Wojciech Kuta/Rynek Zdrowia | 05-06-2015 06:14

Ochrona informacji medycznych: technika i procedury nie wyręczą personelu

Do spektakularnych przypadków wycieku dokumentacji medycznej doszło m.in. w tak dobrze zinformatyzowanych krajach jak USA i Holandia. Same przepisy, restrykcyjne procedury i technologie nie zapobiegną ujawnieniu danych o naszym zdrowiu osobom do tego niepowołanym. Najlepszym strażnikiem tajemnicy lekarskiej pozostaje człowiek.

Czy polskie prawo w pełni umożliwia bezpieczne gromadzenie i udostępnianie informacji zawartych w elektronicznej dokumentacji medycznej, w tym w zewnętrznych centrach danych? Jakie regulacje są szczególnie oczekiwane? O odpowiedzi na te pytania poprosiliśmy ekspertów w zakresie rozwiązań informacyjnych dla placówek ochrony zdrowia.

Opinie na temat prawnych gwarancji bezpieczeństwa tak wrażliwych danych jak informacje o stanie naszego zdrowia, przebytych chorobach, przebiegu leczenia - są dość zgodne. W tej dziedzinie polskie przepisy wciąż są dziurawe.

Brakuje standardów tworzenia i przetwarzania EDM
- Niestety, nadal brakuje pełnych regulacji w zakresie gromadzenia i przechowywania danych. Nie ma jeszcze szpitala, który w pełni mógłby przenieść dokumentację medyczną do chmury i tym samym zrezygnować z formy papierowej - zauważa Mariusz Kleszczewski, prezes zarządu Gabos Software Sp. z o.o.

Przypomina, że ciągle trwają prace nad legislacyjnym przygotowaniem do udostępniania danych medycznych za pomocą Elektronicznej Platformy Gromadzenia, Analizy i Udostępniania Zasobów Cyfrowych o Zdarzeniach Medycznych (P1) realizowanej przez Centrum Systemów Informacyjnych Ochrony Zdrowia.

W poszczególnych województwach tworzone są regionalne Systemy Informacji Medycznej, które mają umożliwić wypracowanie standardów wymiany elektronicznej dokumentacji medycznej (EDM) pomiędzy jednostkami medycznymi we współpracy z projektem P1. - Przede wszystkim nadal brakuje odgórnie wprowadzonych standardów tworzenia i przetwarzania EDM, opracowanych na poziomie krajowym - dodaje Kleszczewski.

Z kolei adwokat Łukasz Przebindowski, ekspert w Kamsoft S.A. wskazuje, że bezpieczeństwo informacji przetwarzanych w dokumentacji medycznej powinno być postrzegane nie tylko w kontekście ustawy o prawach pacjenta, ale i przepisów regulujących ochronę danych osobowych oraz tajemnice prawnie chronione (w tym tajemnicę lekarską).

Ustawowe rozwiązania rozwieją wątpliwości?
Część prawników zwraca uwagę na potrzebę wprowadzenia przepisów w randze ustawy, które wprost ustanawiałyby dostęp do informacji m.in. dla osób utrzymujących i serwisujących systemy informatyczne w lecznicach. Trwają prace nad projektem ustawy o zmianie ustawy o systemie informacji w ochronie zdrowia oraz niektórych innych ustaw.

- Projekt w wersji z 30 kwietnia 2015 br. przewiduje zmiany w ustawie o prawach pacjenta. W nowym brzmieniu art. 24 tej ustawy zakłada się, iż osobami uprawnionymi do przetwarzania danych zawartych w dokumentacji medycznej są nie tylko przedstawiciele zawodów medycznych, ale i wykonujący czynności pomocnicze w procesie leczenia oraz osoby zajmujące się utrzymaniem systemu teleinformatycznego - wylicza prawnik.

W opinii adw. Przebindowskiego uchwalenie tej nowelizacji usunie wątpliwości dotyczące eksploatacji systemów informacyjnych wspomagających pracę podmiotu leczniczego i korzystających z zewnętrznych centrów przetwarzania danych.

Także Szymon Chamuczyński, dyrektor w pionie opieki zdrowotnej Asseco Poland ma nadzieję, że kierunek zmian w prawie, dotyczących gromadzenia oraz udostępnieniach danych medycznych, pozwoli na „przeniesienie warstwy IT z jednostek medycznych do specjalizowanych centrów danych”.

- Korzystanie z systemów informatycznych na zasadzie usług nadzorowanych, serwisowanych i zabezpieczanych przez profesjonalne zespoły ekspertów IT, niewątpliwie przeniesie bezpieczeństwo danych medycznych na znacznie wyższy poziom - podkreśla.

Po pierwsze człowiek
Natomiast Paweł Ozorowski, prezes zarządu Konsultant IT zwraca uwagę, że równie istotnym sposobem zapewnienia bezpieczeństwa gromadzenia i przetwarzania danych jest świadomość oraz wiedza personelu.

- Sprzęt, system informacyjny, procedury, zabezpieczenia systemowe - to wszystko ważne, ale dopóki człowiek obsługuje te systemy, dopóty to on będzie najważniejszym ogniwem w trosce o poufność danych osobistych pacjentów - zaznacza.

- Doświadczenie pokazuje, że to właśnie zaniedbania ludzkie (mniej lub bardziej świadome) dopuszczają do absolutnie niedozwolonych zdarzeń, takich jak phishing, wyłudzanie haseł, czy kradzieży baz danych - dodaje prezes Ozorowski.

Przyznaje jednocześnie, że egzekwowanie ostrożności musi iść w parze z zapewnieniem odpowiednich szkoleń, warunków i narzędzi do ochrony informacji: - To koszty, ale zaniedbanie w tym zakresie może być bardziej kosztowne - przestrzega.

Przywołuje też - jako zdarzenie pokazujące znaczenie zachowania ostrożności w dostępie do wrażliwych danych osobistych pacjentów - spektakularne niepowodzenie gigantycznego przedsięwzięcia realizowanego kilka lat temu w Holandii. Uruchomiono tam powszechny system monitorowania przez pacjentów swoich zdarzeń medycznych online.

- Wystarczyło, by jeden z polityków, który był przeciwny rozwiązaniu, upublicznił dane kilku pacjentów wyłudzone wcześniej od niekompetentnego personelu medycznego, by społeczeństwo natychmiast wycofało swoje poparcie dla wcześniej zaakceptowanego projektu - przypomina Paweł Ozorowski.

O tym, że to właśnie "czynnik ludzki" stanowi największe zagrożenie w każdej organizacji, która przechowuje cenne dane, jest także przekonany Paweł Piecuch, konsultant i analityk rynków ochrony zdrowia i ITC, współautor książki "Elektroniczna Dokumentacja Medyczna".

Wielka wpadka w USA
- Nie chodzi tu tylko o przypadki, kiedy niezadowolony pracownik postanawia w dniu zakończenia współpracy wykraść, zniszczyć lub naruszyć bazę danych pacjentów/klientów swojego pracodawcy. Innymi słowy, czynnik ludzki to nie tylko celowe działania personelu na szkodę organizacji - zauważa analityk.

Podkreśla, że w większości przypadków przeciekom winni są bagatelizowani „przyjaciele” każdego pracownika: rutyna, nawyki, działania automatyczne, chęć pomocy petentowi.

- Zachowania te są najczęściej wykorzystywane podczas prób zdobycia informacji drogą, nazwijmy ją - „konwencjonalną” - kiedy atakujący, podszywając się pod kogoś z rodziny pacjenta, prosi o informacje na temat jego zdrowia. Najwięcej danych medycznych i osobowych trafia w ręce nieupoważnionych osób właśnie w ten sposób - mówi Paweł Piecuch.

Zauważa, że równie niebezpieczny może okazać się nawyk wykorzystywania w pracy własnych komputerów, smartfonów czy tabletów, na których personel tworzy swoje bazy danych pacjentów, np. na potrzeby badań klinicznych czy też swojego gabinetu lekarskiego.

- Najgłośniejsze przypadki wycieku sporych zbiorów rekordów medycznych w USA dotyczą kradzieży prywatnych komputerów, które lekarze wykorzystywali bez wiedzy pracodawcy, poza systemem bezpieczeństwa - przypomina ekspert.

Więcej opinii i artykułów o informatyzacji ochrony zdrowia - w specjalnym raporcie w czerwcowym wydaniu miesięcznika Rynek Zdrowia (nr 6/2015).