Securitate în sănătate – Protecţia datelor personale: proceduri și responsabilităţi

Evenimente (de , November 29, 2017)

Dosarele medicale reprezintă cea mai atractivă ţintă pentru criminalitatea informatică datorită prezenţei în același loc a informaţiilor confidenţiale, cum ar fi cele privind identitatea, datele de contact, datele de facturare, istoricul medical etc. Instituţiile medicale și serviciile financiare au fost domeniile cele mai vulnerabile pentru atacurile de tip ransomware, cu o rată de penetrare peste media globală, care a fost de 40% în anul 2016.

Aceste industrii sunt printre cele mai dependente de informaţiile electronice, astfel încât sunt primele către care atacatorii se îndreaptă datorită faptului că sunt extrem de vulnerabile, neavând tehnologiile necesare detectării atacurilor sau copii de siguranţă (la zi) ale datelor relevante. Răscumpărarea medie pentru decriptarea datelor a crescut de 3 ori faţă de anul 2014 (de la 373$ în anul 2014, la 1077$ în anul 2016), iar 72% din instituţiile infectate cu ransomware și-au pierdut accesul la date pentru mai mult de 2 zile. Pierderile cauzate de ransomware la nivel global, în anul 2017, sunt previzionate a fi de peste 5 miliarde de dolari. Principala provocare constă în creșterea nivelului de protecţie a datelor fără a împiedica accesul rapid al cadrelor medicale la informaţiile ce pot salva viaţa pacienţilor. Din perspectivă europeană, 74% dintre europeni consideră că informaţiile medicale sunt informaţii personale. În același timp, doar 50% dintre români consideră că informaţiile medicale sunt informaţii personale.

Din punctul de vedere al reglementărilor la nivelul UE privind protecţia datelor cu caracter personal (General Data Protection Regulation – GDPR, adoptat de Parlamentul European în aprilie 2016 și având termen de implementare în luna mai 2018), datele medicale sunt considerate categorii sensibile de date. Costurile generate de implementarea modificărilor aduse de GDPR, dar și măsurile punitive ce se preconizează, au făcut din transpunerea acestui Regulament un punct extrem de important atât pe agenda mediului privat, cât și public. Este și motivul pentru care New Strategy Center a organizat această dezbatere, reunind reprezentanţi ai autorităţilor direct implicate, ai mediului de afaceri și academic, beneficiind în același timp de prezenţa dlui Michael O’Neill, Chairman of the Board of Directors of OSREHA, care a prezentat modul în care sistemul american de sănătate a rezolvat problemele ridicate de asigurarea securităţii datelor medicale, precum și a prelucrării acestora.

GDPR în România

Principalele noutăţi pe care le aduce Regulamentul General privind Protecţia Datelor:

  1. Aplicabilitate – tuturor prelucrărilor de date efectuate pe teritoriul României de către operatori din UE și, ca noutate, și de către operatorii localizaţi în afara UE. Regulamentul se poate aplica firmelor ce monitorizează comportamentul cetăţenilor UE sau care fac anumite vânzări de date privind cetăţenii UE, ce implică și prelucrarea lor. Regulamentul se aplică operatorilor din sectorul public și privat, cu excepţia domeniului securităţii naţionale și al apărării, precum și a persoanelor fizice care folosesc date în scop exclusiv personal.

Tot ca noutate, se desfiinţează actualul sistem de relaţionare cu Autoritatea Naţională pentru Supravegherea Prelucrării Datelor cu Caracter Personal (ANSPDCP), bazat pe notificări, și se va înlocui cu obligativitatea de a avea un responsabil cu protecţia datelor. Această obligativitate se aplică tuturor instituţiilor publice, cu excepţia instanţelor judecătorești, iar responsabilul poate fi desemnat din rândul propriilor angajaţi sau există și varianta externalizării acestui serviciu (acesta trebuie să fie în răspunderea directă a top managementului). Persoana care va îndeplini efectiv aceste atribuţii trebuie să aibă cunoștinţe atât în domeniul protecţiei datelor cât și în domeniul de activitate al fiecărei instituţii.

Spre deosebire de sistemul public, în cazul celui privat, obligativitatea intervine doar atunci când se efectuează prelucrări de date sensibile pe scară largă, cum este situaţia sistemului de sănătate. Astfel, spitalele și clinicile trebuie să-și desemneze acest responsabil, mai puţin medicii de familie, datorită faptului că aceștia din urmă lucrează cu un nivel mai scăzut de date. Datele sensibile se referă la starea de sănătate, date genetice, biometrice, origine etnică și orientare politică.

  1. Cartografierea/păstrarea evidenţelor prelucrării

Pentru eficientizare, s-a stabilit ca fiecare operator de date să își inventarieze activităţile de prelucrare și, în funcţie de scopul în care prelucrează date, să facă o analiză internă și să stabilească ce sisteme utilizează. Ca exemplu, în cadrul unei unităţi medicale, în cazul scopului de a oferi servicii medicale, trebuie analizat ce categorii de date sunt folosite în acest scop, dacă toate datele sunt necesare, persoanele care sunt implicate la toate nivelurile și către cine se transmit date, ce transmiteri implică, ce perioadă de stocare, etc. Evidenţa prelucrării datelor necesită implicarea responsabilului pentru protecţia datelor.

  1. Evaluarea de impact

În cazul prelucrării de date cu risc, cum este cazul entităţilor din domeniul sănătăţii, este necesară o evaluare de impact, pentru stabilirea de măsuri suplimentare de securitate în vederea protejării datelor respective.

  1. Încălcarea securităţii datelor

Un element de totală noutate se referă la încălcarea securităţii datelor și instituirea obligaţiei de notificare către ANSPDCP, care se va aplica și în domeniul sănătăţii.

  1. Principiul privacy by design/privacy by default

Acest principiu presupune asigurarea protecţiei datelor chiar de la momentul conceperii unui sistem, adică atunci când se folosește o nouă aplicaţie informatică pentru prelucrarea de date, trebuie avută în vedere folosirea doar a datelor necesare pentru respectiva prelucrare.

  1. Răspunderea operatorului

În această privinţă, noutea constă în faptul că operatorul trebuie să demonstreze respectarea Regulamentului, nu doar din punct de vedere a asigurării securităţii ci și a respectării principiilor de prelucrare a datelor (colectarea legală, cu bună-credinţă, folosirea doar a datelor strict necesare). În domeniul medical, în care pacientul este proprietarul datelor, condiţiile de legitimitate ale prelucrării nu se schimbă. Consimţământul persoanei este doar un temei de legitimitate a prelucrării. Datele privind starea de sănătate pot fi folosite, fără consimţământul persoanei, atunci când sunt necesare pentru servicii de asistenţă medicală, medicină preventivă, pentru asigurarea serviciilor specifice din domeniul sănătăţii, când există prevederi legale în acest sens (cea mai mare parte a acestor prevederi se regăsesc în actuala Lege a Sănătăţii).

  1. Asigurarea securităţii și a confidenţialităţii prelucrarii

Este o obligaţie a fiecărei entităţi din sistemul medical și implică utilizarea de standard, precum și luarea măsurilor necesare pentru criptarea sau pseudonimizarea datelor. Ca noutate, trebuie determinată perioada de stocare sau stabilirea unor criterii care să determine termenul limită de menţinere a datelor.

  1. Drepturile persoanelor fizice

În ce privește dreptul la informare, respectiv obligativitatea pentru instituţiile medicale de a afișa informaţii referitoare la calitatea de operator de date personale, noul Regulament prevede adăugarea temeiului prelucrării (în baza consimţământului sau în baza unei prevederi legale), menţionarea perioadei de stocare pentru fiecare categorie de date, precum și dreptul persoanei la plângere către autoritatea de supraveghere. În cazul dreptului la acces, termenul de răspuns la cererea formulată de persoană fizică, cu referire la propriile date, s-a modificat, de la 15 zile la o lună de zile, cu posibilitatea de prelungire în cazuri speciale.

Dreptul la rectificare – termenul de răspuns a fost modificat la o lună de zile.

Drepturi noi ale persoanelor fizice introduse prin Regulament: dreptul de a fi uitat (posibilitatea de a șterge datele atunci când persoana are motive întemeiate și legitime) care nu se aplică atunci când prelucrarea datelor se realizează în baza unor prevederi legale.

Dreptul la restricţionarea prelucrarii reprezintă dreptul persoanei de a solicita ca datele sale să fie păstrate pentru o perioadă ce depășește perioada de stocare. Exercitarea acestui drept va necesita modificări asupra sistemelor informatice existente.

Dreptul la portabilitatea prelucrării are două componente: fie persoană solicită datele sale într-un format structurat, fie solicită ca datele sale să fie transmise către un alt operator medical.

  1. Regimul sancţionator

Iniţial, s-a pornit de la propunerea CE de maxim 1 milion de euro și s-a ajuns, ca urmare a negocierilor, la maxim 20 de milioane de euro. Acest regim este aplicabil operatorilor din zona privată, în timp ce pentru cei din zona publică urmează să se adopte o lege naţională care să stabilească sancţiunile. În ce privește desemnarea responsabilului cu protecţia datelor, în cazul neconformării, amenda poate ajunge la 10 milioane de euro, iar încălcarea drepturilor persoanelor vizate sau nerespectarea măsurilor de securitate poate ajunge până la 20 milioane euro amendă. Modalitatea de stabilire a amenzilor este prevăzută la art. 83 din Regulament, care detaliza 11 criterii ce se referă la toate circumstanţele respectivei prelucrării a datelor.

Din perspectiva Directivei NIS, sistemele informatice ale zonei sanitare se încadrează în cele două categorii, respectiv sunt operatori de servicii esenţiale și furnizori de servicii digitale.

În acest moment Ministerul Comunicaţiilor face demersuri pentru a iniţia un dialog cu Ministerul Sănătăţii pentru a identifica măsuri adaptate la acest sistem, din perspectiva certificării, și de creștere a nivelului minim de securitate a respectivelor reţele. O provocare este crearea unui mini-manual, un set de instrucţiuni, de minim 3 pagini, care să explice cum trebuie folosit GDPR-ul, respectiv crearea unui sistem suficient de sigur dar și simplu în același timp, astfel încât toate persoanele să-l poată folosi.

Cadrul general creat prin Directiva NIS implică atât un sistem centralizat reprezentat de CE și de ENISA, pe partea de uniformizare a practicilor la nivelul Uniunii, cât și de Grupul de Cooperare cu autorităţile desemnate din statele membre și echipele CSIRT, pe partea de armonizare a modalităţilor de intervenţie și de răspuns la incident.

La nivel naţional, Directiva prevede desemnarea uneia sau mai multor autorităţi competente privind securitatea reţelelor și sistemelor informatice, desemnarea uneia sau mai multor echipe CSIRT responsabile de sectoarele de activitate considerate esenţiale și a unui punct unic de contact la nivel national.

Directiva urmărește reglementarea activităţii operatorilor de servicii esenţiale, grupaţi pe 7 sectoare mari de activitate, printre care și sectorul sănătăţii. Astfel, în cazul acestui sector, Directiva NIS reglementează împreună cu prevederile GDPR, în vederea asigurării securităţii sistemelor informatice.

Operatorii de servicii medicale au obligativitatea de a se înscrie în Registrul Operatorilor de Servicii Esenţiale, care va fi gestionat de Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică, ce va juca și rolul de punct unic de contact și echipă CSIRT naţională.

Obligaţiile ce le revin operatorilor sunt:

– respectarea cerinţelor minime de securitate,

– prevenirea și minimizarea impactului incidentelor,

– notificarea incidentelor cu impact semnificativ asupra continuităţii serviciilor,

– stabilirea de canale de comunicare permanentă cu echipa naţională de răspuns care

poate trimite alerte cu privire la incidente ce pot afecta acel operator,

– obligativitatea de răspuns la incidentele care afectează reţelele proprii și restabilirea

funcţionarii acestora.

Măsurile minime de Securitate presupun norme tehnice care vor fi emise în baza acestei legi, proiectul de implementare a Directivei NIS indicând categorii de măsuri privind managementul drepturilor de acces, consientizarea și instruirea utilizatorilor, trasabilitatea activităţilor, evaluarea securităţii, asigurarea disponibilităţii serviciului și managementul continuităţii. Normele tehnice ce urmează a fi emise vor detalia elementele practice pe care operatorii vor trebui să le asigure, inclusiv în ceea ce privește notificarea la incident, dar cu evitarea dublării informaţiilor solicitate de GDPR.

De asemenea, proiectul prevede posibilitatea de a informa publicul cu privire la anumite incidente, pentru prevenirea sau limitarea efectelor lor, cu respectarea confidenţialităţii datelor ce pot afecta imaginea entităţilor.

În ce privește penalizările pe Directiva NIS, acestea vor însemna un procent din cifra de afaceri (2-5%), tocmai pentru a determina, în final, conformarea la respectarea cerinţelor de securitate informatică.

Revenind la implemetarea GDPR, pentru început s-a constituit un grup de lucru interministerial condus de Ministerul de Interne, care a coordonat negocierile în domeniul protecţiei datelor. În cadrul acestui grup, s-a decis că o primă reglementare internă va fi aceea de modificare a Legii 102/2005 de organizare și funcţionare a ANSPDCP, respectiv de creștere a numărului personalului, de la 50 la 85. Pe de altă parte, va mai exista o lege pentru aplicarea Regulamentului pe acele prevederi unde se permite ANSPDCP o intervenţie naţională, și anume, în ce privește prelucrarea datelor biometrice în sensul restrângerii prelucrării acestora, pentru stabilirea anumitor condiţii de folosire a CNP atunci când el este folosit în scop legitim, reglementări privind relaţiile de muncă, precum și un regim sancţionator pentru instituţiile publice.

© Publicat de New Strategy Center

website: www.newstrategycenter.ro


Tags: ,

Trackbacks

Leave a Trackback