Akreditace? Zabezpečení dokumentace a dat
„Nejen na základě zkušeností v ČR, ale i s ohledem na zkušenosti zahraniční mohu konstatovat, že obecně u zdravotníků panuje poměrně malé povědomí o rizicích spojených s nedostatečnou ochranou dat. Netýká se to IT profesionálů – bezpečnost a ochrana informačních systémů v našich nemocnicích včetně zálohování dat a ochrany serverů proti rizikům bývá velmi dobrá. Naopak často vídáme nedostatečnou ochranu přímo na zdravotnických pracovištích. Nejsou výjimečné situace, kdy není dostatečně chráněna dokumentace pacientů (nebo její součásti obsahující osobní údaje pacientů) – chorobopisy odložené na převazových stolcích či na pultech inspekčních stanic, žádanky na vyšetření připravené na nehlídaném svozovém místě, nezajištěné vstupy na inspekční pokoje nebo situace, kdy v místnosti, kde jsou uloženy chorobopisy, pracuje zaměstnanec externí úklidové firmy bez jakéhokoli dohledu,“ řekl naší redakci ředitel Spojené akreditační komise (SAK) David Marx a uvedl svou zkušenost, že u nemocničních informačních systémů (NIS) není vzácná situace, kdy se ráno po zapnutí počítače přihlásí do systému jeden pracovník a dále zůstane přihlášen, takže všichni další do NIS vstupují pod jeho jménem. Pohodlnost vede k tomu, že si pracovníci vzájemně prozrazují přístupová hesla (obvykle lékaři sestrám). „Situace se postupně – a to i díky akreditačnímu procesu – zlepšuje, ale vyžaduje to systematický a důsledný tlak managementu nemocnic na všechny pracovníky, kteří přicházejí do styku s citlivými a osobními daty pacientů, aby tato data úzkostlivě chránili, a tím chránili před postihem sebe samotné i dané zařízení,“ podotkl ředitel Marx.
Bezpečnost dat a dokumentace pacientů
Zkušenost s tím, jak české nemocnice přistupují k ochraně svých dat, má i ředitel společnosti Alkom Václav Růžička. Také on vidí největší rizika především ve fyzické ochraně dokumentace i serverů. Problém vidí v nedostatečném propojení IT oddělení, technického zabezpečení objektů, dálkového dohledu a pracovníků fyzické ostrahy. „Při každodenní práci vnímáme, že sektory IT a klasické bezpečnosti spolu moc nespolupracují. Právě zde přitom platí nutnost integrovaných opatření. IT pracovníci přeceňují IT opatření v rámci počítačové sítě, šifrují ji, dokážou zamezit elektronickému přístupu, ale hrubě podceňují technické zabezpečení budovy, režimová opatření a dálkový dohled technických zabezpečovacích systémů. Prostor, kde je server umístěn, je třeba chránit před vniknutím nepovolané osoby i před nekontrolovaným vstupem osoby, která zde pracuje. Navíc je třeba dbát na riziko zaplavení, výpadek proudu, vloupání a vandalismu,“ uvedl Václav Růžička s tím, že zatímco do IT systémů nemocnice významně investují, klasická bezpečnostní opatření jsou podceňována. „Úplně nejhorší je zajištění personální bezpečnosti – kontrola osob, které jsou oprávněny s daty pracovat, archivovat je a chránit. V Evropě celý proces legislativních norem směřuje k tomu, aby instituce zaměřily ochranná opatření i na vlastní zaměstnance, tedy k ochraně před vnitřním nepřítelem, který může data zneužít, prodat či zničit. Právě vlastní zaměstnanci páchají až 90 procent případů datové kriminality,“ dodal ředitel Růžička a doporučuje, aby nemocnice svá data zabezpečily dle ČSN ISO/IEC 27 001:2014 – tedy souboru postupů pro opatření bezpečnosti informací.
Údaje pacientů a lékař u soudu
V těchto dnech začíná soudní spor, v němž je ze zneužití lékařské dokumentace obviněn lékař z Ústřední vojenské nemocnice v Praze. Jak uvedla ČTK, lékař čelí obvinění z toho, že svému pacientovi pomáhal falšovat směnky v hodnotě 6 milionů korun. Dle obžaloby poskytl údaje (jména a příjmení, rodná čísla, adresy, kontakty na blízké osoby a někdy i diagnózu) zesnulých pacientů léčených na oddělení tamní ortopedie a traumatologie. Lékařův pacient prý potom vepsal získané údaje do falešných směnek. Cenné papíry následně udal u pražského městského soudu jako pravé.
„Při výkonu svého povolání lékaře pod svým přihlašovacím loginem a po zadání svého hesla vstoupil do počítačového systému AMIS a nahlédl do zdravotnické dokumentace osob zemřelých v této nemocnici i do ambulantních účtů pacientů ortopedické ambulance, a to nikoli za účelem oprávněné zdravotní péče, ale neoprávněně s cílem získat jejich osobní údaje,“ ocitovala ČTK obžalobu.
Lékař vinu popírá a hájí například tím, že jeho heslo do nemocničního systému znaly i sestry.
Zákon o kybernetické bezpečnosti
Na obecné úrovni nyní pomáhá v ČR chránit data zákon o kybernetické bezpečnosti. Podléhají mu organizace, které jsou tzv. prvky kritické informační infrastruktury. Tisková mluvčí ministerstva zdravotnictví Štěpánka Čechová pro naši redakci uvedla, že nemocnice v současné chvíli do kritické informační infrastruktury nespadají, protože nesplňují kritéria daná nařízením vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury, ve znění novely č. 315/2014 Sb. To by se ale mělo v dohledné době změnit. Nemocnice by se měly začít na ochranu dat připravovat, protože zákon o kybernetické bezpečnosti a nařízení o stanovení prvků kritické bezpečnosti se bude novelizovat tak, aby i ony zákonu vzhledem k ochraně dat podléhaly. „Vedle státem a krajem zřizovaných nemocnic by se povinnosti nového zákona mohly rozšířit na zdravotnická zařízení, která zřizují obce. Dosud byl limitním parametrem pro zařazení do kritické infrastruktury počet 2500 lůžek. Tento parametr bych v novele zrušil. Důležitější je například počet osob ve spádové oblasti nebo pokrytí základních lékařských odborností. Novelizací odpovídajících předpisů bude nutné zahrnout nemocniční informační systémy mezi ty, které spadají pod zákon o kybernetické bezpečnosti,“ uvedl pro naši redakci spoluautor věcného záměru zákona o kybernetické bezpečnosti Ing. Aleš Špidla, který v minulosti působil například jako vedoucí sekce informatiky ve Státním ústavu pro kontrolu léčiv, kde se věnoval i problematice eHealth, a v současné době pracuje jako manažer oddělení řízení rizik ve firmě PricewaterhoseCoopers (PwC).
Pro nemocnice to bude znamenat řešení řady obtížných situací. „Nemůže například docházet k tomu, aby jediná osoba zaváděla nové informační softwary a jejich součásti, zároveň tyto kontrolovala, sledovala možné incidenty a řešila bezpečnostní problémy. Tam selhává kontrolní mechanismus,“ uvedl praktický příklad přístupu nového zákona Václav Růžička.
Kdo pozná únik informací? Nikdo!
Podle americké srovnávací studie Ponemon si 54 % tamních nemocničních manažerů není jisto, zda může únik informací o pacientech vůbec zjistit. Protože se navíc podle ředitele Růžičky vnitřní úniky informací tají. Pokud je nemocnice přece jen zjistí, ke zveřejnění úniku dat dojde podle něj jen u jednoho procenta případů.
Ke kolika případům úniku dat v českých nemocnicích dochází, nelze podle Aleše Špidly dost dobře určit. „Pokud systémy nezahrnují detekci úniků, nemocnice tento únik nikdy nepoznají. Podle průzkumu firmy S&T nedokáže únik dat detekovat 67 procent institucí v České republice. Podle průzkumu PwC meziroční nárůst útoků na nemocniční informační systémy, a to ze strany cizími státy podporovaných útočníků, činí 206 procent. Nemocniční systémy jsou přitom klíčové v době krize, kdy narušení informačního systému nemocnice může znamenat její zhroucení. Informace obsažené v nemocničních informačních systémech mohou být využívány zpravodajskými službami a zneužívány k diskreditaci nebo vydírání významných či klíčových osobností,“ poukazuje na politické souvislosti úniku dat Ing. Špidla.
Smlouvy mezi IT firmami a nemocnicí
Na vyšší úrovni zabezpečení dat o svých pacientech pracují například nemocnice Zdravotnického holdingu Královéhradeckého kraje. Doporučení ke zvýšení ostražitosti bylo výsledkem auditu, který si kraj nechal provést jako reakci na údajný únik dat pacientů, která v nemocnicích spravuje společnost Stapro. Jak uvedl hejtman Královéhradeckého kraje Lubomír Franc, únik ani zneužití dat prokázány nebyly. Audit ale odhalil prostor pro zvýšení úrovně samotného systému zabezpečení. „Výsledek auditu vyhodnotil, že nebyly dotaženy konkrétní smluvní vztahy mezi společností Stapro a nemocnicemi,“ dodal hejtman. Jde o to lépe definovat, která data budou stažena a za jakým účelem budou použita. Kontrola také zmapovala systém a mechanismy nakládání s daty v krajských nemocnicích a jejich soulad se zákonem o ochraně osobních údajů. „V tomto případě audit konstatoval nutnost přijetí technicko-organizačních opatření v oblasti nakládání s osobními údaji pacientů. Celé věci by se teď měl ujmout Zdravotnický holding KHK,“ doplnil hejtman Franc.
S ohledem na ochranu dat má podle Aleše Špidly „nedotažené“ smlouvy drtivá většina českých institucí včetně nemocnic. „Smlouvy neobsahují klauzule o vzájemné ochraně sdílených informací – non-disclosure agreement nebo například exit plan, tedy dohodu kdy, komu a jakým způsobem budou data předána po ukončení smlouvy. Znění smluv si většinou diktují dodavatelé informačních systémů a instituce včetně nemocnic často nedisponují odborníky, kteří dokážou tento problém identifikovat,“ uzavřel Aleš Špidla.