Pomimo upływu kilku miesięcy od wejścia w życie RODO, nadal jest wiele niedomówień i różnych interpretacji, a nawet pojawiają się sprzeczne informacje. Przykładem są niejasności dotyczące obowiązku wydawania bezpłatnej kopii dokumentacji medycznej. Podmioty medyczne zmagają się z dużą ilością kierowanych do nich zapytań i zgłoszeń, a zarazem niecierpliwie oczekują na kodeks branżowy. W przestrzeni publicznej, nie tylko wśród pacjentów, ale także w środowisku biznesowym, jest olbrzymia liczba mitów na temat stosowania przepisów dotyczących ochrony danych osobowych w placówkach leczniczych. Pacjenci jeszcze uczą się nowej rzeczywistości prawnej. My też się jej uczymy, wszyscy nadal się uczymy – przyznawali uczestnicy konferencji „Med & Pharma Data Security Summit 2018”.

Polityka bezpieczeństwa informacji to fundament efektywnego zarządzania informacją w organizacji. W jej ramach należy również umiejscawiać działania dotyczące ochrony danych osobowych. Podstawowym założeniem RODO jest bowiem analiza ryzyka i dobieranie rozwiązań adekwatnych do stwierdzonych zagrożeń czy istniejących uwarunkowań, w których funkcjonuje konkretna organizacja.

Patryk Kuchta, starszy specjalista ds. bezpieczeństwa informacji, Medicover

„Nie ma jednak żadnej uniwersalnej polityki bezpieczeństwa informacji, nie ma jednolitych wzorów dokumentów. Wszystko powinno być dopasowane do specyfiki organizacji po wykonaniu dokładnej analizy jej potrzeb w tym zakresie. Inwentaryzacja aktywów informacyjnych, ustalenie odpowiedzialności za poszczególne obszary korzystania z informacji to podstawy opracowania optymalnych zasad ochrony” – mówił podczas „Med & Pharma Data Security Summit 2018” Patryk Kuchta, starszy specjalista ds. bezpieczeństwa informacji w Medicover.

Tomasz Soczyński, dyrektor Zespołu Informatyki, Urząd Ochrony Danych Osobowych

Sprawnie działający system bezpieczeństwa informacji powinien wyprzedzać i neutralizować zagrożenia, opierając się na przeprowadzonej analizie ryzyk. Ochrona danych osobowych nie może mieć jednak automatycznego i bezrefleksyjnego charakteru. Koncentrując się na regulacjach, procesach i technologiach, trzeba zachować przynajmniej odrobinę zdrowego rozsądku. Zwracał na to uwagę nawet Tomasz Soczyński, dyrektor Zespołu Informatyki w Urzędzie Ochrony Danych Osobowych (UODO). Opowiadał on o danych osobowych szczególnej kategorii i o zasadach ich ochrony.

Kajetan Wojsyk, pełnomocnik ministra zdrowia ds. otwartości danych publicznych; ekspert ds. jakości danych Centrum Systemów Informacyjnych Ochrony Zdrowia

„Przygotowując Rozporządzenie, Parlament Europejski i Rada UE miały na celu ochronę osób fizycznych w związku z przetwarzaniem danych, a nie samych danych. Chodziło jednocześnie o zapewnienie ich swobodnego przepływu. Zastosowanie różnego rodzaju mechanizmów prawnych i technicznych ma na celu ochronę człowieka, osoby fizycznej, w ochronie zdrowia – pacjenta. Nie można o tym zapominać” – podkreślał również Kajetan Wojsyk, pełnomocnik ministra zdrowia ds. otwartości danych publicznych, ekspert ds. jakości danych w Centrum Systemów Informacyjnych Ochrony Zdrowia.

„Czy zamiast skupiać się na danych, nie powinniśmy skupić się na relacjach pomiędzy danymi i zarządzaniu tymi relacjami?” – pytał Kajetan Wojsyk. Pacjent musi być jednoznacznie rozpoznawalny przez opiekujących się nim pracowników medycznych. Nie może być tutaj żadnych pomyłek czy niejasności.

Ochrona danych osobowych nie może mieć automatycznego i bezrefleksyjnego charakteru. Koncentrując się na regulacjach, procesach i technologiach, trzeba zachować przynajmniej odrobinę zdrowego rozsądku.

Na znaczenie technologii kodów kreskowych dla identyfikacji pacjentów zwracała uwagę Anna Gawrońska, adiunkt, ekspert ds. standardów GS1 w ochronie zdrowia z Instytutu Logistyki i Magazynowania. Zastosowanie kodów kreskowych pozwala nie tylko w skuteczny sposób realizować wymogi prawne, ale również poprawia bezpieczeństwo pacjenta w zakresie farmakoterapii.

Anna Gawrońska, adiunkt, ekspert ds. standardów GS1 w ochronie zdrowia, Instytut Logistyki i Magazynowania

Dzięki urządzeniom mobilnym i przy wsparciu infrastruktury teleinformatycznej można świadczyć usługi medyczne w sposób efektywny, z poszanowaniem godności pacjenta i zgodnie z prawem. „Potencjał kodów kreskowych jest ogromny. W przypadku ręcznego wprowadzania danych przez klawiaturę średnio w każdej setce znaków pojawia się jeden błąd. W przypadku skanowania kodów jeden błąd pojawia się na 10 mln znaków” – mówiła Anna Gawrońska.

Grzegorz Paderewski, inspektor ochrony danych, Instytut „Pomnik – Centrum Zdrowia Dziecka”

Reprezentujący Instytut „Pomnik – Centrum Zdrowia Dziecka” Grzegorz Paderewski, inspektor ochrony danych, opowiadał o wykorzystaniu monitoringu w placówkach medycznych w kontekście ochrony danych osobowych. „Od 25 maja tego roku stosowanie monitoringu wizyjnego podlega ogólnym przepisom RODO, ale także specyficznym uregulowaniom krajowym. Ze względu na liczne wątpliwości z tym związane prezes UODO przygotowała specjalny dokument zawierający wskazówki dotyczące monitoringu – dopuszczalnych celów, praw osób obserwowanych, obowiązków administratorów. Jednocześnie wyznaczyła do końca września 2018 okres przejściowy na dostosowanie się do nowych wymagań” – przypominał Grzegorz Paderewski.

Zastosowanie mechanizmów prawnych i technicznych ma na celu ochronę człowieka, w ochronie zdrowia – pacjenta. Pacjent musi być jednoznacznie rozpoznawalny przez opiekujących się nim pracowników medycznych.

Wyzwania dla farmacji

Piotr Stecz, kierownik Działu Bezpieczeństwa Informacji, inspektor ochrony danych, Adamed

O wpływie RODO na branżę farmaceutyczną mówił natomiast Piotr Stecz, kierownik Działu Bezpieczeństwa Informacji, inspektor ochrony danych w Adamed. „Nadal mierzymy się z wyzwaniami zewnętrznymi i wewnętrznymi. Brakuje interpretacji i wytycznych w większości obszarów, a zarazem próbujemy znaleźć równowagę pomiędzy wymaganiami prawnymi a elastycznością i szybkością działania biznesowego” – podsumowywał pierwsze miesiące działania w nowej, powstałej w związku z RODO rzeczywistości Piotr Stecz.

Marta Siemaszko, Head Data Privacy Poland and Baltics, Novartis

Z kolei Marta Siemaszko, Head Data Privacy Poland and Baltics w Novartis, opowiadała o sposobach prowadzenia wykazu czynności przetwarzania danych osobowych. Pokazywała, jak wygląda proces budowania i aktualizacji wykazu, określanie osób odpowiedzialnych, sposób rejestrowania informacji. Mówiła także, jak „ułatwić sobie życie” poprzez wykorzystanie możliwości predefiniowania opcji rejestrowanych informacji.

Brakuje interpretacji i wytycznych w większości obszarów. Jednocześnie firmy muszą znaleźć równowagę pomiędzy wymaganiami prawnymi a elastycznością i szybkością działania biznesowego.

Potencjał technologii

W trakcie konferencji mówiono także o rozwiązaniach technologicznych wspierających zabezpieczanie przed niepowołanym dostępem do danych, ochronę ich transmisji oraz udostępnianie klientom. Systemy medyczne to atrakcyjny cel dla przestępców. Potwierdzają to raporty analityków: ponad połowa placówek medycznych na świecie doświadczyła w 2017 roku cyberataku. Jak zatem skutecznie chronić organizacje w świecie ciągle zmieniających się cyberzagrożeń? Jak reagować na nowe wymagania regulacyjne? Jak podejść do cyberbezpieczeństwa w przypadku ograniczonych budżetów i zasobów ludzkich?

Jacek Skolasiński, Chief Executive Officer, Aivena.

„Rozwiązaniem jest adaptacyjna architektura bezpieczeństwa. To skuteczna metoda ochrony organizacji przed cyberzagrożeniami. Koncentruje się na ciągłym monitorowaniu zagrożeń i dostosowywaniu metod reakcji w miarę ich ewolucji. Realizacja tego podejścia polega na zaawansowanym monitoringu sieci, ciągłej analizie behawioralnej i detekcji zagrożeń, zapewnieniu bezpieczeństwa na brzegu sieci oraz bezpieczeństwa urządzeń końcowych ” – przekonywał Jacek Skolasiński, Chief Executive Officer w firmie Aivena.

Maciej Bukowski, Engagement Manager, SailPoint

Na obszar Identity Governance and Administration zwracał uwagę Maciej Bukowski, Engagement Manager w SailPoint. Stosowanie tych zasad to sposób na zabezpieczenie dostępu do wszystkich aplikacji i danych – zarówno zgromadzonych w zasobach lokalnych, jak i w chmurze. Trzeba wdrożyć efektywne metody automatycznej kontroli ryzyka, zgodności z politykami bezpieczeństwa i centralnego zarządzania. Wcześniej jednak konieczne jest zidentyfikowanie typów danych wrażliwych i wszystkich obszarów ich występowania. To warunek właściwego zabezpieczenia dostępu do takich danych. „Dla właściwego zarządzania tożsamością cyfrową kluczowa jest odpowiedź na trzy pytania: kto posiada dostęp obecnie, jak te dostępy są używane oraz kto powinien posiadać dostęp” – zwracał uwagę Maciej Bukowski.

Systemy medyczne to atrakcyjny cel dla przestępców. Ponad połowa placówek medycznych na świecie doświadczyła w 2017 roku cyberataku.

Robert Dąbrowski, SE Manager, Fortinet

O neutralizowaniu słabych punktów w bezpieczeństwie systemów medycznych mówił Robert Dąbrowski, SE Manager w firmie Fortinet. Opowiadał m.in. o kluczowych trendach w obszarze cyberprzestępczości. Jednym z nich jest tzw. cryptojacking. „Obserwujemy ostry wzrost złośliwego oprogranowania tego typu. Jest ono szczególnie wycelowane w urządzenia IoT. Jak sobie z tym radzić? Monitorować aktywność urządzeń, używać VPN do segmentacji, zmieniać domyślne hasła, inwentaryzować urządzenia IOT, a jeśli to możliwe, instalować patche” – doradzał Robert Dąbrowski.

Paweł Markiewicz, CEO, M3Mcom

Nawet najlepsze technologie nie zapewnią jednak pełnego bezpieczeństwa. „Gdzie czyhają największe zagrożenia wycieku danych w sektorze zdrowia i farmacji? Technologia i procesy są niezwykle ważne, jednak nie można zapominać, że najsłabszym ogniwem systemu bezpieczeństwa pozostaje człowiek” – przypominał Paweł Markiewicz, CEO w M3Mcom. Podkreślał, że trzeba poświęcać czas na działania także na polu edukacji i uświadamiania pracowników. To potem przynosi bardzo wymierne i pożądane rezultaty. Gdy ludzie wiedzą, jakie obowiązują zasady, łatwiej zapewnić bezpieczeństwo zasobów informacyjnych organizacji.

Czekając na kodeks

O RODO i cyberbezpieczeństwie, a także o tym, jak wytyczne mogą pomóc placówkom leczniczym w dostosowaniu się do nowego otoczenia prawnego, mówiono w trakcie dyskusji panelowej. Dyskutowano również o kluczowych wyzwaniach związanych z nowymi regulacjami oraz dobrych praktykach pozwalających ograniczać ryzyko prawne i podnosić bezpieczeństwo pacjentów.

Z jakimi problemami najczęściej spotykają się osoby odpowiedzialne za ochronę danych osobowych w sektorze medycznym?

Katarzyna Korulczyk, inspektor ochrony danych, Grupa LUX MED

„Problemów jest mnóstwo. Część wynika ze zmian prawnych idących w niewłaściwym kierunku, a część z braku jakichkolwiek zmian, i to pomimo zidentyfikowania problemu kilka lat temu. Przykładem jest obowiązkowa sprawozdawczość dotycząca uchylania się od obowiązkowych szczepień. Wymaga to załączania danych osobowych, jednak od dwóch lat nie ma ich oficjalnego wykazu. Trzeba to jak najszybciej uregulować” – mówiła Katarzyna Korulczyk, inspektor ochrony danych w Grupie LUX MED.

Ligia Kornowska, dyrektor zarządzająca, Polska Federacja Szpitali

„Po wprowadzeniu RODO nie było rewolucji. Zmiany mają charakter ewolucyjny. Wejście w życie RODO nie wywołało burzy. Obawiamy się jednak, że obecna cisza może ją zapowiadać. Zwłaszcza że szpitale nadal nie rozumieją i nie wiedzą, jak stosować nowe przepisy w codziennej działalności. RODO jest nazbyt ogólne i potrzebne jest uszczegółowienie przepisów. Pomocny w tym zakresie może być kodeks branżowy” – mówiła Ligia Kornowska, dyrektor zarządzająca, Polska Federacja Szpitali. „Z drugiej strony obserwujemy, że brak zrozumienia RODO występuje po stronie pacjentów. Zabrakło akcji edukacyjnej. Chcemy to naprawić w najbliższym czasie” – dodawała.

Piotr Najbuk, Senior Associate, Kancelaria Domański Zakrzewski Palinka

Uczestnicy panelu prowadzonego przez Piotra Najbuka, Senior Associate w Kancelarii Domański Zakrzewski Palinka, najwięcej uwagi poświęcili jednak pracom na kodeksem branżowym oraz działaniom grupy roboczej pracującej przy Ministerstwie Cyfryzacji. Kodeks to w pewnym sensie samoregulacja sektora medycznego. Podmioty lecznicze mogą wpłynąć na interpretacje RODO i kształt innych aktów prawnych. To bardzo istotny dokument z punktu widzenia podmiotów zarówno publicznych, jak i prywatnych. Pozwoli wykluczyć rozbieżności i sprawi, że wszyscy będą postępować identycznie w określonych sytuacjach.

Prace nad kodeksem są bardzo intensywne. Najnowsza wersja dokumentu jest opublikowana na stronie internetowej rodowzdrowiu.pl. Obecnie trwają jej szerokie konsultacje. Co ciekawe, w odróżnieniu od RODO, które jest dokumentem ogólnym, mówiącym głównie o ryzyku i jego analizie, kodeks będzie zawierał część techniczną, gdzie zawarte zostaną pewne wskazówki dotyczące działań w tym obszarze.

Monika Sobczyk, kierownik ds. bezpieczeństwa informacji, Medicover

„Ze względu na prace prowadzone przez Grupę Roboczą art. 29 nad metodologią monitorowania i przestrzegania kodeksów branżowych, zatwierdzenia jakiegokolwiek dokumentu przez PUODO nie należy spodziewać się wcześniej niż w kwietniu przyszłego roku. Pierwsze informacje mają być dostępne najwcześniej w styczniu” – mówiła Monika Sobczyk, kierownik ds. bezpieczeństwa informacji w Medicover .

Podmioty zaangażowane w przygotowywanie kodeksu branżowego dla sektora medycznego pracują nad tymczasowymi rozwiązaniami. „Rynek, jako całość, woli poczekać do przyszłego roku na finalne rozstrzygnięcia. Jednak branża medyczna nie może czekać. Liczymy, że propozycja tymczasowego rozwiązania zostanie zaakceptowana i jak najszybciej będzie można ruszyć ze stosowaniem wypracowanych zasad” – dodawała Monika Sobczyk.

Niezależnie od jego dalszych losów prace nad kodeksem już przyniosły dużo pożytku. Wiele podmiotów leczniczych posiłkowało się wcześniejszymi wersjami dokumentu w swoich przygotowaniach do RODO. Inni powołują się obecnie na zapisy kodeksu w walce z niesłusznymi umowami powierzenia.

Ministerstwo Cyfryzacji opublikowało kilka dni po konferencji „Przewodnik po RODO w służbie zdrowia”. Jego opracowanie to efekt prac zespołu zadaniowego ds. ochrony zdrowia działającego w ramach Grupy Roboczej ds. Ochrony Danych Osobowych przy Ministerstwie Cyfryzacji. Dokument można pobrać ze strony https://www.gov.pl/cyfryzacja/rodo-w-sluzbie-zdrowia-po-pierwsze-pacjent.