Jak chronić dane wrażliwe w sektorze medycznym? O aktualnych regulacjach, bezpieczeństwie i przyszłości dostępu do danych

Category Bez kategorii
by
Transformacja cyfrowa w sektorze medycznym przyniosła od dawna oczekiwane usprawnienia. Łatwiejszy wgląd w zebraną dokumentację medyczną ułatwia konsultacje między specjalistami i diagnostykę poszczególnych przypadków, a to z kolei przyczynia się do sprawniejszego i bardziej konstruktywnego leczenia. Jednak są to dane wrażliwe, które wymagają odpowiedniego podejścia do ich zbierania i przetwarzania, a także są szczególnie narażone na ataki cyberprzestępców. Jak więc zadbać o bezpieczeństwo tego typu danych w cyfrowym świecie?

Czy wiesz, że:

  • Dane medyczne posiadają szereg regulacji prawnych, należą do danych wrażliwych, a ich poufność powinna zostać zachowana nawet po śmierci pacjenta.
  • Powierzając dane wrażliwe podmiotom zewnętrznym, konieczne jest zapewnienie dochowania przez ten podmiot poufności danych, a także zapewnienie ciągłości świadczeń medycznych i szybkiego wglądu do zgromadzonej dokumentacji.
  • Dla zapewnienia bezpieczeństwa danych wrażliwych konieczne jest wdrożenie jasnych, przejrzystych procedur oraz ciągłe zwiększanie świadomości personelu medycznego w sprawie konieczności ich przestrzegania oraz konsekwencji nieuprawnionego udostępnienia informacji o pacjencie.
  • Otwarte dane medyczne służą rozwojowi sektora medycznego, w tym badaniom naukowym i szybszej diagnostyce chorób, jednak ich wykorzystanie jest ściśle uzależnione od jakości i kompletności pozyskanych danych.

Powyższe zagadnienia szerzej zostały poruszone w dalszej części artykułu, ale ich szczegółowe omówienie przez specjalistów będzie miało miejsce podczas Data Economy Congress, które odbędzie się w dniach 25-26.03.2024 r. w Warszawie. W trakcie wydarzenia zgłębione zostaną wszelkie ekonomiczne, biznesowe i rynkowe aspekty związane z bezpiecznym i efektywnym gromadzeniem oraz wykorzystywaniem danych. Zachęcamy do zapoznania się z agendą wydarzenia: https://dataeconomycongress.pl/lp/lpm/ 

 

Dotychczasowe regulacje danych medycznych

Relacja pacjenta z personelem medycznym to relacja bardzo specyficzna i intymna, w której przekazaniu podlegają informacje z natury delikatne. Dlatego dochowanie tajemnicy i prywatność to w działalności medycznej podstawowe prawo pacjenta i bezsprzeczny obowiązek pracowników medycznych. Sprawa jest na tyle istotna, że w legislacji jest poruszana wielokrotnie, m.in. w:

  • Konstytucji RP,
  • ustawie o zawodzie lekarza, 
  • ustawie o ochronie zdrowia psychicznego, 
  • ustawie o zawodzie pielęgniarki i położnej,
  • ustawie o zakładach opieki zdrowotnej,
  • ustawie o prawach pacjenta i Rzeczniku Praw Pacjenta,
  • RODO.

Zgodnie z obowiązującymi przepisami dane medyczne powinny zostać zabezpieczone bezterminowo, a obowiązek ten dotyczy zarówno obecnych, jak i byłych pacjentów, nawet po ich śmierci. Należy jednak pamiętać, że pacjent i upoważnione przez niego osoby mają możliwość dostępu do zgromadzonych na jego temat danych, tj. do wyników badań i pełnej historii leczenia, a udostępnienie tych informacji powinno odbywać się bez zbędnej zwłoki.

 

Przekazanie danych wrażliwych

Dane medyczne, niegdyś schowane w szufladach placówek, dziś trafiają do cyberprzestrzeni. Placówki medyczne zmuszone są do korzystania z usług podmiotów zewnętrznych, w tym firm udostępniających odpowiednie oprogramowanie i miejsce w chmurze obliczeniowej.

Jednak, korzystając z tych rozwiązań, w wielu przypadkach konieczne jest zawarcie pisemnej umowy na powierzenie danych innemu podmiotowi. Wiadomo, że umowa ta powinna zawierać cel i zakres udostępnienia danych, lecz w przypadku danych poufnych kluczowe są jeszcze dodatkowe aspekty. Pierwszym jest zapewnienie, że podmiot, któremu dane zostały udostępnione, zachowa tajemnicę, a drugim, że realizacja umowy nie będzie powodowała zakłóceń w udzielaniu świadczeń zdrowotnych, w tym dostępu do zebranej dokumentacji. Umowy te zatem powinny zawierać klauzule, które pozwolą na szeroki i sprawny nadzór nad prowadzonymi operacjami. Wśród dobrych praktyk w tym zakresie jest stosowanie imiennej listy osób, które będą zaangażowane w realizację umowy oraz zebranie od tych osób stosownych oświadczeń zobowiązujących do zachowania tajemnicy.

 

Zachowanie równowagi między dostępem a prywatnością

Jednym z kluczowych wyzwań jest zachowanie równowagi między zapewnieniem dostępu do danych dla potrzeb medycznych i biznesowych a ochroną prywatności pacjentów, którzy potrzebują pewności, że ich dane są bezpieczne i poufne, z jednoczesnym zapewnieniem do nich dostępu w celu leczenia i diagnozy.

Wśród standardowych rozwiązań informatycznych zabezpieczenie danych odbywa się przez stosowanie zaawansowanych technologii szyfrowania oraz bieżącą aktualizację oprogramowania, które uwzględnia nowe rodzaje zabezpieczeń. Do dobrych praktyk w zakresie bezpieczeństwa danych należy dwustopniowa autoryzacja logującego się personelu, ograniczanie dostępu pracownikom tylko do niezbędnych do ich pracy zasobów, a także monitorowanie logowań do systemu oraz wychwytywanie podejrzanych zachowań.

Jednak dla zachowania bezpieczeństwa danych medycznych w cyfrowym świecie niezwykle istotny jest czynnik ludzki, czyli wiedza wszystkich pracowników na temat zasad prawidłowego przetwarzania danych osobowych. Każda placówka medyczna powinna stworzyć, a następnie wdrożyć rygorystyczne procedury przetwarzania i przechowywania danych, a także regularnie podnosić świadomość pracowników w zakresie odpowiedzialności za bezpieczeństwo powierzonych przez pacjentów danych osobowych.

 

Konsekwencje wycieku danych

Wyciek danych medycznych stanowi poważne zagrożenie prywatności klientów, a co za tym idzie, zasiania wątpliwości co do jakości świadczenia usług przez placówki medyczne oraz wzbudzenia nieufności. Jednak oprócz utraty zaufania pacjentów, wyciek wrażliwych danych to również poważne konsekwencje prawne. W przypadku naruszenia prawa pacjenta do prywatności poszkodowany może dochodzić zadośćuczynienia za doznaną krzywdę. W przypadku zbiorowego wycieku danych medycznych, które mogą mieć miejsce przy atakach hakerskich, skala problemu i idące za tym konsekwencje znacząco rosną.

 

Otwarte dane medyczne – morze potencjału, ocean wyzwań

Ustawą z dnia 11 sierpnia 2021 r. o otwartych danych i ponownym wykorzystaniu informacji sektora publicznego zostało w polskim prawie zostało wprowadzone pojęcie otwartych danych. Zgodnie z ideą otwarte dane są zanonimizowane i publicznie udostępnione. Podane informacje nie posiadają ograniczeń co do sposobu ich wykorzystania, reprodukcji, czy też udostępniania. Ekspresowa wymiana wiedzy pozwala na optymalizację działań i tworzenie nowych rozwiązań dla zaistniałych problemów. Open Data ma być rozwiązaniem zachowującym równowagę pomiędzy dostępem do informacji a ochroną prywatności jednostki i bezpieczeństwem danych.

Wśród zbieranych i udostępnianych danych zdrowotnych znajdziemy informacje o zdrowiu publicznym, statystyki dotyczące epidemiologii i różnych dziedzin medycyny, a także inne dane medyczne. Dzięki nim możliwe jest lepsze zrozumienie chorób, szybsze diagnozy oraz efektywniejsze leczenie.

Jednak oprócz powyższych, niewątpliwych zalet, Open Data to również szereg wyzwań, którym musimy sprostać. Jednym z nich jest jakość i aktualność udostępnionych danych. Dane niekompletne, nieaktualne lub zebrane w niewłaściwy sposób mogą prowadzić do błędnych konkluzji, co z kolei jest prostą drogą do podejmowania niewłaściwych decyzji i rozpowszechniania fałszywych informacji. Błędnie zinterpretowane dane to również potężne narzędzie manipulacji i szerzenia dezinformacji, na czym chętnie skorzystają przestępcy oraz nieetyczne jednostki i podmioty.

Otwarte dane to również wyzwanie legislacyjne. Przepisy nie nadążają za wciąż zmieniającymi się technologiami i możliwościami, a to powoduje chaos i przypadkowo podejmowane działania. Kwestią wymagającą szczególnej uwagi pozostaje również zapewnienie prywatności i bezpieczeństwa wszystkim użytkownikom i jednostkom, których dane zostały udostępnione.