Ochrona danych medycznych w chmurze
Chmura dla zdrowia ma ułatwić bezpieczne korzystanie z elektronicznej dokumentacji medycznej
Chmura dla zdrowia to rozwiązanie, która jeszcze w kwietniu zacznie wdrażać nowo powołana spółka Krajowy Operator Chmury Medycznej
Nowe narzędzie da placówkom medycznym dostęp do rozwiązań opartych o Platformę Google Cloud, a wszystkie dane będą przechowywane w repozytorium na terenie Polski
Do końca czerwca z EDM w chmurze korzystać będą mogły laboratoria, przychodnie i praktyki lekarskie oraz szpitale
Głównym celem nowo powstałej spółki Krajowy Operator Chmury Medycznej (tworzą ją Asseco Poland i Chmura Krajowa) będzie cyfryzacja ochrony zdrowia i umożliwienie jednostkom medycznym świadczenia e-Usług z zachowaniem najwyższych standardów bezpieczeństwa.
Spółka będzie specjalizowała się we wdrożeniach elektronicznej dokumentacji medycznej (EDM) w chmurze i zapowiada, że do końca czerwca bieżącego roku z EDM w chmurze korzystać będą mogły trzy zasadnicze grupy odbiorców:
Laboratoria (od kwietnia 2021)
Przychodnie i praktyki lekarskie (od maja)
Szpitale (od czerwca)
Chmurowe repozytorium w Polsce
Chmura dla zdrowia daje dostęp do rozwiązań opartych Platformę Google Cloud, a wszystkie dane będą przechowywane w repozytorium na terenie Polski. Platforma będzie otwarta także dla innych dostawców oprogramowania dla placówek medycznych.
Termin pełnego wdrożenia Chmury dla zdrowia (do końca czerwca) nie jest przypadkowy. - Od 1 lipca 2021 r. wszystkie podmioty lecznicze będą miały ustawowy obowiązek udostępniania oraz wymiany elektronicznej dokumentacji medycznej między jednostkami ochrony zdrowia - zaznacza Krzysztof Groyecki, wiceprezes Asseco Poland.
Chmura dla zdrowia ma zapewnić tworzenie, autoryzowanie, a także gromadzenie dokumentacji indywidualnej i zbiorczej z zachowaniem najwyższych standardów bezpieczeństwa. Autorzy rozwiązania zapewniają, żę zagwarantuje ono dostępność oraz przetwarzanie EDM w przez 24 godziny na dobę, siedem dni w tygodniu (24/7).
- Utrzymanie i rozwój własnej infrastruktury przez jednostki medyczne jest czasochłonne i drogie. Odpowiedzią na te wyzwania są rozwiązania cloud computing, które będziemy oferować w ramach nowo powołanej spółki - Krzysztof Groyecki.
Zwraca uwagę, że EDM w chmurze zwiększy dostępność i wydajność systemu ochrony zdrowia oraz pozwoli na optymalizację kosztów.
- Połączenie doświadczenia Asseco, które od lat dostarcza zaawansowane rozwiązania informatyczne sektorowi ochrony zdrowia z dostępem do infrastruktury chmurowej, którym dysponuje Chmura Krajowa pozwolą nam wspólnie zmieniać służbę zdrowia w obszarze technologicznym i wynieść ją na wyższy poziom - dodaje wiceprezes Asseco Poland.
Kluczowe jest bezpieczeństwo danych
- Kluczową kwestią jest zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzania danych medycznych, które należą do najbardziej wrażliwych kategorii. Asseco Poland i Chmura Krajowa mają zespoły ekspertów od cyberbezpieczeństwa oraz korzystają z najnowszych rozwiązań technologicznych, które zapewnia chmura publiczna, taka jak platforma Google Cloud - powiedział Dariusz Śliwowski, wiceprezes Chmury Krajowej.
Wskazuje, że cyfryzacja systemu ochrony zdrowia „pozwala nie tylko na uproszczenie i przyspieszenie funkcjonujących procesów, ale otwiera też możliwości budowy nowych, innowacyjnych usług”.
- Dzięki zastosowaniu rozwiązań dostępnych w chmurze w nieodległej przyszłości możliwe będzie także szybsze diagnozowanie pacjentów, np. dzięki wykorzystaniu sztucznej inteligencji i uczenia maszynowego do analizy badań obrazowych i szybszego wykrywania różnego typu schorzeń - dodał Dariusz Śliwowski.
Materiał chroniony prawem autorskim - zasady przedruków określa regulamin.
Asseco i Chmura Krajowa tworzą spółkę Chmura dla zdrowia, która ma wspierać cyfryzację służby zdrowia
Przedstawiciele Asseco Poland i Operatora Chmury Krajowej poinformowali o powołaniu spółki Krajowy Operator Chmury Medycznej (Chmura dla zdrowia). Jej celem będzie cyfryzacja służby zdrowia oraz umożliwienie jednostkom medycznym świadczenie e-Usług z zachowaniem najwyższych standardów bezpieczeństwa m.in. przy wykorzystaniu rozwiązań technologicznych Google Cloud. Nowa spółka ma specjalizować się we wdrożeniach elektronicznej dokumentacji medycznej (EDM) w chmurze. Według zapowiedzi, jej celem będzie również dbałość o sprawne dostosowanie do regulacji prawnych oraz przyczynienie się do standaryzacji usług informatycznych w sektorze opieki zdrowotnej.
Jak już wspomniano, w pierwszej kolejności Chmura dla zdrowia będzie oferować EDM w chmurze. Rozwiązanie to ma umożliwić tworzenie, autoryzowanie, a także gromadzenie dokumentacji indywidualnej i zbiorczej z zachowaniem najwyższych standardów bezpieczeństwa. Zagwarantuje także ich dostępność oraz przetwarzanie w trybie 24/7 – zapewniają przedstawiciele Asseco i Chmury Krajowej. Obecnie jest to bowiem jedno z ważniejszych technologicznych wyzwań w sektorze ochrony zdrowia, a przy okazji wymóg regulacyjny.
“Ważne jest, aby proces ten pod kątem przetwarzania danych pacjentów odbywał się w sposób wysoce bezpieczny i by możliwa była integracja pomiędzy świadczeniodawcami a systemami centralnymi, zarządzanymi przez Ministerstwo Zdrowia. Utrzymanie i rozwój własnej infrastruktury przez jednostki medyczne jest czasochłonne i drogie. Odpowiedzią na te wyzwania są rozwiązania cloud computing, które będziemy oferować w ramach nowo powołanej spółki” – powiedział Krzysztof Groyecki, wiceprezes zarządu, Asseco Poland. “EDM w chmurze zwiększy dostępność i wydajność systemu ochrony zdrowia oraz pozwoli na optymalizację kosztów. Połączenie doświadczenia Asseco, które od lat dostarcza zaawansowane rozwiązania informatyczne sektorowi ochrony zdrowia z dostępem do infrastruktury chmurowej, którym dysponuje Chmura Krajowa pozwolą nam wspólnie zmieniać służbę zdrowia w obszarze technologicznym i wynieść ją na wyższy poziom” – dodał.
Jak wskazali przedstawiciele nowej spółki, kluczową kwestią jest zapewnienie odpowiedniego poziomu bezpieczeństwa przetwarzania danych medycznych. Należą one bowiem do jednej z najbardziej wrażliwych kategorii.
“Asseco Poland i Chmura Krajowa mają zespoły ekspertów od cyberbezpieczeństwa oraz korzystają z najnowszych rozwiązań technologicznych, które zapewnia chmura publiczna, taka jak platforma Google Cloud. Suma kompetencji i dobrze dobrana technologia zapewniają najwyższy poziom ochrony danych pacjentów, a zarazem pełną zgodność regulacyjną w tym rezydencję danych na terytorium RP. Dzięki temu jednostki będą mogły skoncentrować się na swoich zadaniach” – zapewnił Dariusz Śliwowski, wiceprezes Chmury Krajowej.
Nowa spółka oferowała będzie trzy pakiety usług – dla laboratoriów, przychodni i praktyk lekarskich oraz szpitali. Będą one dostępne odpowiednio: jeszcze w kwietniu, maju oraz w czerwcu tego roku. Pełne wdrożenie Chmury dla zdrowia do końca czerwca nie jest przypadkowe – od 1 lipca 2021 roku wszystkie podmioty lecznicze będą miały bowiem ustawowy obowiązek udostępniania, a także wymiany elektronicznej dokumentacji medycznej między jednostkami ochrony zdrowia.
Według inicjatorów powołania nowej spółki, cyfryzacja służby zdrowia pozwoli nie tylko na uproszczenie i przyspieszenie funkcjonujących procesów, ale otworzy także możliwości budowy nowych, innowacyjnych usług.
“Dzięki zastosowaniu rozwiązań dostępnych w chmurze w nieodległej przyszłości możliwe będzie także szybsze diagnozowanie pacjentów, np. dzięki wykorzystaniu sztucznej inteligencji i uczenia maszynowego do analizy badań obrazowych i szybszego wykrywania różnego typu schorzeń czy anomalii” – podsumował Dariusz Śliwowski.
Ochrona danych medycznych w chmurze
Model usług chmurowych może mieć, i coraz częściej ma, szerokie zastosowanie w usługach medycznych. Może on zostać przykładowo wykorzystany w związku zawarciem umowy powierzenia przetwarzania danych osobowych przez podmiot wykonujący działalność leczniczą a podmiot zewnętrzny (dostawca rozwiązań IT). Rozwiązanie chmurowe może również zostać potencjalnie wykorzystane bez zawierania umowy powierzenia przetwarzania danych osobowych – zgodnie ze stanowiskiem GIODO – „jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy, to podlega on postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12–15 tej ustawy”[1].
Do niedawna dopuszczalność powierzenia przetwarzania danych osobowych medycznych w szczególności tych zawartych w dokumentacji medycznej – była kwestionowana przez GIODO, który wskazywał, że powierzenie przetwarzania danych osobowych medycznych nie jest możliwe w świetle zapisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, stanowi bowiem naruszenie tajemnicy zawodowej osób wykonujących zawód medyczny.
W dniu 9 października 2015 r. Sejm przyjął ustawę o zmianie ustawy o systemie informacji w ochronie zdrowia i niektórych innych ustaw, która wprost dopuściła możliwość powierzenia przetwarzania danych osobowych zgodnie z art. 31 ustawy o ochronie danych osobowych podmiotowi zewnętrznemu, wprowadzając jednocześnie następujące warunki (art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta):
zapewnienie ochrony danych osobowych;
zapewnienie możliwości kontroli prawidłowego przetwarzania danych osobowych;
realizacja umowy powierzenia przetwarzania danych osobowych nie może zakłócać udzielania świadczeń zdrowotnych, w szczególności w zakresie zapewnienia bez zbędnej zwłoki dostępu do danych zawartych w dokumentacji medycznej.
Ustawa o ochronie danych osobowych stanowi, iż warunkiem powierzenia przetwarzania jest m.in. spełnienie wymogów określonych w art. 36–39 ustawy oraz wymogów ustanowionych w rozporządzeniu wydanym na podstawie art. 39a ustawy.
Rozporządzenie, o którym mowa w punkcie poprzednim, zawiera wymogi istotne z punktu widzenia możliwości wykorzystania rozwiązań chmurowych – w szczególności administrator danych zobowiązany jest do przygotowania i posiadania dokumentu zawierającego politykę bezpieczeństwa, w której znajdować się powinien w szczególności wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, wykorzystywane oprogramowanie, sposób przepływu danych itp.[2]
Rozporządzenie w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania jest aktem szczególnym, określającym zasady przetwarzania danych medycznych. Zgodnie z § 25.1. zakończoną historię choroby lub kartę noworodka przekazuje się do komórki organizacyjnej właściwej do spraw dokumentacji chorych i statystyki medycznej. § 25 może budzić wątpliwości w kontekście outsourcingu dokumentacji medycznej. Zawiera on bowiem odniesienie do fizycznych miejsc znajdujących się w podmiocie wykonującym działalność leczniczą. Zgodnie z literalnym brzmieniem przepisu, dokumentacja medyczna, w tym także EDM, powinna fizycznie znajdować się w komórkach organizacyjnych wskazanych w tym przepisie.
Przywołane wyżej przepisy nie są precyzyjne, jeśli chodzi o możliwość przetwarzania danych medycznych poza obszarem placówki ochrony zdrowia – wprawdzie nowelizacja z 9 października 2015 r. dopuściła wprost możliwość outsourcingu danych, lecz jednocześnie zapisy innych aktów prawnych wprowadzają istotne ograniczenia w tym zakresie. O ile rozporządzenie w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania może być interpretowane w oparciu o wykładnie celowościową i systemową w sposób , który dopuszcza przetwarzanie danych medycznych poza placówką ochrony zdrowia, o tyle § 4 rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, wymaga bezwzględnie wskazania miejsca i zasobów wykorzystywanych do przetwarzania danych osobowych, co w przypadku chmury publicznej jest często niemożliwe.
Ze względu na wskazany wyżej wymóg, większą kontrolę nad przetwarzaniem danych osobowych i mniejsze ryzyko związane z ujawnieniem bądź utratą danych medycznych, chmura prywatna jest rozwiązaniem z prawnego punktu widzenia bezpieczniejszym i tym samym jest rozwiązaniem rekomendowanym do przetwarzania danych medycznych. Należy również pamiętać, że chmura publiczna może nie zapewnić realizacji podstawowego wymogu dopuszczalności powierzenia przetwarzania danych medycznych, jakim jest zapewnienie stałego dostępu do danych medycznych – w przypadku utraty dostępu do sieci Internet, placówka medyczna może potencjalnie utracić, przynajmniej czasowo, dostęp do danych. Problem ten może być dużo mniej dotkliwy w przypadku korzystania z chmury prywatnej, którą tworzą zasoby znajdujące się wewnątrz organizacji.
Normy ISO
Międzynarodowa Organizacja Normalizacyjna (ISO) opublikowała 1 sierpnia 2014 r. standard ISO/IEC, który ma na celu ujednolicenie standardu bezpieczeństwa usług w chmurach obliczeniowych. W publikacjach dotyczących wykorzystywania chmur obliczeniowych zwraca się uwagę na kilka elementów. Po pierwsze, na różnorodność usług dostarczanych na życzenie użytkownika. Usługi te mogą obejmować dostarczanie oprogramowania, wirtualnego środowiska pracy, sprzętu, świadczenia związane z przechowywaniem danych, tworzeniem ich kopii zapasowych czy kopii bezpieczeństwa. Jednocześnie zwraca się uwagę na kwestie bezpieczeństwa, użyteczności oraz zapewnienia rozliczalności i dostępności danych. Niejednokrotnie bowiem użytkownik usługi nie zna lokalizacji danych ani parametrów sprzętu wykorzystywanego przy przetwarzaniu danych osobowych. Właśnie obawy i ryzyko związane z przetwarzaniem danych w chmurach obliczeniowych legły u podstaw normy ISO/IEC 27018.
Przestrzeganie normy ISO 27018 daje pewność, że poufność danych będzie chroniona na kilka różnych sposobów:
Zachowanie kontroli nad własnymi danymi . Standard ISO 27018 gwarantuje przetwarzanie danych zgodnie z instrukcją otrzymaną od klienta.
. Standard ISO 27018 gwarantuje przetwarzanie danych zgodnie z instrukcją otrzymaną od klienta. Informacja o przetwarzaniu danych. Zapewnienie zasad zwrotu, przesyłania i usuwania danych osobowych przechowywanych w centrach danych. Informacja o lokalizacji przechowywania danych oraz wskazywanie podmiotów, które uzyskują prawo dostępu do danych. Informowanie o przypadkach dostępu osób nieupoważnionych do danych osobowych oraz obiektów i sprzętu używanego do przetwarzania danych, jeżeli skutkują one utratą, ujawnieniem lub modyfikacją tych danych.
Zapewnienie zasad zwrotu, przesyłania i usuwania danych osobowych przechowywanych w centrach danych. Informacja o lokalizacji przechowywania danych oraz wskazywanie podmiotów, które uzyskują prawo dostępu do danych. Informowanie o przypadkach dostępu osób nieupoważnionych do danych osobowych oraz obiektów i sprzętu używanego do przetwarzania danych, jeżeli skutkują one utratą, ujawnieniem lub modyfikacją tych danych. Skuteczna ochrona danych . Norma ISO 27018 zapewnia różne istotne środki ochrony. Poprzez ograniczenia sposobów postępowania z danymi osobowymi, w tym ograniczenia ich przesyłania w sieciach publicznych i przechowywania na nośnikach przenośnych. Określone procesy odzyskiwania i przywracania danych. Standard wyznacza również obowiązek poufności wszystkich osób, które mają styczność z danymi.
. Norma ISO 27018 zapewnia różne istotne środki ochrony. Poprzez ograniczenia sposobów postępowania z danymi osobowymi, w tym ograniczenia ich przesyłania w sieciach publicznych i przechowywania na nośnikach przenośnych. Określone procesy odzyskiwania i przywracania danych. Standard wyznacza również obowiązek poufności wszystkich osób, które mają styczność z danymi. Niewykorzystywanie danych osobowych do celów reklamowych . Wyłączenie możliwości wykorzystywania danych zgromadzonych w chmurze do celów reklamowych.
. Wyłączenie możliwości wykorzystywania danych zgromadzonych w chmurze do celów reklamowych. Informacja o dostępie organów państwowych do danych. Norma ta, o ile prawo tego nie zabrania, wymaga informowania o wnioskach organów państwowych o ujawnienie danych osobowych.
Chmury obliczeniowe są niewątpliwie rozwiązaniem bardzo atrakcyjnym. Jednocześnie z rozwiązaniami chmurowymi wiąże się szereg ryzyk prawnych. Ze względu na wskazane ryzyka, rekomendowaną technologią do przetwarzania danych medycznych jest technologia chmury prywatnej. Podmiot wykonujący działalność leczniczą, decydujący się na korzystanie z rozwiązań chmurowych, powinien zwracać uwagę na renomę dostawy rozwiązania IT i posiadanie przez niego stosownych norm ISO.
[1] GIODO, ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych, Wydawnictwo Sejmowe, Warszawa 2007
[2] § 4 rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.