Stránky jsou určené odborníkům ve zdravotnictví.
Pátek 18. srpen 2017 | Svátek má Helena
  |  Politika  |  Komentáře  |  Finance  |  Kongresy  |  Z regionů  |  Tiskové zprávy  |  Legislativa  |  Rozhovory  |  

INFORMACE

PŘIHLÁŠENÍ
Registrovaný e-mail:
Heslo:
 

Požadavky na bezpečnost dat ve zdravotnictví

Foto: Shutterstock

Požadavky na bezpečnost dat ve zdravotnictví

Medical Tribune 15/2017
18.07.2017 15:10
Zdroj: MT
Autor: Zbyněk Malý, Senior Security Consultant společnosti ANECT
Zdravotnická zařízení každodenně zpracovávají patrně vůbec nejcitlivější druh osobních údajů – údaje o zdravotním stavu pacientů. V papírové i elektronické podobě zde můžeme najít nejen záznamy o zdravotních potížích, způsobech léčby a předepsaných lécích, ale i záznamy o užívání drog či alkoholu.

A další řadu informací, které by nebylo vhodné zveřejňovat. Jakým způsobem jsou tyto informace chráněny a jak je tato ochrana upravena zákonem?

Z poměrně nedávné minulosti jsou známy případy, kdy došlo k úniku zdravotních záznamů stovek a tisíců pacientů v papírové podobě. Ano, mám na mysli „vyhozené“ kartotéky lékařů, které byly po ukončení jejich praxe nalezeny u kontejnerů s odpadem. Možná si pomyslíte, že podobné případy se v budoucnu jen těžko mohou opakovat, neboť většina záznamů je a bude uchovávána elektronicky. Právě elektronická forma ovšem může být velmi riziková a zranitelná.

Nedávno jsem absolvoval odborné vyšetření v jednom menším zdravotnickém zařízení. Při odeslání na rentgen mi lékař podal flash disk s tím, že mi na něj snímek bude nahrán. Již tento zdánlivě banální úkon v sobě skrývá značné bezpečnostní riziko. Co by totiž zabránilo útočníkovi doplnit na tento disk tajný špionážní software, který bude odesílat definované informace někam ven pomocí internetu? Dále není pochyb o tom, že počítač daného doktora je připojený do internetu, neboť jak jinak by komunikoval například s několika zdravotními pojišťovnami. To samozřejmě představuje další potenciální bezpečnostní problém.

Skutečnost, že v Česku doposud nebyl zveřejněn žádný masový únik elektronické zdravotnické dokumentace, ještě není důkazem toho, že k němu již nedošlo. V zahraničí, kde se podobné úniky zveřejňují asi poctivěji, patří zdravotnictví mezi nejčastěji napadané sektory s největším množstvím zneužívaných informací. Typickým příkladem jsou různé malwarové kampaně (např. vyděračské viry WannaCry, Petya atd.), které v poslední době velmi často napadají nebo jsou směrovány právě na nemocnice, zdravotní pojišťovny apod. Je nutné upozornit, že útočnické a vyděračské taktiky se rychle vyvíjejí, kromě hrozby zničení či zašifrování dat se objevuje i hrozba jejich zveřejnění (např. u citlivých fotografií, chorobopisů) nebo jiného zneužití.

Ochrana osobních údajů v českém zdravotnictví je v současné době kromě resortní legislativy (např. zákon č. 372/2011 Sb., o zdravotních službách, řešící mimo jiné i vedení zdravotnické dokumentace elektronickým způsobem) upravena zejména zákonem na ochranu osobních údajů (zákon č. 101/2000 Sb.), který řeší ochranu osobních údajů zpracovávaných prostředky automatizovaného zpracování.

Dalším zákonem, který upravuje povinnost ochrany informací, je zákon č. 181/2014 Sb., o kybernetické bezpečnosti. V tomto zákoně najdeme mimo jiné pojem kritická informační infrastruktura, tedy systém, u něhož by narušení jeho funkce mělo závažný dopad na bezpečnost státu, zabezpečení základních životních potřeb obyvatelstva, zdraví osob nebo ekonomiku státu.

Bohužel v rámci nařízení vlády byly nastavením parametru minimálního počtu lůžek na číslo 2 500 všechny nemocnice v Česku z působnosti tohoto zákona vyjmuty. To se ovšem brzy změní.

Na úrovni EU byla nedávno přijata směrnice „Network and Information Security“, na kterou musela ČR reagovat novelizací zákona o kybernetické bezpečnosti. Z pohledu zdravotnictví se zde vyskytuje nová skupina subjektů, tzv. poskytovatelé základních služeb. Kritéria pro určení subjektu jako poskytovatele základní služby budou upravena návaznou směrnicí, přičemž v jejím návrhu jsou definována zdravotnická zařízení s počtem lůžek vyšším než 500. V připravované novele vyhlášky č. 316/2014 Sb. (prováděcí vyhláška k zákonu o kybernetické bezpečnosti) bude mimo jiné definován minimální rozsah bezpečnostních opatření (technologických i procesních), která budou zdravotnická zařízení muset implementovat a plnit.

Poskytovatel základní služby bude určován Národním centrem pro kybernetickou bezpečnost. Po jeho určení musí daná společnost, tedy i určené zdravotnické zařízení, do jednoho roku implementovat patřičná bezpečnostní opatření podle vyhlášky č. 316/2014 Sb. Doporučuji proto sledovat vydání vyhlášky o určovacích kritériích pro poskytovatele základních služeb a v případě, že bude daná společnost kritéria splňovat, se začít připravovat na postupnou implementaci bezpečnostních opatření ještě před tím, než proběhne proces určení dané společnosti.

V roce 2016 byla dále schválena Národní strategie elektronického zdravotnictví, která definuje teze pro zabezpečení dat v tomto odvětví. V tomto případě sice nejde o zákonnou normu, ale na jejím základě budou vycházet novely resortní legislativy, tedy zákonů a vyhlášek ministerstva zdravotnictví. Jedná se například o:

  • jasnou identifikaci, autentizaci a autorizaci zdravotnických pracovníků – nově tak vznikne centrální služba, která bude na základě přihlašovacích údajů s dostatečnou bezpečností (např. pomocí ID karty) jednoznačně identifikovat zdravotníka a stupeň jeho vzdělání, a tím úroveň přístupu k údajům;
  • zprovoznění autoritativních zdrojů dat – Národního registru zdravotnických pracovníků (NRZP) a Národního registru poskytovatelů zdravotních služeb (NRPZS), čímž se umožní získat informace o konkrétním zdravotnickém pracovníkovi a poskytovateli zdravotních služeb a definovat mu na základě toho rozsah oprávnění v systému elektronického zdravotnictví;
  • vybudovaní bezpečné komunikační infrastruktury zajišťující výměnu zdravotnických informací a využívání služeb elektronického zdravotnictví; to jednak umožní jednoznačnou identifikaci komunikujících stran, jednak zajistí bezpečný přenos zpráv a souborů včetně bezpečného přenosu obrazové dokumentace.

Další legislativou, kterou budou muset plnit všechna zdravotnická zařízení, je nařízení EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (tzv. nařízení GDPR). Implementace GDPR spočívá zjednodušeně v tom, že si daná organizace (nemocnice, klinika či např. zdravotní pojišťovna) dokáže stoprocentně odpovědět na následující otázky:

  • Víte opravdu o všech osobních údajích, které zpracováváte?
  • Můžete s jistotou uvést, proč a jak tyto údaje zpracováváte?
  • Máte ke všem údajům relevantní právní titul, tedy zákonný důvod, nebo souhlas subjektu?
  • Můžete s jistotou uvést, kde jsou tyto osobní údaje uloženy, jak jsou zpracovávány a kdo a proč k nim přistupuje?
  • Máte jistotu, že dokážete splnit všechny požadavky GDPR, např. právo na přístup a výmaz, trvalou ochranu informací, hlášení incidentu do 72 hodin aj.?

Zdravotnická zařízení si tedy v první řadě budou muset uvědomit, co všechno patří mezi osobní údaje – za osobní údaj se považují například i e‑mailové a IP adresy, historie navštívených stránek, cookies, komentáře na blozích nebo fotografie. Dále musejí provést důkladnou inventuru všech zpracovávaných osobních údajů jak z pohledu IT, tak i z pohledu interních procesů; jasně definovat účel, za kterým dané osobní údaje zpracovávají a jak dlouho mohou tyto údaje uchovávat (ideálně zákonný požadavek). Na závěr potom provést analýzu rizik při zpracovávání osobních údajů a na jejím základě aplikovat patřičná bezpečnostní opatření. Související kroky pak budou spočívat v plnění mnoha dalších požadavků GDPR, jako např. právo na výmaz, systém hlášení incidentů, nutnost existence pověřence pro ochranu osobních údajů (DPO) apod. Jde o relativně jednoduché otázky, nicméně k poctivým stoprocentním odpovědím bude asi složitá cesta. A pozor, nezbývá mnoho času: GDPR musí být plně implementováno do 25. května příštího roku.



Copyright © 2000-2017 MEDICAL TRIBUNE CZ, s.r.o. a dodavatelé obsahu (ČTK).
All rights reserved.  Podrobné informace o právech.  Prohlášení k souborům cookie.  

Jste odborný pracovník ve zdravotnictví?

Tyto stránky jsou určeny odborným pracovníkům ve zdravotnictví. Informace nejsou určeny pro laickou veřejnost.

Potvrzuji, že jsem odborníkem ve smyslu §2a Zákona č. 40/1995 Sb., o regulaci reklamy, ve znění pozdějších předpisů, čili osobou oprávněnou předepisovat léčivé přípravky nebo osobou oprávněnou léčivé přípravky vydávat.
Beru na vědomí, že informace obsažené dále na těchto stránkách nejsou určeny laické veřejnosti, nýbrž zdravotnickým odborníkům, a to se všemi riziky a důsledky z toho plynoucími pro laickou veřejnost.
Pro vstup na webové stránky je potřeba souhlasit s oběma podmínkami.
ANO
vstoupit
NE
opustit stránky