Ukrepi za zaščito osebnih podatkov v zdravstvu
Varstvo osebnih podatkov pacientov postaja v dobi digitalizacije ključni izziv za zdravstvene ustanove po vsem svetu. Splošna uredba o varstvu podatkov (GDPR) priznava podatke o zdravju kot posebno kategorijo osebnih podatkov, ki zahtevajo višjo mero varnostnih ukrepov. GDPR uvaja posebne zaščitne ukrepe in razlago pravil za učinkovito in celovito zaščito teh podatkov z namenom zagotavljanja zaupanja v obdelavo osebnih podatkov v zdravstvenih ustanovah (vir: EDPS).
Od januarja 2021 do marca 2023 je bilo izvedenih 208 kibernetskih napadov na zdravstveni sektor, od skupno 215 javno prijavljenih incidentov v Evropski uniji in sosednjih državah. Ker se zdravstveni sektor v veliki meri zanaša na podatke, ki so osebne in občutljive narave, bi lahko imelo njihovo razkritje hude posledice. To pa je privlačna tarča za akterje kibernetskih groženj, ki lahko ranljivost sistemov izkoristijo kot priložnost za zaslužek na podlagi izsiljevanja pod grožnjo javnega razkritja osebnih podatkov pacientov (vir: ENISA).
Ključna vloga zdravstvenih delavcev pri zaščiti podatkov
Zdravstveni sistem je sestavljen iz številnih informacijskih podsistemov, kar v praksi pomeni, da lahko pride do nekonsistentnosti pri učinkoviti zaščiti osebnih podatkov. Ena izmed večjih slabosti v sistemu varovanja zdravstvenih podatkov je pomanjkljivo usposabljanje zdravstvenega osebja, ki je pogosto premalo seznanjeno s standardi zaščite in varnega ravnanja z osebnimi podatki. Vzpostavitev in uporaba učinkovitih tehničnih in organizacijskih ukrepov je nujna za preprečevanje nepooblaščenih dostopov, napadov ali drugih varnostnih groženj.
Pomembno je, da se uporabljajo preverjena digitalna okolja, kot je na primer zVem, ki je podlaga za delovanje nacionalnega zdravstvenega sistema eZdravje. »Zaposleni v zdravstvu svojo odgovornost varovanja zasebnosti jemljejo zelo resno. Zdravstveni delavci so namreč že zaradi različnih zakonov, kodeksov ravnanja, pogodb o zaposlitvah in ne nazadnje Hipokratove prisege, zavezani strogim določilom glede zaupnosti podatkov pacientov,« na podlagi preteklih izkušenj navaja Primož Govekar, tehnični direktor Info hiše, strokovnjak za informacijsko varnost po standardu ISO/IEC 27001, zasebnost in IT.
Kdo lahko dostopa do osebnih podatkov pacienta?
Zdravstveni sistemi, ki hranijo podatke o pacientih, so običajno nameščeni v lokalnih okoljih in niso neposredno dostopni prek interneta, dostop pa je varovan z uporabniškimi imeni, gesli ter ponekod z mehanizmi večfaktorske avtentikacije. Dostop do vseh osebnih podatkov pacienta ima zgolj njegov osebni zdravnik ali dežurni zdravnik na urgenci, ostalim zdravstvenim delavcem pa je omogočen zgolj vpogled v podatke, ki so nujni za izvedbo preiskave. Za varnost je z natančno določenimi pogoji dostopnosti podatkov ter sledenjem dejavnosti uporabnikov poskrbljeno tudi v sistemu eZdravje ter v informacijskih sistemih znotraj zdravstvenih ustanov.
Varnost osebnih podatkov v zdravstvenih ustanovah je ključen element zagotavljanja kakovostne in zaupanja vredne zdravstvene oskrbe. Ključno je ozaveščanje tako zdravstvenih delavcev kot pacientov o odgovornem ravnanju s podatki ter izobraževanje s področja varnostnih tehnologij.
