V případě zdravotnických zařízení jsou však jako „ochrany hodná data“ vnímány prioritně zcela jiné údaje. Jde především o zdravotnickou dokumentaci konkrétních pacientů, jejíž ztráta či únik představuje pro nemocnici riziko negativního mediálního obrazu a sankcí od Úřadu pro ochranu osobních údajů, které mohou u právnických osob dosáhnout výšky až 10 milionů. V řadě nemocnic v ČR má přitom ochrana těchto údajů značné rezervy prakticky na všech úrovních jejich zpracování a ve všech kategoriích rizik, které představují zejména úniky dat, nedostupnost dat a zničení dat. Přitom pacienti dnes vnímají bezpečnost zdravotních údajů jako jeden z parametrů kvality poskytované zdravotní péče.
Do souvislosti s bezpečností zdravotních dat je také často dávána zejména problematika rodných čísel (respektive čísel pojištěnců veřejného zdravotního pojištění obvykle numericky shodných s rodným číslem), která jsou ve zdravotnictví používána k identifikaci pacientů. Je pravdou, že například využití systému základních registrů a vytvoření specifického agendového identifikátoru pro potřeby zdravotního pojištění by mírně zvýšilo bezpečnost dat. Reálné dopady na bezpečnost dat v konkrétních zdravotnických zařízeních by však pravděpodobně byly spíše zanedbatelné vzhledem k tomu, že součástí zdravotnické dokumentace je obvykle i další identifikace pacienta (především jeho jméno a adresa).
Počítačová negramotnost
Nejcitlivějším místem pro bezpečnost většiny informačních systémů bývá jejich uživatel a ani zdravotnická informatika není v tomto ohledu výjimkou. Spíše naopak. Obecně rezervovaný postoj klinických pracovníků k výpočetní technice se projevuje i v nedodržování bezpečnostních pravidel, daných částečně nepochopením jejich smyslu a částečně uživatelskou nepřívětivostí většiny informačních systémů používaných v českých nemocnicích.
Špatná ergonomie informačních systémů totiž nutí uživatele vymýšlet různé způsoby, jak práci s výpočetní technikou urychlit, a to často na úkor bezpečnosti dat. Je tak zcela běžné, že uživatelská jména a hesla lékařů jsou známa sestrám na jejich oddělení z důvodu chybného konceptu přístupových oprávnění klinického informačního systému anebo že síla hesel není nijak kontrolována. Základní prevencí úniku dat tak zůstává kontinuální edukace uživatelů o rizicích a jejich důsledcích.
Absence záznamů o přístupu k datům
Každá organizace provádějící automatické zpracování osobních údajů je ze zákona o ochraně osobních údajů povinna vést záznamy o tom, kdo a kdy k datům přistupoval nebo je měnil. Toto ustanovení je však zcela běžně opomíjeno a obhajováno tím, že se nevztahuje na „běžnou práci“.
Zákon však žádnou „běžnou práci“ s osobními údaji nezná, a povinnost tak platí pro veškeré operace s těmito záznamy. Moderní klinický informační systém by tak měl dokázat evidovat nejen uživatele, který změnu v datech provedl, ale i obsah této změny. Co se týče čtení záznamů, je vhodné evidovat i skutečnost, že záznam byl vytisknut a kromě informace o uživateli a čase archivoval i vzhled vytištěného dokumentu.
Fyzická bezpečnost dat
Fyzické zabezpečení dat je často redukováno na zamčenou serverovnu a pravidelné zálohy. Je však důležité si uvědomit, že bezpečnost dat zahrnuje i bezpečnost takto vytvořených záloh a rovněž zabezpečení papírových kopií těchto údajů. Zálohy je nutné chránit stejně jako živá data, nicméně je nutné je skladovat odděleně. Pronájem bankovní schránky pro jejich uložení by v žádném případě neměl být vnímán jako zbytečný luxus.
Bezpečnost papírových kopií souvisí s obecnou bezpečností zdravotnických zařízení, které se na jednu stranu snaží zachovat určitou otevřenost, ale zároveň musí své pacienty i jejich údaje chránit. Test MF Dnes z března 2010, kdy redaktoři získali přístup i na JIP či novorozenecké oddělení a mohli nahlížet do zdravotnické dokumentace, potvrdil velmi explicitně, že přístup ke zdravotní dokumentaci konkrétních osob může být i v prostorech s omezeným pohybem osob až neuvěřitelně snadný. Podle vyjádření soukromých bezpečnostních agentur je tato metoda zcela standardní a jedná se dokonce o službu, kterou si lze běžně objednat.
Zabezpečení síťového provozu
Architektura většiny systémů používaných ve zdravotnictví je založena na konceptu „tlustého klienta“ komunikujícího přímo s databází, a transportuje tak data po síti prakticky v otevřené formě v rámci SQL protokolu určité databáze.
Toto uspořádání umožňuje prostým odposlechem síťového provozu získat přístup k citlivým údajům, které jsou komunikovány po síti. Toto riziko se ještě zvyšuje s využitím přenosných koncových stanic a souvisejícím rozvojem Wi-Fi sítí, u nichž je odposlech ještě snadnější a které proto vyžadují, aby jejich zabezpečení bylo naplánováno a implementováno odborníky.
Lokální systémy na odděleních
Častý problém nemocnic spočívá v tom, že centrální klinický systém nevyhovuje specifickým potřebám jednotlivých oddělení, které jsou pak nuceny svoji situaci řešit vlastní cestou. Nekontrolovaně tak vznikají různé doplňkové systémy pro ukládání specificky strukturovaných nebo multimediálních dat. Kromě absence propojení s centrálním klinickým úložištěm často postrádají dostatečné zabezpečení uložených dat. V některých případech jde i o systémy provozované mimo síť nemocnice.
To samo o sobě nepředstavuje problém, může však jít o rozpor s interními bezpečnostními směrnicemi dané nemocnice a navíc zpracování osobních údajů externím dodavatelem vždy vyžaduje odpovídající smluvní zajištění podle požadavků zákona o ochraně osobních údajů, které běžné smlouvy nesplňují.
Nedokonalá anonymizace dat
Ve zdravotnictví je běžně potřeba z různých důvodů (zejména pro výzkumné účely) provádět anonymizaci dat před jejich dalším zpracováním například externím zpracovatelem, ke kterému nedal pacient souhlas. Anonymizace dat je však problematická, neboť někdy bývají identifikátory osob obsaženy i v plnotextových polích, v extrémních případech (například u dokumentace šíření pohlavně přenosných chorob) může zdravotnická dokumentace obsahovat i osobní údaje třetích osob.
Druhým problémem anonymizace je aktuální právní úprava v ČR, která nepovažuje data za anonymizovaná, pokud je možné alespoň teoreticky vytvořit vazbu mezi identifikátory individuální osoby a dotyčnými daty. V praxi se však při zpracování používají rozličné technické identifikátory pro možnost evidence změn či původní identifikátory změněné kódováním či jinou konverzí (pomocí konverzní tabulky či matematickým algoritmem) pro odstranění duplicit nebo propojení více datových zdrojů. Tyto metody však nevedou ke skutečné anonymizaci osobních údajů a jejich nelegální zpracování může být postiženo podle zákona.
PŘEDPLATNÉ
ČLÁNKY DO MAILU