W ostatnich dwóch latach mieliśmy okazję obserwować intensywny rozwój telemedycyny. Pomimo, iż była ona już przed pandemią wykorzystywana do udzielania świadczeń zdrowotnych, nie była ona jednak tak powszechna, a dostarczane oprogramowania i narzędzia tak zaawansowane. Obecnie coraz większe skupienie znajduje się na zwiększeniu bezpieczeństwa używanych platform i narzędzi wykorzystywanych przy świadczeniach zdrowotnych udzielanych przy pomocy środków komunikacji na odległość. Z racji tego, że październik był Miesiącem Cyberbezpieczeństwa, jest to doskonały czas, aby przyjrzeć się zagadnieniu.
Dobre praktyki – o czym należy pamiętać wybierając narzędzia
Wybierając narzędzia używane do świadczeń telemedycznych należy mieć przede wszystkim na uwadze kwestię, że niezbędne jest zapewnienie odpowiednich środków cyberbezpieczeństwa. Jest to element niezbędny do realizacji bezpiecznej wymiany informacji z pacjentem.
Do udzielania świadczeń zdrowotnych opartych na telemedycynie można wykorzystywać telefony, jak i połączenia internetowe w ramach zabezpieczonych platform telemedycznych, aplikacji lub innych systemów do komunikacji. Wykorzystywane rozwiązania muszą spełniać warunki bezpiecznego połączenia zgodnie z standardami obowiązującymi w systemach teleinformatycznych lub systemach łączności.
Ogólnodostępne komunikatory internetowe
Korzystanie z ogólnodostępnych komunikatorów internetowych powinno zostać poprzedzone dokładną analizą spełnienia wymogów dotyczących standardów bezpieczeństwa i poufności danych. Obecnie nie jest rekomendowane korzystanie z tego typu rozwiązań, ze względu na wysokie ryzyko udzielenia dostępu do wrażliwych danych medycznych osobom niepowołanym. Przykładowo Facebook wprost limituje możliwość prezentowania treści dotyczących zdrowia na swojej platformie.
Kolejnym przykładem jest Zoom. W USA wielu świadczeniodawców korzystało z Zoom przed pandemią, jako iż uprzednio większość ekspertów zakładała, że usługi wideokonferencji oferowane przez Zoom są zgodne z HIPAA. Jednak od czasu wybuchu pandemii, kiedy to Zoom przyznał, że kompleksowe szyfrowanie nie obejmuje spotkań wideo, podważyło to założenie.
Na początku wybuchu pandemii, Amerykański Departament Zdrowia i Opieki Społecznej (HHS) ogłosił, iż będzie stosował tzw. dyskretne egzekwowanie w odniesieniu do komunikacji wykonywanej podczas świadczenia usług telezdrowia. W szczególności HHS ogłosił, że dostawcy telemedyczni nie będą podlegać pewnym grzywnom powiązanym z naruszeniami HIPAA w zamian za zapewnianie zdalnej komunikacji z pacjentami.
Zgodnie z powyższym HHS dozwolił możliwość korzystania przez świadczeniodawców z popularnych aplikacji, które umożliwiają prowadzenie rozmów wideo, w tym czatu wideo Apple FaceTime, czatu wideo Facebook Messenger, wideo Google Hangouts, Zoom lub Skype, w celu zapewnienia świadczeń telemedycznych bez ryzyka nałożenia kary za nieprzestrzeganie zasad HIPAA dotyczących świadczenia e-health w dobrej wierze podczas ogólnokrajowego zagrożenia zdrowia publicznego związanego z COVID-19. W szczególności HHS stwierdził, że nie zostaną nałożone kary na ubezpieczonych świadczeniodawców opieki zdrowotnej za brak umowy o partnerstwie biznesowym z dostawcą komunikacji wideo. W momencie tego ogłoszenia, Zoom nie wydawał się potencjalnie sprawiać problemu. Zoom od kilku lat publicznie oświadczał, że podpisze umowę o partnerstwie biznesowym z organizacjami ochrony zdrowia. Oświadczał również, że podjął kroki w celu zapewnienia, że jego platforma zawiera wszystkie niezbędne kontrole bezpieczeństwa w celu zapewnienia realizacji zasad bezpieczeństwa HIPAA.
Zgodnie z zapewnieniami producenta, aplikacja miała zawierać zabezpieczenia dot. szyfrowania od końca do końca (end-to-end): szyfrowanie end-to-end jest konieczne, aby zapewnić, że tylko nadawca i odbiorca wiadomości elektronicznej mogą odczytać treść tej wiadomości. Zoom informował także, iż „Tak długo, jak upewnisz się, że wszyscy uczestnicy spotkania Zoom łączą się za pomocą „audio z komputera” zamiast dzwonić przez telefon, spotkanie jest zabezpieczone szyfrowaniem typu end-to-end”.
Ta informacja dotycząca szyfrowania typu end-to-end okazała się niestety nie do końca zgodna z prawdą. Aby spotkanie wideo miało prawdziwe szyfrowanie typu end-to-end, zgodnie z tym pojęciem rozumianym przez specjalistów ds. cyberbezpieczeństwa, zawartość wideo i audio musiałaby być zaszyfrowana w taki sposób, aby tylko uczestnicy spotkania mieli możliwość ich odszyfrowania – czyli tak, że platforma (Zoom) nie może jej odszyfrować. Zamiast tego, chociaż platforma może mieć dostęp do zaszyfrowanej zawartości spotkania, platforma nie miałaby kluczy szyfrowania do odszyfrowania tej zawartości. Brak kluczy szyfrowania oznacza, że Zoom nie może nasłuchiwać prywatnych spotkań.
Okazuje się, że to, co oferuje Zoom, nazywa się szyfrowaniem transportu – czymś, co wygląda jak szyfrowanie typu end-to-end, ale w rzeczywistości nim nie jest.
Dzięki szyfrowaniu transportu sama platforma lub usługa może uzyskać dostęp do niezaszyfrowanej treści wideo i audio ze spotkania, w trakcie którego udzielane są świadczenia zdrowotne. Podczas spotkania prywatna strona nie może go szpiegować, ale Zoom może, ponieważ ma dostęp do treści. Mając dostęp do treści, Zoom może wydobywać lub sprzedawać dane użytkowników.
Według raportu śledczego przeprowadzonego przez theintercept.com, jedyną funkcją Zoom, która wydaje się być całkowicie zaszyfrowana, jest czat tekstowy podczas spotkania. Zgodnie z treściami udostępnionymi przez Zoom, „szyfrowanie czatu Zoom E2E pozwala na bezpieczną komunikację, w której tylko zamierzony odbiorca może odczytać zabezpieczoną wiadomość”. Rzecznik Zoom poinformował również, iż: „Gdy włączone jest kompleksowe szyfrowanie czatu, klucze są przechowywane na urządzeniach lokalnych, a Zoom nie ma dostępu do kluczy do odszyfrowania danych”.
We wspomnianym zawiadomieniu HHS, nakreślił on granicę między platformami niepublicznymi a platformami dostępnymi publicznie. Zgodnie z nim, kary miały nie być nakładane za korzystanie w dobrej wierze z aplikacji, które nie są dostępne publicznie. HHS wyraźnie wymienił Zoom jako przykład aplikacji nieudostępnionej publicznie. W obwieszczeniu stwierdzono jednak, że swoboda w zakresie egzekwowania prawa nie będzie miała zastosowania do korzystania z platform przeznaczonych do użytku publicznego – „Facebook Live, Twitch, TikTok i podobne aplikacje do komunikacji wideo są dostępne publicznie i nie powinny być wykorzystywane do świadczenia telezdrowia przez objętych usługą opieki zdrowotnej”.
W miarę zanikania kryzysu pandemicznego HHS odchodzi już od ustanowionych na ten czas zasad, wobec czego usługi komunikacyjne niezgodne z HIPAA, takie jak FaceTime lub niezgodne wersje usług, takie jak ZOOM, nie są już dozwolone. Korzystanie z niezgodnych aplikacji lub usług komunikacyjnych narusza zasady HIPAA, a użytkownicy podlegają grzywnom i karom. W odpowiedzi, Zoom zaproponował dedykowany plan dla podmiotów leczniczych – Zoom Healthcare Plan.
RODO – przypomnienie obowiązków po stronie świadczeniodawcy
Świadczeniodawca w zakresie udzielania świadczeń zdrowotnych na odległość działa przede wszystkim jako administrator danych osobowych, wobec czego zobowiązany jest do realizacji w szczególności obowiązków z tego wynikających.
Po stronie świadczeniodawcy leży obowiązek wdrożenia odpowiednich środków bezpieczeństwa adekwatnych do ryzyka przetwarzania danych. Wdrażając środki bezpieczeństwa należy uwzględnić charakterystyczne zagrożenia związane z przetwarzaniem danych medycznych.
Przetwarzanie danych w sektorze zdrowia
Zgodnie z raportem Prezesa Urzędu Ochrony Danych Osobowych, częstymi skargami w ostatnich latach były skargi na nieuprawnione uzyskiwanie przez lekarzy dostępu do danych osobowych.
Jedną ze spraw opisywanych w raporcie była sprawa dot. wykorzystania bez wiedzy pacjentki jej danych osobowych do wystawienia recepty oraz udostępnienia tych danych w przedmiotowej recepcie pracownikowi apteki. Pacjentka udała się do apteki nie posiadając wystawionej recepty, z prośbą o sprzedanie jej przyjmowanych na stałe leków przy zobowiązaniu się niezwłocznie dostarczyć receptę w późniejszym terminie – czego jednak nie uczyniła. Pracownik apteki zwrócił się bezpośrednio do przychodni o wystawienie brakującej recepty na wydane leki na nazwisko pacjentki. Lekarz w przychodni posłużył się danymi osobowymi pacjentki w celu wpisania w dokumentacji medycznej teleporady, która się faktycznie nie odbyła oraz wystawienia recepty, którą następnie przekazał pracownikowi apteki.
Przychodnia oświadczyła, że działała w dobrej wierze dla dobra pacjentki, jednak dokonując oceny legalności podjętego działania w kontekście procesów przetwarzania danych osobowych pacjentki, uznano, że przychodnia nie dopełniła obowiązków, które ciążą na niej jako administratorze. Umożliwiła ona dostęp do danych osobowych pacjentki osobom nieuprawnionym. Przychodnia we wskazanych procesach przetwarzania nie spełniła żadnej z przesłanek określonych w art. 9 ust. 2 RODO, co stanowiło naruszenie art. 9 ust. 1 RODO, a także art. 5 ust. 1 lit. a RODO.
Wobec powyższego, korzystając z uprawnienia przewidzianego w art. 58 ust. 2 lit. b RODO, Prezes Urzędu Ochrony Danych Osobowych udzielił przychodni upomnienia za naruszenie art. 5 ust. 1 lit. a oraz art. 9 ust. 1 i 2 RODO poprzez bezprawne przetwarzanie danych pacjentki w celu wystawienia recepty i bezprawne udostępnienie danych osobowych zawartych w przedmiotowej recepcie na rzecz pracownika apteki.
W zakresie przetwarzania przez podmioty publiczne danych osobowych przy wykorzystaniu różnych aplikacji mobilnych, jako przykład można pokazać opisany w raporcie PUODO projekt rozporządzenia Ministra Zdrowia zmieniającego rozporządzenie w sprawie leczenia krwią i jej składnikami w podmiotach leczniczych wykonujących działalność leczniczą w rodzaju stacjonarne i całodobowe świadczenia zdrowotne, gdzie padła propozycja dokonywania kontroli w sposób zdalny. UODO wskazał, że przepisy prawa powinny określać dopuszczalne formy i narzędzia przeprowadzania kontroli w sposób zdalny, gdyż pozostawienie wyboru w tym zakresie centrom krwiodawstwa powoduje ryzyko korzystania z rozwiązań niedających gwarancji bezpieczeństwa, w tym także w odniesieniu do danych szczególnej kategorii z art. 9 ust. 1 RODO. Nie każda dostępna na rynku aplikacja umożliwiająca komunikację zdalną, która w pełni odpowiada wymogom przepisów RODO. Organ nadzorczy podkreślił, że przyjmowanie rozwiązań dowolnych nie może prowadzić do przetwarzania danych osobowych, w tym o stanie zdrowia, z narażeniem na ryzyko braku podlegania przepisom RODO czy przetwarzania ich w państwie trzecim bez zachowania jego wymogów.
Podsumowanie
Podsumowując, wybór narzędzia, który zapewni wysoki poziom cyberbezpieczeństwa jest kluczowy dla realizacji świadczeń telemedycznych, które będą wysokiej jakości.
Najlepsze praktyki w zakresie cyberbezpieczeństwa w ochronie zdrowia obejmują:
- Szkolenie z zakresu cyberbezpieczeństwa: edukacja jest kluczem do pomocy pracownikom medycznym w rozpoznawaniu oznak i praktyk, które mogą być ryzykowne.
- Bezpieczeństwo typu Zero Trust: jest to model cyberbezpieczeństwa, który eliminuje zaufanie poprzez ograniczenie dostępu do sieci organizacji i znajdujących się w niej urządzeń. Zamiast zezwalać komukolwiek lub dowolnemu urządzeniu na automatyczne dołączenie do sieci, należy wymagać ścisłej weryfikacji tożsamości wszystkich użytkowników i urządzeń.
- Wybór narzędzi: należy wybrać narzędzia telemedyczne, które posiadają odpowiednie certyfikaty bezpieczeństwa. Placówki ochrony zdrowia muszą być wyposażone w najnowocześniejsze rozwiązania w zakresie cyberbezpieczeństwa, w tym zapory firewall nowej generacji oraz zawsze zaktualizowane oprogramowanie antywirusowe.
- Dobre praktyki: niezwykle ważne jest opracowanie procedur wewnętrznych, które zapewniają bezpieczne przetwarzanie danych pacjentów i odpowiednie przechowywanie dokumentacji medycznej wytworzonej w trakcie udzielania świadczeń telemedycznych. Kierownicy zespołów zajmujących się IT i cyberbezpieczeństwem muszą mieć opracowane plany reagowania na incydenty.
Autor: Małgorzata Maj
