Dostępność nie musi przeczyć poufności

Placówki służby zdrowia muszą mieć obowiązek informowania o przypadkach wycieku informacji medycznych. Inaczej nie uda się zapewnić ich właściwej ochrony.

Krytyczny charakter osobowych danych medycznych nie podlega dyskusji. Problem polega na tym, że jest on różnie rozumiany przez różne grupy zainteresowanych. Dla specjalistów od ochrony informacji osobowe dane medyczne są krytyczne, ponieważ należą do danych wrażliwych. Natomiast dla korzystających z tych danych są one krytyczne, gdyż bez nich świadczenie usług medycznych jest dziś praktycznie niemożliwe.

Ilustracją problemu jest zdarzenie z września 2007, kiedy to na konferencji w Szczyrku jednemu z lekarzy z Centrum Zdrowia Dziecka skradziono laptopa. Medyk wystąpił z dramatycznym apelem do złodzieja o zwrot laptopa, a tak naprawdę zwrot zapisanych w nim danych. Zawierały one historię medyczną kilkudziesięciu ciężko chorych dzieci. Bez nich dalsze leczenie pacjentów byłoby utrudnione. Za zwrot laptopa lekarz oferował nagrodę pieniężną. Historia stała się głośna i trafiła do mediów. Laptop się odnalazł. Najważniejsze było wtedy prowadzenie terapii, więc nikt nie poruszył kwestii problemu związanego z konsekwencjami wycieku wrażliwych danych.

Niestaranność powszechna

Takich przypadków wycieku danych wrażliwych zdarza się więcej. O większości w ogóle się nie dowiadujemy. Nikt nie zgłasza i nie ewidencjuje sytuacji, przynajmniej tak długo, jak jego własne straty nie przewyższają strat właścicieli danych, które wyciekły.

Niestaranność w praktyce ochrony danych medycznych jest powszechna. Lekarzom udało się wmówić wszystkim, że dostępność jest ważniejsza niż poufność. Trudno odeprzeć argument, że priorytetem jest zdrowie i życie pacjenta. Karty pacjenta, zawierające diagnozę i historię przebiegu choroby, wiszące na szpitalnych łóżkach to najlepszy na to dowód. Rozmowa z ABI (administrator bezpieczeństwa informacji) z placówek służby zdrowia nie pozostawia złudzeń. Ochrona danych osobowych zwykle nie spotyka się ze zrozumieniem kierownictwa i personelu, a praca szpitalnych ABI to droga przez mękę. W większości przypadków w ogóle by ich tam nie było, gdyby nie wymóg ustawy o ochronie danych osobowych. Zgłaszane propozycje poprawy sytuacji są przyjmowane jako zawracanie głowy, a czasami traktowane z politowaniem.

Problem ten nie istnieje również wystarczająco silnie w świadomości społecznej. Tylko rzadkie przypadki informacji o wyciekach danych zaburzają obraz sytuacji. Są to raczej wycieki o wyciekach. O tym, że rzeczywistość jest inna, przekonują przypadki innych państw, w których informowanie o takich incydentach jest obowiązkowe. Statystyki mówią, że wycieki danych w amerykańskim sektorze medycznym stanowią od 15 do 30% wszystkich przypadków wycieków danych. Przykładów jest mnóstwo. Z jednego ze szpitali w USA ktoś skradł dokumenty medyczne z historią chorób 4500 chorych. Z innego szpitala skradziono dwa komputery, które zawierały dane 185 tys. pacjentów. W kolejnej placówce medycznej ze stolika diagnostycznego skradziono laptopa z danymi 257,8 tys. pacjentów. W innym miejscu haker przez sieć dostał się do serwera danych i wykradł dane 180 pacjentów, zawierające również numery kart kredytowych.

To niektóre przypadki zgłoszone przez amerykańskie placówki medyczne. Pokazujące raczej różny charakter ataków na dane niż ich skalę. Amerykański sektor zdrowia jest zobligowany do zgłaszania takich przypadków. Zobligowany jest również do poinformowania wszystkich poszkodowanych. Najczęściej musi uruchomić darmową infolinię, na którą mogą dzwonić poszkodowani, aby dowiedzieć się o szczegóły przypadku i co powinni robić. Niekiedy, głównie przy kradzieży danych z kart kredytowych, administrator danych, który nie dopilnował ich bezpieczeństwa, musi wykupić specjalny serwis monitorowania operacji finansowych.

Wszystko to wiąże się z wysokimi kosztami. Serwis dataloss.db, który prowadzi ewidencję przypadków, obliczył średni koszt obsługi jednego incydentu na 60 USD na jeden rekord. Straty w podanych przypadkach kosztowały więc blisko 27 mln USD. A przecież zdarzają się wycieki baz danych zawierających miliony rekordów. Osobowe dane medyczne mają konkretne ceny na internetowym podziemnym czarnym rynku. Dlatego że potrafią być skutecznie wykorzystane przez hakerów do pomnożenia ich dochodów.

Z różnych stron

Co w takim razie robić? Istnieją przecież przepisy mówiące o konieczności ochrony osobowych danych medycznych. Przede wszystkim mamy obowiązującą od kilkunastu lat ustawę o ochronie danych osobowych wraz z rozporządzeniami, ale i rozporządzenie ministra finansów z dnia 29 lipca 2010 r. w sprawie rodzajów dokumentacji medycznej służby medycyny pracy, sposobu jej prowadzenia i przechowywania oraz wzorów stosowanych dokumentów.

Te regulacje okazują się niewystarczające. Ustawa jest prawdopodobnie zbyt ogólna, żeby przejął się nią sektor medyczny, natomiast krótki zapis z rozporządzenia, że "dokumentację medyczną przechowuje się w warunkach zapewniających ochronę danych w niej zawartych oraz zabezpieczających przed zniszczeniem, uszkodzeniem lub utratą i dostępem osób nieupoważnionych, a także umożliwiających jej wykorzystanie bez zbędnej zwłoki" jest zbyt lekkim potraktowaniem tematu. Nawet w tym zapisie wskazuje się na priorytet dostępności danych, przypominając, że powinny być dostępne "bez zbędnej zwłoki".

Organizowana niedawno przez Centrum Systemów Informacyjnych Ochrony Zdrowia konferencja "Elektroniczna dokumentacja medyczna - jakość, bezpieczeństwo, interoperacyjność" pokazuje zainteresowanie tematem tylko jednej strony. O ile organizatorzy konferencji mają świadomość związaną z koniecznością ochrony danych medycznych, o tyle odbiorcy budowanego przez CSIOZ systemu już znacznie mniej się tym przejmują. Wydaje się, że brak im odpowiedniej motywacji, a medycznych informatyków i administratorów bezpieczeństwa informacji ogarnęła gombrowiczowska niemożność.

Trzeba ustalić standardy

Potrzebny jest jakiś przełom. Liczenie na funkcjonowanie wspomnianych przepisów prawnych, choć potrzebnych, jest zdawaniem się na łaskę losu. Amerykanie mają swoją ustawę HIPPA (Health Insurance Portability and Accountability Act). Austriacy wprowadzili ustawę GtelV (Gesundheitstelematikverordnung), która zabrania przesyłania danych medycznych niezaszyfrowanych i ogranicza używanie do tego celu faksu.

Czy i my potrzebujemy specjalnej ustawy dla sektora zdrowia? Wystarczy, że wraz ze zmianą innych przepisów dotyczących służby zdrowia wprowadzimy nowe regulacje dotyczące ochrony danych. Mogłyby one przypominać zapisy, jakie wprowadzi zmiana prawa telekomunikacyjnego. Nowelizacja zakłada obowiązek zgłaszania przypadków naruszeń bezpieczeństwa danych osobowych. Zmiana jest konsekwencją wprowadzenia europejskiego pakietu regulacyjnego Telecom Package. W Unii Europejskiej zauważono, że ominięcie innych sektorów w kontekście takiego obowiązku to niedopatrzenie. Miejmy nadzieję, że za tym pójdzie stworzenie podobnej regulacji w odniesieniu do opieki zdrowotnej i że trafi ona szybko do polskiego systemu prawnego.

Jeśli nawet zgodzimy się, że wprowadzenie obowiązku zgłaszania naruszenia bezpieczeństwa osobowych danych medycznych może być przełomem, to nie znaczy, że powinniśmy na jego przyjęcie spokojnie czekać. To może potrwać. Z informacji na stronie internetowej CSIOZ wynika, że do ustania możliwości prowadzenia dokumentacji medycznej w postaci papierowej pozostało około 2,5 roku. Dr Grzegorz Bliźniuk, ekspert do spraw e-zdrowia i informatyki w CSIOZ, biorący udział w pracach nad budową Systemu Informacyjnego Ochrony Zdrowia, mówi, że wraz z systemem powstają zasady jego bezpiecznego wykorzystania, a techniczne standardy bezpieczeństwa teleinformatycznego są integralną częścią tegoż systemu. Należy zadbać o poprawę bezpieczeństwa osobowych danych medycznych w już istniejących zasobach informacyjnych. Wzorców nie brakuje. Jeśli komuś brakuje inspiracji, polecam serię norm ISO 27000. A może warto się zastanowić nad obowiązkowym wdrożeniem tych norm w najważniejszych placówkach sektora ochrony zdrowia?

Bezpiecznie w chmurze

Szansą na poprawę bezpieczeństwa osobowych danych medycznych może okazać się migracja ich przetwarzania do chmury. Najczęściej cloud computing w kontekście bezpieczeństwa postrzegany jest jako ryzyko. Jednak w sytuacji, kiedy dane te są tak bardzo rozproszone, centralne przetwarzanie w chmurze może okazać się zdecydowanym krokiem naprzód w ich ochronie. Dzięki temu usługi bezpieczeństwa, które są niedostępne dla pojedynczych administratorów danych, mogą okazać się relatywnie tanie i dostępne, jeśli je uruchomimy w chmurze. Dotyczy to również profesjonalnego reagowania na przypadki naruszania bezpieczeństwa tych danych.

Wokół przetwarzania w chmurze jest wiele kontrowersji. Potwierdziła to dyskusja panelowa w trakcie konferencji CSIOZ. Warto pomyśleć o chmurze poważnie. Może to być dobre rozwiązanie nie tylko jeśli idzie o ekonomię i efektywność, ale również w przypadku bezpieczeństwa. Rodzaje ryzyka są znane. Wszelkie - techniczne, organizacyjne, prawne. Opisuje je dokładnie Agencja ENISA (Europejska Agencja Bezpieczeństwa Sieci i Informacji).

Większość panelistów dyskusji w trakcie konferencji "Elektroniczna dokumentacja medyczna - jakość, bezpieczeństwo, interoperacyjność" twierdziła, że z punktu widzenia prawa oddanie przetwarzania danych do chmury nie jest możliwe. O tym, że jest inaczej, zapewniał Generalny Inspektor Ochrony Danych Osobowych dr Wojciech Wiewiórowski, który mówi, że "przetwarzanie w chmurach jest obecnie dopuszczalne prawnie, również z punktu widzenia przepisów dotyczących ochrony danych osobowych".

Krytyczny charakter osobowych danych medycznych nie ulega wątpliwości. Może konflikt pomiędzy zwolennikami ich dostępności "bez zbędnej zwłoki" a tymi, którzy mówią o nadrzędności poufności rozstrzygnięty zostanie przez kompromis dostarczony przez trzecią, najważniejszą cechę bezpieczeństwa - integralność. Może konieczność zapewnienia ich integralności zjednoczy wysiłki obydwu grup. Co nam po osobowych danych medycznych dostępnych, ale nieprawdziwych? A tym może się skończyć nonszalancja w ich przetwarzaniu.

Mirosław Maj jest założycielem i prezesem Fundacji Bezpieczna Cyberprzestrzeń. Tekst powstał na kanwie obrad konferencji "Elektroniczna dokumentacja medyczna - jakość, bezpieczeństwo, interoperacyjność" zorganizowanej przez Centrum Systemów Informacyjnych Ochrony Zdrowia. Computerworld był jej patronem medialnym.


TOP 200