Požadavky na bezpečnost dat ve zdravotnictví

6 minut čtení 18. 7. 2017 Zbyněk Malý, Senior Security Consultant společnosti ANECT Vyšlo v titulu Medical Tribune

A další řadu informací, které by nebylo vhodné zveřejňovat. Jakým způsobem jsou tyto informace chráněny a jak je tato ochrana upravena zákonem?

Z poměrně nedávné minulosti jsou známy případy, kdy došlo k úniku zdravotních záznamů stovek a tisíců pacientů v papírové podobě. Ano, mám na mysli „vyhozené“ kartotéky lékařů, které byly po ukončení jejich praxe nalezeny u kontejnerů s odpadem. Možná si pomyslíte, že podobné případy se v budoucnu jen těžko mohou opakovat, neboť většina záznamů je a bude uchovávána elektronicky. Právě elektronická forma ovšem může být velmi riziková a zranitelná.

Nedávno jsem absolvoval odborné vyšetření v jednom menším zdravotnickém zařízení. Při odeslání na rentgen mi lékař podal flash disk s tím, že mi na něj snímek bude nahrán. Již tento zdánlivě banální úkon v sobě skrývá značné bezpečnostní riziko. Co by totiž zabránilo útočníkovi doplnit na tento disk tajný špionážní software, který bude odesílat definované informace někam ven pomocí internetu? Dále není pochyb o tom, že počítač daného doktora je připojený do internetu, neboť jak jinak by komunikoval například s několika zdravotními pojišťovnami. To samozřejmě představuje další potenciální bezpečnostní problém.

Skutečnost, že v Česku doposud nebyl zveřejněn žádný masový únik elektronické zdravotnické dokumentace, ještě není důkazem toho, že k němu již nedošlo. V zahraničí, kde se podobné úniky zveřejňují asi poctivěji, patří zdravotnictví mezi nejčastěji napadané sektory s největším množstvím zneužívaných informací. Typickým příkladem jsou různé malwarové kampaně (např. vyděračské viry WannaCry, Petya atd.), které v poslední době velmi často napadají nebo jsou směrovány právě na nemocnice, zdravotní pojišťovny apod. Je nutné upozornit, že útočnické a vyděračské taktiky se rychle vyvíjejí, kromě hrozby zničení či zašifrování dat se objevuje i hrozba jejich zveřejnění (např. u citlivých fotografií, chorobopisů) nebo jiného zneužití.

Ochrana osobních údajů v českém zdravotnictví je v současné době kromě resortní legislativy (např. zákon č. 372/2011 Sb., o zdravotních službách, řešící mimo jiné i vedení zdravotnické dokumentace elektronickým způsobem) upravena zejména zákonem na ochranu osobních údajů (zákon č. 101/2000 Sb.), který řeší ochranu osobních údajů zpracovávaných prostředky automatizovaného zpracování.

Dalším zákonem, který upravuje povinnost ochrany informací, je zákon č. 181/2014 Sb., o kybernetické bezpečnosti. V tomto zákoně najdeme mimo jiné pojem kritická informační infrastruktura, tedy systém, u něhož by narušení jeho funkce mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu.

Bohužel v rámci nařízení vlády byly nastavením parametru minimálního počtu lůžek na číslo 2 500 všechny nemocnice v Česku z působnosti tohoto zákona vyjmuty. To se ovšem brzy změní.

Na úrovni EU byla nedávno přijata směrnice „Network and Information Security“, na kterou musela ČR reagovat novelizací zákona o kybernetické bezpečnosti. Z pohledu zdravotnictví se zde vyskytuje nová skupina subjektů, tzv. poskytovatelé základních služeb. Kritéria pro určení subjektu jako poskytovatele základní služby budou upravena návaznou směrnicí, přičemž v jejím návrhu jsou definována zdravotnická zařízení s počtem lůžek vyšším než 500. V připravované novele vyhlášky č. 316/2014 Sb. (prováděcí vyhláška k zákonu o kybernetické bezpečnosti) bude mimo jiné definován minimální rozsah bezpečnostních opatření (technologických i procesních), která budou zdravotnická zařízení muset implementovat a plnit.

Poskytovatel základní služby bude určován Národním centrem pro kybernetickou bezpečnost. Po jeho určení musí daná společnost, tedy i určené zdravotnické zařízení, do jednoho roku implementovat patřičná bezpečnostní opatření podle vyhlášky č. 316/2014 Sb. Doporučuji proto sledovat vydání vyhlášky o určovacích kritériích pro poskytovatele základních služeb a v případě, že bude daná společnost kritéria splňovat, se začít připravovat na postupnou implementaci bezpečnostních opatření ještě před tím, než proběhne proces určení dané společnosti.

V roce 2016 byla dále schválena Národní strategie elektronického zdravotnictví, která definuje teze pro zabezpečení dat v tomto odvětví. V tomto případě sice nejde o zákonnou normu, ale na jejím základě budou vycházet novely resortní legislativy, tedy zákonů a vyhlášek ministerstva zdravotnictví. Jedná se například o:

jasnou identifikaci, autentizaci a autorizaci zdravotnických pracovníků – nově tak vznikne centrální služba, která bude na základě přihlašovacích údajů s dostatečnou bezpečností (např. pomocí ID karty) jednoznačně identifikovat zdravotníka a stupeň jeho vzdělání, a tím úroveň přístupu k údajům;
zprovoznění autoritativních zdrojů dat – Národního registru zdravotnických pracovníků (NRZP) a Národního registru poskytovatelů zdravotních služeb (NRPZS), čímž se umožní získat informace o konkrétním zdravotnickém pracovníkovi a poskytovateli zdravotních služeb a definovat mu na základě toho rozsah oprávnění v systému elektronického zdravotnictví;
vybudovaní bezpečné komunikační infrastruktury zajišťující výměnu zdravotnických informací a využívání služeb elektronického zdravotnictví; to jednak umožní jednoznačnou identifikaci komunikujících stran, jednak zajistí bezpečný přenos zpráv a souborů včetně bezpečného přenosu obrazové dokumentace.

Další legislativou, kterou budou muset plnit všechna zdravotnická zařízení, je nařízení EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (tzv. nařízení GDPR). Implementace GDPR spočívá zjednodušeně v tom, že si daná organizace (nemocnice, klinika či např. zdravotní pojišťovna) dokáže stoprocentně odpovědět na následující otázky:

Víte opravdu o všech osobních údajích, které zpracováváte?
Můžete s jistotou uvést, proč a jak tyto údaje zpracováváte?
Máte ke všem údajům relevantní právní titul, tedy zákonný důvod, nebo souhlas subjektu?
Můžete s jistotou uvést, kde jsou tyto osobní údaje uloženy, jak jsou zpracovávány a kdo a proč k nim přistupuje?
Máte jistotu, že dokážete splnit všechny požadavky GDPR, např. právo na přístup a výmaz, trvalou ochranu informací, hlášení incidentu do 72 hodin aj.?

Zdravotnická zařízení si tedy v první řadě budou muset uvědomit, co všechno patří mezi osobní údaje – za osobní údaj se považují například i e‑mailové a IP adresy, historie navštívených stránek, cookies, komentáře na blozích nebo fotografie. Dále musejí provést důkladnou inventuru všech zpracovávaných osobních údajů jak z pohledu IT, tak i z pohledu interních procesů; jasně definovat účel, za kterým dané osobní údaje zpracovávají a jak dlouho mohou tyto údaje uchovávat (ideálně zákonný požadavek). Na závěr potom provést analýzu rizik při zpracovávání osobních údajů a na jejím základě aplikovat patřičná bezpečnostní opatření. Související kroky pak budou spočívat v plnění mnoha dalších požadavků GDPR, jako např. právo na výmaz, systém hlášení incidentů, nutnost existence pověřence pro ochranu osobních údajů (DPO) apod. Jde o relativně jednoduché otázky, nicméně k poctivým stoprocentním odpovědím bude asi složitá cesta. A pozor, nezbývá mnoho času: GDPR musí být plně implementováno do 25. května příštího roku.

Zdroj: MT

Denní zprávy IMPORT: tituly

Požadavky na bezpečnost dat ve zdravotnictví

Doporučené

Královéhradecký kraj řeší v kardiologii hlavně dlouhé čekací doby

Prevence a terapie srdečního selhání

Fórum: Jak se nemocnice popasovaly s limity přesčasů?

VZP i v roce 2024 nabízí svým smluvním partnerům Motivační program VZP PLUS

Obsah je určen odborným pracovníkům ve zdravotnictví. Informace nejsou určeny pro laickou veřejnost.