Kybernetická bezpečnosť v zdravotníctve

Ako ostať imúnny voči „chorobám“ systému a chrániť citlivé dáta?

Problémovou a citlivou v zdravotníctve sa v súčasnosti stáva okrem jeho efektivity a financovania aj otázka bezpečnosti dát. Téma kybernetickej bezpečnosti sa aktuálne týka všetkých zdravotníckych zariadení – nemocníc, lekární, dokonca aj farmaceutických firiem. Cieľom útoku hackerov nemusí byť len finančný zisk, môže sa ním stať aj získanie informácií za účelom konkurenčnej výhody. Oboje však robí zo zdravotníckych zariadení a farmaceutických spoločností vhodných adeptov na kybernetické útoky. Predsa čo môže byť citlivejšie ako zdravotné záznamy či osobné údaje nás všetkých? Aká tenká je hranica dostupnosti osobných údajov, zdravotných záznamov? Prečo je otázka bezpečnosti, dostupnosti a riadenia prístupu k týmto informáciám jednou z najdôležitejších tém digitálnej spoločnosti, aj o tom diskutovali experti/odborníci na dané témy 11. júna 2019 v kongresovom centre Technopol na odbornej konferencii eHealth Security Conference. Organizátorom odborného podujatia bola spoločnosť SecTec.

Marek Král, riaditeľ spol. SecTec

Na úvod sa odbornému auditóriu prihovoril riaditeľ spoločnosti SecTec Marek Král. Podľa jeho slov ezdravie nie je len o technológiách, ale aj o nastavení nových pravidiel – napr. GDPR. Dôležitou súčasťou tohto systému sú však aj citlivé dáta a ich ochrana. Vplyv na celkový úspech systému eHealth = ezdravia má jeho celková funkčnosť. Ak systém nefunguje a hrozí únik údajov, užívateľ stratí dôveru v celý systém. Práve diskusia na tieto témy sa stala cieľom tohto odborného podujatia. Pred uskutočnením konferencie prebiehala anketa medzi účastníkmi konferencie. Riaditeľ neziskovej a mimovládnej organizácie pre kybernetickú bezpečnosť CYBER STRING Igor Šenkarčin na úvod priblížil výsledky miniankety, ktorá mala za cieľ umožniť vyjadriť názor účastníkov konferencie k pripravenosti a schopnosti inštitúcií čeliť kybernetickým útokom a chrániť sa pred únikom citlivých údajov. Na anketu zareagovalo 32 (zhruba polovica zúčastnených) respondentov zo segmentu zdravotníctva (zdravotné poisťovne, nemocnice, lekárne, laboratóriá). Dve tretiny respondentov odpovedali, že výpadok informačných technológií má zásadné dopady na chod ich inštitúcií. Viac informácii nájdete na stránke: https://mediastring.org/anketa

Aj softvér môže byť zdravotníckou pomôckou!

Zuzana Cich Hečko, advokátka Allen & Overy sa v prezentácii o mobilných zdravotníckych aplikáciách venovala novému nariadeniu MDR, ktoré bude platné po máji 2020. Na základe tejto legislatívnej povinnosti budú musieť byť diagnostické aplikácie klasifikované ako zdravotnícke pomôcky a budú musieť prejsť registračným konaním Štátneho ústavu pre kontrolu liečiv. Viac nám prezradila p. Hečko v rozhovore:

 Aké budú mať výrobcovia digitálnych pomôcok resp. aplikácií, ktoré diagnostikujú zdravotný stav povinnosti po máji 2020, keď vstúpi do účinnosti nová legislatíva ohľadne zdravotníckych pomôcok (MDR)?

V prvom rade je potrebné povedať, že veľa developerov takýchto aplikácií je prekvapených, ak im povieme, že ich riešenie spadá do definície zdravotníckej pomôcky už podľa súčasnej legislatívy, teda podľa súčasného zákona o liekoch. Softvér už podľa súčasnej legislatívy môže predstavovať zdravotnícku pomôcku. Po máji 2020, keď vstúpia do účinnosti niektoré časti nového nariadenia sa tento režim ešte viac sprísni. V praxi to bude znamenať, že aplikácia, teda softvér, ktorý bol do mája 2020 posúdený ako zdravotnícka pomôcka triedy I. môže spadnúť do vyššej triedy. S tým súvisia ďalšie povinnosti, ktoré predtým výrobca nemal, najmä certifikácia a posudzovanie zhody. Ak to softvér nebude mať, po máji 2020 nebude môcť byť uvedený na trh.

Aké povinnosti má taký developer v súčasnosti?

Ak si vezmeme ako príklad známu aplikáciu Babylon Health, ktorá je založená na princípe umelej inteligencie, takýto softvér môžeme posúdiť ako zdravotnícku pomôcku triedy I.  Takto je aj dnes zaregistrovaná. Pre takúto aplikáciu nie je potrebné vykonávať posudzovanie zhody, postačí vyhlásenie o zhode vypracované výrobcom a registrácia aplikácie ako zdravotníckej pomôcky na Štátnom ústave pre kontrolu liečiv. Po máji 2020 nám riešenia ako Babylon Health zrejme spadnú z triedy I do triedy II a. Vtedy už bude okrem iného potrebné osloviť notifikovanú osobu, ktorá môže robiť posudzovanie zhody podľa MDR a urobiť certifikáciu.

Akú úlohu v tomto procese zohráva Štátny ústav pre kontrolu liečiv?

ŠÚKL je orgánom dohľadu nad trhom so zdravotníckymi pomôckami, ktorý ma oprávnenie vykonávať inšpekcie. Doposiaľ nemáme vedomosť, že by sa ŠÚKL extenzívne zaoberal témou softvéru a aplikácií. Predpokladám však, že po máji 2020 sa bude touto témou zaoberať intenzívnejšie, nakoľko ešte pred MDR má Komisia prijať dodatočné usmernenia ohľadne softvéru ako zdravotníckej pomôcky. Teda ak bol doteraz používaný argument, že registrácia softvéru ako samostatnrej zdravotníckej pomôcky „nie je celkom jasná”, čoskoro už tento argument nebude použiteľný.

A čo tzv. „lifestylové” aplikácie? Platí pre ne rovnaký režim?

Pre lifestylové aplikácie sa MDR aplikovať nebude. Medzi lifestylovou aplikáciou a zdravotníckou pomôckou je však niekedy tenká hranica. Lifestylové aplikácie by mali mať funkcionality limitované pre zdravých ľudí a mali by sa zamerať na podporu zdravého životného štýlu. Nemôžu nám teda vyhodnocovať riziko vzniku nejakého ochorenia alebo nás upozorňovať na možný výskyt ochorenia. Preto boli Apple Watch rady 4, ktoré okrem iného upozorňujú užívateľa na možnosť vyskytnutia sa srdcovej arytmie, posúdené ako zdravotnícka pomôcka triedy II a. Náramok, ktorý iba meria počet krokov, ktoré osoba urobí alebo rýchlosť behu osoby, by zdravotníckou pomôckou nebol.

 

Sú zdravotnícke zariadenia zraniteľné pred kybernetickými útokmi?

  • Aj tejto téme venovala pozornosť väčšina prednášajúcich na konferencii eHealth Security Conference.
  • Skúsenosti s budovaním efektívnej a bezpečnej siete v zdravotníctve predstavil auditóriu projektový manažér spol. Novicom – Víťezslav Šavel.
  • Ochrane zdravotných informácií a mapovaniu ich tokov venoval pozornosť Territory Acount manager spoločnosti Forcepoint – Igor Urban, ktorý popísal, aké sú technologické možnosti ochrany zdravotných záznamov a ako sa efektívne brániť pred ich cieleným alebo náhodným únikom.
  • To, aké jednoduché je pre hackerov oklamať lekárov alebo, že Deepfake Malware dokáže presvedčiť rádiológa, že máte karcinóm, priblížili vo svojej prezentácií Andrej Aleksiev Tomáš Votruba zo spoločnosti Checkpoint
  • Peter Kuboš – regionálny manažér pre spol. Kaspersky Lab odprezentoval, ako je možné urobiť kybernetický útok na nemocnicu a ukázal ako spoločnosť Kaspersky Lab odhaľuje bezpečnostné slabiny v IT sieťach nemocníc.
  • Na čo všetko možno použiť digitálny podpis a ako využiť existujúce certifikáty na ochranu prístupu ku kľúčovým aplikáciám predstavil Tomáš Jilík regional channel sales manager zo spoločnosti Gemalto.
  • O Network visibility pre „zdravotníctvo” porozprával odbornému auditóriu Roman Čupka z Flowmon Networks. Poukázal na dôležitosť detailného monitoringu dátových tokov v počítačovej sieti.

 

Ako môže poskytovateľ zdravotnej starostlivosti fungovať v symbióze s GDPR?

Tatiana Valentová, expertka na ochranu osobných údajov Algger, s. r. o. a bývalá vrchná inšpektorka Úradu na ochranu osobných údajov SR sa v prezentácii GDPR – najväčšie nástrahy v zdravotníctve, venovala neustále sa meniacim podmienkam pri poskytovaní zdravotnej starostlivosti, využívaniu nových technológií v kontexte GDPR, využívaniu biometrie s cieľom zvýšenia kvality poskytovaných služieb v zdravotníctve a s tým súvisiacim povinnostiam ako je napr. monitorovanie pacienta, poskytovanie informácií o zdravotnom stave a iné.

Opýtali sme sa:

Čo všetko by mal o GDPR vedieť zdravotnícky pracovník (lekárnik, lekár), aby sa vyhol sankcii? Kde môže nájsť potrebné informácie?

GDPR je veľmi široký pojem. Ak v prostredí poskytovateľa zdravotnej starostlivosti alebo lekárne boli nastavené procesy, ktorých cieľom je zabezpečiť súlad s GDPR, tak je potrebné sa s nimi oboznámiť (spravidla sú spracované v smerniciach) a dodržiavať ich. Všeobecné informácie sú priamo v Nariadení (GDPR) v usmerneniach, ktoré vydáva Výbor (Európsky výbor pre ochranu údajov) a tiež dozorný orgán, ktorým je Úrad na ochranu osobných údajov Slovenskej republiky. Je však náročné, obsiahnuť celú problematiku. Je dôležité si uvedomiť, že práca s citlivými údajmi (osobitná kategória osobných údajov) si vyžaduje zvýšenú starostlivosť zo strany prevádzkovateľa (lekár, lekáreň) a spravidla aj odborné poradenstvo. Implementácia GDPR v prostredí prevádzkovateľa by mala zabezpečiť nastavenie vhodných postupov a podmienok spracúvania osobných údajov, určiť pravidlá a princípy. Jednotlivý zamestnanec sa nimi musí riadiť.

Poskytovanie informácií zo zdravotnej dokumentácie v súlade s GDPR – aké sú základné pravidlá?

V tomto prípade je lekár povinný postupovať v súlade so zákonom č. 576 / 2004 Z. z. o zdravotnej starostlivosti (prípadne súvisiace predpisy), ktorý upravuje aj sprístupňovanie informácií zo zdravotnej dokumentácie. Z pohľadu GDPR sa poskytnutie (sprístupnenie) informácií realizuje na základe zákonnej povinnosti, verejného záujmu. GDPR poskytuje ešte jednu možnosť pre spracúvanie osobitnej kategórie osobných údajov (v tomto prípade údajov o zdraví), ktorým je spracúvanie nevyhnutné na ochranu životne dôležitých záujmov dotknutej osoby alebo inej osoby v prípade, že dotknutá osoba nie je fyzicky alebo právne spôsobilá vyjadriť svoj súhlas (čl. 9 ods. 2 písm. c) GDPR).

Čo všetko možno považovať za osobný údaj a čo sa pokladá za osobitnú kategóriu osobných údajov? Ako vie zdravotnícky pracovník odhadnúť, kedy si pýtať súhlas so spracovaním osobných údajov?

Osobným údajom môže byť vlastne čokoľvek, akýkoľvek údaj alebo informácia, na základe ktorej vieme osobu určiť alebo je určiteľná. Ide o údaje, ktoré sa takej osoby týkajú. Napríklad meno, adresa, dátum narodenia, rodné číslo ale za určitých okolností aj IP adresa, informácia o zdraví, politický názor, ŠPZ auta, opis osoby a pod. Nie je možné presne vymenovať, ktoré údaje sú osobnými údajmi. Vždy sa to posudzuje v konkrétnom kontexte.

Osobitná kategória osobných údajov je definovaná v čl. 9 ods. 1 GDPR. Ide o údaje, ktoré odhaľujú rasový alebo etnický pôvod, politické názory, náboženské alebo filozofické presvedčenie, členstvo v odborovej organizácii, genetické údaje, biometrické údaje ak sú určené na individuálnu identifikáciu fyzickej osoby, údaje týkajúce sa zdravia, sexuálneho života alebo sexuálnej orientácie.

V podmienkach lekárne alebo ambulancie sú spracúvané spravidla údaje o zdraví, ale aj o sexuálnom živote, ak to súvisí s poskytovaním zdravotnej starostlivosti. Osobitná kategória osobných údajov je v podstate gro údajov, ktoré sú v týchto podmienkach spracúvané. Ide o obzvlášť citlivé údaje a preto by prevádzkovatelia nemali podceňovať ich ochranu a nastavenie vhodných pravidiel pri ich spracúvaní.

Osobné údaje sú v podmienkach lekárne alebo ambulancie spracúvané spravidla na základe osobitných právnych predpisov v spojení s GDPR. Vyžadovanie súhlasu je skôr výnimočné. Rozhodne by sa o takej skutočnosti nemal lekárnik rozhodovať v čase, keď taká situácia nastane. Spracovateľské činnosti by mali byť posúdené v rámci implementácie a mali by byť nastavené presné a jednoznačné postupy pre konkrétne situácie. Potom sa nemôže stať, že lekárnik bude situáciu „odhadovať”, resp. by sa také niečo stať vôbec nemalo. Ja by som vôbec nevyžadovala súhlas na spracúvanie telefónneho čísla. Ide o poskytnutie služby zo strane lekárne a je možné tu aplikovať napríklad vzťah založený na zmluve alebo aj na oprávnenom záujme  (poskytnúť kvalitnú službu, budovať dobré meno lekárne, značky… a pod.). V takom prípade je skôr dôležité poskytnutie relevantných informácií o spracúvaní osobných údajov v súlade s čl. 13 a 14 GDPR.

Aké sú riziká pri využívaní nových technológií v kontexte GDPR, napríklad diagnostické aplikácie a iné?

Nové technológie všeobecne prinášajú riziká spojené s bezpečnosťou informácií, ktoré sú prostredníctvom nich spracúvané. Mnohé fungujú online, bežne sa sťahujú dáta, prenášajú sa, pracuje sa s nimi v reálnom čase. To prináša celú škálu rizík, spojených so spracúvaním informácií v kybernetickom priestore. A rovnako si vyžadujú odborný prístup s cieľom informácie riadne chrániť, zabezpečiť a zaviesť princípy pre spracúvanie osobných údajov, ktoré zamedzia ich nezákonnému spracúvaniu. Posúdenie rizík a návrh opatrení rozhodne patrí do rúk odborníkom na informačnú bezpečnosť.

Je potrebné si uvedomiť, že v súčasnej dobe sú možnosti ako technológie ovplyvňovať v reálnom čase, meniť výsledok testu a pod., čo môže mať za následok poškodenie zdravia.

Všeobecne vnímam ako najväčšie riziká z pohľadu GDPR skutočnosť, že mnohé subjekty, ktoré poskytujú zdravotnú starostlivosť nemajú implementované GDPR, prípadne si zakúpili cez internet „instantné” riešenie a v skutočnosti nemajú nič. Pokiaľ ľudia, ktorý s osobnými údajmi pracujú, nevedia ako postupovať, čo je v ktorej situácii správne, aký právny základ aplikovať, či mám vyžiadať súhlas a kedy, ako správne informovať dotknuté osoby o spracúvaní osobných údajov, čo je bezpečnostný incident a ako postupovať v prípade, že nastane, ako správne a včas vybaviť žiadosť dotknutej osoby, ktorá si uplatní svoje právo, kedy mám nanovo posúdiť riziká, ako posúdiť podmienky spracúvania (monitorovanie súladu) a pod. nemožno hovoriť o súlade s GDPR. Odporúčam prevádzkovateľom otestovať, či vo svojich podmienkach, majú aspoň tieto základné situácie zvládnuté a ubezpečiť sa, že všetci, ktorí s osobnými údajmi prichádzajú do styku vedia čo, kedy a ako majú robiť. 

1

2

Foto 01:  Igor Šenkarčin, riaditeľ neziskovej a mimovládnej organizácie pre kybernetickú bezpečnosť CYBER STRING

Foto 02:  Zľava: Mgr. Jana Štefancová riaditeľka uniPOLIKLINIKY Dubnica nad Váhom a Ing. Jana Kalapošová,  senior marketing manager SecTec pri výstavnom stánku časopisu Lekárnik, ktorý bol mediálnym partnerom podujatia eHealth Security Conference

 

 spracovala a foto: Mgr. Alexandra Pechová

Príspevok bol uverejnený v časopise Lekárnik 7/2019