinën etnike ose racore, pikëpamjet politike ose filozofike,
përkatësitë fetare, anëtarësimin në sindikatë ose çdo të dhënë për gjendjen shëndetësore ose
jetën seksuale, çfarëdo përfshirje në ose heqje nga evidencat penale ose të kundërvajtjeve
që ruhen në pajtim me ligjin. Karakteristikat biometrike gjithashtu konsiderohen si të dhëna
28
personale të ndjeshme nëse këto të fundit mundësojnë identifikimin e një subjekti të të
dhënave në lidhje me cilëndo nga rrethanat e lartpërmendura në këtë nën-paragraf.
Përpunimi i të dhënave personale shëndetësore
Legjitimiteti i përpunimit të të dhënave
Bazuar në Nenin 5
Përpunimi i ligjshëm i të dhënave personale
1. Të dhënat personale mund të përpunohen vetëm nëse:
1.1. subjekti i të dhënave ka dhënë pëlqimin e tij ose saj;
1.2. përpunimi është i domosdoshëm për përmbushjen e një kontrate në të cilën subjekti i të
dhënave është palë kontraktuese ose për të ndërmarrë veprimet lidhur me kërkesën e
subjektit të të dhënave para lidhjes së kontratës;
1.3. përpunimi është i domosdoshëm për respektimin e obligimit ligjor të cilit i nënshtrohet
kontrolluesi;
1.4. përpunimi është i domosdoshëm për mbrojtjen e interesave jetike të subjektit të të
dhënave;
1.5. përpunimi është i domosdoshëm për kryerjen e një detyre me interes publik ose në
ushtrimin e autoritetit zyrtar që i është dhënë kontrolluesit apo një pale të tretë të cilës i
zbulohen të dhënat;
1.6. përpunimi është i domosdoshëm për qëllime të interesave legjitime të ushtruara nga
kontrolluesi ose pala e tretë apo palëve të cilave u janë zbuluar të dhënat, me përjashtim të
rasteve kur interesat e tilla janë në kundërshtim me të drejtat dhe liritë themelore të
subjektit të të dhënave [36].
Bazuar në Neni 6
Përpunimi i të dhënave personale të ndjeshme
29
1. Të dhënat personale të ndjeshme mund të përpunohen vetëm në rastet në vijim:
1.1. nëse subjekti i të dhënave ka dhënë pëlqimin;
1.2. nëse përpunimi është i domosdoshëm për qëllime të realizimit të detyrimeve dhe të
drejtave specifike të kontrolluesit të të dhënave në fushën e punësimit, në pajtim me ligjet
përkatëse të cilat po ashtu ofrojnë masa mbrojtëse të përshtatshme për të drejtat e subjektit
të të dhënave;
1.3. nëse përpunimi është i domosdoshëm për mbrojtjen e interesave jetike të subjektit të të
dhënave kur subjekti i të dhënave është fizikisht ose ligjërisht i paaftë për të dhënë pëlqimin
e tij ose saj sipas nën-paragrafit 1.1 të këtij paragrafi;
1.4. nëse ato përpunohen për qëllime të veprimtarive legjitime nga institucionet, shoqatat,
asociacionet, bashkësitë fetare, sindikatat ose organizatat tjera jo-fitimprurëse me qëllime
politike, filozofike, fetare ose sindikaliste, por vetëm nëse përpunimi ka të bëjë me anëtarët
e tyre ose subjektet e të dhënave që janë në kontakt të rregullt me ato e në lidhje me
qëllimet e tilla dhe nëse ata nuk i zbulojnë të dhënat e tilla të tjerëve pa pëlqimin me shkrim
të subjektit të të dhënave;
1.5. nëse subjekti i të dhënave i ka bërë ato publike pa e kufizuar përdorimin e tyre në
mënyrë të dëshmuar ose të qartë;
1.6. nëse ato përpunohen nga punonjësit shëndetësorë ose personeli shëndetësor në pajtim
me ligjet përkatëse për qëllimet e mbrojtjes së shëndetit së shoqërisë, individëve dhe
menaxhimit ose funksionimit të shërbimeve shëndetësore;
1.7. nëse përpunimi është i nevojshëm për pohimin ose mohimin e kërkesës ligjore;
1.8. nëse ato përpunohen në pajtim me ligjin përkatës për arsye të interesit thelbësor publik
[36].
2.3.3. Agjencia Shtetërore për Mbrojtjen e të Dhënave Personale
Roli, mandati dhe përgjegjësitë e Agjencisë Shtetërore për Mbrojtjen e të Dhënave
Personale është që të sigurohet se kontrolluesit respektojnë obligimet e tyre rreth mbrojtjes
së të dhënave personale dhe se subjektet e të dhënave informohen rreth të drejtave dhe
obligimeve të tyre në pajtim me Ligjin për Mbrojtjen e të Dhënave Personale.
30
Agjencia Shtetërore për Mbrojtjen e të Dhënave Personale siguron, në mënyrë të pavarur,
zbatimin e brendshëm të dispozitave të ligjit dhe mbanë regjistrin e sistemit të dosjeve.
Agjencia e Kosovës për Produkte dhe Pajisje Medicinale (AKPPM) është Agjenci e pavarur
ekzekutive e Ministrisë së Shëndetësisë (MSH) [37]. Misioni i saj është mbrojtja e
shëndetit publik nëpërmjet garantimit të cilësisë, sigurisë dhe efikasitetit të produkteve
medicinale të plasuara në Kosovë. Është themeluar në vitin 1999 si autoritet për lejimin e
importit, donacioneve, licencimin e barnatoreve etj. kurse ekzistimi legal si Agjenci
Ekzekutive e Ministrisë së Shëndetësisë së Kosovës u bë në bazë të Udhëzimit
Administrativ 7/2000 i 23 Marsit të vitit 2000, me emërtimin ”Autoriteti për Rregullativ të
Barnave i Kosovës (ARBK). Më vonë, baza ligjore e AKPPM-së u rregullua me Ligjin nr
2003/26 i ndryshuar në vitin 2010 me Ligjin 03/L 188 për Produkte dhe Pajisje Medicinale,
dhe së fundmi i ndryshuar në vitin 2014 me Ligjin 04/L-190 për Produkte dhe Pajisje
Medicinale i cili ka hyrë në fuqi më 10 Maj të vitit 2014 [37].
2.3.4. Roli i Agjencia Shtetërore për Mbrojtjen e të Dhënave Personale
Agjencia Shtetërore për Mbrojtjen e te Dhënave, ka për obligim që të bëj kontrolla të
rregullta në institucionet që ofrojnë shërbime shëndetësore. Gjate procesit të verifikimit
secili institucion qe kontrollohet duhet te kaloj një proces duke u përgjigjur ne secilën nga
pikat e përcaktuara në formularin e agjencisë në fjale.
Në figurën më poshtë është paraqitur ballina e formularit per regjistrimin per institucionet
qe duan ti nënshtrohen kontrolleve te ASHMDHP’së.
31
Figura 2 Ballina e Formulari i Agjencise Shtetrore te Konrollit për të regjistruar Kontrolluesit.
2.4.Risku dhe menaxhimi i riskut në raport me Sistemet e Menaxhimit të Sigurisë
së Informacionit në shëndetësi
2.4.1. Menaxhimi i Riskut
Në ditët e sotme profesionistët e sigurisë së informacionit përdorin teknika të analizës së
riskut për të identifikuar nivelin e zbatueshëm te sigurisë. Siguria duhet të ofroj mbrojtje të
mjaftueshme dhe të jetë ekonomikisht e përballueshme për tu implementuar. Para hartimit
të sigurisë së informacionit për një sistem, është e rëndësishme të dijmë se cilat janë risqet,
ose në fjalë të tjera, si perceptohen risqet në organizata. Prandaj, perceptimi i riskut bëhet
çelësi për dizajnimin dhe zbatimin e mekanizmave të sigurisë në SI [41].
2.4.2. Risku
Autor të ndryshëm qe merren me sigurinë e sistemeve e përshkruajnë “Riskun” ne mënyra
te ndryshme, Douglas (1990, 1992) e shpjegon keshtu, "Risku i referohet rreziqeve të
32
jashtme si fatkeqësive natyrore dhe sjelljes kercenuese nga armiqtë”. Pergjate rrjedhës se
historisë, qytetrimi paraqiti shume lloje dhe mënyra te risqeve. (Hadden 1986). Shoqëritë
tregtare dhe aktiviteti ekonomik prezantuan atë që tani e quajmë rrezik biznesi, rrezik
sigurie, dhe rreziku i investimit në varësi të kontekstit; prandaj risku mund të nënkuptojë
gjëra të ndryshme.
Me fjalë të tjera, termi "risk" i referohet kërcënimit të humbjes së një aseti organizativ,
duke përfshirë kërcënimin e humbjes se vlerës se tij, dobësitë e tij dhe gamën e
kërcënimeve ndaj atij aseti të matur në terma të probabilitetit dhe ndikimit te caktuar që ka.
Menaxhimi i riskut të sigurisë së informacionit eshte proces me të cilin vlerësohen asetet e
një organizate, identifikohen dobësitë dhe kërcënimet si dhe vlerësohet mundësia e zbatimit
te sigurise dhe monitorimi i masave të vendosura për mbrojtjen e këtyre aseteve [41].
2.4.3. Standardet e Menaxhimit të Riskut
Standardet e menaxhimit të riskut dhe sigurisë se informacionit janë bere si një përpjekje
për të përmirësuar praktiken e menaxhimit te riskut përmes udhëzimeve të caktuara.
Standardet e menaxhimit të riskut synojnë që të ofrojnë cilësi të lartë dhe efektive përgjatë
procesit të menaxhimit të riskut.
Qëllimi prapa Standardeve dhe Udhëzimeve duhet të veprojnë si pikë referimi për
menaxhimin e riskut dhe vlerësimin e riskut dhe ta bëjnë atë të përshtatshëm për shumicën
e organizatave.
Normalisht, në shtete të caktuara, Standardet dhe Udhëzimet ndajnë një vlerësim të
përbashkët të metodologjisë së riskut, duke përfshirë themelimin e kontekstit, identifikimin
e riskut, analizën e riskut dhe vlerësimin e riskut.
33
2.4.4. Menaxhimi i Riskut sipas ISO 31000
Një ndër standardet me të njohura të menaxhimit të riskut është ISO 31000.
ISO 31000: 2018, Standard për Menaxhimin i Riskut – Ofron udhëzimet, ofron parime,
kornizën dhe një proces për menaxhimin e riskut. Mund të përdoret nga çdo organizatë
pavarësisht nga madhësia, aktiviteti apo sektori i saj.
Përdorimi i ISO 31000 mund të ndihmojë organizatat të rrisin gjasat për arritjen e
objektivave, përmirësimin e identifikimit të mundësive, dhe kërcënimeve, dhe shpërndarjen
efektive të burimeve për trajtimin e riskut.
Megjithatë, ISO 31000 nuk mund të përdoret për qëllime certifikimi, por siguron udhëzime
për programet e auditimit të brendshëm ose të jashtëm. Organizatat që e përdorin atë mund
të krahasojnë praktikat e tyre të menaxhimit të riskut me një pikë referimi të pranuar
ndërkombëtarisht, duke ofruar parime të shëndosha për menaxhim efektiv dhe qeverisje
korporatave [42].
2.4.5. Vlerësimi i riskut
Vlerësimi i riskut (Risk Assesment) është menduar si një mjet analizimi në fund të çdo
projekti. Ky nuk duhet të jetë një qëllim në vetvete, por shpesh përfundon në atë mënyrë.
Kjo është zakonisht e vërtetë në mjediset me burime të kufizuara. Në gjendje të tillë
qëndrojnë shumë organizata shëndetësore duke përfshirë edhe ato në Kosovë. Vlerësimi
dhe menaxhimi i riskut është bërë me idenë që të identifikohet se cila pjesë e kontrollës
duhet të përmirësohet, cila kontroll është efektivisht në shfrytëzim dhe çfarë kontrolle
shtesë janë të nevojshme të implementohen në organizatat shëndetësore në mënyrë që të
zvogëlojnë nivelin ekzistues të rrezikut në një nivel të pranueshëm, në mënyrë që
konfidencialitetit, integritetit dhe disponueshmëria e informacionit shëndetësorë të mos
cenohen [18].
34
Menaxhimi i Riskut në raport me të dhënat e ndjeshme shëndetësorë është tepër me rëndësi.
Në këtë studim i jepet rëndësi e veçantë çështjes së riskut, menaxhimit të riskut dhe sistemit
të informacionit në shëndetësi.
Me rritjen e së sistemit të informacionit në shëndetësi menaxhimi i riskut bëhet më sfidues,
sidomos në organizata të tilla që sistemet e informacionit të tyre i kanë shndërruar në ishuj
të izoluar dhe shumë të vështira për auditim [12]. Vlerësimi i riskut në shëndetësi shpesh
paraqet pyetjet rreth mbrojtjes së informacionit, rreth pronarit dhe personelit përgjegjës të
menaxhimit të sistemeve të informacionit. Menaxhimi sa më efektiv i riskut duhet të
sigurojë përgjegjësi në përhapjen e sigurisë së informacionit me autoritet, në mënyrë të tillë
që të ndihmojë procesin e vendimmarrjes për menaxhimin e riskut [11].
2.4.6. Trajtimi i riskut
Emërtimi “trajtimi i riskut” nënkupton aktivitetet për uljen e riskut në nivel të pranueshëm
(duke e pasur parasysh që nuk do të kemi burime të mjaftueshme në dispozicion për të
lejuar por edhe për të provuar ta mënjanojmë tërësisht riskun). Në veçanti trajtimi i riskut
është i përshtatshëm për organizatat shëndetësore, ku sjellë në vetë konceptin “trajtim,
transfer ose tolerancë” në lidhje me risqet [31].
Kjo reflekton në ngopjen e organizatës nga risqet e ndryshme dhe mund të përdoret për të
siguruar përmirësimin e sigurisë së informacionit që është e arsyetuar dhe përfaqëson
dukshëm përdorim më të mirë të burime të vogla financiare.
35
2.4.7. Kriteret e pranimit të riskut
Organizatat shëndetësore kanë nevojë të definojnë dhe të dokumentojnë kriteret e tyre për
provueshmëri të rrezikut. Faktorët që duhen të merren parasysh janë të shumta, por ato
duhet të merren në konsideratë duke përfshirë edhe:
a) asektorët shëndetësorë, standardet industriale ose organizative
b) klinikat ose prioritetet tjera
c) kulturat shëndetësore
d) reagimet që i nënshtrohet kujdesit
e) koherencën e teknologjisë informative
f) çmimin
g) efektivitetin
h) llojet e mbrojtjeve
i) numrin e kërcënimeve të regjistruara
j) nivelin e rrezikut me të cilin kontrollet bëhen të justifikuara
k) nivelin e rrezikut që të drejton drejt rekomandimeve që janë bërë
l) alternativat funksionale
m) përfitimet shtesë
Duke i marrë në konsideratë të gjithë faktorët dhe rezultatin e nxjerrë nga raporti i
vlerësimit të riskut, organizatat shëndetësore mund te arsyetojnë kërkesën e tyre për
përfitimin e fondeve shtesë në emër të mbrojtjes së sistemit te informacionit.
Një vendim i marrë prej ISMF (Information Security Management Forum) u rekomandon të
gjithë akterve të përfshirë në procesin Sistemeve të Menaxhimit të Sigurisë së
Informacionit që raportet e nxjerra nga vlerësimi i riskut të dokumentohen në dhe sipas
mundësisë dhe shkalles se ndjeshmërisë që përfaqëson organizata këto raporte të jenë
publike. Kjo bën që organizatat shëndetësore duhet të dokumentojnë rreziqet e paraqitura,
36
në mënyrë që të dihet gjendja reale e sigurisë së informacionit në secilin sektor dhe
institucion [31].
2.4.8. Planifikimi i përmirësimit të sigurisë
Autorizimi për planin e përmirësimit të sigurisë duhet të merret në emër të (Information
Security Management Framework) Kornizës për Menaxhimin e Sigurisë së Informacionit,
nga zyrtari përgjegjës i organizatës së informacionit të sigurisë, zyrtari për mbrojtjen e të
dhënave, apo menaxheri i vlerësimit të rrezikut, apo nga një epror me përgjegjësi të
ngjashme brenda organizatës.
Këto plane duhet të jenë në dispozicion për stafin klinik dhe të tjetër, pasi ato zakonisht nuk
janë një dokument konfidencial. Në të vërtetë, ato shpesh mund të jenë të dobishme në
demonstrimin e progresit dhe përmirësimin e procesit.
Planet e tilla do të jenë më efektive në minimizimin e ndërprerjeve të operacioneve në qoftë
se ato do të integrohen në përmirësimin e sigurisë së informacionit me ndryshimet e
planifikuara në pajisjet e TI’së dhe ofrimin e shërbimeve të kujdesit shëndetësor. Ato
gjithashtu duhet të njohin periudha të caktuara kohore të aktivitetit të pazakontë
shëndetësore, të tilla si ardhja e një numri të madh të praktikantëve të ri.
2.4.9. Deklarata e zbatimit
Zbatimi mund të shihet si një përmbledhje ekzekutive e gjendjes së sigurisë së
informacionit në pasqyrën e organizimit të institucionit, interpretimit të kërkesave të
sigurisë dhe e strategjisë së saj për zbatimin e zgjidhjeve të problemeve të sigurisë së
informacionit.
37
Zbatimi në praktik nënkupton rishikimin dhe evaluimin e riskut të nxjerrë bazuar në
“kornizën për menaxhimin e sistemeve të informacionit” dhe përmirësimin e gjendjes
ekzistuese. Ky dokument duhet të sigurojë funksionet klinike dhe administrimin e duhur të
informacionit shëndetësorë, dhe si i tillë ky dokument duhet të shërbej si një mjet me vlerë
administrative nga i cili nxjerrën mënyra të duhura për të paraqitur fakte dhe dëshmi në
mbështetje të një auditimi, sigurimin e klinikave dhe inspektime tjera të rregullta [28].
2.4.10. Risku dhe Pasojat në (mos)administrimin e të dhënave shëndetësore
Spitalet dhe klinikat mjekësore në përgjithësi në vende të ndryshme të botës kane qenë
vazhdimisht një target favorit për hakerët për ti vjedhur të dhënat privatë, për vjedhje
identiteti dhe shfrytëzimin/keqpërdorimin e tyre.
Informacionet shëndetësore të pacientëve vazhdojnë të jene të rrezikuara kur ato ndodhen
në një sistem informacioni të pa mbrojtur. Gjersa volumi i këtyre të dhënave rritët
mundësia që demi të jetë i përmasave më të mëdha po ashtu është i madh. Për të
komplikuar edhe me shumë këtë situatë, institucionet shëndetësore shpesh herë nuk i
marrin seriozisht këto kërcënime [2].
2.5. Faktorët e rrezikut që ndikojnë në cenimin e Sigurisë së Sistemeve të
Informacionit Shëndetësorë
Në vijim janë të përshkruar disa faktorë që ndikojnë në cenushmërinë e konfidencialitetit,
integritetit dhe të disponueshmërisë të informacionit shëndetësorë:
Vjedhja
Sulmet e qëllimshme ndaj sistemeve dhe individëve të cilët kanë qasje në të dhëna të
ndjeshme mund të shkaktojnë më shumë dëm sesa ekspozimi i paqëllimtë i të dhënave. Një
38
në katër nga të gjitha shkeljet e të dhënave të raportuara nga organizatat shëndetësorë në
vende të ndryshme të botës janë rezultat i vjedhjes. Ish-punonjësit, njerëzit që kanë një
urrejtje ndaj organizatës ose kriminelë që kërkojnë të bëjnë para nga shitja e të dhënave do
të kërkojnë të dhënat e ruajtura në pajisjet elektronike. Të brendshmit (personat që kanë
punuar apo punojnë për institucionin) janë njëri nga shkelësit dhe kërcënuesit për të dhënat
personale shëndetësore.
Humbja
Ekspozimi i paqëllimtë për shkak të humbjes së pajisjeve elektronike është një tjetër
mënyrë që të dhënat janë të ekspozuara. Kasetat e arkivimit (backup) ose dokumente të
ndryshme ne letër ndodhë qe të jenë të lënë në vend të gabuar, ose laptop të harruar në
aeroporte ose në taksi. Këto janë mënyra të zakonshme që të dhënat mund të përfundojnë
në duart e njerëzve të paautorizuar dhe dashakeq [3].
Mospërfillja
Kur kompjuterët e vjetër ose hard disqet shitën ose riciklohen ose hedhen në mbeturina,
informacioni që përmbajnë ato duhet të fshihet, por nëse nuk fshihet siç duhet, këto të
dhëna mund të merren nga persona dashakeq me vetëm disa softuerë që mund të
shkarkohen falas nga interneti. Përveç kësaj, duke lënë të dhëna në hard disqe shumicën e
rasteve këto të dhëna nuk janë të enkriptuara në ndonjë mënyrë që ta pamundësojnë qasjen
e personave të pa autorizuar në sistem. E njëjta gjë vlen edhe për dokumentet në letër të
cilat duhet të hidhen duke përdorur prerës letre (shredder) paraprakisht apo të digjen. Në
vend të kësaj shume individë dhe institucione të kujdesit mjekësore i hedhin këto
dokumente të rëndësishme në mbeturina, gjë që bën qe këto dokumente lehtë të nxjerrën
nga vendet ku hidhen dhe të keqpërdoren në atë masë sa të shkaktojnë pasoja kërcënuese
[3].
39
Praktika të pasigurta
Mbledhja, ruajtja, dërgimi, enkriptimi, gjetja dhe heqja e të dhënave mund të kenë të gjitha
implikimet për sigurinë e informacionit. Ata që merren me të dhëna të ndjeshme mund të
kuptojnë që po bëjnë një ose më shumë nga këto aktivitete prandaj duhet të jenë shumë të
kujdesshëm.
Nëse nuk janë marrë masat e duhura të sigurisë, rezultati i ekspozimit të paqëndrueshëm të
të dhënave mund të jetë i rrezikshëm. Për shembull, shkeljet e të dhënave të ndjeshme të
ruajtura në dosje të arritshme lehtë nëpërmjet softuerëve “Peer to Peer” si Utorrent apo
BitTorrent kane ndodhur në shume raste, ne klinika dhe universitete të ndryshme. Nga
momenti kur këto dokumente ngarkohen (upload) në internet përmes këtyre softuerëve ato
bëhen lehtë të qasshme për tërë botën [3].
Shkatërrimi i të dhënave
Rreziku me të dhënat shëndetësore nuk qëndron vetëm në faktin se këto të dhëna mund të
vidhen apo të shpërndahen në mënyre të paautorizuar. Rreziku i madh ndodh edhe me
manipulimin potencial të të dhënave personale. Regjistrat mund të ndryshohen për të bërë
një punonjës të këtij sektori të duket më pak i besueshëm ose ndoshta edhe të zhdukë emra
dhe dosje të ndryshme nga sistemi i të dhënave.
Që nga Shtatori i 2013 kur është raportuar për sulmin kompjuterik përmes infektimit me të
ashtuquajturin “Crypto Locker ransomware attack” bazat e të dhënave mjekësore dhe
sistemet e informacionit në shëndetësi kanë qenë cak i vazhdueshëm i sulmeve kibernetike
[15].
Në raste të sulmit me “CryptoLocker ransomware” i tërë dokumentacioni elektronik
përjeton një lloj shkatërrimi duke u enkriptuar në kode të shifruara të cilat bllokohen
përmes çelësave enkriptues të caktuar të cilët i disponojnë hakerët e ndryshëm. Për të
dekriptuar këto të dhëna duhet të paguhen mjetë të mëdha financiare dhe ato të deponohen
40
në llogari të dyshimta elektronike përmes blerjes dhe shkëmbimit me valuta elektronike si
“Bitcoin” dhe të tjera. Në raste të tilla kur sistemi i informacionit përjeton një infektim të
tillë këto të dhëna enkriptohen dhe bëhen totalisht të pa aksesueshme [16].
2.5.1. Digjitalizimi dhe rreziku në rritje – faktor rreziku
Përderisa implementimi i sistemeve elektronike të të dhënave shëndetësore premton një
numër të konsiderueshëm përfitimesh, duke përfshirë efikasitet në shërbime, kujdes më të
mirë dhe ulje të shpenzimeve në kujdesin shëndetësor, në anën tjetër ky sistem i përpunimit
të të dhënave mund të ketë pasoja serioze nëse nuk ka një dizajn dhe mbrojtje të duhur të
sistemit të informacionit që ruan integritetin e informacionit. Këto pasoja të padëshiruara
gjithashtu mund të rrisin mashtrimin dhe abuzimin dhe mund të kenë implikime të rënda
ligjore.
Të gjitha mënyrat e vjedhjes të cekura më lartë ne ditët e sotshme janë të arritshme përmes
sulmeve që ndodhin ne një sistem informacioni ku këto të dhëna janë të ruajtura.
Përveç rrezikut të vjedhjes së këtyre të dhënave përmes qasjes në to nga jashtë, mundësia
për të vjedhur më shumë të dhëna në kohe më të shkurtër është e lartë në krahasim me
vjedhjet klasike të dokumenteve në letër [26].
2.5.2. Rreziqet të tjera teknike në Sistemin e Informacionit në Shëndetësi
Kontraktorët dhe Nënkontraktorët
Bazuar në “Health Information Portability and Accountability Act” (HIPAA). Disa nga
shkeljet më të mëdha me të dhënat shëndetësore të raportuara nga Departamenti i
Shëndetësisë dhe Shërbimeve Njerëzore në SHBA kanë përfshirë kontraktorët dhe
nënkontraktorët - ose "bashkëpunëtorët e biznesit”. Që nga viti 2009, janë raportuar mbi
41
500 raste kur të dhënat shëndetësore të pacientëve janë keqpërdorë. 26% e këtyre shkeljeve
janë shkaktuar nga kontraktorët, nënkontraktohet dhe bashkëpunëtorët tjerë. Duke njohur
ketë rrezik, organizata të ndryshme kanë filluar implementimin e detajuar të sigurisë dhe
politikave që kanë të bëjnë me kontraktorët dhe palët e treta që kanë të bëjnë me sistemin e
informacionit shëndetësorë [27].
2.5.3. Rreziku nga Viruset Kompjuterik
Viteve të fundit sulmet kompjuterike kanë shënuar një rritje të pa imagjinuar. Infektimet me
virus të rrezikshëm brenda sistemeve kompjuterike të qendrave shëndetësore janë një gjë që
po ndodh shpesh dhe pasojat e sulmeve të tilla janë të mëdha [29].
Gjatë vitit 2006 njëra ndër qendrat me rrjetin më të mëdha të kujdesit shëndetësorë në
qytetin e Washington D.C., “MedStar” ka përjetuar një sulm të fuqishëm kibernetik duke
infektuar shumë kompjuterë dhe një pjesë të sistemit dhe bazën e të dhënave shëndetësorë.
Ky sulm ka nxitur menaxhmentin e kësaj qendre që të ndalin shërbimet kompjuterike dhe
qasjen në sistem të informacionit, duke vonuar qasjen në shërbimet spitalore për afro
250,000 pacientë dhe duke paralizuar operimin normal për afro 30,000 punonjës të
kompanisë [9].
Ransomware
Njëra nder mënyrat me të sofistikuara të sulmeve po realizohet me shume sukses përmes të
ashtuquajturit “Ransomware”. Disa nga problemet qe mund të shkaktoje Ransomware
mund të jenë vonesa ne realizimin e kujdesit ndaj pacientëve, të fshijë të dhënat, të
enkriptojë të dhënat tuaja, të ndikojë produktivitetin e punonjësve, etj...
Në po të njëjtin vit, qendra mjekësore “Hollywood Presbyterian Medical Centër” në LoS
Angeles është infektuar pikërisht nga virusi Ransomware. Ky virus ishte instaluar me
42
sukses në qendrën e të dhënave duke enkriptuar një pjese të konsiderueshme të
dokumenteve shëndetësorë elektronike brenda sistemit të informacionit shëndetësorë të
kësaj qendre. Menaxhmenti i kësaj qendre spitalore u detyruan qe të paguajnë shumën prej
17,000 $ në vlerë të kriptovalutës Bitcoin për të dekriptuar të dhënat në sistem [9].
Infektimet me ransomware dhe pagesa ne shkëmbim të kriptovalutave po raportohen çdo
ditë nga vende të ndryshme të botës. Pasojat nga infektimi me Ransomware pritën të jenë
edhe më të mëdha në të ardhmen e afërt [8].
2.5.4. Rastet me Vjedhjet e Informacionit Shëndetësore dhe Pasojat
Që nga viti 2009, ligji federal në SHBA ka bërë që kujdestaret e shëndetit të detyrohen të
raportojnë pranë Departamentit të Shëndetit dhe Shërbimeve Njerëzore dhe tek mediat
kombëtarë për të gjitha thyerjet e sistemeve dhe vjedhjet qe afektojnë informacionet e
pacientëve. Vetëm për 4 vitet e para nga koha kur ka hyre ne fuqi ky ligj janë raportuar më
shumë se 500 raste ku ka janë vjedhur dhe keqpërdor informacionet shëndetësore të
pacientëve.
SHBA
Institucioni
Shëndetësorë
Shteti Numri i
Pacientëve
të Afektuar
Lloji i Dëmit Data
TRICARE Virginia 4,901,432 Humbje e kasetave
arkivuese 13 Shtator 2011
Health Net, Inc. California 1,900,000 I panjohur 21 Janar 2011
43
North Bronx
Healthcare Network New York 1,700,000
Vjedhje e të
dhënave elektronike
mjekësorë
23 Dhjetor 2010
AvMed, Inc. Florida 1,220,000 Vjedhje e laptopit 10 Dhjetor 2009
The Nemours
Foundation Florida 1,055,489
Humbje e kasetave
arkivuese 10 Gusht 2011
Blue Cross Blue
Shield of Tënnessee Tennessee 1,023,209
Vjedhje e Hard
diskut 2 Tetor 2009
Suttër Medical
Foundation California 943,434
Vjedhje e
kompjuterit 15 Tetor 2011
South Shore Hospital Massachusetts 800,000 Vjedhje e Hard
diskut 26 Shkurt 2010
Utah Department of
Health Utah 780,000 Hakuar 10 Mars 2012
Eisenhower Medical
Centër California 514,330
Vjedhje e
kompjuterit 11 Mars 2011
Tabela 1 Rastet e Vjedhjeve si pasoj e sulmeve në Sistemin e Informacionit Shëndetësorë në SHBA [23].
Mbretëria e Bashkuar
Në Mars të 2017, Zyra e Komisionarit për Informacion të Britanisë së Madhe (ICO)
publikoi një njoftim për dënim me gjobë për një kompani privatë të kujdesit shëndetësor.
HCA Internacional u dënua me 200,000 paund britanik për dështimin e mbrojtjes së të
dhënave të ndjeshme. Në këtë rast, ishin në pyetje disa çështje të pajtueshmërisë së
mbrojtjes së të dhënave - ku kompania HCA kishte angazhuar një nënkontraktor me bazë
në Indi për përpunimin e të dhënave personale të ndjeshme pa vendosur një marrëveshje që
plotësonte kërkesat e Ligjit për Mbrojtjen e të Dhënave të vitit 1998 (DPA) dhe pa
ndërmarrë hapa për të siguruar një nivel adekuat mbrojtjeje për të dhënat e transferuara
jashtë BE-së. Një nga spitalet e HCA kishte regjistruar konsultime të mjekëve me pacientët
që diskutonin çështje shumë të ndjeshme dhe personale lidhur me trajtimin e IVF’së dhe më
44
pas dërguan audio regjistrimet me e-mail në formë të pakontrolluar tek nënkontraktori në
Indi. Por HCA nuk i kishte kërkuar nënkontraktorit indian të merrte masat e duhura të
sigurisë për të mbrojtur regjistrimet audio të mbajtura nga nënkontraktori në një server FTP
të pasiguruar dhe të pa të pambrojtur, pa kontrolle të kufizuara të qasjes. Rrjedhimisht, një
pacient ka qenë në gjendje të gjejë të dhënat e tij të ndjeshme përmes realizimit të një
kërkimi të thjeshtë në Internet [22], [24].
45
3. DEFINIMI I PROBLEMIT
Sistemi i Informacionit shëndetësorë me të dhënat elektronike të pacientit ka një rol kyç në
procese të ndryshme shoqërore. Çdo ditë një numër i madh pacientësh janë në ndërveprim
me mjekët, infermierët, farmacistët, dhe punonjës të tjerë të kujdesit shëndetësor duke
shkëmbyer komunikime të ndryshme që kanë të bëjnë me shëndetin dhe jetën e pacientëve.
Të gjithë këto komunikime realizohen ndërmjet aktorëve të ndryshëm ose përdoruesve të
sistemit të kujdesin shëndetësor. Prandaj, duhet të ketë një strukturë dhe mekanizëm të
përshtatshme dhe mirë të organizuar për ruajtje, menaxhim efektiv dhe sigurimin e
informacionit të tillë kundrejt kërcënimeve të ndryshme si nga brenda, po ashtu nga jashtë
organizatës shëndetësore.
Zhvillimi i Teknologjisë së Informacionit dhe Komunikimit qartazi ka kontribuar në
sistemin e kujdesit shëndetësor, përderisa në të njëjtën kohë kërcënimet ndaj informacionit
elektronik po rritën.
Pa dyshim duhet merret në konsideratë se menaxhimi efektiv i një sistemi të tillë është një
çështje tjetër sfiduese sa i përket kërcënimeve të sigurisë. Kryesisht problemet e
përgjithshme të sigurisë së Informacionit shëndetësore ndërlidhen me aspektin teknik dhe
administrativ të sigurisë. Përderisa niveli administrativ ka më pak pjesëmarrje në krahasim
me sigurinë teknike dhe sigurimin e strategjive, politikave, etj..
Siguria teknike në kujdesin shëndetësor ka një rol jetik. Problemet themelore të sigurisë së
informacionit në të dyja fushat e lartpërmendura mund të jenë kërcënime, rreziqe, krime
dhe çështje të tjera që kanë të bëjnë me kontrollin e qasjes [25].
Për shkak se informacioni i ndjeshëm i pacientëve kalon në një proces të transformimit që
nga momenti i regjistrimit fillestar deri në paraqitje të rezultateve kjo bën që informacioni
të kaloj nëpër disa faza dhe procese dhe si i tillë mund të rrezikohet që të keqpërdoret.
46
3.1.Pyetjet Hulumtuese
Për të adresuar problemin e identifikuar janë parashtruar tre pyetje themelore hulumtuese:
1. Bazuar në praktikat ndërkombëtare, cilat janë problemet në menaxhimin sigurisë së
Informacionit shëndetësorë?
Kjo pyetje kërkimore do të na çojë në hetimin e dobësive të ndryshme që mund të gjenden
në sigurinë e sistemit të informacionit shëndetësorë. Ne do të identifikojmë dhe shqyrtojmë
mangësitë dhe elementet tjera qe rrezikojnë sigurinë e informacionit (konfidencialitetin,
integritetin dhe disponushmerine). Kjo gjithashtu do te na detyrojë që të identifikojmë
mënyrën dhe burimet e duhura për të mbrojtur sistemin në fjalë, në mënyrë që të
përmirësohet siguria e informacionit shëndetësorë.
2. Si mund që organizatat shëndetësore të përmirësojnë mbrojtjen e të dhënave
shëndetësorë duke marrë parasysh rekomandimet dhe kornizat që ofrohen në këtë
punim?
Mbrojtja e Informacionit shëndetësorë, do të thotë mbrojtje e sistemit të informacionit kur
ruhen këto te dhëna. Duke marre parasysh që në Republikën e Kosovës nuk ka një ligj të
caktuar që përcakton mënyrën e mbrojtjes se Sistemit të Informacionit Shëndetësorë
atëherë përgjigja në këtë pyetje mund te jetë rruga e duhur për trajtimin e kësaj qështje.
3. Cilat janë standardet ndërkombëtare për mbrojtjen e të dhënave personale?
Ekzistojnë standarde dhe praktika të ndryshme për trajtimin dhe menaxhimin e sigurisë
së sistemeve ku ruhen të dhënave të ndjeshme. Në këtë punim janë dhënë rekomandime
për futjen ne funksionin të praktikave më të mira dhe të realizueshme.
47
3.2.Përjashtimet nga qëllimi i studimit
Fushat e sigurisë sё tё dhënave të paraqitura në vijim janë jashtë objektivave të këtij
studimi:
1. Metodologjitë dhe testet statistikore për ruajtjen e informacionit personal
shëndetësore.
2. Cilësia e shërbimit administrativ në raport me pacientët.
3. Cilësia e të dhënave (në dallim nga integriteti i të dhënave).
48
4. METODOLOGJIA
Metodologjia e Hulumtimit
Figura 3 Procesi i Zhvillimit të metodologjisë se hulumtimit.
Procesimi i të dhënave private të ndjeshme siç janë të dhënat personale të pacientëve
gjithmonë shihen si rrezik. Faktorët e rrezikut janë të shumtë, duke filluar nga mënyra e
administrimit të të dhënave, degradimet e sistemeve, sulmet nga jashtë, etj.
Metodat e hulumtimit shkencor përcaktojnë mënyrën e realizimit të një punimi shkencor.
Është e qartë që në përbërje ekzistojnë dy metoda kryesore të hulumtimit, metoda sasiore
apo kuantitative dhe metoda cilësore apo kualitative, pos këtyre metodave kemi metodat
përshkruese, metodat analizuese, metodat krahasuese si dhe metodat ilustruese.
Në këtë punim janë aplikuar disa nga metodat e cekura më lartë, por fokusi kryesore është
një model i metodës krahasuese kualitative. Hulumtimi i përdorur në këtë temë, bën një
përshkrim të gjerë të sistemit të informacionit në përgjithësi, ndërlidhjen e tij me të dhënat
DIZAJNIMI I HULUMTIMIT
MBLEDHJA E TE DHENAVE
ANALIZIMI I TE DHENAVE
EVALUIMI-VLERESIMI
49
personale, dhe në veçanti përpunimin e të dhënave personale shëndetësore brenda këtij
sistemi. Analizimi i rreziqeve të mundshme që kërcënojnë këtë sistem, mënyra e mbylljes
se “vrimave të zeza” që konsiderohen si pike e dobët brenda këtij sistemi si dhe krahasimi
me sistemet ideale të informacionit dhe mbrojtja e tyre janë pjesa themelore e këtij punimi.
Nder të tjera, ne metodën hulumtuese, është shtjelluar edhe zgjidhja për të realizuar një
sistem me të siguritë të informacionit në shëndetësi duke realizuar objektivat e propozuara
në këtë punim.
4.1.Metodat e Hulumtimit
Ne zhvillimin e këtij punimi është përdorur metoda Kualitative e Hulumtimit që për bazë ka
krahasimin e sistemeve. Ne këtë punim janë marre shembuj tipik te kërcënimeve dhe janë
përshkruar procese që mund të përdoren për të përmirësuar sigurinë e sistemeve të
informacionit në shëndetësi. Tema e punimit dhe pyetjet hulumtuese qe janë ngritur ne këtë
punim janë trajtuar përmes përshkrimit dhe analizës kontekstuale. Për të arritur rezultatet e
kërkuara, në këtë punim janë analizuar: metoda krahasuese, metoda përshkruese, metoda
analitike dhe Metoda e observimit me raste të veçanta.
4.1.1. Metoda Krahasuese
Metoda e hulumtimit krahasues mund te shpjegohet si një deklarate e çështjeve ne gjendjen
që janë përderisa kërkimi mbi këto çështje nuk ka kontroll mbi këto variabla. Metoda e
hulumtimit krahasues mund te karakterizohet si një tentim për të përcaktuar, përshkruar apo
identifikuar një çështje përderisa kërkimi analitik tenton te realizohet mbi atë çështje, duke
analizuar gjendjen ekzistuese dhe mënyrën se si ka ardhur deri ne këtë gjendje [34].
50
4.1.2. Metoda e Përshkruese
Metoda e hulumtimit përshkrues ka për qellim qe te vendos drite mbi çështjet dhe
problemet e ndryshme përmes procesit te mbledhjes se te dhënave qe mundëson një
përshkrim me te kompletuar të situatës ne krahasim me gjendjen paraprake [35].
4.1.3. Metoda analitike
Metoda analitike është një nga metodat kryesore që është përdor në këtë punim. Metoda
analizuese shërbeu së pari për të kryer një analizë të thellë të ligjeve që rregullojnë
mbrojtjen e të dhënave personale, të faktorëve që ndikojnë drejtpërdrejt në pengimin e
ushtrimit të kësaj të drejtë. Së dyti, në analizën e akteve ndërkombëtare për mbrojtjen e të
dhënave personale, ku vëmendje e veçantë i është kushtuar legjislacionit të Këshillit të
Evropës dhe atij të Bashkimit Evropian. Analiza e akteve ligjore ndërkombëtare dhe
kombëtare ka si qëllim nxjerrjen e përfundimeve për situatën aktuale të mbrojtjes së të
dhënave. Kjo metodë shërbeu për të analizuar konceptet ekzistuese në fushën e mbrojtjes së
të dhënave personale, si dhe konceptet e të drejtat e reja që shoqërojnë mbrojtjen e të
dhënave për shkak të evolucionit teknologjik.
Metoda krahasuese, të përdorësh metodën krahasuese në funksion të realizimit të një
punimi shkencor, ka si qëllim nxjerrjen në pah të ngjashmërive dhe ndryshimeve midis
fenomeneve të ndryshme. Kjo metodë, në këtë punim, i shërben hipotezës kryesore të
kërkimit shkencor. Nëpërmjet aplikimit të metodës krahasuese kemi evidentuar mangësitë,
ngjashmëritë dhe diferencat në legjislacionin për mbrojtjen e të dhënave personale në
rrafshin ndërkombëtar, rajonal dhe kombëtar.
51
4.1.4. Metoda e observimit me raste të veçanta
Metoda e ilustrimit është e shtrirë në një pjesë të këtij punimi, pasi janë marrë në analizë
raste të praktikës së gjendjes aktuale, për të arritur në konkluzione për mënyrën se si duhet
të ruhen të dhënat personale shëndetësore.
52
5. ANALIZA E REZULTATEVE DHE REKOMANDIMET
PRAKTIKE
5.1.Qasja e propozuar politiko-rregullative
Propozim plani strategjik-praktik për të përmirësuar sigurinë e informacionit
shëndetësorë në Kosovë përmes menaxhimit të riskut
Qëllimi i Sistemit të Menaxhimit të Sigurisë së Informacionit
Figura 4 Qëllimi i Sistemit të Menaxhimit të Sigurisë së Informacionit.
Për të realizuar një plan veprimi në mënyre që të përmirësohet siguria e informacionit
shëndetësorë duhet që në periudhe afatmesme kohore të realizohen objektivat e poshtë
cekura:
Objektiva 1: Qeveria e Kosovës duhet të krijojë infrastrukturën ligjore, infrastrukturën
organizative, infrastrukturën e burimeve njerëzore dhe infrastrukturën e burimeve
ekonomike për të obliguar të gjithë kujdestaret e shëndetit publik (organizatat shëndetësore
në sektorin publik dhe privat) që të zbatojnë në përpikëri rregullat e caktuara.
Objektiva 2: Të zhvillohen më tutje proceset dhe metodologjitë dhe sistemet elektronike të
informacionit për grumbullim, deponim dhe analizimit e të dhënave, dhe krijimin e
infrastrukturës së teknologjisë informative.
53
Të angazhohen ekspert të kësaj lëmie që ndihmojnë në trajnimin dhe udhëzimin e
përdorimit të sistemit elektronik të informacionit dhe mënyrën e mbrojtjes se tij.
Objektiva 3: Të bëhet integrimi i plotë i sektorit publik dhe atij privat në sistemin
elektronik të ruajtjes së të dhënave.
Rrjetëzimi i plotë i institucioneve shëndetësore publike në një sistem të centralizuar.
Integrimi i plotë i sektorit privat në sistemin elektronik të ruajtjes së të dhënave.
Ndërlidhja e sistemeve te informacionit të sektorit privat me atë publik. Raportimi dhe
ndërlidhja me institucionet përgjegjëse si Ministria e Shëndetësisë.
Objektiva 4: Të përcaktohet me ligj pronësia e Informacionit Shëndetësore. Të merren
parasysh udhëzimet e dhëna në kornizën për mbrojtjen e të dhënave personale (The General
Data Protection Regulation (GDPR) (Regulation (EU) 2016/679) të hartuara dhe të
aprovuara nga Parlamenti Evropian e që ka hyrë në fuqi nga 25 Maji 2018. Për më shumë
shiko shtojcën B.
Të përcaktohet me ligj në mënyrë të detajuar ndëshkimet për institucionet apo individët e
kujdesit shëndetësorë që nuk i zbatojnë këto rregulla. Të përcaktohet me ligj ndëshkimi për
ata që tentojnë të vjedhin, hakojnë apo në çfarëdo mënyre tjetër tentojnë të futën në
sistemin apo bazën e të dhënave ku këto informacione janë të ruajtura.
Objektiva 5: Institucionet e sapo krijuara dhe ato ekzistuese kujdesit shenjtërorë të
obligohen qe të ndërtojnë dhe implementojnë një model unik për Sistemit të Menaxhimit të
Sigurisë së Informacionit (SMSI) apo ndryshe njohur ndërkombëtarisht si “Information
Security Management System (ISMS).
Objektiva 6: Institucionet shëndetësorë që ofrojnë shërbime për pacient, ato ekzistuese dhe
të sapo krijuara që para se të pajisen me “license pune” nga ministria, të obligohen të
kalojnë një lloj auditimi shtetërorë në aspektin e sigurisë, duke u siguruar që në përpikëri
kanë zbatuar pikat e kërkuara në modelin e SMSI. Ndër të tjera, këto institucione duhet
fillimisht të certifikohen në aspektin e sigurisë përpara se të marrin leje për të
54
filluar/vazhduar veprimtarinë e tyre. Ndërtimi i një SMSI ideal dhe një evaluim i tillë për të
plotësuar standardet e kërkuara të sigurisë së të dhënave shëndetësore mund të rezultojë me
certifikim të institucioneve me standardet ndërkombëtare si ISO27001 apo HIPAA [14].
5.1.1. Standardet e ndryshme për sigurinë e Sistemeve te Informacionit
ISO 27000
HIPAA
GDPR
SOC2
HITRUST
Te gjithë standardet e cekura me larte kane për synim rregullimin e politikave, procedurave
ligjore dhe teknike për të krijuar një ambient të sigurt për sistemin e informacionit dhe lloje
te ndryshme të të dhënave që ruhen në këto sisteme.
5.1.2. ISO Standardi 27000
Për dallim nga standardet tjera që janë të aplikueshme vetëm në shtete të caktuara apo
organizata të caktuara, standardi ISO 27000 është një standard ndërkombëtarisht i njohur.
ISO 27000 përbëhet nga praktikat me te mira dhe si baze për aplikim ka Sistemin e
Menaxhimit te Sigurisë se Sistemit te njohur si SMSI (ISMS).
Përderisa standardet tjera janë te përbëra nga parime dhe kritere, ISO27000 ka për baze
strukturën e kornizës për sigurinë e Informacionit [39].
Standardi ISO është një standard që pëson ndryshime dhe përditësohet për çdo disa vite. Ky
standard ndryshon kritere bazuar në rrethanat aktuale, trendët e kohës, dhe kërcënimet
55
globale. Dy versionet e fundit te standardit te familjes ISO 27000 kanë qene ISO
27001:2005 dhe ISO 27001:2013.
Standardi i vjetër (ISO / IEC 27001: 2005) kishte 133 kontrolle të përcaktuara në standard,
ndërsa versioni i ri standardit (ISO / IEC 27001: 2013) ka 114 kontrolle të përcaktuara në
standard, nga të cilat 11kritere janë kontrollet te reja qe janë përfshirë. Gjithashtu sipas
ISO-s, organizatat kanë lirinë e zbatimit të kontrolleve nga burime të tjera dhe mund të
përdorin këtë shtojcë si një referencë për kontrollet e zbatuara nëse ato te fundit nuk
ndikojnë në një vlerësim te keq te riskut [37].
5.1.3. Dallimi mes ISO 27001 dhe 27002
Seria ISO 27000 e standardeve është një përmbledhje e standardeve ndërkombëtare që
lidhen me sigurinë e informacionit. Dallimi është se standardi ISO 27001 ka një fokus
organizativ dhe kërkesat e detajeve ndaj të cilave mund të auditohet Sistemi i Menaxhimit
të Sigurisë së Informacionit (SMSI) të një organizate.
ISO 27002 nga ana tjetër është më i fokusuar tek individi dhe siguron një kod praktik për
përdorim nga individët brenda një organizate. Nëse i krahasojmë këto të dyja, do të shohim
se ato janë të strukturuar në mënyrë të ngjashme dhe që ato i përcjellin njëri-tjetrin. Dallimi
është në nivelin e detajuar, ISO 27002 shpjegon një listë kontrollesh me kërkesa te
zgjeruara, ndërsa ISO 27001 i kushton vetëm një fjali çdo kontrolli.
ISO 27002 ofron rekomandimet më të mira praktike për menaxhimin e sigurisë së
informacionit përmes ndërtimit të Sistemeve të Menaxhimit të Sigurisë së Informacionit
(SMSI). Ndërsa ISO 27001 përcakton kërkesat e auditimit.
Nëse institucionet, organizatat, bizneset duan te certifikohen me standardin ISO për të
dëshmuar sigurinë e informacionit ne sistemin e tyre atëherë ato duhet plotësojnë kushtet e
përcaktuara sipas këtyre standardeve. Ne raste kur synohet certifikimi, atëherë është
certifikimi me ISO 27001 qe jepet.
56
5.2.Mbrojtja e Informacionit Shëndetësorë përmes ndërtimit të Sistemit të
Menaxhimit të Sigurisë së Informacionit (SMSI)
5.2.1. Çfarë është SMSI?
Një SMSI apo njohur ndërkombëtarisht si ISMS përbëhet nga politikat, procedurat,
udhëzimet, burimet dhe aktivitetet e menaxhuara kolektivisht nga një organizatë, me qellim
të mbrojtjes së aseteve të saj. Asetet në fjalë janë informacionet e ruajtura ne sistem të
informacionit. Një SMSI është një qasje sistematike për krijimin, zbatimin, operimin,
monitorimin, rishikimin, ruajtjen dhe përmirësimin e sigurisë së informacionit të një
organizate për të arritur objektivat e biznesit. Ai bazohet në një vlerësim të riskut dhe në
nivelet e pranimit të riskut të organizatës, të dizajnuara për të trajtuar dhe menaxhuar në
mënyrë efektive risqet brenda sistemit te informacionit ne organizate. Duke analizuar
kërkesat për mbrojtjen e aseteve të informacionit dhe duke zbatuar kontrolle të
përshtatshme për të siguruar mbrojtjen e këtyre aseteve të informacionit, siç kërkohet,
kontribuon në zbatimin e suksesshëm të një SMSI. Parimet ne vijim janë themelore dhe
kontribuojnë në zbatimin e suksesshëm të një ISMS:
a) ndërgjegjësim për nevojën për sigurinë e informacionit;
b) caktimin e përgjegjësisë për sigurinë e informacionit;
c) përfshirjen e angazhimit të menaxhimit dhe interesave të palëve të interesuara;
d) rritja e vlerave shoqërore;
e) vlerësimet e riskut që përcakton kontrollet e duhura për të arritur nivele të pranueshme
të riskut;
f) siguria e inkorporuar si një element thelbësor i rrjeteve dhe sistemeve të informacionit;
g) parandalimin aktiv dhe zbulimin e incidenteve të sigurisë së informacionit;
h) sigurimin e qasjes gjithëpërfshirëse në menaxhimin e sigurisë së informacionit;
57
i) rivlerësimin e vazhdueshëm të sigurisë së informacionit dhe bërjen e modifikimeve
sipas nevojës.
5.2.2. Qëllimi i ndërtimit të SMSI
Përmirësimi i sigurisë në sistemin e të dhënave shëndetësore është qëllimi kryesor i
trajtimit të kësaj teme. Një nga objektivat e rëndësishme që tejkalon përgjegjësitë e
vendimmarrjes politike është objektivi 6 që synon ndërtimin e Sistemit të Menaxhimit të
Sigurisë së Informacionit apo botërisht njohur si (Information Security Management
System (ISMS)). Menaxhimi i Sigurisë së Informacionit përmes ndërtimit të SMSI i
mundëson një organizatë që të rregullojë në mënyrë sistematike sistemin e saj të
menaxhimit për sigurinë e informacionit. Duke zbatuar kornizën e SMSI organizatat
shëndetësore mund të masin dhe menaxhojnë proceset e tyre të sigurisë së informacionit në
një mënyrë dhe kontroll të strukturuar, dhe të përshtatin sistemin e tyre për të përmbushur
nevojat e tyre organizative. Ndërtimi i një SMSI mundëson një sistem të pastër dhe të mirë
organizuar në raport me të dhënat që menaxhohen brenda këtij sistemi. Një sistem i tillë
është i favorshëm për përmirësim të vazhdueshëm dhe rritë sigurinë e sistemit. Pjesa
kryesore e një SMSI ka të bëj me vlerësimin e riskut, mënyrën e trajtimit dhe menaxhimin e
riskut. Një analize e tillë, e bazuar në vlerësimin e riskut ndihmon në ndërtimin e një
sistemi të mirë punuar dhe të sigurt.
58
Figura 5 Familja e Standardeve të ISO27000.
Në thelb implementimi i Sistemit të Menaxhimit të Sigurisë së Informacionit- SMSI
përbëhet nga:
Politikat
Procedurat dhe udhëzimet
Burimet dhe aktivitetet
Për të krijuar një sistem ideal të sigurisë së informacionit dhe për të arritur menaxhimin e
tij, duhet që në mënyrë sistematike të merren parasysh dhe të zbatohen kriteret e
mëposhtme:
o krijimi
o zbatimi
o operimi
o monitorimi
o rishikimi
59
o ruajtja
o përmirësimi i sigurisë së informacionit
Ndërtimi i një SMSI në mbrojtjen e të dhënave shëndetësorë nuk synon vetëm mbrojtjen e
sistemit, por gjithashtu synon të zhvilloje një sistem që në masë të madhe mund të:
parashikojnë probleme të mundshme, të përgatitët me anë të masave pro aktivë, të
mbrohet kundër dëmtimeve të konsiderueshme, të siguroje rimëkëmbjen apo ngritjen e
sistemit.
5.2.3. Proceset e ndërtimit të një Sistemi të Menaxhimit të Sigurisë së
Informacionit të bazuara në praktikat më të mira
Procesi i ndërtimit të një Sistemi të Menaxhimit te Sigurisë së Informacionit shëndetësorë
kalon nëpër disa hapa apo cikle dhe secila prej tyre merr parasysh cilësinë dhe sigurinë e
këtyre informatave. Ndërtimi i një SMSI përfshinë disa hapa konkret që duhet të zbatohen.
Zbatimi i detajeve pikë për pikë është kushti themelorë. Hapat konkret në ndërtimin e një
SMSI përfshijnë:
planifikimin
organizimin
kontrollet
veprimin
60
Tabela 2 Proceset e ndërtimit të një SMSI sipas modelit PDCA [3].
PDCA (plan-do-check-act) është një metodë përsëritëse e katër hapave e përdorur në biznes
për kontrollin dhe përmirësimin e vazhdueshëm të proceseve dhe produkteve. Ne rastin e
ndërtimit të SMSI, përdorimi i metodës PDCA është me se i domosdoshëm. Duke adaptuar
procesin e PDCA janë zhvilluar proceset e ndërtimit të Sistemi të Menaxhimit të Sigurisë së
Informacionit si në vazhdim:
1. Planifikimi- përfshinë këto veprime:
o Definimi i qëllimit dhe politikave të SMSI
o Identifikimi dhe vlerësimi i riskut
o Menaxhimi i riskut nëpërmjet objektivit të kontrollit
o Përgatitja për pasqyrën e zbatueshme risë
61
2. Organizimi- për të arritur organizimin e mire duhet realizuar:
o Formulimin dhe zbatimin e një plani për zbutjen e rrezikut të identifikuar gjatë
vlerësimit të riskut.
o Zbatimin e kontrolleve të përzgjedhura për të përmbushur objektivat e kontrollit.
3. Kontrollet- përfshijnë:
o Kryerjen e procedurave të monitorimit.
o Kryerjen e rishikimit periodik të SMSI për të parë efektivitetin e tij.
o Nivelin e shqyrtimit të rrezikut të pranueshëm dhe të mbetur.
o Realizimin e auditimit të brendshme të SMSI në intervale të planifikuara.
4. Veprimi- përfshinë organizimin e duhur në:
o Zbatimin e përmirësimeve të identifikuara në SMSI.
o Ndërmarrjen e veprimeve të duhura korrigjuese dhe parandaluese.
o Rruajtjen e komunikimit me të gjitha palët e interesit.
o Vërtetimin e përmirësimit.
Planifiko, Bej, Kontrollo, Vepro (Plan Do Control Act) dhe ISO 27001/27002
Qasja Planifiko, Bej, Kontrollo, Vepro (PDCA) është në përputhshmëri me standardet ISO
27001. Në organizim funksioni i kësaj PDCA është krijimi, planifikimi, funksionimi dhe
mirëmbajtja e sigurisë së informacionit. Pra, për të arritur qëllimet, i gjithë procesi
përfaqësohet nga qasja e PDCA [40]. Sipas figurës xx ajo ka katër hapa të ndryshëm për të
kryer ekzekutimin e përsëritur.
- Hapi i parë i (PDCA) ka te bej me ndërtimin e politikave dhe procedurave për SMSI
(ISMS). Sipas kërkesës dhe politikës së organizatave, objektivat, procedurat dhe
tërë procesi konsiderohen të rëndësishme për të menaxhuar rrezikun e sigurisë dhe
mbështetjen për të përmirësuar sigurinë e informacionit.
62
- Hapi i dytë i politikës së SMSI ka për qëllim zbatimin dhe funksionimin e tij.
- Hapi i tretë i politikës se SMSI përcakton rëndësinë e matjes për performancën e
monitorimit dhe efektivitetit të SMSI. Raste te ndryshme qe sillen tek menaxhmenti
për tu shqyrtuar.
- Hapi i katërt përkufizon qasjen e një mjedisi korrektues dhe parandalues që
zakonisht bazohet në mbi tri hapat paraprak [40].
5.3.Procesi i Ndërtimit te SMSI
5.3.1. Pesë hapat për ndërtimin e SMSI’së bazuar në ISO 27000
Dokumenti ISO 27001 përmban një përmbledhje të nivelit të lartë të hapave për të ndërtuar,
mbajtur dhe optimizuar një SMSI. Çdo hap siguron një qasje fleksibile dhe të bazuar në
riskun për sigurinë. Meqë dokumentet e ISO nganjëherë mund të jenë të dendura, ne këtë
punim janë te përmbledhur 6 Hapat kryesore qe përmbajnë tere ciklin e procesit te ndërtimit
te një SMSI.
1. QËLLIMI I SMSI
Përpara se të implementohet një SMSI, së pari duhet ta definojmë atë. Ju mund të vëreni se
ky hap ka shumë të përbashkëta me praktikat klasike të menaxhimit të riskut.
Qëllimi i një ISMS përfshin: Mjetet e Informacionit: Një term i përgjithshëm që i referohet
çdo gjëje- të dhënave, kompjuterëve, rrjetave, aplikacioneve e kështu me radhë. Zhvillimi i
një inventari gjithëpërfshirës të aseteve të informacionit shpesh anashkalohet në shumë
programe sigurie, por pikërisht ky proces është kritik për ndërtimin e një SMSI.
Vlera e Aseteve: Një vlerësim i këtyre pasurive nuk do të thotë një vlerë në euro për
produktin në fjalë, por sa e rëndësishme është pasuria për biznesin. Për shembull, një iPad i
vetëm mund të ketë vlerë të ulët, por baza e të dhënave e klientit tuaj do të kishte një vlerë
të madhe.
63
Kërkesat e Teknologjisë Informative: Çdo kërkesë e biznesit që shtyn nevojën për të
përdorur një teknologji, aplikacion ose konfigurim të veçantë. Për shembull, nëse kompania
juaj duhet të përdorë softuerin Oracle për shkak të përputhshmërisë me një proces biznesi,
atëherë duhet ta përcaktoni atë kërkesë.
Marrëveshje kontraktuale: Kjo përfshin çdo marrëdhënie ligjore që ka të bëj me
rregullatorin ose shitësin që ndikon në pasurinë e informacionit. Për shembull, nëse ju i
keni të vendosura disa nga asetet tuaj fizike apo logjike në infrastrukturën e një kontraktori
të jashtëm, atëherë marrëveshjet tuaja me atë kontraktor do të ishin në fushëveprim për
përputhjen apo jo me ISO standardet.
2. VLERËSIMI I RISKUT
Pas përcaktimit, ju duhet të vlerësoni riskun për asetet në terren. Por, para se të vlerësoni
riskun, së pari duhet të përcaktoni metodologjinë e vlerësimit të riskut që përdorni.
Dokumentimi i ISO/IEC 27005:2018 jep një udhëzues se si të kryhet një vlerësim i riskut,
por nuk ju kërkohet të përdorni këtë qasje.
Në nivelin më themelor, një vlerësim i riskut duhet të:
Krijoni një “list të kërcënimeve” me të cilat ballafaqohet pasuria në terren
Dobësitë e atributeve ndaj këtyre kërcënimeve
Vlerësoni probabilitet dhe ndikimin e çdo kërcënimi, bazuar në kontrollet në vend
Përcaktoni sasinë e riskut të pranishëm
Përcaktoni përmirësime që do të reduktonin riskun
Përcaktoni riskun e mbetur nëse përmirësimet janë zbatuar
Në fund të fundit, një vlerësim i riskut ka të bëjë me të ushqyerit ju dhe
inteligjencën tuaj të udhëheqjes, në mënyrë që të merrni vendime të informuara për
rrezikun me të cilin po hasni dhe se si do t'i përgjigjeni atij rreziku.
64
Vlerësimi i riskut është një proces përsëritës. Megjithatë, vlerësimi i parë është kritik pasi
që do të formësojë kontrollet e zbatuara për të zbutur kërcënimet.
3. PËRGJIGJE NDAJ RISKUT
Pas përfundimit të vlerësimit të rrezikut, hapi tjetër është përcaktimi se si do t'i përgjigjeni
kërcënimeve të identifikuara. Ekzistojnë tri përgjigje të mundshme: pranoni, zvogëloni ose
transferoni. Jo vetëm që duhet të vendoset se çfarë të bëni me çdo kërcënim, por gjithashtu
justifikoni atë trajtim. Nëse zbatoni kontrolle për të zbutur një kërcënim, duhet të
përcaktoni se cilat do të jenë këto kontrolle dhe se si do ta zbusin efektivisht kërcënimin.
Nëse keni ndërmend ta transferoni rrezikun tek një palë tjetër, duhet të përcaktoni se si pala
e tretë do të marrë riskun. Nëse do ta pranoni riskun e caktuar, atëherë duhet të jepni një
arsyetim për këtë.
4. KONTROLLET E ZBATIMIT
Pasi të keni vendosur se si do të adresoni secilën prej kërcënimeve të identifikuara në
vlerësimin tuaj të rrezikut, atëherë duhet të zgjidhni dhe zbatoni kontrollet e sigurisë të
nevojshme për zbutjen e risqeve.
Ekzistojnë dy kategori të kontrolleve të sigurisë ISO: administrative dhe teknike.
Kontrollet administrative përfshijnë politikat, procedurat dhe udhëzimet
Kontrollet teknike janë të gjitha ato gjëra e avancuara, si firewalls, logs, enkriptimet, dhe
anti-malware.
ISO 27002 siguron një set kontrolli të besueshëm që përputhet me praktikat më të mira të
përgjithshme. Megjithatë, ashtu si udhëzimet e vlerësimit të rrezikut, ky grup kontrolli nuk
është i detyrueshëm. Ju jeni të lirë të zgjidhni atë që kontrollon nevojat e biznesit tuaj.
ISO 27001 kërkon që ju të merrni një qasje të bazuar në vlerësim teriskut për të kontrolluar
përzgjedhjen. Duhet të identifikoni se cilat kërcënime dhe dobësi keni në sistem, përcaktoni
riskun që ju paraqesin kompanisë dhe pastaj zgjidhni kontrollet që zbusin çdo kërcënim.
65
Kur përzgjidhni kontrolle ISO 27001, sigurohuni që të dokumentoni arsyetimin tuaj. Një
gabim i zakonshëm që njerëzit bëjnë është që të përqëndrohet në zgjedhjen e një shitësi të
teknologjisë, e jo vetë kontrolli.
5. AUDITIMI I BRENDSHËM
Me kontrollet e vendosura të sigurisë, tani duhet të siguroheni që këto kontrolle që
“mirëmbahen”. Hapi i pestë ka të bëjë me zhvillimin e një programi të auditimit të
brendshëm për të verifikuar efektivitetin e ISMS tuaj. Kjo arrihet më së miri duke bërë
përputhjen me një praktikë "të zakonshme". Qasja më e zakonshme për të arritur këtë
kërkesë është të miratojmë një model maturimi për të gjitha kontrollet. Qëllimi është që
secili kontroll të vlerësohet dhe renditet në bazë të asaj se sa efektive është dhe sa mirë
menaxhohet. Gjendja ideale është që të gjitha kontrollet të kenë standarde, politika dhe
procedura të përcaktuara mirë, së bashku me një proces për t'i vlerësuar dhe përmirësuar
rregullisht.
5.3.2. Zbatimi dhe funksionimi i Sigurisë së Sistemit të Informacionit
Zbatimi dhe ndërtimi i kornizës së SMSI-së duhet të përfshin disa hapa:
o Krijimin e një plani për trajtim të riskut
o Caktimin e burimeve (njerëzit, sistemet dhe financimin)
o Përzgjedhja dhe zbatimi i kontrolleve të sigurisë
o Trajnimin dhe edukimin
o Operacionet menaxhuese
o Burimet të tjera të nevojshme
o Menaxhimi i incidenteve të sigurisë.
66
5.4.Procesi i Vlerësimit të Riskut për një SMSI të sigurt
Propozimi i 7 hapave për vlerësimin efektiv të riskut bazuar në ISO
Qëllimi përfundimtar për realizimin e vlerësimit të riskut është perfeksionimi i
Sistemit të Menaxhimit të Sigurisë së Informacionit. Realizimi i një vlerësimi të
riskut mund të procedohet në mënyra të ndryshme, por në këtë punim është
thjeshtuar i tërë procesi në 7 hapa kryesor:
1. Përcaktoni metodologjinë e vlerësimit të riskut
Në këtë studim nuk është përshkruar një metodologji specifike në raport me
vlerësimin e riskut. Zgjedhja e metodologjisë së saktë për organizatat shëndetësore
është thelbësore për të përcaktuar rregullat me të cilat do të kryhet vlerësimi i riskut.
Cila do qe do jetë metodologjia, patjetër duhet të adresojë katër çështje: kriteret
bazë të sigurisë, shkallën e rrezikut, madhësinë e riskut dhe një vlerësim të riskut të
bazuar në skenar ose të bazuar në asete.
2. Hartimi i një listë të aseteve tuaja të informacionit
Në rastet kur është vendosur për një vlerësim të riskut të bazuar në asete duhet që
fillimisht të analizohet lista e aseteve informative ekzistuese, e cila përfshin kopjet e
informacioneve në letër, skedarët elektronikë, pajisjet e lëvizshme, pajisje mobile
dhe asete tjera, siç është prona intelektuale.
3. Të Identifikohen kërcënimet dhe dobësitë
Identifikimi i kërcënimeve dhe dobësive që vlen për çdo aset. Për shembull,
kërcënimi mund të jetë 'vjedhja e pajisjes celulare'.
4. Kualifikimi i shkallës së riskut
Caktimi vlerave të mundshme, ndikimi dhe gjasat e shkaktimit të rrezikut.
67
5. Minimizimi i rreziqeve për t'i zvogëluar ato në një nivel të pranueshëm
Nëse shikojmë standardin e ISO 27001 në raport me ndërtimin e SMSI, kemi katër
mënyra për të trajtuar riskun: ISO 27001 sugjeron katër mënyra për të trajtuar
rreziqet: 'Terminimi i riskut duke e eliminuar atë përfundimisht, trajtimi i riskut
duke aplikuar kontrolle të sigurisë. Transferimi i riskut tek një palë e tretë, apo
tolerimi i riskut.
6. Hartoni raportet e riskut
Secila organizatë shëndetësore duhet që të prodhojë një set të raporteve, të gatshme
për qellim auditimi dhe sipas dëshirës, kërkesës, apo nevojës të jetë e gatshme edhe
për certifikim të tillë siç është standardi ISO 27001 apo HIPAA.
7. Rishikimi, monitorimi dhe auditimi
Rishikimi, monitorimi dhe auditimi i vazhdueshëm janë një proces që secila
organizate apo institucion shëndetësore duhet ta bëj. Procesi i rishikimin,
monitorimit dhe auditimi në cikle të përsëritura ndihmon në përmirësimin e të
metave, rreziqeve të së ardhmes dhe si tillë ndihmon në perfeksionimin e një sistemi
të mirë të Sistemit të Menaxhimit të Sigurisë së Informacionit në shëndetësi. Si
rezultat i kësaj do të kemi një sistem të informacionit më të mbrojtur.
68
Vlerësimi i Riskut
Em
ri i Asetit
Konfid
encialiteti
Integ
riteti
Disp
onuesh
mëria
Vlera e A
setit
Kërcën
imet e
njo
hura
Vlera e
Kërcën
imit
Përsh
krim
i i
cenuesh
mërisë
Vlera e
cenuesh
mërisë
Mundësia e
ndodhisë
Kontro
llet
mom
entale
Rezu
ltati i Risk
ut
Trajtim
i i Risk
ut
Mundësia e
ndodhjes p
as
trajtimit
Rrezik
u i m
betu
r
Paso
jat e
mundsh
me
Kom
pju
ter
Mesatar
Mesatar
Mesatar
Lid
hja m
e Intern
et;
Mbro
jtja jo-ad
ekuate
me firew
all
Mesatar
Sulm
me v
irus
Mesatar
Mesatar
Instalu
ar/ Firew
all i
implem
entu
ar
Mesatar
Pran
uar
Ulët
Nuk k
a
Vjed
hja e të d
hën
ave
gjatë p
rocesim
it
Rrjeta e In
ternetit
Mesatar
Mesatar
Ulët
Sulm
et nga
jashtë- m
bro
jtja
jo ad
ekuate
E lartë
Qasja e
paau
torizu
ar në
rrjetë
E lartë
Mesatare
Përd
itësimi i
sistemit;
Monito
rim i
sistemit
Mesatar
Pran
uar
Ulët
Mundësia p
ër
kërcën
ime të reja
Deg
radim
i i
sistemit; ten
timi
për q
asja ne
bazën
e te
dhën
ave
Tabela 3 Vlerësimi i Riskut në raport me ndërtimin e SMSI.
Vlerësimi, trajtimi dhe menaxhimi i riskut në shëndetësi ka për qellim rritjen e
konfidencialitetit, integritetit dhe disponueshmerisë në raport me sistemet kur ruhen dhe
përpunohen të dhënat shëndetësore. Strategjia për të pasur një sistem të mbrojtur fillon me
identifikimin e kërcënimeve, ndikimeve në sistem dhe dobësitë e sistemit dhe përfundon
me monitorim të vazhdueshëm të sistemit. Brenda këtyre pikave ndodhin procese të
ndryshme që ndërlidhen në vete në mënyrë që të prodhohen rezultatet e pritura në raport me
sigurinë e informacionit personal shëndetësorë. Në figurën në vijim është e paraqitur
korniza me proceset nëpër të cilat duhet të kalojë ndërtimi i një SMSI.
69
Proceset e ndërtimit të Sistemit të Menaxhimit të Sigurisë së Informacionit
Figura 6 Korniza e SMSI bazuar në ISO 27001/27002 [18].
70
5.4.1. Menaxhimi i Riskut përmes ndërtimit dhe implementimit të SMSI
5.4.2. Përfitimet e pritshme nga implementimi i SMSI
Një SMSI në shëndetësi i mundëson një organizatë shëndetësore që në mënyrë sistematike
të operoje sistemin e saj menaxhues për sigurinë e informacionit. Përmes implementimit të
një SMSI një organizatë mund të masë dhe të menaxhoje procesin e sigurisë së
informacionit shëndetësore ne mënyrë të strukturuar dhe në të njëjtën kohë të kontrolloje
dhe kujdeset që sistemi i tyre të takoje apo përmbush nevojat e biznesit. Kjo do të sigurojë
që një qasje e koordinuar mire do të ndiqet. Ndërtimi dhe mirëmbajtja e SMSI do të
siguroje një qasje të përçueshme dhe në vazhdimësi do të përmirësojë sigurinë dhe
menaxhimin e sistemeve.
Sistemi i menaxhimit të sigurisë së informacionit, mundëson që organizatat shëndetësore të
përfitojnë në përmirësimin e:
o Sigurisë së informacionit nëpërmjet disiplinës dhe pajtueshmërisë.
o Menaxhimin e riskut.
o Mjedisit të sigurt.
o Minimizimin e shkeljeve të sigurisë.
o Rritjes së besimit të pacientëve dhe besimit të institucionit.
71
Në tabelën në vijim janë paraqitur hapat dhe përshkrimi i proceseve që ndërlidhen me
kornizën e një Sistemi të Menaxhimit të Sigurisë së Informacionit.
Struktrura e Sistemit tё Menaxhimit të sigurisë
së informacionit
Shembuj dalёs
Hapi 1 Shembuj
hyrёs
Kёrcenimet
Ndikimi
Dobёsitё
Stratëgjia e
menaxhimit
tё rrezikut
Kontrollet
shtësё
Pёrkufizimi i politikes sё
sigurisё
Dokumenti i politikave
Hapi 2 Pёrkufizimi i fushёs sё
SMSI-sё
Shtrirja e SMSI-sё
Hapi 3
Lista e rreziqeve tё vlersuara
Hapi 4 Dobёsitё e identifikuara tё aseteve
Hapi 5 Perzghedhja e kontrollit
Forca e kontrolleve tё zbatimit
Hapi 6 Deklarata e
zbatueshmerisë
Deklarata e dokumentit tё
aplikueshmёrisё
Tabela 4 Struktura e SMSI e shprehur në formë matrice tabelare, adoptuar nga [18].
Vlerësimi i rrezikut
Menaxhimi i rrezikut
72
Figura 7 Procesi i Implementimit të SMSI.
5.4.3. Implementimi i Sistemit të Menaxhuar të Sigurisë së Informacionit
73
5.5.Rekomandimet praktike bazuar në ISO 27001 / 27002
5.5.1. Si dizajnohet një rrjetë e sigurt?
Të gjitha sistemet e informacionit konsiderohen të rrezikshme për një organizatë nëse niveli
i sigurisë se sistemit në fjalë nuk është i mbrojtur si duhet. Kontrollet si “firewalls”, izolimi
i burimeve, konfigurimet e duhura të sistemit, autentikimi, kontrolli i qasjes së sistemit dhe
enkriptimi mund të përdoren për të zbutur rreziqet e identifikuara në nivele të pranueshme.
Qasja fizike në zonat e përpunimit dhe vendet ku janë të ruajtur të dhënat dhe infrastruktura
mbështetëse e tyre (p.sh. komunikimet, energjia elektrike dhe mjedisi) duhet të
kontrollohen për të parandaluar, zbuluar dhe minimizuar efektet e qasjes të padëshiruar në
këto fusha (p.sh. qasjen e paautorizuar të informacionit ose ndërprerjen e informacionit
gjatë përpunimi).
Kontrolli i qasjes krijohet duke imponuar standarde për mbrojtjen në ndërtesë, zonën e
përpunimit dhe zonat e infrastrukturës mbështetëse. Niveli i kontrollit i imponuar në këto
fusha do të pasqyrojë natyrën e rëndësisë së informacionit të trajtuar ose të mbështetur nga
zona tek operacionet e korporatave.
Efektet e ndërhyrjes së padëshiruar mund të jenë të dhimbshme dhe të kushtueshme. Nëse
menaxhohet siç duhet, politikat dhe procedurat e sigurisë fizike mund të sigurojnë
mbrojtjen që ato janë të dizajnuara për të dhënë duke ofruar sigurinë që është e nevojshme
për të mbajtur burimet rreth tij të jenë të sigurta nga kërcënimet e jashtme, si dhe nga
brenda.
74
5.5.2. Si të mbrohet Softueri?
Mbrojta e të dhënave shëndetësore elektronike duhet parandalohet, në kuptimin që sistemi
kompjuterik të jetë i mbrojtur. Për të parandaluar një kërcënim të tillë, mbrojtja më e mirë
ndërtohet përmes këtyre 3 hapave.
Hapi parë: përfshinë instalimin e një antivirusi dhe një programi antimalware në të gjithë
kompjuterët dhe serverët.
Hapi dytë: përfshinë instalimin e një firewall të gjeneratës se ardhme “Next Generation
Firewall” për të mbrojtur sistemet kompjuterike në përgjithësi, për të mbrojtur shkëmbimin
e emailave dhe atachments të dyshimtë, për tu mbrojtur nga qasja dhe shkarkimi i gjërave të
rrezikshme. Një mundësi tjetër për të realizuar një mbrojte të ngjashme mund të ofrohet
përmes “cloud providers” virtual që ofrojnë skanimin dhe sigurinë e emailave dhe ueb
faqeve të shfletuara.
Hapi tretë: përfshinë vetëdijesimin dhe trajnimin e stafit duke i njoftuar ata për rreziqet e
mundshme dhe mënyrave se si tu shmangen sulmeve të tilla. Ne fakt rëndësia e këtij hapi
është tepër e madhe [8].
5.5.3. Si të bëhet kontrolli i qasjes në ndërtesë?
Standardet e kontrollit të qasjes në ndërtesë duhet zbatuar në përpjesëtim me llojin e
përpunimit të informacionit dhe konfidencialitetin e informacionit të mbledhur dhe të
shpërndarë që ndodh në vendin fizik. Ndërtesat që përmbajnë një qendër të të dhënave (data
center) domosdoshmërish duhet të kenë kontrolle më të rrepta të qasjes sesa ato që nuk
kanë një sistem të tillë.
75
Ekzistojnë gjithashtu kontrolle minimale të qasjes fizik, të cilat duhet të praktikohen për të
administruar qasjen në të gjitha ndërtesat në përpjekje për të mbrojtur burimet e
informacionit.
Standardet e mëposhtme specifikojnë kontrollet bazë për të gjitha ndërtesat dhe standardet
shtesë të përshtatshme për ndërtesat që strehojnë një qendër të të dhënave(data center).
5.5.4. Si të bëhet trajnimi dhe vetëdijesimi i stafit që merren me menaxhimin e
Sistemeve të Informacionit?
Personat që merren me menaxhimin e sistemit të informacionit shëndetësorë kanë
përgjegjësi direkt për proceset e zhvillimit të të dhënave, si dhe mbrojtjen e tyre. Procesi i
ndërtimit të SMSI dhe mirëmbajta e tij varen drejtpërdrejt nga aseti njeri.
Për te evituar çfarëdo lloj devijimi apo keqpërdorimi të të dhënave shëndetësore, është
përgjegjësi e menaxhmentit te projektit qe i tere stafi përgjegjës te trajnohet dhe te
vetëdijesohet për te gjitha proceset qe kane te bëjnë me ruajtjen dhe mbrojtjen e te dhënave
shëndetësore. Menaxheri i projektit ka për detyre qe te shpjegoj te gjitha politikat qe janë
vendosur ne raport me regjistrimin dhe ruajtjen e te dhënave shëndetësore ne sistem.
5.5.5. Si realizohet qasja fizike në qendrën e të dhënave?
Informacioni i përpunuar këtu normalisht konsiderohet kritik për operacionet dhe është i një
natyre të ndjeshme në aspektin e çështjeve të konfidencialitetit. Përkatësisht, kontrollet e
qasjes në qendrën e të dhënave kërkojnë një nivel të lartë të kufizimit të personelit dhe
autentikimit për të mbrojtur informacionin e përpunuar në to.
Qasja në mjedise që përmbajnë sistemet e përpunimit të informacionit dhe mjetet
mbështetëse të sistemit si dhoma e telekomunikacionit, dhoma e burimit të energjisë
emergjentë (gjeneratorë, bateri), dhoma e njësisë së ajrit dhe zonat e mbyllura ku
76
shpërndarjet e rrjetit mund të ruhen, duhet të kufizohen dhe të lejohet qasja vetëm për
individët e autorizuar. Lejimi i qasjes për personat e paautorizuar në bazen e sistemit të
informacionit mund të rrezikojë cenueshmerine e të dhënave dhe degradimin e shërbimeve.
Degradimi i shërbimeve të infrastrukturës mund të rrezikojë vazhdimësinë e përpunimit të
informacionit dhe të rrezikojë proceset e tjera ndërlidhëse.
Kontrollet e qasjes fizike që ofrojnë këto sisteme mbështetëse duhet të pasqyrojnë
rëndësinë e sistemeve të përpunimit të informacionit. Në shumë raste, izolimi me dyert e
bllokuara mjafton për të mbrojtur këto sisteme mbështetëse. Stafi i TI’së duhet të zbatojë
kontrolle të tilla fizike për të limituar qasjen në këtë dhomë vetëm për persona të autorizuar.
Pjesë e këtij protokolli duhet të jenë edhe personat si inspektoret e kontrollit që realizojnë
një auditim të brendshëm të sistemit.
5.5.6. Si te behet kontrolli, Monitorimi dhe Rishikimi i Sigurisë së Informacionit?
Siguria e informacionit shëndetësorë nuk mbaron me ndërtimin dhe implementimin e një
SMSI të sigurt. Organizatat shëndetësore duhet që në mënyrë të vazhdueshme të
kontrollohen në aspektin e sigurisë. Kontrollet e SMSI’së bëhen në dy mënyra, me ane të
një auditimi të brendshëm të sigurisë dhe atij të jashtëm. Auditimi i brendshëm përfshinë
monitorimin e vazhdueshëm, vlerësimin dhe evaluimin e riskut [11]. Auditimi i jashtëm
përfshinë organet përgjegjëse shtetërore, që në rastin e Kosovës është Ministria e
Shëndetësisë. Institucionet shëndetësore duhet që në mënyrë efektive të mirëmbajnë
sigurinë e sistemeve në mënyrë që të ruajnë të dhënat personale të pacientëve. Organizatat
shëndetësore duhet të krijojnë programe të auditimit që përfshinë baza të rregullta disa
mujore [12].
77
5.5.7. Si të realizohet qasja me laptop në Qendrën e të Dhënave?
Për shkak të rrezikut të lartë të humbjes dhe keqpërdorimit të të dhënave, kompjuterët
laptop duhet të jenë të gjurmueshëm tek përdoruesit individualë dhe informatat e ndjeshme
(sa më shumë që të jetë e mundur) nuk duhet të ruhen në diskun e përhershëm të njësisë
kompjuterike. Kompjuterët laptopë që përmbajnë informacion të ndjeshëm duhet të
mbrohen duke përdorur një aplikacion të sigurisë si “PC /encryption disk”. Gjithashtu, të
gjithë laptopët portativë duhet të sigurohen fizikisht përmes një pajisjeje të përshtatshme
sigurie gjatë çdo periudhe që laptopet lihen pa mbikëqyrje në zyre.
5.5.8. Si realizohet kontrolli i pavarur?
Kontrolli i pavarur përfshinë një lloj tjetër të auditimit të jashtëm, që në shumë raste bëhet
me kërkesë të operatorit shëndetësore apo në disa raste edhe me kërkesën e institucioneve
kompetente shtetërore. Auditimet e tilla gjithashtu sjellin me vetë shkallën e gjurmës
gjykuese "benchmarking" pasi që edhe personeli është i përfshirë me kryerjen e auditimeve
paraprake nga të cilat ata mund të bëjnë krahasime. Auditimet e nivelit të tillë zakonisht
bëhen nga kompanitë e mëdha, apo organizatat e kontrollit siç është Organizata
Ndërkombëtare për Standardizim ISO. E njëjta organizatë është e autorizuar që të
certifikojë kompanitë apo organizatat me certifikime të caktuar, varësisht nga fushë
veprimtaria që ato zhvillojnë. Në rastin e sigurisë së Sistemeve të Informacionit dhe
Mbrojtjen e të dhënave personale shëndetësore jepet certifikimi ISO27001/27002 [10].
78
5.6. Rekomandimet praktike në rast të cenimit në operimin e Sistemit të
Informacionit në Shëndetësi
Skenarët në vijim japin një përshkrim të shkurtër të çështjeve të ndryshme që ndërlidhen
me sigurinë e sistemit të informacionit në sektorin shëndetësor dhe ndikimet negative të
cilat hasen kur kanë të bëjnë me sigurinë e lidhur me TI’në dhe kërcënimet. Shumë
kërcënime ndikojnë drejtpërsëdrejti në mbrojtjen e privatësisë. Dështimi për të mbrojtur
privatësisë e pacientëve mund të shkelë rregulla të tilla si “HIPAA Privacy and Security” në
SHBA, “GDPR rregullore dhe ligjet e privatësisë së të dhënave” në Evropë si dhe vende të
tjera.
Ka disa dallime në mbrojtjen e sistemeve të kujdesit shëndetësor në krahasim me shumë
biznese të tjera të bazuara në TI. Për shembull, përderisa shumica e bankave apo bizneseve
mund të mbyllen në rast të një fatkeqësie natyrore ose sulmi të rëndë të TI-së, objekti i
kujdesit shëndetësor, në përgjithësi, duhet të mbetët i hapur dhe aktiv sepse janë në pyetje
jetrat e njerëzve.
Edhe pse planifikimi dhe kontrollet e vazhdueshme ndonjëherë janë funksionale, kur flasim
për çështje të mbrojtjes duhet të dimë që kjo çështje është mjaft serioze. Është një element
thelbësor në siguri që vazhdimisht duhet të merret në konsideratë dhe ka të bëj me
mbrojtjen e konfidencialitetit, integritetit dhe disponueshmerisë.
Shënim: Shembujt në vijim janë ilustrativ dhe si të tillë ata paraqesin një situate hipotetike
me qellim vetëdijesimi. Secili skenarë paraqet shkallë të lartë të mundësisë për të ndodhur
në jetën reale brenda një organizate apo institucioni të kujdesit shëndetësorë.
Këto raste janë rekomandime direkte se si të veprohet në rast të cenimit apo mos
disponueshmerisë momentale në Sistemet e Informacionit Shëndetësore.
79
Rasti 1: Ndalesa e Shërbimit Spitalor
Skenari: Një dështim i lokalizuar brenda spitalit ka shkëputur repartin e emergjencës nga
qasja në rrjet. Kështu që shërbimet kyçe të TI-së nuk janë të disponueshme (konfigurimi
automatik me adresa te rrjetës për kompjuterët e përdoruesve të sistemit, rutimi, autentikimi
i përdoruesve), por pacientët vazhdojnë të vijnë në Emergjence për të kërkuar shërbimet e
nevojshme mjekësorë.
Sistemi i Informacionit shëndetësorë kompjuterike duhet të funksionoj dhe është mjaft
kritik ne mënyrë qe procesi i punës të vazhdojnë që jetrat e njerëzve te mos rrezikohen.
Zgjidhja alternative: Për të krijuar një lehtësim apo mundësi operimi për këtë skenar,
sistemet mund të përfshijnë aftësinë për të krijuar dhe ruajtur të dhënat e pacientëve
lokalisht duke ruajtur (imazhe mjekësore, regjistrime me zë dhe të fusin të dhëna) edhe në
mungesë të qasjes në rrjetën lokale LAN.
Është e këshillueshme që ofruesit e kujdesit shëndetësor të marrin në konsideratë ndërtimin
e mundësisë dytësore të qasjes në rrjetë dhe me pas në sistem në mënyrë që qasja në sistem
të mos dështoj për asnjë moment. Një plan i kujdesshëm në menaxhimin e riskut mund të
realizoj një lloje balanci të sigurisë që sistemi i informacionit shëndetësorë të funksionoj në
mënyrë të pandërprerë.
Zgjidhjet e mundshme operacionale: (1) Të rekrutohet personel shtesë; (2) Të përdorën
pajisjet e disponueshme në departamente të tjera të të njëjtit institucion shëndetësor; (3) Të
udhëzohen pacientët të shkojnë në repartin tjetër me të afërt ku sistemi është aktiv; (4) Te
realizohet lidhja ne rrjetë përmes mundësisë dytësore (rrjetës Wireless); (5)Të evitohet
pritja, ngarkesa dhe vonesa në shërbime për pacientët qe vizitojnë kliniket emergjentë [25].
Rasti 2: Sulmi ndaj personave të caktuar
Skenari: Një Haker i sistemeve me qëllime dashakeqe është shumë i aftë për të realizuar
shënjestrën e planifikuar. Në raste të tilla, sulmuesi është një i huaj dhe objektivi i tij janë të
dhënat mjekësore të kategorive të caktuara të njerëzve. Personat e rëndësishëm (VIP),
80
sportistë, dhe fytyrat publike janë objektiv i vazhdueshëm i sulmeve të tilla. Pa marrë
parasysh se kush është pjesë e këtij sistemi të të dhënave, targeti mbi Sistemin e
Informacionit Shëndetësore dhe mënyra e veprimit nuk dallon. Në një skenar të tillë
sulmuesit tentojnë që të ndryshojnë fjalëkalimet e përdoruesve të sistemit dhe në periudhë
të shkurtër ata arrijnë që të vjedhin këto të dhëna të ndjeshme.
Zgjidhja alternative: Sistemi mund të përfshijë autentikim të fortë të përdoruesit dhe
autorizim të veçanta. Sistemi duhet të jetë në gjendje të krijojë një grup të veçantë të
pacientëve të quajtur “VIP” dhe të kufizojë qasjen në informacionin e tyre shëndetësor.
Enkriptimi i qasjes dhe kërkesa për siguri të dyfishtë mund të rrisë nivelin e sigurisë për
këto të dhëna shëndetësore.
Zgjidhjet e mundshme operacionale: Është e vështirë për një institucion shëndetësor për
tu mbrojtur ndaj këtyre lloje të sulmeve. Në këto raste duhet të analizohen në mënyre të
detajuar gjërat si kontrolli i qasjes, porteve, përditësimi i sistemit kompjuterik me antiviruse
dhe firewalls, etj... Në raste te sulmeve te tilla duhet te këtë vetëm persona te caktuar
(përdorues administrativ) që u lejohet qasja në këto grupe.
Rasti 3: Hakmarrja personale
Skenari: Një lloj tjetër i kërcënimit mund të vijë nga persona të zemëruar ose hakmarrës
(p.sh. punonjës, pacientë, ose stafi mbështetës). Pjesa më e madhe e këtyre sulmeve vijnë
nga të brendshmit, ose dikur njerëz të brendshëm që kanë humbur vendin e punës. Persona
të tillë kanë një tendencë të lartë për të kryer sulme të tilla.
Zgjidhja alternative: Sistemi duhet të përfshijë autentifikimin e përdoruesit dhe kontrollet
e qasjes, si dhe të regjistroj loget e auditimit, për të zbuluar dhe dokumentuar devijimet nga
politikat e brendshme për qasje në sistem dhe për mënyrën e përdorimit të sistemit.
Ndryshimet në të drejtat e qasjes duhet të jenë efektive menjëherë. Nëse një person ka
humbur vendin e punës, atëherë stafi i TI’së duhet që sa më pare te njoftohet nga zyra e
burimeve njerëzore që ti revokoj qasjen në sistem personit në fjalë.
81
Zgjidhjet e mundshme operacionale: Për shkak se hakmarrja zakonisht shfaqet në sulme
me kohëzgjatje të shkurtër, një lloj sulmi i tillë është shumë e vështirë që të ndalet. Prandaj
administrimi dhe konfigurimi i duhur i Firewalleve, të drejtat e duhura për qasje, ndarja e
duhur e rrjetave virtuale VLANs, etj. mund të jenë adekuatë në raste të tilla. Këto kontrolle
duhet të jenë më të rrepta për të shmangur sulmet e mundshme nga personat që kanë
njohuri për sistemin në fjalë. Në raste të tilla duhet të implementohen dhe të zbatohen
politikat e veprimit për autentikim dhe autorizim në sistem. Një nga këto mund të jetë, nëse
një i punësuar humb vendin e punës, përjashtohet nga puna apo largohet me vetë dëshirë.
Në të gjitha këto raste llogaria e tij dhe qasja në sistem duhet të bllokohen në momentin e
parë të shkëputjes së kontratës .
82
6. DISKUTIME DHE PERFUNDIME
Në shumicën e vendeve ekzistojnë rregulla dhe politika që mbrojnë sigurinë e pacientit dhe
stafit, ofrimin e kujdesit shëndetësor (diagnozën dhe trajtimin), dhe privatësinë (ruajtjen e
të dhënave personale). Një proces i kujdesshëm i menaxhimit të riskut të sigurisë dhe
trajtimi i kësaj qështje përmes ndërtimit të Sistemit te Menaxhimit të Sigurise së
Informacionit (SMSI) bazuar në ISO27001/27002 siç përshkruhet në këtë punim do të
ndihmojë në përmbushjen e këtyre synimeve. Ky proces mund të përdoret në klinikat dhe
institucionet ekzistuese si dhe ato të reja. Procesi i menaxhimit të riskut përmes trajtimit
është i domosdoshëm dhe si i tillë ndikon në cilësinë e sigurisë së Sistemeve të
Informacionit në sektorin Shëndetësorë.
Cenimi i sigurisë së Sistemit të Informacionit në Shëndetësi është një rrezik në rritje.
Përgjatë tre viteve të fundit sulmet më të mëdha kibernetike kanë ndodhur pikërisht në
sektorin shëndetësorë. Është e qartë që cila do kornize me udhëzime të përdoret, siguria
absolute nuk mund të arrihet, sidoqoftë praktikat që ofrohen përmes standardit ISO
27001/27002 janë adekuate për implementimin e një sistemi të sigurte. Ndërtimi i SMSI’së
i bazuar ne ISO standarde ndihmon drejtpërdrejtë në sigurinë e Sistemeve të Informacionit
Shëndetësorë.
Përfitimet nga ndërtimi dhe implementimi i SMSI’së bazuar në ISO 27001/27002 janë të
tilla për faktin që përpos 114 kontrolleve të përcaktuara në standard, ISO lejon edhe
adoptimin e kontrolleve shtese (kontrolleve që nuk janë përcaktuar nga ISO) vetëm për të
realizuar objektivin përfundimtar, sigurinë e sistemeve dhe mbrojtjen e informacionit.
Bazuar në praktikat e ofruara në këtë punim, rekomandoj që këto praktika dhe
rekomandime të merren si mundësi për realizim nga Agjencia Shtetërore për Mbrojtjen e të
Dhënave Personale, Ministria e Shëndetësisë, Ministria e Drejtësisë, Institucionet
shëndetësore dhe palët tjera të interesit.
83
6.1.Problemet dhe Nevojat e Sigurisë së Informacionit në Shëndetësinë
Sot, për punonjësit e kujdesin shëndetësor, informacioni është i disponueshëm në periudhë
më të shpejtë dhe më të lehtë me anë të TI’së moderne; por përdorimi i TI përfshin
gjithashtu kërkesa të reja në ndërgjegjësimin e sigurisë së informacionit. Në vende të
ndryshme, e sidomos në shtetet e Evropës Perëndimore, Amerike e Kanada sjellja dhe
ndërveprimet e përdoruesve të sistemit po shtjellohet dhe po studiohen në thellësi. Këto
analiza përfshijnë gjëra të ndryshme që ndërlidhen me interaksionin e përdoruesve të
sistemit dhe sigurinë e këtyre sistemeve. Pronaret dhe menaxheret e klinikave shëndetësore,
rrallë herë apo fare merren me aspektin e sigurisë së informacionit shëndetësorë.
Rrjedhimisht ata nuk interesohen që stafi përgjegjës që merret me operimin e sistemeve të
informacionit (ata që fusin të dhënat dhe ata që i shfletojnë ato) të trajnohen për mënyrën e
përdorimit të sistemit, të vetëdijesohen për rëndësinë e të dhënave te ndjeshme personale,
etj.. Prandaj është e rëndësishme të analizohet procesi i punës për planifikimin e kujdesit
shëndetësor që përfshin operatoret e sistemit, mënyrën e operimit dhe kufijtë e kujdesit
shëndetësor. Studimet në të ardhmen duhet të bazohen në një analize të kësaj çështje.
6.2.Nevojat e Sigurisë
Meqë ka dallime në nivelet e sigurisë midis bartësve të kujdesit shëndetësorë në të dy
aspektet, sistemet dhe rrjetën, duhet të ngrihen pyetjet se si do të menaxhohet siguria kur të
ndërveprojnë sistemet njëri me tjetrin.
Është e nevojshme të sigurohet një nivel i lartë i edukimit në sektorin e sigurisë për
personat që merren me kujdesin shëndetësor të përfshirë në projekte të ndryshme të TI-së
në të ardhmen. Nëse organizatat\institucionet shëndetësorë nuk kanë kompetencë të
mjaftueshme në drejtim të sigurisë së informacionit ata do të duhet të lejojnë përfshirjen e
84
ekspertëve të tjerë (të jashtëm) të sigurisë kur krijojnë specifikimet e kërkesave për të
arritur zbatimin e suksesshëm të sigurisë në ndërtimin e sistemeve të kujdesin shëndetësor.
Nëse qështja e edukimin, trajnimeve dhe njoftimit mbi rreziqet dhe sigurinë e sistemeve
nuk merret seriozisht, atëherë gjithmonë i bie që pala e rrezikuar te jenë vetë pacientet.
Rrjedhimisht, përdoruesit e sistemit (punëtoret e qendrave klinike) janë faktor kritik në
aspektin e sigurisë së informacionit, andaj investimi në këtë burim është i domosdoshëm.
Tabela 5 paraqet sigurinë e nevojshme dhe masat që duhet të merren, si një përmbledhje e
nevojave të sigurisë së informacionit sipas analizave që kam bërë.
Siguria administrative Siguria teknike
- Politika të qarta legjislativë dhe në
aspektin e vetë sektorit të sigurisë.
- Fokus në menaxhimin e riskut.
- Punë e vazhdueshme me strategjitë
dhe politikat.
- Vetëdijesimi
- Komunikim dhe dialog mes aktorëve
dhe palëve të përfshira.
- Sektori shëndetësorë duhet të marrë
përgjegjësinë që i takon.
- Analizimi i proceseve
administrative/biznesore në
shëndetësi.
- Përmirësimi i zgjidhjeve teknike për
autorizim dhe autentikim.
- Konfigurimi i duhur, bazuar ne
praktikat më të mira dhe nevojat
momentale.
- Regjistrimi i aktiviteteve operuese
në sistem.
- Monitorimi i vazhdueshëm.
- Vlerësim i vazhdueshëm i Riskut.
Tabela 5 Paraqitja e sigurisë së nevojshme dhe masat që duhet të merren.
85
6.2.1. Siguria e Sistemeve të Informacionit- Hulumtimet në të ardhmen
Siguria e Sistemeve të Informacionit tek laboratorët farmaceutik
Në dritën e këtij studimi, hulumtimet rreth sigurisë në sektorin shëndetësorë duhet të
zgjerohen. Hulumtimet e ardhshme propozohet të orientohen në mbrojtjen e sistemeve te
informacionit brenda prodhuesve të barërave shëndetësorë, konkretisht kompanive
farmaceutike. Rreziku i një sulmi ndaj kompanive farmaceutike, tendenca për të sulmuar
bazat laboratorike ku behet përpunimi i barërave është një gjë tjetër tejet e ndjeshme që
rrezikon jetrat e shumë personave.
Zbatimi i rregullores GDPR në vendet që synojnë integrimin në BE.
Rregullorja për mbrojtjen e të dhënave personale njohur si GDPR përcakton se si të dhënat
personale individuale mund të përdoret apo trajtohen nga organizatat, bizneset dhe qeveria.
Gjersa vendet si Kosova, Shqipëria, Maqedonia, etj. synojnë integrimin në çadrën e
Bashkimit Evropian, ato duhet të përgatiten për të integruar në sistemin e tyre ligjor edhe
rregulloren GDPR. Zbatimi në praktik i GDPR ka implikime te ndryshme ligjore,
buxhetore dhe teknike për secilin shtet dhe institucion.
86
7. SHTOJCAT
7.1.Shtojca A: Matrica e Menaxhimit të Riskut
Tabela në vijim është një shembull i një matrice produktive që ndihmon në menaxhimin e
sigurisë dhe rrjedh si rezultat i vlerësimit të riskut që mund të përdorët ne vlerësimin e
sigurisë për Sistemin e Informacionit shëndetësorë.
Nr. Shkaktaret,
faktorët
kontribuues
Rreziku
fillestar
Lloji i Kontrollit të
Riskut dhe Mitigimi
Referuar në
Specifika të
detajuara
Referuar ne
verifikim dhe
validim të
raporteve
Rreziku i
mbetur
Tabela 6 Ekzemplare- matrice për menaxhimin e riskut.
87
7.2.Shtojca B: GDPR
Çfarë është (General Data Protection Regulation) GDPR?
Rregullorja për mbrojtjen e të dhënave personale njohur si GDPR përcakton se si të dhënat
personale individuale mund të përdoret apo trajtohen nga organizatat, bizneset dhe qeveria.
Kjo rregullore gjithashtu përmban masa mbrojtëse që tentojnë të sigurojnë të dhënat e
kujdesit shëndetësor dhe sigurojnë ndjeshmërinë e tyre ndaj sulmit, keqpërdorimit ose
përvetësimit të këtyre të dhënave [33].
Neni 22 i GDPR përcakton kornizën e përgjithshëm se si mund të përdoren 'të dhëna të
ndjeshme' dhe gjithashtu lejon Shtetet Anëtare të vendosin kushte të reja (kushte shtesë) në
lidhje me të dhënat shëndetësore, biometrike dhe gjenetike.
Siç dihet, keqpërdorimi i të dhënave të kujdesit shëndetësor të një individi apo keq
menaxhimi i rregulloreve qe ndërlidhet me këto të dhëna mund të rezultojë me pasoja
ndëshkuese serioze dhe afatgjata.
GDPR përfundimisht u aprovua ne Prill të 2016 me qëllimin qe të ketë një rregullore me
politikat e aplikueshme ne tërë Bashkimin Evropian. Kjo rregullore ka implikime të
rëndësishme jo vetëm për BE-në, por edhe për ato shtete që nuk janë në BE, si dhe për
shtetet dhe organizatat që shkëmbejnë komunikim elektronik apo zhvillojnë biznes me
individët, kompanitë dhe organizatat brenda BE’së [32].
Përveç kësaj në disa shtete instanca të ndryshme të GDPR lejojnë që shtetet anëtarë të
BE’se të paraqesin dispozita kombëtare specifike qe afektojnë një rang të gjerë
organizatave duke përshirë edhe ato të sektorit shëndetësore.
GDPR synon të sigurojë privatësinë e individëve me anë të dizajnit të paracaktuar qe do të
thotë që masat e mbrojtjes së të dhënave duhet të jenë zbatuara në të gjitha aktivitetet e
përpunimit.
88
Kornizën për mbrojtjen e të dhënave personale (The General Data Protection Regulation
(GDPR) (Regulation (EU) 2016/679) e hartuara dhe të aprovuara nga Parlamenti Evropian
ka hyr në fuqi nga 25 Maji 2018 [32].
Korniza e GDPR trajton çështje të ndryshme ne aspektin e të dhënave personale gjithnjë
duke u referuar dy akterve: Data Controller (Kontrollorët e të dhënave) dhe Data Procesor
(Procesuesit e të dhënave).
Data Controller- secili person, organizatë apo shoqëri që përcakton se si dhe për çfarë
qëllimi procesohen të dhënat personale. Në shumë raste, mund të jetë një pale e tretë, që
mund të procesojë të dhënat në emër të kontrollorit, edhe pse edhe në këtë raste
përgjegjësia bie mbi direkt mbi kontrollorin e të dhënave.
Data Processor- secili person që proceson të dhëna personale për një (data controller)
kontrollor të të dhënave, përveç punonjësit të kontrollorit. P.sh. Burimet Njerëzorë dhe
Departamenti i TI’së që janë të kontraktuar si “outsourced” mund të konsiderohen si
procesues [33].
Kush është i afektuar nga GDPR?
Siç është përmendur më lart, kushdo në BE që kontrollon të dhënat dhe / ose ndërmerr
përpunimin e të dhënave do të jetë i detyruar që ti nënshtrohet rregullave të GDPR. Kjo
përfshin sektorin e kujdesit shëndetësor dhe gjithashtu ndikon në organizatat jashtë BE-së.
Përveç kësaj, GDPR mban përgjegjësi dhe detyrime të zgjeruara për kontrolluesit dhe
përpunuesit e të dhënave. Kontrollorët do të duhet të krijojnë ose të ndryshojnë masat
teknike dhe organizative për të siguruar dhe vërtetuar se përpunimi i të dhënave personale
përputhet plotësisht me kërkesat e GDPR. Mënyra se si zbatohen politikat e mbrojtjes së të
dhënave do të jetë e rëndësishme. Procesorëve do t'u kërkohet të mbajnë shënime për të
gjitha aktivitetet e tyre të përpunimit dhe të kenë gatishmërinë e dhënies së informacionit
për këtë informacion për të treguar pajtueshmërinë. Për më tepër, përpunimi në emër të një
89
kontrollori duhet të përcaktohet në një kontratë ose në një tjetër "akt ligjor", sipas kritereve
të artikuluar në GDPR. Sektori i kujdesit shëndetësor do të duhet të ndërmarrë një qasje më
holistike në menaxhimin e të dhënave. Nëse bëhet siç duhet, barra do të zbutët nga
shpërblimi i ditur se ku janë të dhënat dhe ku shkojnë ato, duke mundësuar kështu praktikën
e mirë të pajtueshmërisë dhe rrezikun e zvogëluar [33].
90
Referencat
[1] Hiroharu Kawanaka, Koji Yamamoto, Haruhiko Takase and Shinji Tsuruoka (2012).
Document Image Processing for Hospital Information Systems, Modern Information
Systems, Dr. Christos Kalloniatis (Ed.), InTëch, DOI: 10.5772/37400.
https://www.intëchopen.com/books/modern-information-systëms/document-image-
processing-for-hospital-information-systems
[2] Mark Rhodes-Ousley (2013). Information Security, The Complete Reference, Second
Edition, The McGraw-Hill Companies ISBN: 978-0-07-178436-8, MHID: 0-07-178436-5.
[3] Anderson, Robert, and Richard Brackney (2004). Understanding the Insider Threat.
Rand Corp,
[4] EC (1997) Directive 97/66/CE of the European Parliament and of the Council of IS on:
"the Treatment of the personal data and privacy protection on the telecommunications
sector ", December 15, 1997, Official Journal. [online] http://eur-lex.europa.eu/legal-
contënt/EN/TXT/PDF/?uri=CELEX:31997L0066&from=EN
[5] Computer Forensics: Incident Response Essentials, (2011.) Addison-Wesley. Kruse,
Warren, and Jay Heiser.
[6] Maras, Marie-Helen. Computer Forensics: Cybercriminals, Laws, and Evidence (2011).
Jones & Bartlett Learning.
[7] National Institute of Standards and Technology (Nëntor 2004)-. Special Publication
800-72: Guidelines on PDA Forensics. Wayne Jansen and Rick Ayers,
http://csrc.nist.gov/publications/nistpubs/800-72/sp800-72.pdf.
91
[8] The top InfoSec considerations for healthcare organizations today, Nate Lord (Korrik
2017). https://digitalguardian.com/blog/healthcare-information-security-top-infosec-
considerations-healthcare-organizations-today healthcare information security.
[9] Virus infects MedStar Health system’s computers, forcing an online shutdown
By John Woodrow Cox, Karen Turner and Matt Zapotosky (Mars 2016),
https://www.washingtonpost.com/local/virus-infects-medstar-health-systëms-computërs-
hospital-officials-say/2016/03/28/480f7d66-f515-11e5-a3ce-
f06b5ba21f33_story.html?utm_tërm=.7435108570d8.
[10] Information Security Management:ISO Survey (Janar 2013) World distribution of
ISO/IEC 27001 certificates in 2013 - Information security management.
http://www.iso.org/iso/home/standards/certification/iso-
survey.htm?certificatë=ISO/IEC%2027001&countrycode=HR#countrypick.
[11] ISO/IEC Guide 73 (2016), Risk management — Vocabulary — Guidelines for use in
standards.
[12] Walsh, Tom; Miaoulis, William M. "Privacy and Security Audits of Electronic Health
Information (Mars 2014)" Journal of AHIMA 85, no.3,54-59.
[13] Ministria e Shëndetësisë (Mars 2011) - Strategjia për Sistemin e Informimit
Shëndetësor në Kosovë 2010 - 2020 koncepti i SISH-it të ri elektronik dhe të intëgruar.
[14 ]Northwestërn University Information Tëchnology, (Gusht 2014). Information Systëms
Security Plan/Practices, Ronald Gault Consulting, LLC and NUIT Information and Systëms
Security/Compliance.
[15] MedStar Health Turns Away Patients After Likely Ransomware Cyberattack (Mars
2016). Washington Post [online], shkarkuar me 05/11/17 nga
92
https://www.washingtonpost.com/local/medstar-health-turns-away-patients-one-day-aftër-
cyberattack-on-its-computërs/2016/03/29/252626ae-f5bc-11e5-a3ce-
f06b5ba21f33_story.html?utm_tërm=.db23ab524b05.
[16] Bitcoin Intensifies Pain for Some as Ransom Demands Skyrocket (Dhjetor 2017), By
Sonali Basak and Jennifer Surane, https://www.bloomberg.com/news/articles/2017-12-
21/bitcoin-intënsifies-pain-for-some-as-ransom-demands-skyrocket.
[17] Gjendja e Sigurisë së të dhënave shëndetësore në Kosovë (Korrik 2017). Kërkime
individuale në gazetën zyrtare të Qeverise së Republikes së Kosoves dhe Ministrinë e
Shëndetësisë.
[18] Health informatics - Information security management in health using ISO/IEC 27002
(ISO 27799:2008), (Korrik 2008) BSI - British Standards Institution,
http://tc215.behdasht.gov.ir/uploads/244_514_ISO%2027799_2008%20.pdf.
[19] Implementing information security in healthcare Herzig (2013), Terrell W., Walsh,
Tom. and Tuleya, Lisa Gallagher. Chicago, IL: Healthcare Information and Management
Systëms Society.
[20] Information Governance for Hospitals Approaching information as a strategic aset
(Shkurt 2016). Lee Ann Jarousse, https://www.hhnmag.com/articles/6956-information-
governance-for-hospitals.
[21] Electronic health records (29 Mars 2012). Healthcare Information and Management
Systems (http://www.himss.org/asp/topics_ehr.asp,
[22] Chronicle of Data Protëction, Health Company, (Mars 2017). Fined by UK’s
Information Commissioner Office
https://www.hldataprotëction.com/2017/03/articles/intërnational-eu-privacy/health-
93
company-fined-by-uks-information-commissioner-office/ By Victoria Hordern Posted in
International/EU Privacy.
[23] Security Health Breach Fears, (Mars2017).
http://www.telegraph.co.uk/news/2017/03/17/security-breach-fears-26-million-nhs-patients.
[24] Report: Healthcare Sector Hit Hard in 2016 by Data Breaches, (Janar 2017).
https://www.healthcare-informatics.com/news-item/cybersecurity/report-healthcare-sector-
hit-hard-2016-data-breaches.
[25] Information Security Risk Management for Healthcare Systëms, (Tëtor 2007). Joint
NEMA/COCIR/JIRA Security and Privacy Committëe (SPC)
http://www.medicalimaging.org/wp-contënt/uploads/2011/02/Information-Security-Risk-
Management-for-Healthcare-Systëms.pdf.
[26] Impact of Electronic Health Record Systëms on Information Integrity: Quality and
Safety Implications Sue Bowman, (Tetor 2013). MJ, RHIA, CCS, FAHIMA, PMCID:
PMC3797550 https://www.ncbi.nlm.nih.gov/pmc/articles/PMC3797550.
[27] Contractors, Hackers and Regulators all Pose Data Breach Risks for Healthcare
Providers, (Tëtor 2014).
https://www.beazley.com/documents/2014/035_Healthcare_databreaches.pdf
[28] Health data breach risks can appear in numerous ways, including through relationships
with contractors and from lacklustër BYOD policies, (Tetor 2014).
https://healthitsecurity.com/news/greatëst-health-data-breach-risk-providers
http://breachlevelindex.com/data-breach-database.
94
[29] Attacks on health care: The rise of ransomware, crafty hackers and health data
destruction, (Tëtor 2015). http://www.healthcareitnews.com/news/rise-ransomware-
hackers-health-data-destruction-privacy-security.
[30] World Health Organization, Regional Office for the Westërn Pacific Unitëd Nations
Avenue 1000 Manila, Philippines Fax No : (63-2) 521-1036 Tël. No : (63-2) 528 8001
Email : postmastë[email protected] Websitë: http://www.wpro.who.int ISBN 92 9061 050 6,
http://phinnetwork.org/wp-contënt/uploads/Improving_Data_Quality.pdf
[31] Information Risk Assessment Methodology 2 (IRAM2), (2016.) Information Security
Forum, https://www.securityforum.org/consultancy/risk-assessment-iram2/.
[32] The General Data Protëction Regulation (GDPR), (Prill 2016). (Regulation (EU)
2016/679)EU Parliament, https://www.eugdpr.org/.
[33] Regulation (eu) 2016/679 of the european parliament and of the council, (Prill 2016).
http://ec.europa.eu/justice/data-protëction/reform/files/regulation_oj_en.pdf.
[34] Ethridge, D.E. (2004) “Research Methodology in Applied Economics” John Wiley &
Sons, fq.24
[35] Fox, W. & Bayat, M.S. (2007) “A Guide to Managing Research” Juta Publications,
fq.45
[36] Ligji mbi mbrojtjen e te dhënave personale No.9887 (10.03.2008)
http://www.institutemedia.org/Documents/PDF/Law%20on%20protection%20of%20perso
nal%20data.pdf
[37] Agjencia Shtetërore për Mbrojtjen e te Dhënave Personale, http://www.amdp-rks.org/
[38] What is the difference between ISO/IEC 27001 and ISO/IEC 27002?,
https://pecb.com/article/what-is-the-difference-between-isoiec-27001-and-isoiec-27002
95
[39] Iso 27001 Certification proces, https://linfordco.com/blog/soc-2-security-vs-iso-
27001-certification/
[40] M. Huber, A. Sunyaev and H. Krcmar, “SECURITY ANALYSIS OF THE HEALTH
CARE TELEMATICS INFRASTRUCTURE IN GERMANY” Chair for Information
Systems, Technische Universit¨at M¨unchen, Germany.
[41] ISO/IEC 17799:2005, „Code of practice for information security management’.
www.iso.org.
[42] ISO 31000:2018, Risk management – Guidelines, https://www.iso.org/iso-31000-risk-
management.html
[43] James a o' Brien, George, B. Marakas 7th edition, 2007 Management Information
Systems.
