Przechowywanie dokumentacji medycznej w wersji elektronicznej? Rekomendacja Centrum Systemów Informacyjnych Ochrony Zdrowia

    Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej – warto wskazać, że jest to rekomendacja dla Centrów Informacyjnych Ochrony Zdrowia, natomiast może to być istotna wskazówka w zakresie ochrony danych osobowych dla salonów medycyny estetycznej czy salonów, które przetwarzają dane o stanie zdrowia z wykorzystaniem narzędzi elektronicznych typu chmury.

    W rekomendacji przeczytamy, że:

    Dostępne są rozwiązania chmurowe, które dzięki zastosowaniu odpowiedniej technologii kryptograficznej uniemożliwiają dostęp dostawcy rozwiązań do danych należących do organizacji i przechowywanych w chmurze. Technologie takie wykorzystują zaawansowane metody ochrony prywatnych kluczy szyfrujących, które są dzielone i nigdy nie są przetrzymywane w całości w jednym miejscu. W takiej sytuacji serwer nie jest w stanie uzyskać dostępu do danych w postaci jawnej (serwer nie posiada, ani nie może wyznaczyć żadnego z kluczy kryptograficznych klienta usługi), treść danych pozostaje tajemnicą nawet dla dostawcy usługi.
    W przypadku rozwiązań chmurowych dostęp do danych możliwy jest dla dostawcy rozwiązań. Dlatego Zalecane jest stosowanie mechanizmów kryptograficznych w celu zabezpieczenia przed udostępnieniem danych osobom nieupoważnionym oraz zapewnienia pełnej poufności danych.
    Dostawca usługi (w zależności od przyjętego modelu) powinien również zapewnić, że dane w procesie przekazywania i przechowywania w chmurze obliczeniowej są szyfrowane, a wykorzystane rozwiązania zapewniają ochronę danych w modelu end-to-end encryption. Ponadto dostawca usługi chmury obliczeniowej dostarczający technologię transmisji danych powinien zapewnić, że z uwagi na dużą liczbę możliwych podatności nie stosuje on standardowych protokołów transmisji tj. SSL/TLS – powinny być stosowane mechanizmy uniemożliwiające skutecz- ne prowadzenie podsłuchu transmisji czy też ataki typu man in the middle.
    Zasada integralności i poufności – dotyczy stosowania odpowiednich środków technicznych i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych osobowych. Między innymi chodzi o ochronę przed niedozwolonym przetwarzaniem lub przetwarzaniem niezgodnym z prawem a także zabezpieczenie danych przez ich utratą, zniszczeniem lub uszkodzeniem.
    W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z RODO zarówno administrator jak i podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak np. szyfrowanie – minimalizujące to ryzyko. Stosowane środki powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.














    Nieuprawniony dostęp przez użytkowników (w tym nieuprawniony dostęp przez pracowników służby zdrowia i personelu pomocniczego) po- legający na zaistnieniu sytuacji, w której użytkownicy korzystają z kont do których sami nie mają uprawnień albo korzystania przez wielu użytkowników z tego samego loginu użytkownika i hasła. „Pragmatyzm zwyczajowy” stanowi naruszenie zasad bezpiecznego uwierzytelniania użytkownika. Przykładem takiego zwyczaju mogą być sytuacje w których jeden pracownik medyczny (np. lekarz) może zastąpić innego na stanowisku pracy i kontynuuje prace na już zalogowanym koncie poprzednika co skutkuje brakiem potrzeby przelogowania. Pierwsze logo- wanie użytkownika pozwala na pracę w systemie i jednocześnie bez uprzedniego wylogowania pozwala na pracę przez innych użytkowników na koncie bieżącego użytkownika. Powyższy przykład zachowania powoduje poważne naruszenia poufności i niezaprzeczalności. Większość naruszeń poufności jest dokonywana przez użytkowników pracujących w danej organizacji a genezą ich powstania są uwarunkowania spo- wodowane w znacznym zakresie brakiem świadomości użytkowników o zagrożeniach z nich wynikających. W tym miejscu wskazać również należy, że nieuprawniony dostęp przez użytkowników może służyć do próby zatuszowania przypadków lub przypisania zdarzeń innej osobie, gdy zdarzenia takie powstały. Dlatego też funkcjonalności użytkowanych systemów informatycznych powinny pozwalać wyeksportować pełen wykaz wykonywanych czynności na danych w systemie, zawierający: określenie czasu ich wykonania, reguł wersjonowania (brak możliwości nadpisywania) oraz identyfikację rodzaju dokonanej czynności.


    Pseudonimizacja i szyfrowanie.
    RODO jako odpowiednie zabezpieczenie obok pseudonimizacji wymienia szyfrowanie danych. Szyfrowanie to proces przekształcenia danych na niezrozumiały ciąg znaków w celu jego utajnienia. W zależności od tego czy do procesu deszyfrowania wykorzystywany jest ten sam klucz, który brał udział w procesie szyfrowania czy inny wyróżnić należy system kryptograficzny z kluczem tajnym (szyfrowanie symetryczne) oraz system kryptograficzny z kluczem publicznym (szyfrowanie niesymetryczne).
    Bezpieczeństwo stosowania pseudonimizacji i szyfrowania
    Wprowadzając zabezpieczenia związane z pseudonimizacją i szyfrowaniem danych, zaleca się opracować procedury stosowania zabezpieczeń kryptograficznych.
    W związku z powyższym niezbędnym jest określenie:
    a) wymaganego poziomu ochrony, opartego na szacowaniu ryzyka oraz biorącego pod uwagę typ, siłę
    i jakość wymaganych algorytmów kryptograficznych;
    b) zasad korzystania z kryptografii do zabezpieczania informacji transportowanych w przenośnych lub na wymiennych nośnikach i urządze- niach albo przesyłanych za pośrednictwem linii komunikacyjnych;
    c) sposobu zarządzania kluczami, w tym metody bezpiecznego udostępniania kluczy kryptograficznych, odzyskiwania zaszyfrowanych infor- macji w przypadku utraty oraz naruszenia bezpieczeństwa lub uszkodzenia kluczy bądź przejęcia urządzenia przenośnego. …
    d) ról i odpowiedzialności;
    e) standardów, które mają zostać przyjęte do skutecznego wdrożenia;
    f) wpływu korzystania z zaszyfrowanej informacji na zabezpieczenia, które opierają się na analizie treści (np. wykrywanie szkodliwego oprogramowania).”

    Pełen zakres rekomendacji można znaleźć tu: http://www.pfsz.org/wp-content/uploads/2019/09/REKOMENDACJE_csioz-002.pdf

    Masz pytania dotyczące aspektów prawnych ? Zapraszam na indywidualną konsultację -> https://sklep.llegal.pl/pl/p/Konsultacja-Online-branza-BEAUTY/87 

    __________________________________________________

    Podana powyżej treść nie jest opinią prawną ani poradą prawną. Wszelkie decyzje powinny być podejmowane na podstawie dokładnej analizy ryzyka oraz weryfikacji prawnej. Tylko dokładna weryfikacja stanu faktycznego Twojej sprawy umożliwia wskazanie najlepszych rozwiązań prawnych w Twojej sprawie. W tym celu skontaktuj się z prawnikiem. Artykuły zamieszczone na stronie są aktualne na dzień publikacji, z racji tego, że prawo często się zmienia mniej na uwadze to, że podane informacje mogą być już nieaktualne.