Chmura dla medycyny – czy nasze dane są bezpieczne?
Kryzys spowodowany pandemią powoduje gwałtowne załamanie wielu sektorów gospodarki, ale jest równiez szansą dla innych. Kapitalizacje firm sektora telemedycyny gwałtownie rosną, a rynek chmury obliczeniowej dla zdrowia wzrośnie z 20 mld USD w 2018 do 55 mld USD w 2025 roku.
Możemy się zastanawiać – dlaczego? Cloud Computing oferuje optymalizację kosztów, większą elastyczność, skalowalność, dostępność danych i bezpieczeństwo dzięki szyfrowaniu danych medycznych i automatycznemu backupowi.
Bardzo ważnym aspektem jest jednak kwestia zapewnienia bezpieczeństwa danych medycznych w modelu Cloud Computing.
Aspekt bezpieczeństwa jest równie kluczowy we wszelkich rozwiązaniach rosnącego rynku telemedycyny w tym teleradiologii, telepatomorfologii, teledermatologii i telekonsultacji, telechirurgii i teleokulistyki, oraz e-recept i wszelkich usług e-zdrowia, w tym szkoleń, edukacji zdrowotnej on-line, a także platform e-commerce dla sektora farmaceutycznego i para – farmaceutycznego.
Co z kwestiami prawnymi?
Zarówno przepisy UODO, jak i RODO regulują i dopuszczają powierzenie danych osobowych, również podmiotom zewnętrznym świadczącym usługi hostingu, dostarczającym serwery w modelu abonamentowym, software as service (SaaS) czy platform as service (PaaS). Komisja Europejska w preambule RODO wskazuje jednak na konieczność korzystania wyłącznie z usług – podmiotów przetwarzających – dostawców Cloud Computing, które zapewniają gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby, oraz wymaga bezpieczeństwo przetwarzania, w tym wymaganiom określone przez RODO.
Odpowiedni usługodawcy usług chmurowych powinni spełniać wymogi „Rekomendacji Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej” oraz międzynarodowe standardy postępowania z danymi osobowymi, a zatem normy takie jak: ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 22301 oraz normy branżowe, np. ISO 13606-1, ISO 13606-4 oraz normę ISO/IEC 27018.
Grupa Robocza ds. art. 29, Komisji Europejskiej w sprawie przetwarzania danych w chmurze obliczeniowej przeanalizowała kwestie istotne dla dostawców usług przetwarzania danych w chmurze w Europejskim Obszarze Gospodarczym (EOG). Określiła wszystkie zasady wynikające z dyrektywy o ochronie danych UE (95/46/WE) oraz dyrektywy o prywatności i łączności elektronicznej 2002/58/WE (zrewidowanej dyrektywą 2009/136/WE).
W ramach grupy roboczej opracowano wytyczne dla klientów i dostawców usług przetwarzania danych w chmurze w tym danych osobowych, wrażliwych, a także medycznych. Są one wytycznymi na jakich zasadach przetwarzać w chmurze dane organizacji, aby zapewnić im bezpieczeństwo oraz kontrolę nad nimi. Najważniejsze z nich to:
- Odpowiedzialność klienta usługi w chmurze jako administratora – klient powinien wybrać dostawcę usługi w chmurze, który gwarantuje zgodność z przepisami w zakresie ochrony danych, i odpowiednie zabezpieczenia umowne;
- Zabezpieczenia w przypadku powierzenia – przepisy dla podmiotów, którym powierzono realizację usług, powinny być przewidziane w każdej umowie pomiędzy dostawcą usługi w chmurze i jego klientami;
- Przestrzeganie podstawowych zasad ochrony danych – klientowi należy zapewnić zrozumiałe informacje na temat środków technicznych i organizacyjnych wdrożonych przez dostawcę; klient w ramach dobrych praktyk powinien przekazać osobom, których dane dotyczą, informacje na temat dostawcy usługi w chmurze, jak również dane na temat lokalizacji, w których dane mogą być przechowywane lub przetwarzane;
- Określenie i ograniczenie celu – klient powinien zapewnić zgodność z zasadami określenia i ograniczenia celu przetwarzania danych oraz zadbać o to, aby żadne dane nie były przetwarzane do innych celów przez dostawcę;
- Zatrzymywanie danych – klient jest odpowiedzialny za zapewnienie, aby dane osobowe zostały usunięte ze wszystkich miejsc, w których są przechowywane, w przypadku gdy ich przetwarzanie nie odbywa się lub realizowane jest prawo (do zapomnienia) osoby, której dane dotyczą;
- Zabezpieczenia umowne – umowa z dostawcą powinna zapewniać wystarczające gwarancje pod względem technicznych środków bezpieczeństwa i środków organizacyjnych;
- Dostęp do danych – tylko upoważnione osoby powinny mieć dostęp do danych. W umowie powinna być zawarta klauzula poufności w odniesieniu do dostawcy i jego pracowników;
- Zobowiązania do współpracy – klient powinien zapewnić, aby dostawca był zobowiązany do współpracy w związku z prawem klienta do monitorowania operacji przetwarzania, do ułatwiania realizacji praw osób, których dane dotyczą, do dostępu do/poprawiania/usuwania ich danych oraz do powiadamiania klienta usługi w chmurze o wszelkich naruszeniach ochrony danych mających wpływ na dane klienta;
A więc korzystanie z Chmury dla usług medycznych, konsultacji on-line, e-recept, przechowywania dokumentacji, badan klinicznych i diagnostycznych jest możliwe a nawet…. jak najbardziej wskazane.
Anna K.Nietyksza
Prezes Cloud Community Europe Polska
Ekspert nowych technologii cyfrowych w tym Cloud Computing, Big Data, Blockchain.