Ve zdravotnických zařízeních je shromážděno obrovské množství dat pacientů, která je nutné chránit, a to i před dobrými úmysly cizích vlád. Foto: pixabay/ZD

Dosáhnou cizí vlády na data pacientů v českých nemocnicích?

České nemocnice mají vlastní datová externí úložiště. Využívat externí cloudy od zahraničních firem by většinou považovaly za riziko, pokud by k datům měly mít skutečně přístup vlády cizích zemí. Některé nemocnice mají s významnými světovými IT firmami přímý obchodní vztah v jiných oblastech než ukládání dat a některé jejich služeb využívají pouze přes české distributory. To je výsledek naší malé ankety mezi velkými českými zdravotnickými zařízeními, jíž jsme reagovali na zprávy o snaze amerického ministerstva spravedlnosti získat přístup k datům, respektive serverům, firmy Microsoft v evropských zemích. Firma, ale i ochránci soukromí, s tím zásadně nesouhlasili.

 

Minulý týden v této věci odvolací soud v Manhattanu zvrátil rozhodnutí soudu nižší instance a postavil se na stranu Microsoftu. Nicméně se předpokládá, že se americké ministerstvo odvolá k Nejvyššímu soudu USA a téma se znovu vrátí do hry. Microsoft nabízí uložení dat přes své „veřejné cloudy“, které už nyní využívá jedna miliarda zákazníků a 20 miliónů podniků ve 40 zemích světa.

Data na serveru v Dublinu prý nejsou na irském území

Jak informoval již květnu náš sesterský portál Ekonomický deník, na začátku tohoto příběhu, který může mít dalekosáhlé následky, byl obyčejný příkaz amerického soudce vydaný v prosinci 2013. Na základě zákona z roku 1986 O uchovávání dat (SCA) uložil firmě Microsoft, aby předala e-mailovou komunikaci klienta v drogovém případu. Jenže tato e-mailová schránka se nenacházela v USA, ale v datovém centru v irském Dublinu. Vláda USA je přesvědčena, že cloudy v dublinském centru Microsoftu nejsou irským územím, neboť společnost může předat data z nich do USA „jedním kliknutím“. Nesouhlasil nejen Microsoft, irská vláda a organizace zaměřené na ochranu dat a soukromí, ale panika zavládla také u našeho největšího souseda. Němci se rozhodli, že nebudou uchovávat data u poskytovatelů z USA, dokud nebude rozhodnutí amerického soudu zvráceno. To se nyní sice podařilo, nicméně mluvčí amerického ministerstva obrany Petr Varr bezprostředně po vyhlášení rozsudku prohlásil: „Legální přístup k informacím uloženým u amerických poskytovatelů mimo Spojené státy, který je rychlý tak, že odhalí kriminální činnost nebo hrozby pro národní bezpečnost, je zásadní pro naplnění naší mise chránit obyvatele a dosáhnout spravedlnosti pro oběti zločinů.“ Z těchto slov jasně plyne, že se USA jen tak svého záměru nevzdají. O tématu si můžete v Ekonomickém deníku přečíst také zde. V širším kontextu ochrany dat se jím zabýval i zajímavý rozhovor v našem dalším sesterském webu Česká justice.

A jaký vztah má kauza je zdravotnictví? Právě Německo, které se proti záměru USA velice ostře vymezilo a přijalo zvláštní vládní rozhodnutí, jež by se dalo vyložit jako „německá data zůstanou v Německu“, si uvědomilo, že kromě jiných oblastí se velká suma informací, uložených na cloudech, týká zdraví a zdravotnictví.  Zdravotnický deník proto zajímalo, jakým způsobem tyto služby využívají české nemocnice.

Externí úložiště nemáme…

Žádná z velkých českých nemocnic, které reagovaly na dotazy Zdravotnického deníku, nepoužívá externí datové úložiště, Zatím tedy nemusejí ani řešit bezpečnost citlivých dat pacientů z pohledu hrozby, že se k nim mohla dostat vláda jiného státu. Nicméně rizika si uvědomují. „Ano, obáváme se“, shodují se jejich mluvčí, ale hned dodávají:  „Nás se to netýká“. Připouštějí teoretické riziko jedině tehdy, kdyby jejich nemocnice z nějakého důvodu začaly využívat externí úložiště, ale k tomu se zatím žádná z nich nechystá.

„IKEM takové služby nevyužívá, vyhýbá se jim, blokuje je i na pracovních počítačích (interní směrnice). Pokud bychom byli v budoucnu nuceni externí úložiště využít, bylo by podmínkou, že bude na území ČR nebo EU a data bychom navíc kryptovali. Zároveň by velmi záleželo na smluvních a licenčních podmínkách, i ty by musely projít důkladnou analýzou. Nicméně, v současné chvíli IKEM preferuje pouze vlastní datová úložiště,“ napsala nám například mluvčí Institutu klinické a experimentální medicíny (IKEM) Veronika Velclová.

Ani ministerstvo zdravotnictví nepoužívá jiná než vlastní datová úložiště. Současně však nepodceňuje možná rizika. „Ministerstvo zdravotnictví se systematicky zabývá otázkami kybernetické bezpečnosti v celé jejich šíři. Rozhodně nemůžeme reagovat ex post až na nějakou událost. Těm se naopak snažíme předcházet,“ říká mluvčí Ladislav Šticha. Připomíná, že přístup České republiky k elektronizaci veřejné správy je koordinován ministerstvem vnitra. Zdravotnictví s vnitrem intenzivně spolupracuje při řešení bezpečné architektury informačních systémů resortu a nepřijímá izolovaná opatření. Podobně spolupracuje s Národním bezpečnostním úřadem.

…v jiných oblastech s IT firmami ale spolupracujeme.

Samozřejmě, že mnohé nemocnice i ministerstvo zdravotnictví se světovými firmami, jako je Microsoft, IBM, Cisco Systems, Oracle, HP, spolupracují v různých jiných oblastech. „Ano, z uvedených společností má NNH smluvní vztah se společností Microsoft a Oracle. Poskytují nám licence na základní počítačové vybavení (operační systémy MS Windows, MS Office, MS Exchange, MS SQL, atd. v případě Microsoftu a SQL Database v případě Oracle),“ uvedla mluvčí Nemocnice Na Homolce Martina Dostálová. „Máme smluvní vztahy s firmami: Microsoft, IBM, Oracle, HP,“ sdělil nám Martin Šalek, mluvčí Nemocnice Na Bulovce.  „Nemocnice využívá technologie některých uvedených firem, služeb v souvislosti se zpracováním dat nevyužívá,“ omezila se na ne zcela konkrétní vyjádření Hana Frydrychová z Odboru komunikace, FN v Motole. „Z vámi jmenovaných subjektů máme smluvní vztah pouze s firmou Oracle, a to na dodávku a podporu databázového engine v ceně 30 000 Kč bez DPH. V ostatních případech využíváme české dodavatelské firmy,” odpověděla opět V. Velclová z IKEM.

Další nemocnice uvedly, že s výše uvedenými firmami obchodní vztahy nemají. “Ne. Prodej svých technologií realizují zmíněné firmy prostřednictvím českých distributorů,“ vysvětlil nám ředitel FN Ostrava David Feltl. „Přímé smluvní vztahy s těmito firmami nemáme,“ reagoval podobně mluvčí pražské Všeobecné fakultní nemocnice Filip Brož. „Smluvní vztahy s uvedenými firmami nemáme,“ tvrdí Gabriela Levorová mluvčí FN Plzeň. „Ne,“ odbyl nás stručně její kolega ve FN Brno Pavel Žára.

Ministerstvo zdravotnictví uzavřelo s ministerstvem vnitra v roce 2014 Smlouvu o centralizovaném zadávání na pořízení licencí Microsoft a v roce 2016 na pořízení licencí Oracle a Cisco. Tím přistoupilo k rámcovým smlouvám, které vnitro uzavřelo s vybranými dodavateli. „MZČR doposud nevyužilo možnosti pořízení výše uvedených licencí v rámci uzavřených rámcových smluv,“ doplňuje ZD mluvčí Ladislav Šticha.

Zatím je tedy na cloudové frontě klid.

-cik-