Na nemocnice se valí nové regulace. Mohou je ale vyřešit jednou ranou | E15.cz

Na nemocnice se valí nové regulace. Mohou je ale vyřešit jednou ranou

Ilustrační fotoIlustrační fotoAutor: profimedia

Nadcházející sezona přinese dvě velké změny legislativy, které výrazně ovlivní využívání informačních technologií i ve zdravotnictví. Prvním je takzvané obecné nařízení o ochraně osobních údajů, známé pod zkratkou GDPR. Druhou novinkou je novela českého zákona o kybernetické bezpečnosti, která nyní postihne i některé poskytovatele zdravotních služeb. Výhodou je, že obě úpravy legislativy přicházejí ve stejný čas a v mnoha požadavcích se protínají. Nemocnice tak může oběma vyhovět jedním souborem opatření. Zároveň navíc může zefektivnit své fungování.

Od května příštího roku bude účinné takzvané obecné nařízení o ochraně osobních údajů (GDPR). Diskuze o dopadech této evropské legislativy na komerční organizace je v plném proudu, ale jak se dotkne veřejného sektoru a zejména zdravotnictví, které nakládá s velkým množstvím citlivých údajů?

Zdravotnictví se navíc během nadcházejícího roku musí vyrovnat s novými požadavky novely zákona o kybernetické bezpečnosti (ZoKB). Dobrou zprávou je, že řadu požadavků plynoucích z obou nových legislativ mohou zdravotnická zařízení vyřešit naráz.

Zpracování osobních údajů v orgánech veřejné moci probíhá většinou na základě zákonného zmocnění, proto není třeba udělení souhlasu subjektem údajů. Stále se však uplatní řada jiných ustanovení. Ve školství se budou navíc zpracovávat i poměrně senzitivní údaje o studentech – studijní výsledky, hodnocení, prohřešky, které mohou mít výrazný dopad na jejich budoucí uplatnění. Studenti jako subjekty dat budou moci žádat o omezení zpracování, výmaz nebo přenos svých osobních údajů.

Ve zdravotnictví bude změna ještě výraznější, neboť informace o zdravotním stavu pacienta budou z valné většiny spadat do zvláštních kategorií osobních údajů. Často se navíc bude jednat o zpracování dat s vysokým rizikem, které vyžaduje zpracování formální analýzy rizik a takzvaného „posouzení vlivu na ochranu osobních údajů“ pro daný scénář zpracování.

Jedna z největších zdravotnických skupin se chystá na Prahu

Hranicí by mělo být 800 lůžek

Oblast zdravotnictví se navíc podle novely ZoKB stala od letošního srpna jednou z takzvaných „základních služeb“, jejichž poskytování je závislé na informačních systémech a sítích a jejichž narušení by mohlo mít významný dopad na společnost.

Provozovatelé základních služeb budou určeni dozorovým úřadem podle zvláštní vyhlášky, a podle aktuálních informací z Národního centra kybernetické bezpečnosti (NCKB) jsou v návrhu zdravotnická zařízení, která v posledních třech letech měla alespoň 800 akutních lůžek nebo status pracoviště specializované traumatologické péče.

Správci a také provozovatelé informačního systému základní služby budou v přechodném období jednoho roku od určení povinni zajistit kybernetickou bezpečnost zavedením bezpečnostních opatření a dále vyhodnocovat kybernetické bezpečnostní incidenty a hlásit je dozorovému úřadu, což je od srpna Národní úřad pro kybernetickou a informační bezpečnost. Velké nemocnice tak musejí v nadcházejících měsících řešit jak soulad s nařízením GDPR, které nabude účinnosti 25. května 2018, tak i nové požadavky ZoKB.

Do které nemocnice jít? Pojišťovny prolomily tabu a odtajnily, jak se kde léčí

Jak připravit nemocnici

Požadavky na zabezpečení nemocnic jsou v případě GDPR i ZoKB postavené na obdobných principech a vycházejí ze tří základních východisek:
•    Z potřeby zmapovat takzvaná chráněná aktiva (zejména osobní údaje, ostatní chráněná data a vlastní aplikace).
•    Z nutnosti provést analýzu rizik, tedy zvážit dopady hrozeb na možné zranitelnosti systému s ohledem na chráněná aktiva.
•    Z nastavení přiměřených bezpečnostních opatření, která umožní adekvátně zmírnit zjištěná rizika (separátně z hlediska GDPR a z hlediska ZoKB).

Pro nemocnice se zdá být nejpraktičtější provést pro obě oblasti regulace jedinou, dostatečně širokou analýzu se zohledněním všech požadovaných rizik a zavést jednu množinu bezpečnostních opatření. Ke splnění požadavků GDPR na zpracování s vysokým rizikem je kromě analýzy rizik nutné popsat scénář vlastního zpracování, toků dat a posoudit nezbytnost a přiměřenost operací zpracování z hlediska účelů, což tvoří základní kostru onoho „posouzení vlivu na ochranu osobních údajů“.

Jeden dokument místo dvou

Metodická vodítka pro zpracování „posouzení vlivu“ (takzvané DPIA), publikovaná na webu Úřadu pro ochranu osobních údajů, rovněž naznačují, že pro obdobné scénáře zpracování s obdobnými riziky je možné pro více nemocnic zpracovat jeden společný dokument „posouzení vlivu na ochranu osobních údajů“.

V případě nasazení opakujících se řešení je dokonce možné zpracovat jedno generické „posouzení vlivu“ pro typický scénář zpracování, přičemž v takovém případě si musí každá povinná osoba toto generické „posouzení vlivu“ dopracovat pro svoje konkrétní podmínky. Nicméně již tato samotná možnost představuje výrazné snížení nároků na pracnost analytické dokumentace pro zdravotnická zařízení.


Vše o zdravotnictví čtěte zde >>>


V cloudovém balíčku je vzorové posouzení vlivu

Pokud organizace používá cloudové služby, může jí práci ušetřit poskytovatel těchto služeb, který „posouzení vlivu“ pro své služby zpracuje, tak jako to pro své klíčové služby udělal Microsoft. V partnerství se společností ICZ vytvořil vzorové „posouzení vlivu“ pro scénáře zpracování běžných osobních údajů v elektronické poště, citlivých osobních údajů v SharePoint Online a citlivých osobních údajů v telekonferenčním systému Skype pro firmy. To vše v rámci balíčku cloudových služeb Office 365.

Cloud může představovat i zajímavou alternativu pro zpracování dat náročných na paměťová úložiště nebo výpočetní kapacitu. Tyto zdroje jsou v cloudu prakticky neomezené a lze je zákazníkům přidělit jen podle momentální potřeby formou pronájmu.

Pro cloudovou platformu Microsoft Azure existuje řešení pro zpracování radiologických obrazových informací v systému PACS (Picture Archiving and Communication System) a také vzorová analýza rizik podle požadavků GDPR i ZoKB zpracovaná ve spolupráci se společnostmi ICZ a advokátní kanceláří Pierstone. Po konzultaci s Úřadem pro ochranu osobních údajů získal Microsoft i posudek od znaleckého ústavu CETAG, který potvrdil splnění povinností zpracovatele citlivých osobních údajů v cloudu Azure podle požadavků nařízení GDPR.

Byznys nám roste pod rukama, říká šéf Linetu Frolík

Důvěryhodný poskytovatel cloudu nabízí takové vzorové analýzy rizik a „posouzení vlivu“ zdravotnickým zařízením bezplatně. Navíc nabízí možnost přenést část odpovědnosti za bezpečnost zpracování dat na „zpracovatele“, tedy poskytovatele cloudových služeb. Ten je k tomu náležitě vybaven. Provozovatelé informačních systémů jsou nyní přímo regulováni jak v nařízení GDPR, tak i v novele ZoKB. To znamená, že tato alternativa je nyní již dobře legislativně ošetřena.

Okamžitý přínos cloudu

Článek GDPR o „zabezpečení zpracování“ i ZoKB požadují zavedení adekvátních bezpečnostních opatření v každém případě, tedy i v situaci, kdy nemocnice provádí veškeré zpracování dat na vlastních serverech (tzv. on-premise). Požaduje se i schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě bezpečnostních incidentů stejně jako pravidelné testování, posuzování a hodnocení účinnosti zavedených bezpečnostních opatření. Ve kterých oblastech tedy může zpracování v cloudu přinést okamžitý benefit, a to zejména:


•    Zajištění důvěrnosti a integrity citlivých dat šifrováním v úložišti a při přenosu včetně silných mechanismů generování a ochrany klíčů.
•    Zabezpečení koncových zařízení vynucením bezpečnostních politik řízených z cloudu.
•    Řízení a evidence přístupu uživatelů i administrátorů včetně zabezpečení jejich identit vůči kyberútokům.
•    Kontrola účinnosti bezpečnostních opatření pomocí auditních zpráv a provozních logů.
•    Nástroje pro vysokou dostupnost a odolnost cloudových systémů proti kyberútokům typu DDoS a dalších.
•    Zvládání a vyšetřování bezpečnostních incidentů forenzními specialisty.


Tyto oblasti by v mnoha případech bylo nutné řešit jako samostatné projekty vlastního IT, zatímco v cloudu jsou k dispozici ihned za výhodných podmínek licenčního pronájmu jako součást cloudové služby.

Projekt InnerEye pomůže s léčbou nádorů

Rozvoj cloudových technologií umožnil vznik do té doby omezených a obtížně dostupných služeb, jako jsou strojové učení a umělá inteligence založená na neuronových sítích. Pro oblast moderní medicíny tak vznikl významný prostor pro inovaci a rozšíření běžných lékařských postupů, zejména při automatizovaném posouzení radiologických snímků (PACS) umělou inteligencí. Výzkumný projekt InnerEye, do kterého se rozhodla zapojit i Všeobecná fakultní nemocnice v Praze, umožní lékařům přesnější lokalizaci nádorových onemocnění a usnadní tak diagnostiku, léčbu a sledování nádorů.

Nedílnou součástí inovací v oblasti zdravotnictví je i nasazení moderních nástrojů pro týmovou spolupráci. Nasazení cloudových technologií poskytuje jednotnou komunikační platformu, která umožňuje týmovou práci pomocí sdílených poštovních schránek, sdíleného úložiště, sdílených poznámkových bloků, reportů a diskuzních webů. Integrovanou součástí bývá i řešení pro hlasové a videokonference umožňující zaměstnancům i externím subjektům navzájem on-line komunikovat i napříč kontinenty.

Řešení je škálovatelné a přístupné odkudkoli a z jakéhokoli zařízení. Samozřejmostí je dodržení nejvyšších bezpečnostních standardů včetně šifrování vlastní komunikace. S nasazením těchto nástrojů v praxi mají vlastní zkušenosti i ve Všeobecné fakultní nemocnici v Praze, kde je pravidelně využívá více než šest tisíc zaměstnanců.  

Autoři:
Zdeněk Jiříček, ředitel pro technologické standardy pro Microsoft Česko
Jiří Černý, ředitel pro právní záležitosti pro Microsoft Česko a Slovensko