Operacje, które w programie wymagają budowania raportów, za pomocą kodu SQL są wykonywane bardzo szybko i sprawnie - na przykład pytania: "ilu pacjentów, którym podano lek A, miało w ciągu dwóch dni podwyższoną temperaturę" albo "ile wynosi średni czas hospitalizacji u chorych, u których stwierdzono dolegliwość X i leczono antybiotykiem A, a ile w przypadku antybiotyku B", można z powodzeniem wykonać w trybie interaktywnym, wykorzystując narzędzia takie jak SQL*Plus. Raportowanie prosto z bazy ma dodatkową zaletę dla intruza - nie uruchamia się przy tym narzędzi audytowych, w które jest wyposażona aplikacja, zatem raporty nie pozostawiają śladów.

Jak widać, przykładowe dane mogą być cenne dla firm farmaceutycznych i towarzystw ubezpieczeniowych, dlatego należy podjąć szczególne środki, by zabezpieczyć bazy przed nieautoryzowanym dostępem. Kluczowym narzędziem jest kontrola dostępu i unikanie schematu, w którym za bezpieczeństwo danych odpowiada jedynie aplikacja. Dodatkową ochronę przynosi rozproszenie danych. Jeśli baza faktów jest utrzymywana oddzielnie i jest w niejawny sposób łączona z wrażliwymi informacjami za pomocą zestawu słowników, prawdopodobieństwo udanego ataku znacznie maleje. "Aby móc pozyskać wrażliwe dane, intruz musiałby włamać się do naszej aplikacji, gdyż same dane są rozproszone. Dla uzyskania wartościowych raportów musiałby użyć narzędzi raportowych, które te dane scalają. Nasz program jest wyposażony w odpowiednie zabezpieczenia kontroli dostępu" - mówi Krzysztof Glubiak.

W takim modelu opracowanie raportów wymaga wsparcia producenta aplikacji, ale jest to sytuacja komfortowa dla administratora bezpieczeństwa danych, gdyż mocno ogranicza osoby, które mogą wykonać zaawansowane raporty. Ponadto niektórych raportów nie wykonuje się w ogóle, gdyż nie są potrzebne. Zalogowany użytkownik z kolei nie ma dostępu do wszystkich danych przechowywanych w bazie faktów.

Gdy dane muszą wyjść poza szpital

Jeśli szpital intensywnie korzysta z wymiany danych z innymi placówkami ochrony zdrowia, musi zapewnić bezpieczeństwo wrażliwych informacji zarówno przechowywanych lokalnie, jak i przekazywanych partnerowi do przetworzenia. W przypadku projektu Teleradiologii problem z ochroną danych osobowych rozwiązano w bardzo prosty sposób - do opisu zdjęć wykorzystuje się tylko część informacji. "Z usług wrocławskiego szpitala korzystają inne ośrodki zdrowia, wysyłając cyfrowo wyniki badań, które są interpretowane przez specjalistę radiologa w naszym szpitalu. My przechowujemy jedynie wynik badania, numer karty historii choroby z innego szpitala oraz opis, resztę danych pacjenta posiada inna placówka i my nie mamy do nich dostępu" - mówi Krzysztof Glubiak. Model ten rozprasza dane między jednostki ochrony zdrowia, dzięki czemu nie istnieje pojedyncze miejsce, które zawierałoby komplet informacji. Znacznie spada zatem ryzyko masowej kradzieży danych na szeroką skalę, kosztem mniejszej wygody lekarzy, którzy czasami woleliby znać nazwisko, adres i mieć więcej informacji na temat danego pacjenta. Ponadto sprawę udostępniania reguluje ustawa o ochronie danych osobowych, co niekiedy sprawia problemy natury prawnej.

Kłopotliwy rekord

Jednym z projektów, który zyskuje coraz większy rozgłos, jest centralny rekord pacjenta. Baza danych zawierałaby wtedy komplet danych: informacje o każdej wizycie, wyniki badań, diagnozy, sposoby leczenia, przepisane leki, rokowania i dalsze zalecenia lekarza. W przypadku długotrwałych chorób jest to bardzo pomocne, umożliwiłoby także dotarcie do karty zdrowia przez każdego lekarza, gdy taki dostęp będzie potrzebny. Ma to głęboki sens w szpitalach, by lekarz poznał historię chorób i znał obostrzenia związane na przykład z uczuleniem na niektóre leki.

Należy pamiętać, że zgromadzenie tak wrażliwych danych w jednym miejscu może rodzić poważne zastrzeżenia związane z ich bezpieczeństwem. Każde przełamanie zabezpieczeń może skutkować naruszeniem bezpieczeństwa danych na dużą skalę, zatem należałoby wprowadzić zabezpieczenia na znacznie wyższym poziomie niż zazwyczaj się stosuje w typowych projektach przetwarzania danych medycznych. Standard ten musiałby obejmować dobrze zarządzany mechanizm uprawnień, kontroli dostępu, szyfrowanie danych, a także zabezpieczenie przed przejęciem danych, wliczając w to ochronę przed elektromagnetyczną emisją ujawniającą. Środki te byłyby o wiele ostrzejsze niż zabezpieczenia stosowane w pomieszczeniach ZUS, gdzie przetwarza się informacje związane ze zwolnieniami lekarskimi pracowników. Przetwarzanie wrażliwych danych na taką skalę może jednak powodować problemy. Nie wiadomo, czy projekt centralnego rekordu pacjenta nie będzie wiązał się ze zbyt dużym ryzykiem.