Stránky jsou určené odborníkům ve zdravotnictví.
Pátek 22. březen 2019 | Svátek má Leona
  |  Politika  |  Komentáře  |  Finance  |  Kongresy  |  Z regionů  |  Tiskové zprávy  |  Legislativa  |  Rozhovory  |  

INFORMACE

PŘIHLÁŠENÍ
Registrovaný e-mail:
Heslo:
 

Lékový záznam a jeho rizika očima programátora

Foto: Shutterstock

Lékový záznam a jeho rizika očima programátora

Medical Tribune 01/2019
09.01.2019 11:10
Zdroj: MT
Autor: Ing. Petr Hlaváček
Do lékového záznamu pacienta bude moci nahlížet každý lékař, který zná číslo občanského průkazu pacienta. To kritizuje softwarový inženýr Ing. Petr Hlaváček. Pochybností o bezpečnosti systému eReceptu má víc. „Překonání hesla do průvodky receptu je možné na mém notebooku hrubou silou za sedm minut“, píše Hlaváček.

Poslanecká sněmovna projednává sněmovní tisk 302, novelu zákona o léčivech. Jako občan se zájmem o zdravotnictví a zdravotnickou informatiku jsem se rozhodl také vstoupit do veřejné debaty. Některé z výroků pana ministra Mgr. Adama Vojtěcha v rozpravě k tisku v prvním čtení považuji minimálně za zavádějící. Na úvod se pokusím na ně reagovat.

Výrok první „Vztah pacienta a lékaře lze odvodit od vyzvednutého receptu, který lékař předepsal.“

Není to tak, že do lékového záznamu bude mít přístup jakýkoliv lékař v České republice, když si usmyslí. Tam musí být určitý vztah mezi lékařem a pacientem. A ten vztah se definuje dvěma způsoby. Buď, že lékař musí předepsat pacientovi aspoň jeden recept a ten recept musí být taktéž vydán…“

Tento výrok považuji za velmi problematický, protože při výdeji léku v lékárně se nezkoumá identita osoby, která lék vyzvedává. Nic tedy nebrání předepisujícímu lékaři, který recept vystavil, si recept i vyzvednout. K tomu bych ještě dodal, že pokud lékař předepisuje lék na formu úhrady „P“, tedy přímá platba pacientem, tak ani nemusí znát číslo pojištěnce, stačí znát datum narození. Jsem přesvědčen, že pro žádného lékaře nebude problém takto vystavit lék například předsedkyni petičního výboru sněmovny prof. JUDr. Heleně Válkové, CSc., protože její datum narození je dnes již veřejná informace a posléze v některé z lékáren vyzvednout.

Výrok druhý „Vztah pacienta a lékaře lze odvodit od znalosti čísla občanského průkazu.“

„…Anebo po předložení občanského průkazu tím pacientem, který vysloví souhlas s nahlédnutím do lékového záznamu. To znamená, skutečně tam musí být tento vztah řekněme ošetřujícího lékaře skutečně a jeho pacienta.“

Tento výrok v podstatě tvrdí, že když lékař zná číslo občanského průkazu, tak má souhlas pro nahlížení do lékového záznamu. Vzhledem k tomu, že jsem v prezidentské volbě podepsal prezidentskému kandidátu MUDr. Marku Hilšerovi arch, aby se mohl stát kandidátem, znamená to, že má automaticky můj souhlas nahlížet do lékového záznamu? Co mu v tom bude bránit? Dále jsem se jednou setkal s tím, že jsme museli nahlásit číslo pasu do cestovní kanceláře kvůli pojištění do zahraničí apod. Jakou máme jistotu, že tato čísla neposkytnou nějakému lékaři?

Výrok třetí „Data o pacientech již schraňují zdravotní pojišťovny, další schraňování v SUKL není nic nového.“

„To, že dnes data o pacientech jsou a jsou používána už řadu let, je prostě pravdou a na tom nic nemění ani lékový záznam. Dneska všechna ta data, o kterých se tady bavíme, už mají zdravotní pojišťovny každého z nás. A nemyslím si, že zde dochází k nějakému zásadnímu zneužití.“

Výrok je v jádru pravdivý. Ano zdravotní pojišťovny uchovávají enormní množství našich citlivých dat. Nemohu ale s tvrzením souhlasit plně. Prvním rozdílem je to, že pojišťovny neevidují léky a výkony provedené mimo systém veřejného zdravotního pojištění např. přímo hrazené (což eRecept eviduje). Druhý rozdíl je v tom, že nejsou všechna data „na jedné hromadě“. Únik dat z jedné pojišťovny neohrozí všechny pacienty. U VZP by bylo postiženo 5,9 milionů pojištěnců, u ZPMV asi 1,29 milionu pojištěnců atd. Další rozdíl, který vnímám, je ten, že existuje „únikový scénář“. Pokud se jedna pojišťovna dostane do problémů, může pojištenec přejít k jiné a nepřímo tlačit na vyřešení problému. (Myslím, že toto zažila VZP se systémem IZIP, který způsobil velký odliv pojištěnců a stávající řešení Moje VZP je určitě velký pokrok.).

Výrok čtvrtý „Opt-out se používá např. v Rakousku.“

„Jsou dva pohledy: opt in, opt out. My jako ministerstvo jsme přesvědčeni o tom, že ten opt out systém je lepší, ale budeme o tom samozřejmě diskutovat i na základě zkušeností z jiných států, například z Rakouska, kde je taktéž tento systém a asi jenom 3 % pacientů a občanů aktivně vyslovili nesouhlas s tím, že nechtějí sdílet ta data a ten systém tam funguje již řadu let bez větších problémů.“

Jestli správně rozumím konstrukci Rakouského projektu ELGA, tam je systém OPT-OUT použit pro získání souhlasu s ukládáním dat do centrálního úložiště, což u nás je povinné pro všechny bez možnosti zamítnout. Pokud lékař chce nahlédnout na pacientův lékový záznam, musí pacient při každém jednom nahlíženíudělit souhlas zasunutím čipové karty do čtečky lékaře, popřípadě lékárníka. Je tedy, dle mého soudu, nesolidní tvrdit, že v Rakousku používají OPT-OUT pro nahlížení do lékového záznamu, opak je pravdou. Používají extrémní variantu opt-in, která explicitní souhlas vyslovený zasunutím karty vyžaduje vždy.

Dále bych rád apeloval, aby se kvůli přidávání nových funkcionalit nezapomínalo na „dotažení" těch stávajících. Vzhledem k tomu, že jsem měl jako pacient možnost systém využít, rád bych se s Vámi podělil o několik postřehů, které mne jako pacienta znepokojují.

Důvěryhodnost SÚKL

Zdá se mi, že SÚKL málo pracuje na tom, aby lidé důvěřovali. Já osobně mám důvěru mírně podlomenu různými vystoupeními činovníky SÚKL v médiích, kde se vyjadřují k systému eRecept a později se jejich tvrzení ukáže jako zavádějící nebo dokonce lživé. Takových případů je za dobu tohoto projektu celá řada.

- Tvrdilo se, že spor s dodavateli neohrozí běh úložiště. Následně soud zakázal používat systém a eRecept se zastavil.

- Na konci roku 2017 se tvrdilo, že systém není vytvořen „horkou jehlou“, protože běží od roku 2011. Prezentace na zdravotnickém výboru přiznává, že zahájení plošného „pilotního“ provozu bylo plánováno na září 2017.

- SÚKL má povinnost eRecepty uchovávat pět let. Nikde jsem nenašel dokument, který by popisoval, jak bude probíhat skartace. Zajímalo by mne, kdo dohlédne, že data z databáze opravdu zmizí a dohlédne, že nebudou existovat ani žádné zálohy, které by skartované dokumenty obsahovali. Jak veřejnost bude ověřovat, že byly recepty skartovány?

Dále mne nemile překvapila funkcionalita zasílání eReceptu emailem. Už na začátku mne překvapilo, že nebyl vyžadován žádný souhlas se zpracováním osobního údaje (e-mailové adresy). Nebyl vyžadován ani pro zdravotnické zařízení, kde eRecept vystavovali, ani pro SÚKL. Divím se, že tato situace nevadí ÚOOÚ, protože v zákoně jsem nenašel zmocnění SÚKLu e-mail bez souhlasu zpracovávat. Další překvapení a závažnější bylo, když mi přišel e-mail od firmy Microsoft z Finska. Předpokládal jsem, že e-mail rozesílá přímo SÚKL. Je takovéto chování v pořádku? Je v pořádku, že přes servery firmy Microsoft proudí denně nezanedbatelné množství e-mailů s vystavenými recepty? Je zajištěno, že do nich nenahlíží? Další nepříjemné překvapení mne čekalo, když jsem zjistil, že kód eReceptu, na základě kterého je možné recept v lékárně vyzvednout byl v e-mailu uveden naprosto nešifrovaně. Jak je tedy zajištěno, že firma Microsoft (popřípadě firmy, které provozují cílové poštovní schránky seznam.cz, gmail.com apod.) nenahlíží někde v lékárně do receptů? Na závěr jsem zjistil, že překonání hesla do průvodky receptu, kde jsou všechny citlivé informace dostupné bez nutnosti navštěvovat lékárnu, je možné na mém notebooku zjistit hrubou silou za sedm minut (a rozložením na více procesorů by se čas ještě zkrátil). Pokud však útočník znám mé datum narození útok se zkrátí na řádově sekundy (firma Microsoft moje datum narození zná díky linkedin.com popřípadě life.com). Ještě bych dodal, že jsem nepoužíval žádné sofistikované postupy. Inspiroval jsem se článkem a program, který generoval vstupní vektor hodnot, má 50 řádků a byl hotov za jednu hodinu. Musím tedy s lítostí konstatovat, že mé experimenty jsou v rozporu s tím, co uvádí SÚKL. Tedy tvrzení „Nikdo neoprávněný tedy nebude moci průvodku e-mailu otevřít“ nepovažuji za pravdivé.

Další událost, která mne jako pacienta znepokojila, byla „chyba“ při generování QR kódů. Článek zmiňuje, že došlo kvůli „špatně“ vygenerovanému QR kódu k nechtěnému nahlédnutí do cizího receptu. Bylo by ze strany SUKLu dobré, aby veřejnost seznámili, jak postižené občany informovali a odškodnili, abychom neztráceli víru, že na bezpečnost opravdu dbají. Co mne na celé věci zaujalo asi nejvíce, že tento incident, dle mého soudu, odhalil, že onen identifikátor je zvolen jako příliš krátký, když pomocí náhodného zkoušení různých kódů je možné se tak snadno „trefit“ do cizího receptu. Dále by to také mohlo otevřít debatu o tom, že mít možnost nahlížen na recept 5 let je možná příliš dlouho.

Další záležitost k dořešení je zvládnutí výpadků. K jednomu došlo 5. září 2018. Nebyl dlouhý, cca 30 minut (jestli si správně pamatuji). I přesto, že byl relativně krátký ukázal, že aktéři neví, jak se v takové situaci chovat. Například na půdě zdravotnického výboru sněmovny se o tom vedla také debata a podle audiozáznamu tam úplná shoda nepanovala. Já zaznamenal z médií a z rozhovoru s lékaři a lékárníky následující postřehy:

- Pacienti se zlobí na lékárníky. Na infolinku SÚKLu nikdo z pacientů nevolá, pacienti ji neznají.

- Lékárníci zpravidla doporučují vrátit se k lékaři a požadovat vydání papírového receptu.

- Někteří lékaři se opětovné preskripce drahých léků na papír bojí, protože mají obavu, že po opětovném "rozjetí" systému si pacient vyzvedne, krom papírového receptu, i eRecept a lékař bude pokutován za nadměrnou preskripci.

- Jiní lékaři si zase stěžují, že jim to přidělává práci, kterou nemají honorovanou a plní jim to čekárnu.

- Já se jako pacient ptám, zda-li mi lékař musí poskytnout opětovnou preskripci na papír v průběhu výpadku úložiště.

Obecně mi chybí informace, jak postupovat při řešení sporů. Když se pacient stane obětí dohadování lékárníka a lékaře, měl by znát postup, jak ten spor řešit, na koho se obrátit apod. Vzhledem k tomu, že na centrální úložiště receptů dopadá „zákon o kybernetické bezpečnosti“, velmi mne překvapuje, že se setkávám s lékaři, kteří nevědí, že si musí každých 18 měsíců měnit heslo do centrálního úložiště (§19-5f zákona o kybernetické bezpečnosti). Dokonce jsem mluvil s lékařem, který tuto lhůtu překročil a tvrdí, že systém mu přístup neodpírá.

Takováto zjištění mne jako pacienta nepřesvědčují, že je na bezpečnost kladen dostatečný důraz. Vyhláška dále nabádá z §19-3, aby cituji „Povinná osoba pro ověření identity uživatelů, administrátorů a aplikací využívá autentizační mechanizmus, který není založený pouze na použití identifikátoru účtu a hesla, nýbrž na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů.“. Zatím jsem nezaznamenal, že by SÚKL nabádal lékaře, aby se přihlašovali pomocí „druhého faktoru“. Nezaznamenal jsem ani plán, kdy by k tomu mělo dojít.

Osobně zastávám názor, že přechod na druhý faktor je velmi potřebný. Podle mých zjištění, je běžná praxe, že heslo mají lékaři uloženo v lékařských programech, jejichž dodavatel není SÚKL. V některých jsou možná dokonce viditelná v otevřeném tvaru administrátory systému. Ze strany SÚKL je velmi nešťastné, že komunikační brána do centrálního úložiště není navržena tak aby mohl koncový lékař důvěrně komunikovat s centrálním úložištěm i prostřednictvím serveru svého zdravotnického zařízení. Důsledkem toho je, že někde může docházet k přenášení hesla lékaře v otevřené podobě skrz infrastrukturu zdravotnického zařízení. Lékař tedy musí věřit zdravotnickému zařízení, že si toto heslo neprohlédne. Technické řešení existuje (WS-Security), ale SUKL ho nenabízí. Vůči zdravotnickým zařízením je to nešťastné.

S posledním bodem myslím souvisí zavedení nových přestupků v § 103 odstavec 1g a 9f v tisku 302. Otevřeně říkám, že se mi zdá vůči zdravotnickým zařízením nefér vyhrožovat jim pokutami za úniky hesel a nedat jim k dispozici API, které by únik v podstatě znemožňoval, tedy použití „druhého faktoru“.

Obecně mám jako pacient trochu strach, aby neustálý nárůst hrozeb pokut pro zdravotnická zařízení. Pokud se stane, že budou pro nové lékaře odstrašující a budou se bát zakládat soukromé praxe, může se stát, že poskytovatelé zdravotních služeb budou jen řetězce silných finančních skupin a může se stát, že zdravotní pojišťovny a krajské samosprávy budou tahat za kratší konec provazu. Obávám se, že pro mne jako pacienta by to přineslo menší konkurenci a zdražení služeb. Setkávám se i s názory, že potlačení malých zdravotnických zařízení je pravý důvod zavádění eReceptu. Nešťastné na celé situaci je i fakt, že je ministerský předseda mimo jiné významným investorem ve zdravotnictví.

Na závěr si ještě postesknu nad stavem pacientské aplikace dostupné na adrese https://pacient.erecept.sukl.cz/ . Pomocí aplikace není možné kontrolovat, kdo nahlížel na mé eRecepty. Pokud jste zákonný zástupce dětí (předpokládám, že u opatrovníků to bude podobné), nemáte šanci k jejich receptům touto aplikací přistoupit.

Aplikace umožňuje už dnes „vygenerovat lékový záznam pacienta“, ale absolutně se nesnaží nabízet tlačítka typu „Odeslat lékový záznam praktickému lékaři“, popřípadě „Odeslat lékový záznam lékaři dle výběru“ apod. Aplikace neinformuje o přijetí nového eReceptu ani pomocí SMS, ani e-mailem. Absolutně není SÚKLem propagovaná.

Úplným závěrem bych chtěl apelovat, abychom otázku bezpečnosti a ochrany osobních údajů u eReceptu a lékového záznamu nepodceňovali. Navrhovaná podoba OPT-OUT, dle mého soudu, nemůže být aplikována do stávajícího stavu projektu.

Ing. Petr Hlaváček, softwarový inženýr,
redakčně upraveno

Čtěte také


Copyright © 2000-2019 MEDICAL TRIBUNE CZ, s.r.o. a dodavatelé obsahu (ČTK).
All rights reserved.  Podrobné informace o právech.  Prohlášení k souborům cookie.  

Jste odborný pracovník ve zdravotnictví?

Tyto stránky jsou určeny odborným pracovníkům ve zdravotnictví. Informace nejsou určeny pro laickou veřejnost.

Potvrzuji, že jsem odborníkem ve smyslu §2a Zákona č. 40/1995 Sb., o regulaci reklamy, ve znění pozdějších předpisů, čili osobou oprávněnou předepisovat léčivé přípravky nebo osobou oprávněnou léčivé přípravky vydávat.
Beru na vědomí, že informace obsažené dále na těchto stránkách nejsou určeny laické veřejnosti, nýbrž zdravotnickým odborníkům, a to se všemi riziky a důsledky z toho plynoucími pro laickou veřejnost.
Pro vstup na webové stránky je potřeba souhlasit s oběma podmínkami.
ANO
vstoupit
NE
opustit stránky