Praktyka organów publicznych w zakresie cyberbezpieczeństwa i ochrony danych medycznych, kodeks branżowy, szanse i wyzwania związane z bezpieczeństwem danych medycznych w środowisku cyfrowym – to były główne tematy kolejnej – IV edycji konferencji RODO i cyberbezpieczeństwo w zdrowiu, która odbyła się 24 maja 2022, w przeddzień czwartej rocznicy wejścia w życie polskiej ustawy o ochronie danych.

Kluczowym zagadnieniem konferencji była dyskusja na temat obowiązków i wyzwań związanych z cyberzagrożeniami w prowadzeniu działalności leczniczej w środowisku cyfrowym. Eksperci sporo uwagi poświęcili potrzebie zwiększenia świadomości pacjentów w zakresie przysługujących im praw dotyczących ich danych osobowych.

Konferencja miała na celu również podnoszenie kompetencji cyfrowych pracowników ochrony zdrowia. Istotne okazuje się również prawidłowe zabezpieczenie stron internetowych przed atakami hakerów. Tematyka cyberbezpieczeństwa jest szczególnie ważna, zważywszy, że liczba cyberataków na podmioty medyczne stale rośnie, przyczyniając się do zwiększonego zagrożenia w zakresie wycieku danych medycznych pacjentów.

Kto i dlaczego stworzył kodeks branżowy „RODO w ochronie zdrowia”

Jednym z zagadnień IV edycji konferencji był „Kodeks Branżowy RODO w sektorze ochrony zdrowia”, który powstał w ramach prac szerokiej koalicji, składającej się między innymi z Polskiej Federacji Szpitali, Telemedycznej Grupy Roboczej, Związku Pracodawców Technologii Cyfrowych Lewiatan, Pracodawców Medycyny Prywatnej, Polskiej Izby Informatyki i Telekomunikacji oraz Porozumienia Zielonogórskiego, przy wsparciu prawnym Kancelarii DZP.

Prace nad kodeksem w „RODO w ochronie zdrowia” rozpoczęły się w lipcu 2017 roku Kodeks powstawał przy aktywnym udziale strony publicznej, w szczególności Ministerstwa Zdrowa, Centrum e-Zdrowia oraz Centrum Monitorowania Jakości w Ochronie Zdrowia.

Celem kodeksu „RODO w ochronie zdrowia” jest „zapewnienie adekwatnego poziomu ochrony pacjentów, w związku z przetwarzaniem ich danych osobowych, ze szczególnym uwzględnieniem ochrony zdrowia i życia, jako dóbr o nadrzędnym znaczeniu – czytamy we wstępie do projektu tego dokumentu.

– Inicjatywa opracowania projektu kodeksu narodziła się jako odpowiedź na liczne wątpliwości i problemy interpretacyjne związane ze stosowaniem RODO, które na początku obowiązywania nowych regulacji miały podmioty lecznicze – wyjaśnia Ligia Kornowska, dyrektor zarządzająca Polskiej Federacji Szpitali, a zarazem jedna z inicjatorów Kodeksu i samej konferencji. – Potrzeba przyjęcia i stosowania kodeksu jest aktualna. Wyznacza on bowiem pożądany standard ochrony danych osobowych, który ma zapewnić pacjentom lepszą gwarancję poszanowania ich prywatności, a placówkom medycznym pewność w zakresie wymogów i zasad prawidłowego postępowania – dodaje.

Kodeks branżowy zyskał pozytywną opinię Prezesa Urzędu Ochrony Danych Osobowych (PUODO). Dzięki temu podmioty wykonujące działalność leczniczą, które chcą zapewnić pacjentom wysoki poziom ochrony ich danych osiągnięty w projekcie kodeksu, mogą rozpocząć dostosowywanie swojej aktywności do jego postanowień.

Prawdopodobnie już jesienią 2022 roku pierwsze placówki medyczne będą mogły ubiegać się o wydanie im certyfikat na podstawie kodeksu. Dokument ten w sierpniu ma być ostatecznie zatwierdzony przez Urząd Ochrony Danych Osobowych.

UODO ma też w najbliższym czasie rozpatrzyć wniosek o akredytację podmiotu monitorującego placówki medyczne pod kątem przestrzegania przez nie zapisów kodeksu. Wniosek taki złożyła firma KPMG Advisory Sp. z o.o. Jeśli uzyska on akceptację, spółka ta będzie przeprowadzać audyty w placówkach ochrony zdrowia i na tej podstawie podmioty lecznicze będą mogły uzyskiwać zaświadczenie (certyfikat) o przyznaniu im statusu Członka Kodeksu.

Aktualny projekt kodeksu można pobrać tutaj

Konferencję zorganizowali: Polska Federacja Szpitali, zespół ekspertów wZdrowiu i kancelaria DZP.

Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem.

Zapis konferencji „RODO i cyberbezpieczństwo w zdrowiu” z 24 maja 2022 roku dostępny jest na YouTube.com

Rozwój cyfryzacji i telemedycyny, który przyspieszył znacznie w okresie epidemii, spowodował także konieczność stosowania w szerszym zakresie zasad cyberbezpieczeństwa w ochronie zdrowia. Podczas konferencji “RODO w sektorze medycznym” mówiła na ten temat Katarzyna Pisarzewska, kierownik Działu Prawa Ochrony Danych Osobowych w Lux Med.

Prelegentka przypomniała, że epidemia wpłynęła w znacznym stopniu na rozwój cyfryzacji i telemedycyny, wymuszając konieczność sprawnego i skutecznego przejścia na model obsługi pacjentów w formie zdalnej, jednocześnie zwiększając zapotrzebowanie na rozwiązania chmurowe oraz zasoby sieciowe i dostosowanie aplikacji elektronicznej dokumentacji medycznej, aplikacji klinicznych oraz używanych w ramach obsługi pacjenta do aktualnego środowiska sieciowego. 

W związku z tym pojawiły się nowe wyzwania dotyczące ochrony danych w sektorze zdrowia. Wynika to z faktu, że sektor medyczny jest najbardziej atrakcyjnym sektorem dla cyberprzestępców. Informacje zawarte w bazach danych medycznych mogą być warte nawet 10 razy więcej niż informacje z kart kredytowych. 

Czytaj także: Jak zarządzać ryzykiem zgodnie z RODO w laboratorium medycznym?>>>

Szacuje się, że aż 23 procent podmiotów z branży opieki zdrowotnej dokonało jakiejś formy płatności na rzecz okupu z powodu ataku typu ransomware. Chodzi o złośliwe oprogramowanie, powodujące utratę danych osobowych, które jest instalowane zdalnie na komputerze, a którego odblokowanie jest dokonywane po opłaceniu określonej sumy pieniędzy. 

Niebezpieczeństwo utraty takich danych w podmiotach medycznych może być także wynikiem stosowania przestarzałego oprogramowania oraz błędu ludzkiego, czyli nieprawidłowego przesyłania i udostępniania danych dokonywanego przez personel podmiotu medycznego. 

Dyrektywa NIS, czyli pierwsze europejskie prawo w zakresie cyberbezpieczeństwa, przyjęta w 2018 roku (w Polsce implementuje ją Ustawa o krajowym systemie cyberbezpieczeństwa z 28 sierpnia 2018 roku) zakłada poszerzenie współpracy państw członkowskich w tym zakresie. Jednym z sektorów objętych dyrektywą jest sektor e-zdrowia, obejmujący zagadnienia przetwarzania elektronicznej dokumentacji medycznej. 

Główne wyzwania dotyczące cyberbezpieczeństwa w ochronie zdrowia dotyczą analizy ryzyka i zapewnienia odpowiedniego sprzętu oraz zasad poufności, przy użyciu dowolnego kanału komunikacji, zarówno w przypadku rozmowy prowadzonej za pośrednictwem call center czy też zdalnego dostępu do aplikacji, na przykład do portalu pacjenta, czy podczas udzielania świadczeń na odległość.  

Czytaj także: Pracodawcy Medycyny Prywatnej partnerem Kongresu Wyzwań Zdrowotnych>>>

Ważna jest prawidłowa weryfikacja danych osobowych pacjenta lub osoby uprawnionej (na przykład osoby bliskiej, wskazanej przez pacjenta), podwójne uwierzytelnienie podczas nadawaniu pacjentowi dostępu do aplikacji mobilnych oraz zapewnienie obsługi cyfrowej dla osób starszych i nieporadnych.  

W celu odpowiedniego zabezpieczenia danych osobowych w cyfrowym świecie potrzebna jest jako punkt wyjścia – analiza ryzyka oraz identyfikacja zagrożeń oraz adekwatnych środków technicznych, fizycznych i organizacyjnych. Ważne jest regularne podnoszenie świadomości pracowników w zakresie cyberbezpieczeństwa.  

Zalecane jest dokonywanie regularnych pen-testów oraz ciągle doskonalenie stosowanych zabezpieczeń dotyczących zagrożeń związanych z cyberprzestępczością. Pomaga w tym weryfikacja i stosowanie podwójnego uwierzytelnienia przy udzielaniu zdalnego dostępu do danych osobowych oraz wykonywanie regularnych kopii danych i szyfrowanie baz danych. 

Konferencja pt. “RODO w sektorze medycznym – gdzie jesteśmy, dokąd zmierzamy?” odbyła się 25 maja 2021 roku.  

Organizatorem Konferencji byli: Medexpert Ligia Kornowska oraz Polska Federacja Szpitali. Partnerem prawnym była Kancelaria DZP sp. k. Pracodawcy Medycyny Prywatnej objęli wydarzenie swoim patronatem.  

Więcej informacji na temat kodeksu RODO w ochronie zdrowia znajduje się na stronie www.rodowzdrowiu.pl.