Přeskočit na obsah

Lékový záznam a jeho rizika očima programátora

Do lékového záznamu pacienta bude moci nahlížet každý lékař, který zná číslo občanského průkazu pacienta. To kritizuje softwarový inženýr Ing. Petr Hlaváček. Pochybností o bezpečnosti systému eReceptu má víc. „Překonání hesla do průvodky receptu je možné na mém notebooku hrubou silou za sedm minut,“ uvádí.


Poslanecká sněmovna projednává sněmovní tisk č. 302, novelu zákona o léčivech. Jako občan se zájmem o zdravotnictví a zdravotnickou informatiku jsem se rozhodl také vstoupit do veřejné debaty. Některé z výroků pana ministra Mgr.et Mgr. Adama Vojtěcha v rozpravě k tisku v prvním čtení považuji minimálně za zavádějící. Na úvod se pokusím na ně reagovat.


 

  • Výrok první: „Vztah pacienta a lékaře lze odvodit od vyzvednutého receptu, který lékař předepsal.“

 

„Není to tak, že do lékového záznamu bude mít přístup jakýkoli lékař v České republice, když si usmyslí. Tam musí být určitý vztah mezi lékařem a pacientem. A ten vztah se definuje dvěma způsoby. Buď lékař musí předepsat pacientovi aspoň jeden recept a ten recept musí být taktéž vydán…“

Tento výrok považuji za velmi problematický, protože při výdeji léku v lékárně se nezkoumá identita osoby, která lék vyzvedává. Nic tedy nebrání předepisujícímu lékaři, který recept vystavil, si recept i vyzvednout. K tomu bych ještě dodal, že pokud lékař předepisuje lék na formu úhrady „P“, tedy přímá platba pacientem, tak ani nemusí znát číslo pojištěnce, stačí znát datum narození. Jsem přesvědčen, že pro žádného lékaře nebude problém takto vystavit lék například předsedkyni petičního výboru sněmovny prof. JUDr. Heleně Válkové, CSc., protože její datum narození je dnes již veřejná informace, a posléze v některé z lékáren vyzvednout.


 

  • Výrok druhý: „Vztah pacienta a lékaře lze odvodit od znalosti čísla občanského průkazu.“

 

„… anebo po předložení občanského průkazu tím pacientem, který vysloví souhlas s nahlédnutím do lékového záznamu. To znamená, že skutečně tam musí být tento vztah řekněme ošetřujícího lékaře a jeho pacienta.“

Tento výrok v podstatě tvrdí, že když lékař zná číslo občanského průkazu, tak má souhlas pro nahlížení do lékového záznamu. Vzhledem k tomu, že jsem v prezidentské volbě podepsal prezidentskému kandidátu MUDr. Marku Hilšerovi arch, aby se mohl stát kandidátem, znamená to, že má automaticky můj souhlas nahlížet do lékového záznamu? Co mu v tom bude bránit? Dále jsem se jednou setkal s tím, že jsme museli nahlásit číslo pasu do cestovní kanceláře kvůli pojištění do zahraničí apod. Jakou máme jistotu, že tato čísla neposkytnou nějakému lékaři?


 

  • Výrok třetí: „Data o pacientech již schraňují zdravotní pojišťovny, další schraňování v SÚKL není nic nového.“

 

„To, že dnes data o pacientech jsou a jsou používána už řadu let, je prostě pravdou a na tom nic nemění ani lékový záznam. Dneska všechna ta data, o kterých se tady bavíme, už mají zdravotní pojišťovny každého z nás. A nemyslím si, že zde dochází k nějakému zásadnímu zneužití.“

Výrok je v jádru pravdivý. Ano, zdravotní pojišťovny uchovávají enormní množství našich citlivých dat. Nemohu ale s tvrzením souhlasit plně. Prvním rozdílem je to, že pojišťovny neevidují léky a výkony provedené mimo systém veřejného zdravotního pojištění, např. přímo hrazené (což eRecept eviduje). Druhý rozdíl je v tom, že nejsou všechna data „na jedné hromadě“. Únik dat z jedné pojišťovny neohrozí všechny pacienty. U VZP by bylo postiženo 5,9 milionu pojištěnců, u ZPMV asi 1,29 milionu pojištěnců atd. Další rozdíl, který vnímám, je ten, že existuje „únikový scénář“. Pokud se jedna pojišťovna dostane do problémů, může pojištěnec přejít k jiné, a nepřímo tak tlačit na vyřešení problému. (Myslím, že toto zažila VZP se systémem IZIP, který způsobil velký odliv pojištěnců, a stávající řešení Moje VZP je určitě velký pokrok.)


 

  • Výrok čtvrtý: „Opt‑out se používá např. v Rakousku.“

 

„Jsou dva pohledy: opt‑in, opt‑out. My jako ministerstvo jsme přesvědčeni o tom, že ten opt‑out systém je lepší, ale budeme o tom samozřejmě diskutovat i na základě zkušeností z jiných států, například z Rakouska, kde je též tento systém a asi jenom tři procenta pacientů a občanů aktivně vyslovila nesouhlas, že nechtějí sdílet svá data, a ten systém tam funguje již řadu let bez větších problémů.“

Jestli správně rozumím konstrukci rakouského projektu ELGA, tam je systém opt‑out použit pro získání souhlasu s ukládáním dat do centrálního úložiště, což u nás je povinné pro všechny bez možnosti zamítnout. Pokud lékař chce nahlédnout na pacientův lékový záznam, musí pacient při každém jednom nahlížení udělit souhlas zasunutím čipové karty do čtečky lékaře, popřípadě lékárníka. Je tedy, dle mého soudu, nesolidní tvrdit, že v Rakousku používají opt‑out pro nahlížení do lékového záznamu, opak je pravdou. Používají extrémní variantu opt‑in, která explicitní souhlas vyslovený zasunutím karty vyžaduje vždy.

Dále bych rád apeloval, aby se kvůli přidávání nových funkcionalit nezapomínalo na „dotažení" těch stávajících. Vzhledem k tomu, že jsem měl jako pacient možnost systém využít, rád bych se s vámi podělil o několik postřehů, které mne jako pacienta znepokojují.



Důvěryhodnost SÚKL

Zdá se mi, že SÚKL málo pracuje na tom, aby systému lidé důvěřovali. Já osobně mám důvěru mírně podlomenu různými vystoupeními činovníky SÚKL v médiích, kde se vyjadřují k systému eRecept a později se jejich tvrzení ukáže jako zavádějící, nebo dokonce lživé. Takových případů je za dobu tohoto projektu celá řada.

 

  • Tvrdilo se, že spor s dodavateli neohrozí běh úložiště. Následně soud zakázal používat systém a eRecept se zastavil.

 

 

  • Na konci roku 2017 se tvrdilo, že systém není vytvořen „horkou jehlou“, protože běží od roku 2011. Prezentace na zdravotnickém výboru přiznává, že zahájení plošného „pilotního“ provozu bylo plánováno na září 2017.

 

 

  • SÚKL má povinnost eRecepty uchovávat pět let. Nikde jsem nenašel dokument, který by popisoval, jak bude probíhat skartace. Zajímalo by mne, kdo dohlédne, že data z databáze opravdu zmizí, a dohlédne, že nebudou existovat ani žádné zálohy, které by skartované dokumenty obsahovaly. Jak veřejnost bude ověřovat, že byly recepty skartovány?

 

Dále mne nemile překvapila funkcionalita zasílání eReceptu e‑mailem. Už na začátku mne překvapilo, že nebyl vyžadován žádný souhlas se zpracováním osobního údaje (e‑mailové adresy). Nebyl vyžadován ani pro zdravotnické zařízení, kde eRecept vystavovali, ani pro SÚKL. Divím se, že tato situace nevadí ÚOOÚ, protože v zákoně jsem nenašel zmocnění SÚKL e‑mail bez souhlasu zpracovávat. Další překvapení – a závažnější – bylo, když mi přišel e‑mail od firmy Microsoft z Finska. Předpokládal jsem, že e‑mail rozesílá přímo SÚKL. Je takovéto chování v pořádku? Je v pořádku, že přes servery firmy Microsoft proudí denně nezanedbatelné množství e‑mailů s vystavenými recepty? Je zajištěno, že do nich nenahlíží? Další nepříjemné překvapení mne čekalo, když jsem zjistil, že kód eReceptu, na jehož základě je možné recept v lékárně vyzvednout, byl v e‑mailu uveden naprosto nešifrovaně. Jak je tedy zajištěno, že firma Microsoft (popřípadě firmy, které provozují cílové poštovní schránky seznam. cz, gmail.com apod.) nenahlíží někde v lékárně do receptů? Na závěr jsem zjistil, že překonání hesla do průvodky receptu, kde jsou všechny citlivé informace dostupné bez nutnosti navštěvovat lékárnu, je možné na mém notebooku dosáhnout hrubou silou za sedm minut (a rozložením na více procesorů by se čas ještě zkrátil). Pokud však útočník zná mé datum narození, útok se zkrátí na řádově sekundy (firma Microsoft moje datum narození zná díky linkedin. com, popřípadě life.com). Ještě bych dodal, že jsem nepoužíval žádné sofistikované postupy. Inspiroval jsem se článkem; program, který generoval vstupní vektor hodnot, má 50 řádků a byl hotov za jednu hodinu. Musím tedy s lítostí konstatovat, že mé experimenty jsou v rozporu s tím, co uvádí SÚKL. Tvrzení: „Nikdo neoprávněný tedy nebude moci průvodku e‑mailu otevřít,“ nepovažuji za pravdivé.

Další událostí, která mne jako pacienta znepokojila, byla „chyba“ při generování QR kódů. Článek zmiňuje, že kvůli „špatně“ vygenerovanému QR kódu došlo k nechtěnému nahlédnutí do cizího eReceptu. Bylo by ze strany SÚKL dobré, aby veřejnost seznámil s tím, jak postižené občany informovali a odškodnili, abychom neztráceli víru, že na bezpečnost opravdu dbá. Co mne na celé věci zaujalo asi nejvíce, že tento incident, dle mého soudu, odhalil, že onen identifikátor je zvolen jako příliš krátký, když pomocí náhodného zkoušení různých kódů je možné se tak snadno „trefit“ do cizího receptu. Dále by to také mohlo otevřít debatu o tom, že mít možnost nahlížet na recept pět let je možná příliš dlouho.

Další záležitostí k dořešení je zvládnutí výpadků. K jednomu došlo 5. září 2018. Nebyl dlouhý, cca 30 minut (jestli si správně pamatuji). I přes to, že byl relativně krátký, ukázal, že aktéři nevědí, jak se v takové situaci chovat. Například na půdě zdravotního výboru sněmovny se o tom vedla také debata a podle audiozáznamu tam úplná shoda nepanovala. Zaznamenal jsem z médií a z rozhovoru s lékaři a lékárníky následující postřehy:

 

  • Pacienti se zlobí na lékárníky. Na infolinku SÚKL nikdo z pacientů nevolá, pacienti ji neznají.

 

 

  • Lékárníci zpravidla doporučují vrátit se k lékaři a požadovat vydání papírového receptu.

 

 

  • Někteří lékaři se opětovné preskripce drahých léků na papír bojí, protože mají obavu, že po opětovném „rozjetí“ systému si pacient vyzvedne kromě papírového receptu i eRecept a lékař bude pokutován za nadměrnou preskripci.

 

 

  • Jiní lékaři si zase stěžují, že jim to přidělává práci, kterou nemají honorovanou, a plní jim to čekárnu.

 

 

  • Já se jako pacient ptám, zda mi lékař musí poskytnout opětovnou preskripci na papír v průběhu výpadku úložiště.

 

Obecně mi chybějí informace, jak postupovat při řešení sporů. Když se pacient stane obětí dohadování lékárníka a lékaře, měl by znát postup, jak ten spor řešit, na koho se obrátit apod. Vzhledem k tomu, že na centrální úložiště receptů dopadá zákon o kybernetické bezpečnosti, velmi mne překvapuje, že se setkávám s lékaři, kteří nevědí, že si musejí každých 18 měsíců měnit heslo do centrálního úložiště [§ 19 odst. 5 písm. f) zákona o kybernetické bezpečnosti]. Dokonce jsem mluvil s lékařem, který tuto lhůtu překročil a tvrdí, že systém mu přístup neodpírá.

Takováto zjištění mne jako pacienta nepřesvědčují, že je na bezpečnost kladen dostatečný důraz. Zákon dále v § 19 odst. 3 ukládá: „Povinná osoba pro ověření identity uživatelů, administrátorů a aplikací využívá autentizační mechanismus, který není založen pouze na použití identifikátoru účtu a hesla, nýbrž na vícefaktorové autentizaci s nejméně dvěma různými typy faktorů.“ Zatím jsem nezaznamenal, že by SÚKL nabádal lékaře, aby se přihlašovali pomocí „druhého faktoru“. Nezaznamenal jsem ani plán, kdy by k tomu mělo dojít.

Osobně zastávám názor, že přechod na druhý faktor je velmi potřebný. Podle mých zjištění je běžná praxe, že heslo mají lékaři uloženo v lékařských programech, jejichž dodavatelem není SÚKL. V některých jsou možná dokonce viditelná v otevřeném tvaru administrátory systému. Ze strany SÚKL je velmi nešťastné, že komunikační brána do centrálního úložiště není navržena tak, aby mohl koncový lékař důvěrně komunikovat s centrálním úložištěm i prostřednictvím serveru svého zdravotnického zařízení. Důsledkem toho je, že někde může docházet k přenášení hesla lékaře v otevřené podobě skrz infrastrukturu zdravotnického zařízení. Lékař tedy musí věřit zdravotnickému zařízení, že si toto heslo neprohlédne. Technické řešení existuje (WS‑Security), ale SÚKL je nenabízí. Vůči zdravotnickým zařízením je to nešťastné.

S posledním bodem myslím souvisí zavedení nových přestupků v § 103 odst. 1 písm. g) a § 103 odst. 9 písm. f) v tisku č. 302. Otevřeně říkám, že se mi zdá vůči zdravotnickým zařízením nefér vyhrožovat jim pokutami za úniky hesel a nedat jim k dispozici API, které by únik v podstatě znemožňovalo, tedy použití „druhého faktoru“.

Obecně mám jako pacient trochu strach z neustálého nárůstu hrozeb pokut pro zdravotnická zařízení. Pokud se stane, že budou pro nové lékaře odstrašující a budou se bát zakládat soukromé praxe, může se stát, že poskytovateli zdravotních služeb budou jen řetězce silných finančních skupin, a může se stát, že zdravotní pojišťovny a krajské samosprávy budou tahat za kratší konec provazu. Obávám se, že pro mne jako pacienta by to přineslo menší konkurenci a zdražení služeb. Setkávám se i s názory, že potlačení malých zdravotnických zařízení je pravým důvodem zavádění eReceptu. Nešťastný na celé situaci je i fakt, že ministerský předseda je mimo jiné významným investorem ve zdravotnictví.

Na závěr si ještě postesknu nad stavem pacientské aplikace dostupné na adrese https://pacient.erecept.sukl.cz/. Pomocí aplikace není možné kontrolovat, kdo nahlížel na mé eRecepty. Pokud jste zákonný zástupce dětí (předpokládám, že u opatrovníků to bude podobné), nemáte šanci k jejich receptům touto aplikací přistoupit.

Aplikace umožňuje už dnes „vygenerovat lékový záznam pacienta“, ale absolutně se nesnaží nabízet tlačítka typu „Odeslat lékový záznam praktickému lékaři“, popřípadě „Odeslat lékový záznam lékaři dle výběru“ apod. Aplikace neinformuje o přijetí nového eReceptu ani pomocí SMS, ani e‑mailem. Absolutně není SÚKL propagovaná.

Úplným závěrem bych chtěl apelovat, abychom otázku bezpečnosti a ochrany osobních údajů u eReceptu a lékového záznamu nepodceňovali. Navrhovaná podoba opt‑out, dle mého soudu, nemůže být aplikována do stávajícího stavu projektu.

Zdroj: MT

Sdílejte článek

Doporučené