Jak v roce 2018 zvládnout nové požadavky na ochranu osobních údajů a kyberbezpečnost?
Od května 2018 bude účinné tzv. obecné nařízení o ochraně osobních údajů (GDPR). Diskuse o dopadech na komerční organizace je v plném proudu, ale jak se dotkne veřejného sektoru a zejména zdravotnictví, které nakládá s velkým množstvím velmi citlivých údajů? Zdravotnictví se navíc během nadcházejícího roku musí vyrovnat s novými požadavky novely zákona o kybernetické bezpečnosti (ZoKB). Dobrou zprávou je, že řadu požadavků plynoucích z obou nových legislativ mohou zdravotnická zařízení vyřešit naráz. (Tento článek publikujeme jako úvod do problematiky, kterou se bude zítra zabývat Kulatý stůl Zdravotnického deníku pod názvem GDPR v českých nemocnicích: výzva nebo hrozba? – pozn. redakce).
Zpracování osobních údajů v orgánech veřejné moci probíhá většinou na základě zákonného zmocnění, a proto (dle článku 6 GDPR) není třeba udělení souhlasu subjektem údajů. Stále se však uplatní řada jiných ustanovení, jako např. záměrná a standardní ochrana osobních údajů (čl. 25), zabezpečení zpracování (čl. 32) včetně pravidelného testování a hodnocení účinnosti zavedených bezpečnostních opatření nebo vyřizování různých žádostí subjektů dat souvisejících se zpracováním.
Ve školství se budou navíc zpracovávat i poměrně senzitivní údaje o studentech – studijní výsledky, hodnocení, prohřešky, které mohou mít výrazný dopad na jejich budoucí uplatnění. Studenti jako subjekty dat budou moci žádat o omezení zpracování, výmaz nebo přenos svých osobních údajů. Ve zdravotnictví bude změna ještě výraznější, neboť informace o zdravotním stavu pacienta budou z valné většiny spadat do zvláštních kategorií osobních údajů (čl. 9). Často se navíc bude jednat o zpracování dat s vysokým rizikem (čl. 35), které vyžaduje zpracování formální analýzy rizik a tzv. „posouzení vlivu na ochranu osobních údajů“ pro daný scénář zpracování.
Oblast zdravotnictví se podle novely ZoKB stává od 1. 8. 2017 jednou z tzv. „základních služeb“, jejichž poskytování je závislé na informačních systémech a sítích a jejichž narušení by mohlo mít významný dopad na společnost. Provozovatelé základních služeb budou určeni dozorovým úřadem dle zvláštní vyhlášky (nyní stále ve stadiu připomínkování), a podle posledních informací z Národního centra kybernetické bezpečnosti (NCKB) jsou v návrhu zdravotnická zařízení, která v posledních 3 letech měla alespoň 800 akutních lůžek nebo status pracoviště specializované traumatologické péče. Správci a také provozovatelé informačního systému základní služby budou v přechodném období jednoho roku od určení povinni zajistit kybernetickou bezpečnost zavedením bezpečnostních opatření, a dále vyhodnocovat kybernetické bezpečnostní incidenty a hlásit je dozorovému úřadu (od 1. 8. 2017 to je Národní úřad pro kybernetickou a informační bezpečnost). Velké nemocnice tak musí v nadcházejících měsících řešit jak soulad s nařízením GDPR (účinnost od 25. 5. 2018), tak i nové požadavky ZoKB.
Jak zajištění souladu nemocnicím co nejvíce ulehčit
Požadavky na zabezpečení jsou v případě GDPR i ZoKB postavené na obdobných principech a vychází ze tří základních východisek:
- Z potřeby zmapovat tzv. chráněná aktiva (zejména osobní údaje, ostatní chráněná data a vlastní aplikace),
- Z nutnosti provést analýzu rizik – tedy zvážit dopady hrozeb na možné zranitelnosti systému s ohledem na chráněná aktiva a
- nastavení přiměřených bezpečnostních opatření, která umožní adekvátně zmírnit zjištěná rizika.
Pro nemocnice se zdá být nejpraktičtější provést pro obě oblasti regulace jedinou, dostatečně širokou analýzu rizik se zohledněním všech požadovaných rizik, a zavést jednu množinu bezpečnostních opatření. Ke splnění požadavků GDPR na zpracování s vysokým rizikem je kromě analýzy rizik (viz čl. 35 bod 7) nutné popsat scénář vlastního zpracování, toků dat a posoudit nezbytnost a přiměřenost operací zpracování z hlediska účelů, což tvoří základní kostru onoho „posouzení vlivu na ochranu osobních údajů“.
Metodická vodítka pro zpracování „posouzení vlivu“, publikovaná na webu Úřadu pro ochranu osobních údajů, rovněž naznačují, že pro obdobné scénáře zpracování s obdobnými riziky je možné pro více povinných osob (nemocnic) zpracovat jeden společný dokument „posouzení vlivu na ochranu osobních údajů“. V případě nasazení opakujících se řešení (informačních systémů) je dokonce možné zpracovat jedno generické „posouzení vlivu“ pro typický scénář zpracování, přičemž v takovém případě si musí každá povinná osoba toto generické „posouzení vlivu“ dopracovat pro svoje konkrétní podmínky. Nicméně již tato samotná možnost představuje výrazné snížení nároků na pracnost analytické dokumentace pro zdravotnická zařízení.
Mohlo by vás zajímat
Pokud organizace používá cloudové služby, může jí práci ušetřit poskytovatel těchto služeb, který „posouzení vlivu“ pro své služby zpracuje, tak jako to pro své klíčové služby udělal Microsoft. Cloud může představovat i zajímavou alternativu pro zpracování dat náročných na paměťová úložiště nebo výpočetní kapacitu – tyto zdroje jsou v cloudu prakticky neomezené, a lze je zákazníkům alokovat jen dle potřeby na bázi pronájmu. Pro cloudovou platformu Microsoft Azure existuje řešení pro zpracování radiologických obrazových informací v tzv. PACS (Picture Archiving and Communication System) a také vzorová analýza rizik dle požadavků GDPR i ZoKB.
Důvěryhodný poskytovatel cloudu nabízí takové vzorové analýzy rizik a „posouzení vlivu“ zdravotnickým zařízením bezplatně, společně s možností přenést část odpovědnosti za bezpečnost zpracování dat na „zpracovatele“ – poskytovatele cloudových služeb, který je k tomu náležitě vybaven. Zpracovatelé/provozovatelé informačních systémů jsou nyní přímo regulováni jak v nařízení GDPR (čl. 28 a další), tak i v novele ZoKB (§4, §4a, §6a a další), což znamená, že tato alternativa je nyní již dobře legislativně ošetřena.
V čem konkrétně může zpracování v cloudu přinést rychlou výhodu
Článek 32 GDPR „Zabezpečení zpracování“ i ZoKB požadují zavedení adekvátních bezpečnostních opatření v každém případě, tedy i v situaci, kdy nemocnice provádí veškeré zpracování dat na vlastních serverech (tzv. on-premise). Požaduje se i schopnost obnovit dostupnost osobních údajů a přístup k nim včas v případě bezpečnostních incidentů, stejně jako pravidelné testování, posuzování a hodnocení účinnosti zavedených bezpečnostních opatření. V kterých oblastech tedy může zpracování v cloudu přinést okamžitý benefity, a to zejména:
- Zajištění důvěrnosti a integrity citlivých dat šifrováním v úložišti a při přenosu, včetně silných mechanismů generování a ochrany klíčů
- Zabezpečení koncových zařízení vynucením bezpečnostních politik řízených z cloudu
- Řízení a evidence přístupu uživatelů i administrátorů, včetně zabezpečení jejich identit vůči kyberútokům
- Kontrola účinnosti bezpečnostních opatření pomocí auditních zpráv a provozních logů
- Nástroje pro vysokou dostupnost a odolnost cloudových systémů proti kyberútokům typu DDoS a dalších
- Zvládání a vyšetřování bezpečnostních incidentů forenzními specialisty.
Tyto oblasti by v mnoha případech bylo nutné řešit jako samostatné projekty vlastního IT, zatímco v cloudu jsou k dispozici ihned za výhodných podmínek licenčního pronájmu, jako součást cloudové služby.
Cloud jako akcelerátor inovací ve zdravotnictví
Rozvoj cloudových technologií umožnil vznik do té doby omezených a obtížně dostupných služeb jako jsou strojové učení a umělá inteligence založená na neuronových sítích. Pro oblast moderní medicíny tak vznikl významný prostor pro inovaci a rozšíření běžných lékařských postupů, zejména při automatizovaném posouzení radiologických snímků (PACS) umělou inteligencí. Výzkumný projekt InnerEye, do kterého se rozhodla zapojit i Všeobecná fakultní nemocnice v Praze, umožní lékařům přesnější lokalizaci nádorových onemocnění a usnadní tak diagnostiku, léčbu a sledování nádorů.
Nedílnou součástí inovací v oblasti zdravotnictví je i nasazení moderních nástrojů pro týmovou spolupráci. Nasazení cloudových technologií poskytuje jednotnou komunikační platformu, která umožňuje týmovou práci pomocí sdílených poštovních schránek, sdíleného uložiště, sdílených poznámkových bloků, reportů a diskusních webů. Integrovanou součástí bývá i řešení pro hlasové a video-konference, umožňující zaměstnancům i externím subjektům navzájem online komunikovat i napříč kontinenty. Řešení je škálovatelné a přístupné odkudkoliv, z jakéhokoliv zařízení. Samozřejmostí je dodržení nejvyšších bezpečnostních standardů včetně šifrování vlastní komunikace. S nasazením těchto nástrojů v praxi mají vlastní zkušenosti i ve Všeobecné fakultní nemocnici v Praze, kde je pravidelně využívá více než 6 000 zaměstnanců.
Zdeněk Jiříček, ředitel pro technologické standardy pro Microsoft Česko
Jiří Černý, ředitel pro právní záležitosti pro Microsoft Česko a Slovensko