Co zmieni RODO w zakresie bezpieczeństwa danych osobowych?
Podstawowa zmiana wiąże się z tym, że RODO nie wskazuje środków technicznych i organizacyjnych, jakie administrator danych powinien zastosować w celu zapewnienia właściwej ochrony przetwarzanym danym. Dotyczy to zarówno danych przetwarzanych w sposób tradycyjny (spisy, kartoteki, skorowidze, wykazy, a także wszelkie pisma występujące w postaci papierowej), jak i danych przetwarzanych przy użyciu systemów informatycznych. RODO stanowi jedynie, że środki, jakie administrator zobowiązany jest zastosować, powinny być odpowiednie do zakresu, kontekstu i celu, a także ryzyka naruszenia ochrony przetwarzanych danych. W tym akcie prawnym nie znajdziemy jednak podpowiedzi, jakie środki bezpieczeństwa należy zastosować w celu minimalizacji ryzyka, jak ocenić ryzyko, ani żadnej metodyki w tym zakresie. Nie znajdziemy również wyjaśnienia, co tak naprawdę oznacza to, że środki jakie zastosujemy, mają być odpowiednie i jaką przyjąć miarę dla ich oceny. RODO stanowi jedynie, że przy ocenie ryzyka i ustanawianiu zabezpieczeń minimalizujących to ryzyko należy uwzględnić stan wiedzy technicznej, koszt wdrażania, a także skutki, jakie urzeczywistnienie się zidentyfikowanych zagrożeń może powodować dla osób, których dane są przetwarzane. Art. 32 RODO przesądza zaś, że na potrzeby zapewnienia właściwego bezpieczeństwa, wdrożyć należy odpowiednie środki techniczne i organizacyjne, w tym takie jak:
pseudonimizacja i szyfrowanie danych osobowych,
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Dlatego teraz musimy nauczyć się nowego podejścia, zgodnie z którym, podejmując decyzje o zastosowaniu określonych środków bezpieczeństwa, należy uwzględnić wartość, jaką mają przetwarzane dane, kontekst, w jakim są one przetwarzane oraz skutki, jakie może wywołać ich naruszenie tj. ich nieuprawnione ujawnienie, modyfikacja, zbyt długa niedostępność lub utrata. Przykładem może być zagrożenie utraty ciągłość dostępu do danych. W przypadku sklepu internetowego, ciągłość jest bardzo istotna, zwłaszcza dla właściciela sklepu, bo przekłada się na straty związane ze zmniejszeniem obrotów (klient może zamówić towar w innym sklepie), ale nie krytyczna (klient może zamówić towar później). Natomiast w przypadku usług medycznych brak ciągłości działania, np. w zakresie dostępu do danych medycznych lub usług, może powodować konsekwencje w postaci utraty zdrowia, a nawet życia.
Uwzględnienie kontekstu przetwarzania danych to niezbędny element podejścia opartego na ryzyku. Tylko pełne informacje o kontekście użycia danej informacji pozwolą na rzetelną ocenę skutków związanych z jej brakiem, przekłamaniem lub nieuprawnionym ujawnieniem. Kontekst to również czynniki, które mogą spowodować utratę, nieuprawnione wykorzystanie lub brak dostępu do przetwarzanych danych.
Zatem zasadniczą zmianą, jaką RODO wprowadza w zakresie bezpieczeństwa danych, jest właśnie takie ogólne spojrzenie na środowisko, w jakim dane są przetwarzane oraz na związane z nim zagrożenia utraty, niewłaściwego lub nieuprawnionego użycia, a także na skutki, jakie może to powodować głównie dla osób, których dane dotyczą.
Efektem przyjęcia takiego podejścia będzie to, że stosowane zabezpieczenia w bardzo dużym stopniu zależne będą od wielkości i złożoności środowiska, w którym dane są przetwarzane, ilości źródeł, z których dane są pozyskiwane czy liczby punktów, do których są przekazywane. Ważny będzie też kontekst i rodzaj przetwarzanych danych, a zwłaszcza ich wrażliwość, jak np. w przypadku danych dotyczących stanu zdrowia, kodu genetycznego, preferencji seksualnych, politycznych itp.
Inne będą również wymagania dotyczące poziomu zabezpieczenia danych przetwarzanych w gabinecie lekarza prowadzącego indywidualnie praktykę lekarską, a inne w gabinecie lekarza w szpitalu. W tym pierwszym przypadku w gabinecie znajduje się najczęściej tylko jeden komputer, na którym pracuje wyłącznie właściciel gabinetu, wykorzystując go do prowadzenia dokumentacji medycznej, wystawiania recept i prowadzenia rozliczeń z NFZ. W przypadku szpitala komputer w gabinecie lekarza połączony będzie najczęściej z centralnym systemem rejestracji pacjentów w tej placówce i wykorzystywany nie przez jednego, lecz wielu lekarzy. Ponadto komputer ten może być połączony z wieloma innymi wzajemnie połączonymi urządzeniami. W tym ostatnim przypadku wiele urządzeń może posiadać tak zwane adresy publiczne, widoczne z zewnątrz, co sprawia, że przetwarzane przy jego użyciu dane są bardziej narażone na ataki cyberprzestępców, którzy mogą zainfekować komputer w celu wyłudzenia okupu czy wykradzenia danych. I to nie są nierealne opowieści, bo nie tylko na świecie, ale również Polsce takie sytuacje się zdarzają. W niektórych przypadkach nawet wpłacenie żądanego okupu nie powoduje odblokowania dostępu do danych.
Co powinny zrobić placówki medyczne, przygotowując się na RODO?
Placówki, które stosowały zabezpieczenia danych zgodnie z wymaganiami obecnie obowiązujących przepisów, nie będą miały wiele pracy. Obecne regulacje prawne wymagały bowiem, aby przetwarzane dane zabezpieczone były przed udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem odpowiednio do zagrożeń oraz kategorii danych objętych ochroną. Żeby takie „odpowiednie do zagrożeń oraz kategorii danych” zabezpieczenia zastosować, administrator musiał przede wszystkim zidentyfikować występujące zagrożenia dla ochrony danych i ocenić ich istotność oraz prawdopodobieństwo wystąpienia.
Podmioty, które taką analizę przeprowadziły, powinny jedynie zweryfikować, czy w międzyczasie w strukturze przetwarzania lub stosowanych zabezpieczeniach nie dokonywano takich zmian lub uzupełnień, które mogły mieć wpływ na bezpieczeństwo danych. Jeśli takie zmiany były, powinny ponownie dokonać analizy ryzyka oraz przeprowadzić analizę skutków dla ochrony danych, o której mowa w art. 35 RODO. Należy przy tym zaznaczyć, że dla podmiotów, które przeprowadziły analizę ryzyka i mają ten proces udokumentowany, przeprowadzenie oceny skutków dla ochrony danych nie powinno być wielkim problemem. Do analizy skutków dla ochrony danych mogą one zastosować metodykę, którą stosowały do oceny ryzyka, zmieniając jedynie kryteria identyfikacji zagrożeń i oceny skutków, ukierunkowując je na te elementy, które mogą naruszać prawa i wolności osób, których dane dotyczą. Nie należy oczywiście zapominać przy tym o dodatkowych wymaganiach prawnych, jakie nałożone są przez prawo krajowe, w tym na dodatkowe warunki i wymagania dotyczące przetwarzania dokumentacji medycznej wskazane m. in. w ustawie z dnia 6 listopada 2008 r. o prawach pacjenta i Rzeczniku Praw Pacjenta, ustawie z dnia 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia oraz rozporządzeniu Ministra Zdrowia z dnia 9 listopada 2015 r. w sprawie rodzajów, zakresu i wzorów dokumentacji medycznej oraz sposobu jej przetwarzania.
Jak należy zabezpieczać dane medyczne?
Do informacji medycznych dotyczących zidentyfikowanych lub możliwych do zidentyfikowania osób powinny mieć dostęp tylko osoby uprawnione. W związku z tym powinna być przeprowadzona odpowiednia klasyfikacja przetwarzanych informacji i określenie, kto jest uprawniony do ich przetwarzania i w jakim zakresie. Do innego zakresu informacji powinien mieć dostęp lekarz biorący udział w leczeniu danego pacjenta, do innego zakresu pielęgniarka czy osoba pracująca w recepcji placówki medycznej. Uprawnienia te powinny być przydzielone zależnie od sprawowanej funkcji i wykonywanego zakresu obowiązków. Zalecane są takie systemy, gdzie uprawnienia dostępu do danych uzależniane są w pewnym stopniu od miejsca, jakie użytkownik zajmuje w strukturze organizacyjnej danej instytucji (szpital, przychodnia, laboratorium) i przydzielane są z uwzględnieniem wykonywanych zadań (ról).
Na przykład dla osoby zatrudnionej na stanowisku pielęgniarki na oddziale X, domyślnie powinny być przypisywane uprawnienia dostępu do danych osób leczonych tylko na tym oddziale. W przypadku, gdy wystąpi potrzeba obsługi pacjentów innego oddziału, uprawnienia te powinny być stosownie zmodyfikowane. Ich zakres z kolei powinien być odpowiedni do czynności, które ta pielęgniarka wykonuje lub ma prawo wykonywać, w zakresie przydzielonych jej zdań.
Uprawnienia takie dodatkowo mogą być profilowane w zależności od stażu pracy, wykształcenia i kategorii stanowiska. Dla osoby zatrudnionej w izbie przyjęć, której zadaniem jest obsłużenie każdego zgłoszenia, uprawnienia będą dotyczyć w odpowiednim zakresie przetwarzania danych wszystkich osób, niezależnie od wydziału czy oddziału, do jakiego będą skierowane.
Przy nadawaniu uprawnień należy pamiętać o zasadzie celowości i zasadzie minimalizacji, co oznacza, że zakres nadawanych uprawnień powinien być zgodny z celem przetwarzania danych i jednocześnie minimalny, aby cel ten osiągnąć.
Placówki nie zawsze się do tego stosują. Często przydzielany jest dostęp do pełnego zakresu informacji, niezależnie od tego, czy osoba, której on dotyczy, rzeczywiście go potrzebuje do wykonywania swoich zadań. Takie rozwiązanie nie jest właściwe, gdyż stanowi zaprzeczenie zasady minimalizacji i adekwatności, o których jest mowa w art. 5 RODO.
System informatyczny do przetwarzania danych osobowych w szpitalu powinien być odpowiednio dopasowany do wielkości organizacji i skonfigurowany odpowiednio do jej struktury organizacyjnej. Podobnie jak systemy obiegu dokumentów. Gdy mamy kilka departamentów lub oddziałów, to jeżeli dokument trafia do sekretariatu głównego, to najpierw otrzymuje go sekretarka, potem sekretariat odpowiedniego departamentu czy oddziału, a na końcu osoba, która zostanie wskazana do załatwienia danej sprawy lub przygotowania i wysłania odpowiedzi. Ważne przy tym jest, aby dostęp do tego dokumentu był ograniczony tylko do pracowników odpowiedniego oddziału lub nawet tylko określonego pracownika i dyrektora. Inaczej może być w przypadku rzecznika prasowego, który powinien wiedzieć, co się dzieje w całej organizacji i mieć dostęp do informacji z różnych oddziałów.
[-DOKUMENT_HTML-]
Zatem odpowiadając na pytanie, „Jak należy zabezpieczyć dane medyczne?”, odnieść należy się z jednej strony do ogólnej miary skuteczności zabezpieczeń, dla której nie jest istotne, jakiego rodzaju dane podlegają ochronie, z drugiej zaś strony do stopnia szczegółowości tej ochrony i wymagań prawnych, gdzie rodzaj przetwarzanych danych ma istotne znaczenie.
W zakresie skuteczności zabezpieczeń, ze względu na to, że dane medyczne, zgodnie z art. 9 RODO, należą do tzw. szczególnej kategorii danych osobowych, zastosowany poziom bezpieczeństwa powinien być bardzo wysoki. Zatem środki ochrony powinny być odpowiednio niezawodne w działaniu i odporne na wszelkie próby „przełamania” zastosowanych zabezpieczeń. W tym kontekście nie ma znaczenia treść przetwarzanych danych, lecz wyłącznie wymagania dotyczące bezpieczeństwa. W art. 32 RODO podkreśla się, że bezpieczeństwo danych wymaga od systemów informatycznych między innymi właściwości polegających na:
zdolności do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.
Ponadto podkreśla się, że zapewnienie wysokiej skuteczności zastosowanych środków bezpieczeństwa wymaga regularnego ich testowania, mierzenia i oceny. W praktyce zapewnienie wspomnianego wysokiego poziomu ochrony - poza odpowiednimi rozwiązaniami organizacyjnymi - wymaga zastosowania wysokiej klasy urządzeń używanych do przetwarzania danych (serwery, nośniki danych, systemy bezpieczeństwa), które posiadają specjalne rozwiązania konstrukcyjne dublujące działanie niektórych podzespołów, których wymiana jest możliwa w czasie ich pracy w celu zapewnienia wysokiej dostępności realizowanych usług.
W odniesieniu do zakresu i szczegółowości ochrony przetwarzanych danych, w przeciwieństwie do samej jakości zabezpieczeń, istotne są rodzaj i charakter przetwarzanych danych. Szpitale, ośrodki zdrowia i inne placówki medyczne, które przetwarzają dane osobowe swoich pacjentów odnoszące się do stanu ich zdrowia, w zakresie stosowanych zabezpieczeń powinni uwzględniać bardziej szczegółowe wymagania dotyczące bezpieczeństwa. Wymagania te powinny przede wszystkim uwzględniać elementy związane z kontrolą dostępu do danych, które szczegółowo uregulowane zostały w przepisach prawa odnoszących się do przetwarzania dokumentacji medycznej. W odniesieniu do dokumentacji medycznej jednym z wymagań, które obowiązuje administratorów przetwarzających takie dane, jest zapewnienie pełnej rozliczalności dotyczącej operacji przetwarzania. Ogólnie obowiązująca zasada rozliczalności w kontekście posiadania uprawnień dostępu do danych rozumiana jest jako zapewnienie informacji o tym, kto dane wprowadził, zmienił lub wykasował. Nie obejmuje ona np. operacji przeglądania danych, do przetwarzania których użytkownik systemu posiada upoważnienie. W odniesieniu natomiast do dokumentacji medycznej obowiązek rozliczalności został rozszerzony również w zakresie dotyczącym tylko wglądu do informacji.
Ważne jest więc przede wszystkim dopasowanie uprawnień do roli pracownika, a także zarządzanie tymi uprawnieniami. Bezpieczeństwo nie polega na tym, że uprawnienia te raz się ustanawia, a potem wszystko funkcjonuje bez problemu. Bezpieczeństwo trzeba monitorować, śledzić, a nadane uprawnienia co jakiś czas weryfikować, sprawdzać, czy np. w związku ze zmianą stanowiska lub zakresu obowiązków uprawnienia nadane kiedyś wciąż są odpowiednie. Kierownik danej jednostki czy pracownik zwraca się zazwyczaj o stosowne zmiany, gdy uprawnień ma za mało, gdy nie pozwalają one mu wykonywać powierzonych zadań. Rzadko natomiast użytkownicy zgłaszają przypadki wskazujące na nadmiar posiadanych uprawnień. Stąd ważnym elementem nadzoru nad przetwarzaniem danych medycznych jest systematycznie monitorowanie nadanych uprawnień.
Co zmieni w tym zakresie RODO?
Obecnie obowiązujące przepisy dosyć rygorystycznie określają, jak należy zarządzać uprawieniami dostępu do danych. Wymagane jest prowadzenie ewidencji osób upoważnionych do przetwarzania danych, wskazana jest też wymagana zawartość informacji, jaką ona powinna zawierać itd. Przepisy określają również zakres wymaganej dokumentacji przetwarzania danych, tj. polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.
Załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych wskazuje minimalne wymagania w zakresie środków bezpieczeństwa, jakie należy zastosować w zależności od kategorii danych oraz ogólnych informacji o środowisku, w jakim dane osobowe są przetwarzane.
Przepisy rozporządzenia Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji określają również zadania, jakie ma realizować administrator bezpieczeństwa informacji w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych. Wskazują one nawet sposób dokumentowania tych czynności.
RODO nie daje w powyższym zakresie żadnych szczegółowych rozwiązań. Nie określa, w jaki sposób powinna być prowadzona dokumentacja przetwarzania danych osobowych, nie wskazuje, jakie elementy powinny być zawarte w polityce bezpieczeństwa czy instrukcji zarządzania systemem informatycznym. Nie ustanawia również żadnych minimalnych wymagań odnoszących się do sposobu zabezpieczenia przetwarzanych informacji.
RODO nie daje w powyższym zakresie żadnych gotowych rozwiązań, żadnych propozycji odnośnie do ich dokumentowania, a nawet propozycji w zakresie ich jakości. Administratorom danych zapewnia pod tym względem ogromną swobodę. Stawia jedynie pewne ogólne wymagania odnoszące się do bezpieczeństwa przetwarzanych danych, wskazując cele, jakie w ich wyniku powinny być uzyskane.
Artykuł 24 RODO zobowiązuje administratorów danych, aby uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, wdrożyli odpowiednie środki techniczne i organizacyjne, które zapewnią zgodność przetwarzania z rozporządzeniem. Zwraca jednocześnie uwaga na to, aby możliwe było ich wykazanie, co należy rozumieć jako formalne ich udokumentowanie.
[-OFERTA_HTML-]
RODO daje jedynie sugestie dotyczące wbudowania pewnych elementów zwiększających bezpieczeństwo przetwarzania danych w projekt przetwarzania danych. Stanowi o tym art. 25 RODO, w którym sugeruje się podnoszenie poziomu bezpieczeństwa poprzez uwzględnianie potrzeb w zakresie ochrony danych już w fazie projektowania systemu oraz stosowania takich rozwiązań organizacyjnych, które domyślnie dają uprawnienia do minimalnego zakresu danych. Ustępy 1 i 2 powołanego przepisu wskazują odpowiednio, że:
administrator – zarówno przy określaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraża odpowiednie środki techniczne i organizacyjne, takie jak pseudonimizacja, zaprojektowane w celu skutecznej realizacji zasad ochrony danych, takich jak minimalizacja danych, oraz w celu nadania przetwarzaniu niezbędnych zabezpieczeń, tak by spełnić wymogi RODO oraz chronić prawa osób, których dane dotyczą, oraz
administrator wdraża odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu ich przechowywania oraz ich dostępności. W szczególności środki te zapewniają, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
Do środków takich można zaliczyć np. mechanizm sprawdzający, czy dane odpowiadające dacie urodzenia są zgodne z formatem danych, czy mechanizm, który przy wklejaniu numeru konta do formatki przelewu środków automatycznie zmieni ostatnie cyfry tego numeru na znaki * lub ?, aby zwrócić uwagę operatora i wymusić jego weryfikację.
W praktyce oznacza to, że każda placówka musi sama określić ryzyko, na jakie narażone są przetwarzane dane i określić zarówno środki organizacyjne, jak i techniczne, które zapewnią odpowiedni poziom bezpieczeństwa.
Jak wyglądają te działania w dużych szpitalach, a jak w małych placówkach?
Skuteczność systemu zabezpieczenia zależy od tego, ile słabych punktów występuje w danym procesie przetwarzania i czy wszystkie zostały zidentyfikowane oraz odpowiednio zabezpieczone. Skuteczność całego systemu bezpieczeństwa zależy bowiem od najsłabszego ogniwa w całym łańcuchu czynności przetwarzania. Im system jest większy, tym tych punktów (ogniw) jest więcej. Na przykład w szpitalu, gdzie mamy wiele stacji roboczych, serwerów, urządzeń laboratoryjnych, które są podłączone do Internetu i są widziane w sieci publicznej, występuje przesyłanie informacji między nimi - tych punktów zagrożeń dla bezpieczeństwa może być bardzo dużo. Ich identyfikacja i wprowadzenie odpowiednich mechanizmów kontrolnych łagodzących skutki ich zaistnienia bądź eliminujących ich zaistnienie wymaga przeprowadzenia analizy ryzyka wg schematu, w którym analizowane są kolejno wszystkie potencjalne zagrożenia. Dla dużych organizacji, w których korzysta się z wielu różnych systemów, gdzie występuje wiele przepływów danych pomiędzy systemami, gdzie korzysta się z usług zewnętrznych, warto jest rozważyć przeprowadzenie profesjonalnej analizy oceny ryzyka opartej o określoną metodykę, co zapewni jej kompletność. Możliwe jest np. przeprowadzenie oceny ryzyka zgodnie z metodyką przedstawioną w normie ISO/IEC 27005 oraz wdrożenie zabezpieczeń wg zaleceń normy ISO/IEC 27002.
W przypadku pojedynczego gabinetu, ze względu na mniejszą złożoność systemu przetwarzania (pojedynczy komputer oraz jedno lub kilka specjalistycznych urządzeń) elementów stanowiących istotne zagrożenie dla bezpieczeństwa informacji jest mniej. Trzeba wówczas podejść do zagadnienia w taki sam sposób, jak w dużej placówce, ale w mniejszym zakresie – uwzględniać tylko te elementy wprowadzające ryzyko, które rzeczywiście występują. W przypadku prywatnego gabinetu lekarskiego, w którym przyjmuje tylko jeden lekarz, nie pojawia się problem zarządzania uprawnieniami. Wystarczy wówczas zainstalować system antywirusowy, zabezpieczyć dostęp do danych przetwarzanych na komputerze poprzez wprowadzenie kontroli dostępu (identyfikator i hasło) oraz zapewnić fizycznie ochronę pomieszczenia (gabinetu) m.in. poprzez zabezpieczenie okien (kraty czy folię antywłamaniową – jeśli występuje taka potrzeba) i zamykanie drzwi po opuszczeniu gabinetu.
Jak należy dbać o bezpieczeństwo danych w przypadku, gdy używa się rozwiązań w zakresie telemedycyny?
W przypadku telemedycyny należy odpowiednio konstruować system teleinformatyczny, który będzie służył do przekazywania i wstępnej analizy danych medycznych, a także niezbędnych w takich systemach komunikatów dla użytkownika (pacjenta), lekarza czy placówki medycznej. Istnieją różne metody zabezpieczenia danych, na przykład pseudonimizacja. Warto pamiętać, że wówczas, gdy chcemy konsultować jakiś obraz czy wynik badania, wystarczy przesłać je bez danych osobowych pacjenta, a jedynie z danymi, które są konieczne do oceny wyniku badania, takimi jak np. wiek czy stan zdrowia, inne dolegliwości itd.
Jeśli już rozmawiamy o telemedycynie, warto też wspomnieć o tym, że coraz częściej sami pacjenci korzystają z urządzeń analizujących stan ich zdrowia, na przykład pracę serca czy poziom cukru we krwi, i przesyłających wyniki zdalnie do centrum monitoringu. W tym przypadku należy uwzględniać fakt, że osoby te mogą zostać zidentyfikowane poprzez dane identyfikujące urządzenie. Do identyfikacji takiej mogą być wykorzystane dane dotyczące ruchu telekomunikacyjnego, jaki towarzyszy takiemu przekazywaniu danych. Dane takie zapamiętywane są zazwyczaj przez operatora sieci, z usług którego korzystamy, który zna nasze dane identyfikacyjne. W sytuacji takiej mechanizmy pseudonimizacji mogą okazać się bezskuteczne i niezbędne będzie zastosowanie rozwiązań kryptograficznych.
Podobne problemy dotyczą ochrony danych, jakie przesyłane są przez indywidualnie wykorzystywane urządzenia medyczne i urządzenia używane przez sportowców podczas treningów, które poza takimi danymi, jak czas i szybkość poruszania się, dokonują pomiaru wielu innych parametrów naszego organizmu, takich jak tętno, ciśnienie itp., które w połączeniu ze sobą mogą zawierać istotne informacje o stanie naszego zdrowia. Dane takie często nie tylko zapisywane są na urządzeniu, które jest pod naszą kontrolą, ale również na serwerach dostawcy danej usługi lub w dzierżawionej przez niego chmurze obliczeniowej.
Niezwykle szybki postęp technologiczny, z jakim mamy do czynienia w ostatnich latach, powodował, że prawo nie nadążało z regulowaniem wszystkich aspektów przetwarzania danych przy użyciu nowoczesnych metod. Jeszcze trudniej byłoby przewidzieć, jakie usługi i mechanizmy przetwarzania powstaną w najbliższej przyszłości, jakie będą związane z nimi zagrożenia dla prywatności i ochrony danych oraz jakie stosować narzędzia, aby ograniczać lub eliminować potencjalne skutki tych zagrożeń.
Dlatego RODO nie zawiera ścisłych wskazówek odnoszących się do każdej sytuacji przetwarzania danych z wykorzystaniem nowoczesnych rozwiązań technologicznych. Wymaga natomiast, aby każdy przypadek poddawany był analizie z punktu widzenia ryzyk, jakie dane rozwiązanie może powodować dla ochrony naszych danych. Jednocześnie zwraca uwagę, aby w analizie takiej uwzględniać stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.
Coraz powszechniejsze są rozwiązania polegające na tworzeniu portali pacjenta, umożliwiających rejestrację czy dostęp do wyników badań przez Internet, lub nawet chatów z lekarzami. Na co należy zwracać uwagę przy wprowadzaniu takich rozwiązań?
Takie systemy trzeba także przeanalizować pod kątem stosowanych w nich zabezpieczeń. Duże firmy częściej korzystają ze sprawdzonych rozwiązań, ale przestrzegałbym - szczególnie małe gabinety - przed stosowaniem w tym zakresie technologii, która nie jest przystosowana do przetwarzania informacji związanych ze stanem zdrowia pacjentów. Na rynku dostępnych jest wiele narzędzi, które są przydatne do komunikacji bezpośredniej, ale trzeba sprawdzić, czy są one należycie zabezpieczone przed atakami i czy należycie zabezpieczają dane.
Zdarza się, że narzędzia tego typu dostarczane są przez tzw. domowych programistów, czasem tworzone są w ramach eksperymentu, którego celem jest osiągnięcie konkretnego rozwiązania. Nie zawsze jednak sposób, w jaki cel ten osiągnięto, jest bezpieczny. Nie zawsze przetwarzane w tym celu dane zabezpieczone są przed wykorzystaniem ich w innym celu. Nie zawsze również przetwarzane przy użyciu takich programów dane są odpowiednio zabezpieczone przed dostępem osób nieupoważnionych. Być może tego typu rozwiązania mogą być tańsze, ale nie zawsze bezpieczne.
Natomiast w przypadku korzystania z chmury obliczeniowej należy zadbać o właściwą izolację danych w chmurze.
Przykładem może być glukometr oraz towarzysząca mu aplikacja mobilna, które były przedmiotem badań GIODO. Wykazały one, że użytkownik badanego glukometru może pobrać ze strony internetowej jego producenta aplikację, za pośrednictwem której dane zbierane przez to urządzenie mogą być dalej przetwarzane. Aplikacja ta zainstalowana na smartfonie użytkownika umożliwia bowiem - oprócz prezentacji statystyk dla zbieranych danych - także przechowywać je na dysku w chmurze obliczeniowej, z której właścicielem producent glukometru podpisał umowę.
Z przeprowadzonych przez Biuro GIODO badań tego glukometru wynikało, że procesy przekazywania danych zostały dokładnie opisane w instrukcjach, z którymi użytkownik zobowiązany był zapoznać się w czasie instalacji aplikacji. Instrukcje te wyraźnie wskazywały, że zainstalowanie i wykorzystywanie tej aplikacji równoznaczne jest z wyrażeniem zgody na pobieranie tych danych i zapamiętywanie ich w dzierżawionym obszarze konkretnie wskazanej chmury obliczeniowej.
Czy RODO zawiera szczegółowe regulacje dotyczące outsourcingu?
Przepisy dotyczące przetwarzania danych medycznych do 12 grudnia 2015 r. w ogóle wyłączały możliwość outsourcingu przetwarzania danych, m.in. przez podmioty świadczące usługi informatyczne. Przesądzały one bowiem, że do przetwarzania danych medycznych uprawnione są tylko osoby z uprawnieniami medycznymi lub wykonujące czynności pomocnicze przy udzielaniu świadczeń zdrowotnych. Przepisy te zmieniono dopiero ustawą z dnia 9 października 2015 r. o zmianie ustawy o systemie informacji w ochronie zdrowia oraz niektórych innych ustaw, w której zmieniono art. 24, zapisując w jego ust. 2, że dostęp do dokumentacji mogą mieć ponadto osoby wykonujące czynności związane z utrzymaniem systemu teleinformatycznego, w którym przetwarzana jest dokumentacja medyczna, i z zapewnieniem bezpieczeństwa tego systemu. Dostęp taki może być nadawany wyłącznie w drodze upoważnienia przez administratora danych. Osoby, którym upoważnienie takie zostanie wydane, zobowiązane są do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z wykonywaniem zadań. Przy czym tajemnica ta obowiązuje również po śmierci pacjenta.
RODO nie zawiera takiego ograniczenia. Prawo krajowe może jednak doprecyzować postanowienia RODO w tym zakresie, o czym stanowi jego art. 9 ust. 4.W przypadku outsourcingu RODO wyraźnie jednak podkreśla, że przetwarzanie takie może się odbywać, ale wyłącznie zgodnie z poleceniami administratora danych. Oznacza to, że w umowie powierzenia przetwarzania musi być dokładnie określony zakres tego przetwarzania, czyli – w jakim zakresie się ono odbywa i jakie operacje mogą być wykonywane na tych danych.
Wyraźnie jednak wpływ na prawa i obowiązki obu stron ma przyjęta w unijnym rozporządzeniu tzw. zasada rozliczalności, zgodnie z którą zarówno administrator, jak i podmiot przetwarzający muszą wykazać przestrzeganie nowego prawa (np. poprzez udokumentowane wdrożenie instrumentów prawnych określonych w rozporządzeniu, takich jak m.in. przeprowadzona ocena skutków dla ochrony danych).
Czytaj także: Inspektor ochrony danych obowiązkowy w szpitalach>>>
Zgodnie z tą nową filozofią, administrator, który powierza przetwarzanie danych, będzie musiał przy wyborze podmiotu przetwarzającego (tj. podmiotu, któremu dane zostają powierzone) samodzielnie ocenić, czy podmiot ten zapewnia właściwą ochronę powierzanych danych, co powinno być elementem analizy i szacowania ryzyka. Zgodnie bowiem z art. 28 ust. 1 RODO, jeżeli przetwarzanie ma być dokonywane w imieniu administratora, korzystać on musi wyłącznie z usług takich podmiotów przetwarzających, które zapewnią wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
Swego rodzaju nowością jest również wyraźne wskazanie (w art. 28 ust. 2 RODO), że podmiot przetwarzający nie będzie mógł korzystać z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej pisemnej zgody administratora. W przypadku zaś ogólnej pisemnej zgody, podmiot przetwarzający będzie musiał poinformować administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.
W przepisach RODO wyraźnie określono też (art. 28 ust. 3 lit. g), że po zakończeniu świadczenia usług związanych z przetwarzaniem, zależnie od decyzji administratora, podmiot przetwarzający usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych.
W kontekście RODO warto też wspomnieć o nowych obowiązkach podmiotu przetwarzającego, do których zaliczyć należy:
pomaganie (w miarę możliwości) administratorowi, poprzez stosowanie odpowiednich środków technicznych i organizacyjnych, w wywiązaniu się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO,
pomaganie administratorowi w wywiązaniu się z obowiązków określonych w art. 32–36 RODO, takich jak: zapewnianie bezpieczeństwa przetwarzania, zgłaszanie naruszeń ochrony danych organowi nadzorczemu, informowanie osób, których dane dotyczą, o naruszeniu ochrony ich danych osobowych, a więc np. o wycieku danych, a także przeprowadzaniu oceny skutków dla ochrony danych.
Reasumując, RODO doprecyzowuje wzajemne relacje między administratorem a podmiotem przetwarzającym z uwzględnieniem nowych instrumentów zapewniających wykazanie zgodności, takich jak np. szacowanie ryzyka czy zgłaszanie naruszeń.
Szpitale i inne jednostki z sektora ochrony zdrowia muszą zatem przejrzeć umowy z podmiotami, które przetwarzają dla nich dane, i sprawdzić, czy spełniają one wymagania, które wynikają z RODO.
Gdzie można szukać wiedzy na temat bezpieczeństwa informacji?
Cała baza wiedzy, która dotyczy bezpieczeństwa informacji, zawarta jest w różnego rodzaju dobrych praktykach, przewodnikach czy też normach krajowych, europejskich bądź międzynarodowych. W odniesieniu do bezpieczeństwa informacji w sektorze medycznym na szczególna uwagę zasługują normy z serii ISO/IEC 27000 dotyczące bezpieczeństwa danych przetwarzanych w systemach teleinformatycznych oraz normy ściśle związane z przetwarzaniem danych medycznych, jak np. ISO/TS 17090 - Informatyka w ochronie zdrowia – Infrastruktura klucza publicznego, PN-ENV 13606 - Przesyłanie elektronicznego rekordu medycznego czy PN-ENV 13608 - Informatyka zdrowotna – Bezpieczeństwo przesyłania danych w opiece zdrowotnej.
W wielu przypadkach wymagania z tych norm przenoszone są do przewodników, tzw. dobrych praktyk, stosowanych przez administratorów danych lub wprost do przepisów prawa. Na przykład rozporządzenie Rady Ministrów z 12 kwietnia 2012 roku w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych, oprócz elementów związanych z interoperacyjnością, czyli z możliwością współdziałania systemów i wymiany informacji między systemami, zawiera rozdział, który dotyczy bezpieczeństwa przetwarzania danych i odpowiedniego zabezpieczenia systemu informatycznego. Zawarte w nim wymagania dotyczące bezpieczeństwa danych przetwarzanych w systemach informatycznych są w dużej części odzwierciedleniem wymagań zawartych w normie PN-ISO/IEC 27001.
Żeby zapewnić bezpieczeństwo danych przetwarzanych przy użyciu systemów teleinformatycznych ważne jest przede wszystkim, aby używane do tego przetwarzania systemy były bezpieczne. Żeby z kolei skutecznie zabezpieczyć system teleinformatyczny, trzeba mieć wiedzę o wszystkich jego składnikach, występujących pomiędzy nimi przepływach danych, a także wykorzystywanych w tym celu protokołach komunikacyjnych. Potrzebna jest zatem pełna inwentaryzacja posiadanych urządzeń i programów, a także ich konfiguracji. Zabezpieczenie danych przetwarzanych w systemach teleinformatycznych wymaga odpowiedniego zabezpieczenia każdego elementu, modułu programowego, w którym dane te są przetwarzane, a także każdego przepływy tych danych między nimi. Wymaga się tam również, aby system zapewniał kontrolę dostępu do przetwarzanych danych i aby organizacyjnie zapewnić, że dostęp taki posiadają tylko osoby, którym on jest niezbędny do realizacji ich zadań. Od administratorów systemu wymaga się z kolei, aby właściwie dbali o bezpieczeństwo systemu poprzez m.in. ich ciągłe monitorowanie, dokonywanie przeglądów, aktualizację oprogramowania, a także zabezpieczeń przed nieuprawnioną ich modyfikacją. Wymaga się również, aby administratorzy systemów dbali o zapewnienie bezpieczeństwa plików systemowych, zastosowanie mechanizmów ochrony kryptograficznej – jeśli informacje przekazywane są za pośrednictwem sieci publicznej, a także zapewniali ochronę przed kradzieżą danych, nieuprawnionym wykorzystaniem, dostępem lub uszkodzeniem.