W publikacjach dotyczących ochrony informacji, w tym ochrony danych osobowych w placówkach medycznych, autorzy zazwyczaj skupiają się na zagrożeniach wewnętrznych, związanych z ochroną dokumentacji medycznej w wersji papierowej oraz na dostępie do gabinetów lekarskich. Jest to jak najbardziej zrozumiałe gdyż zapewne niejeden z nas , będąc w gabinecie lekarskim, miał kiedyś okazję widzieć karty innych pacjentów z ich danymi osobowymi i historią choroby. Bywa też, że lekarz, który nienajlepiej radzi sobie z nowymi technologiami, prosi bardziej świadomego pacjenta o pomoc z komputerem, przez co stwarza ogromne ryzyko ujawnienia wrażliwych danych innych pacjentów. Są to sytuacje bardzo ryzykowne i zdecydowanie nie powinny mieć miejsca. To, że się jednak zdarzają, świadczy przede wszystkim o małej świadomości personelu placówek medycznych. Warto aby administrator danych osobowych (placówka medyczna) zadbał o ich odpowiednie przeszkolenie – zgodnie z ustawą o ochronie danych osobowych ADO ma obowiązek zadbać o to, by pracownicy stosowali się do zasad ochrony danych.
Tutaj jednak chciałbym się skupić na zagrożeniach zewnętrznych, jeszcze nie tak dawno całkowicie pomijanych przez placówki medyczne (zwłaszcza publiczne) z powodu przechowywania wszystkich danych na miejscu, bez konieczności przekazywania ich drogą elektroniczną. Wraz z postępem technologicznym oraz zmianą przepisów, które obecnie wymagają już od placówek medycznych świadczenia niektórych usług w formie elektronicznej, zagrożenia te znacznie zyskały na znaczeniu.
Świadczenie usług drogą elektroniczną było dotąd domeną głównie prywatnych placówek, które dysponowały większym budżetem na informatyzację ośrodków i budowanie systemów bezpieczeństwa. Obecnie również placówki publiczne muszą o nie zadbać. Przykładowo, zgodnie z rozporządzeniem Ministra Zdrowia z 19 kwietnia 2013 r. w sprawie minimalnej funkcjonalności dla systemów teleinformatycznych, umożliwiających realizację usług związanych z prowadzeniem przez świadczeniodawców list oczekujących na udzielenie świadczenia zdrowotnego zobowiązuje placówki medyczne m.in. do udostępnienia możliwości zarejestrowania się na wizytę. Rozporządzenie obowiązuje od 1 marca 2014 r. Na uwagę zasługuje fakt, że zgodnie z nim systemy muszą spełniać wymogi ustawy z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną oraz, że administratorzy systemów w zakresie niezbędnym dla właściwego działania przypisanego im systemu opracowują i ustanawiają, wdrażają i eksploatują, monitorują i przeglądają oraz utrzymują i doskonalą system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji, gdzie wyraźnie wskazane jest, że system zarządzania bezpieczeństwem informacji ma być wdrożony zgodnie normami ISO 27799 oraz ISO 27002.
Wdrażanie międzynarodowych norm ISO w placówkach medycznych nie jest niczym nowym. Przy kontraktowaniu z NFZ za posiadanie certyfikacji na normy ISO 9001, ISO 27001, ISO 14000, ISO 18000 można otrzymać dodatkowe punkty. Spełnianie wymienionych norm realizuje również wymagania Krajowych Ram Interoperacyjności zgodnie z Rozporządzeniem Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Zagrożenia zewnętrzne spotęgują się zapewne z końcem lipca 2017 roku, do kiedy to placówki medyczne mają obowiązek prowadzić pełne dokumentacje medyczne w wersji elektronicznej – zgodnie z ustawą z 28 kwietnia 2011 r. o systemie informacji w ochronie zdrowia. Obecnie placówki są w tzw. okresie przejściowym. Od 1 stycznia 2016 roku zaczną natomiast działać takie usługi elektroniczne jak e-zwolnienie, e-recepta i e-skierowanie. Ich wdrożenie również wiąże się z pewnymi ryzykami, które odpowiedzialna placówka medyczna powinna wziąć pod uwagę.
Biorąc pod uwagę konieczność dostosowania się placówek medycznych do nowej rzeczywistości, warto zwrócić uwagę na eksport danych do systemów zewnętrznych, współpracę z zewnętrznymi podmiotami, udostępnienie kanałów komunikacji dla systemów webowych (ryzyko podsłuchu transmitowanych danych, ich modyfikacji lub usunięcia), możliwość upublicznienia danych przez podmiot zewnętrzny oraz ryzyko włamania do wewnętrznej infrastruktury teleinformatycznej z wykorzystaniem luk w zabezpieczeniach.
Kluczowym czynnikiem zapewniającym najwyższy stopień bezpieczeństwa informacji i danych jest kompleksowe wdrożenie zabezpieczeń organizacyjnych (dokumentacja bezpieczeństwa informacji w tym danych osobowych, szkolenia pracowników), technicznych (kryptografia, monitoring bezpieczeństwa, kopie zapasowe) i prawnych (umowy powierzenia, kary umowne, SLA). Pozwoli to zminimalizować ryzyko wystąpienia incydentów (kradzieży czy nieuprawnionego udostępnienia danych, utraty danych, itp.) .