Skrót RODO już chyba każdy zna, a na pewno wielu z nas nie kojarzy się zbyt dobrze. Gdy w 2018 roku wchodziło w życie nowe Rozporządzenie o ochronie danych osobowych nastroje były bardzo różne, a najwięcej bylo niepewności i strachu przed dużymi karami finansowymi a także czy polskie placówki wdrożą odpowiednie procedury.

W odpowiedzi na liczne niepewności pojawiające się na rynku medycznych powstała idea stworzenia kodeksu branżowego RODO dla ochrony zdrowia. Najaktualniejsze wytyczne wraz z projektem znajdują się na stronie: http://www.rodowzdrowiu.pl

Jednak sam kodeks to nie wszystko. Już w 2017r. CSIOZ wydało rekomendacje w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej
w postaci elektronicznej, do których przestrzegania dostosowany musi być każdy podmiot świadczący usługi medyczne.

REKOMENDACJE_csioz (002)

Zgodnie z RODO i odnoszącymi się do niego rekomendacjami Centrum Systemów Informacyjnych Ochrony Zdrowia oraz wymaganiami technicznymi Instytutu Łączności, podmioty lecznicze mają do spełnienia szereg obowiązków z zakresu cyberbezpieczeństwa oraz ochrony danych osobowych. Spełnienie wszystkich wymogów jest dla borykającego się z brakiem pracowników szpitala bardzo kłopotliwe, wcale nie lepiej mają indywidualne praktyki lekarskie, na które nakładane są takie same wymagania jak na duże instytucje.

Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej
w postaci elektronicznej.

  1. Współdzielenie zasobów – użytkownicy chmury powinni korzystać ze współdzielonej puli zasobów (zasoby takie jak moc obliczeniowa, pamięć, sieć, dysk powinny być przydzielane użytkownikom ze współdzielonej puli). Technologią, która umożliwia łączenie niejednolitych zasobów w pulę jest wirtualizacja. Pula jest współużytkowana na zasadzie dynamicznego przydziału i zwalniania precyzyjnie określonych porcji zasobów wirtualnych. Użytkownicy nie muszą być świadomi fizycznej lokalizacji tych zasobów.
  2. Dostępne są rozwiązania chmurowe, które dzięki zastosowaniu odpowiedniej technologii kryptograficznej uniemożliwiają dostęp dostawcy rozwiązań do danych należących do organizacji i przechowywanych w chmurze. Technologie takie wykorzystują zaawansowane metody ochrony prywatnych kluczy szyfrujących, które są dzielone i nigdy nie są przetrzymywane w całości w jednym miejscu. W takiej sytuacji serwer nie jest w stanie uzyskać dostępu do danych w postaci jawnej (serwer nie posiada, ani nie może wyznaczyć żadnego
    z kluczy kryptograficznych klienta usługi), treść danych pozostaje tajemnicą nawet dla dostawcy usługi.
  3. W przypadku rozwiązań chmurowych dostęp do danych możliwy jest dla dostawcy rozwiązań. Dlatego zalecane jest stosowanie mechanizmów kryptograficznych w celu zabezpieczenia przed udostępnieniem danych osobom nieupoważnionym oraz zapewnienia pełnej poufności danych.
  4. Dostawca usługi (w zależności od przyjętego modelu) powinien również zapewnić, że dane
    w procesie przekazywania i przechowywania w chmurze obliczeniowej są szyfrowane,
    a wykorzystane rozwiązania zapewniają ochronę danych w modelu end-to-end encryption. Ponadto dostawca usługi chmury obliczeniowej dostarczający technologię transmisji danych powinien zapewnić, że z uwagi na dużą liczbę możliwych podatności nie stosuje on standardowych protokołów transmisji tj. SSL/TLS – powinny być stosowane mechanizmy uniemożliwiające skuteczne prowadzenie podsłuchu transmisji czy też ataki typu man in the middle.
  5. Zasada integralności i poufności – dotyczy stosowania odpowiednich środków technicznych
    i organizacyjnych, które zapewnią bezpieczeństwo przetwarzanych danych osobowych. Między innymi chodzi o ochronę przed niedozwolonym przetwarzaniem lub przetwarzaniem niezgodnym z prawem a także zabezpieczenie danych przez ich utratą, zniszczeniem lub uszkodzeniem.
  6. W celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z RODO zarówno administrator jak i podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak np. szyfrowanie – minimalizujące to ryzyko. Stosowane środki powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty ich wdrożenia w stosunku do ryzyka
    i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych – takie jak przypadkowe lub niezgodne z prawem zniszczenie, utracenie, zmodyfikowanie, nieuprawnione ujawnienie lub nieuprawniony dostęp do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych – i mogące
    w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.
  7. Nieuprawniony dostęp przez użytkowników (w tym nieuprawniony dostęp przez pracowników służby zdrowia i personelu pomocniczego) polegający na zaistnieniu sytuacji, w której użytkownicy korzystają z kont do których sami nie mają uprawnień albo korzystania przez wielu użytkowników z tego samego loginu użytkownika i hasła. „Pragmatyzm zwyczajowy” stanowi naruszenie zasad bezpiecznego uwierzytelniania użytkownika. Przykładem takiego zwyczaju mogą być sytuacje w których jeden pracownik medyczny (np. lekarz) może zastąpić innego na stanowisku pracy i kontynuuje prace na już zalogowanym koncie poprzednika co skutkuje brakiem potrzeby przelogowania. Pierwsze logowanie użytkownika pozwala na pracę
    w systemie i jednocześnie bez uprzedniego wylogowania pozwala na pracę przez innych użytkowników na koncie bieżącego użytkownika. Powyższy przykład zachowania powoduje poważne naruszenia poufności i niezaprzeczalności. Większość naruszeń poufności jest dokonywana przez użytkowników pracujących w danej organizacji a genezą ich powstania są uwarunkowania spowodowane w znacznym zakresie brakiem świadomości użytkowników
    o zagrożeniach z nich wynikających. W tym miejscu wskazać również należy, że nieuprawniony dostęp przez użytkowników może służyć do próby zatuszowania przypadków lub przypisania zdarzeń innej osobie, gdy zdarzenia takie powstały. Dlatego też funkcjonalności użytkowanych systemów informatycznych powinny pozwalać wyeksportować pełen wykaz wykonywanych czynności na danych w systemie, zawierający: określenie czasu ich wykonania, reguł wersjonowania (brak możliwości nadpisywania) oraz identyfikację rodzaju dokonanej czynności.
  8. Pseudonimizacja i szyfrowanie RODO jako odpowiednie zabezpieczenie obok pseudonimizacji wymienia szyfrowanie danych. Szyfrowanie to proces przekształcenia danych na niezrozumiały ciąg znaków w celu jego utajnienia. W zależności od tego czy do procesu deszyfrowania wykorzystywany jest ten sam klucz, który brał udział w procesie szyfrowania czy inny wyróżnić należy system kryptograficzny z kluczem tajnym (szyfrowanie symetryczne) oraz system kryptograficzny z kluczem publicznym (szyfrowanie niesymetryczne.
  9. Bezpieczeństwo stosowania pseudonimizacji i szyfrowania Wprowadzając zabezpieczenia związane z pseudonimizacją i szyfrowaniem danych, zaleca się opracować procedury stosowania zabezpieczeń kryptograficznych. W związku z powyższym niezbędnym jest określenie:
    • wymaganego poziomu ochrony, opartego na szacowaniu ryzyka oraz biorącego pod uwagę typ, siłę i jakość wymaganych algorytmów kryptograficznych
    • zasad korzystania z kryptografii do zabezpieczania informacji transportowanych w przenośnych lub na wymiennych nośnikach
      i urządzeniach albo przesyłanych za pośrednictwem linii komunikacyjnych;
    • sposobu zarządzania kluczami, w tym metody bezpiecznego udostępniania kluczy kryptograficznych, odzyskiwania zaszyfrowanych informacji
      w przypadku utraty oraz naruszenia bezpieczeństwa lub uszkodzenia kluczy bądź przejęcia urządzenia przenośnego.
    • ról i odpowiedzialności;
    • standardów, które mają zostać przyjęte do skutecznego wdrożenia;
    • wpływu korzystania z zaszyfrowanej informacji na zabezpieczenia, które opierają się na analizie treści (np. wykrywanie szkodliwego oprogramowania).

 

Opinia Instytutu Łączności, czyli to, dobre oprogramowanie posiadać powinno

Instytut Łączności – Państwowy Instytut Badawczy przygotował opinię techniczną, w której porównał narzędzia do szyfrowania danych dla mniejszych przedsiębiorstw oraz indywidualnych praktyk lekarskich. W zestawieniu znalazło się sześć tego typu rozwiązań, w tym PGP, Onedrive, Veracrypt, Deslock+, Bitlocker, Usecrypt. Oceniono je pod względem posiadania parametrów takich jak:

  • możliwość szyfrowania plików,
  • możliwość szyfrowania folderów,
  • możliwość odzyskiwania plików,
  • zaszyfrowanie przesyłanych plików,
  • szyfrowanie end to end,
  • możliwość zabezpieczonego współdzielenia danych,
  • możliwość szyfrowania plików zarchiwizowanych,
  • możliwość szyfrowania back’up,
  • możliwość śledzenia historii przetwarzania oraz rozliczania przez Administratora Danych Osobowych,
  • brak możliwości dostępu do szyfrowanych danych przez producenta narzędzie szyfrującego,
  • możliwość zablokowania dostępu do szyfrowanych danych administratorowi IT.

Opinia Państwowy Instytut Łączności

Jedynym oprogramowaniem, które zawiera wszystkie powyższe, jest Usecrypt Safe oraz  Szyfrująca Stacja Medyczna stworzona przez Usecrypt.

Szyfrująca Stacja Medyczna odpowiedzią na wszelkie zalecenia

Naprzeciw wyzwaniom, jakie postawiło szpitalom nie tylko RODO, ale i rekomendacje Centrum Systemów Informatycznych i Ochrony Zdrowia, powstała Szyfrująca Stacja Medyczna. Jest ona przede wszystkim odpowiedzią na brak jednej platformy do wymiany danych pomiędzy dużymi jednostkami medycznymi a lekarzami na indywidualnej praktyce lekarskiej, która, jeśli chodzi o przechowywanie danych, podlega takim samym obostrzeniom jak duże placówki.

Stworzone przez firmę Usecrypt rozwiązanie daje sektorowi medycznemu ogrom możliwości, jeśli chodzi o bezpieczne przechowywanie i przesyłanie zawierających wrażliwe dane plików. Przede wszystkim, zgodnie ze wszelkimi zaleceniami, bazując na technologii podziału klucza prywatnego (HVKM) szyfruje je, pozwalając tym samym na ich bezpieczną wymianę pomiędzy współpracownikami oraz, co bardzo ważne dla placówek medycznych oraz lekarzy, daje możliwość szyfrowania również plików zarchiwizowanych.

Dodatkowym zabezpieczeniem jest także to, że producent SSM nie ma fizycznej możliwości ingerencji w przesyłane bazy danych oraz wglądu w nie. Co więcej, daje nawet możliwość zablokowania takiej możliwości administratorowi IT, dzięki czemu posiadacz rozwiązania może być pewien, że dane nie dostaną się w niepowołane ręce.

W zależności od potrzeb, Usecrypt oferuje dostęp do przechowywania plików w chmurze lub specjalnie stworzony dla jednostek medycznych komputer lub laptop. Druga opcja może być idealnym rozwiązaniem dla lekarzy, prowadzących na ogół, poza etatem w szpitalu, prywatną praktykę lekarską. Ich służbowy sprzęt gromadzi często ogromne ilości danych o pacjentach oraz inne dokumenty, związane z działalnością zawodową. W przypadku potencjalnej kradzieży sprzętu, mogą wiązać się nie tylko z karą finansową przewidzianą przez RODO, ale również na zarzut naruszenia tajemnicy zawodowej.  Szyfrująca Stacja Medyczna posiada również usługę lokalizacji w przypadku kradzieży, jest to usługa płatna, która min. umożliwia skuteczne usunięcie danych przy próbie połączenia się z internetem.

Pozytywną opinię wydała także kancelaria DZP, opisując na 21 stronach funkcjonalność Aplikacji Usecrypt jako w pełni zgodnej z wymogami RODO.

DZP_Opinia_prawna_dla_USECRYPT

 

W czasach, gdy dane stały się najcenniejszą walutą w sieci, warto wdrożyć odpowiednie rozwiązania, zanim będzie za późno. Ich wyciek to straty nie tylko wizerunkowe, ale przede wszystkim finansowe, dlatego też firma UseCrypt jest nowym Członkiem wspierającym szpitale zrzeszone w PFSz.

 

 

 

Wszelkie zapytania uprzejmie prosimy kierować do Project Manager PFSz, Urszuli Szybowicz, urszula.szybowicz@pfsz.org