CompuGroup Medical
Synchronizing Healthcare

Spájame svet zdravotníctva. Naše programy a komunikačné riešenia pomáhajú lekárom, stomatológom, sieťam zdravotníckych zariadení a ďalším poskytovateľom zdravotnej starostlivosti v organizácii ich práce, diagnostikovaní i liečbe.  

ADAM Doktor
ADAM Stomatológ
Novinky a informácie

Ochrana osobných údajov ako priebežný proces

11. februára 2022 | Richard Rusnák
Ochrana osobných údajov

Ochrana osobných údajov je agenda, ktorú by mal každý podnikateľský subjekt priebežne monitorovať a na zistena reagovať. Ako lekárom s plnením tejto agendy môže pomôcť program ADAM 3.0 sa dočítate v tomto článku. 
 

Pripomenutie pojmu GDPR

V máji 2018 vstúpilo v Európskej únii do platnosti Všeobecné nariadenie na ochranu osobných údajov. V originálnom názve General Data Protection Regulation so skratkou GDPR. V médiách sa komunikovala najmä prísnosť nových opatrení a drakonické pokuty za ich porušenia. Odvtedy skratka GDPR postupne degradovala na zaklínadlo, prečo niektoré úrady nechcú poskytnúť informácie, alebo naopak, prečo pribudlo niekoľko potvrdení a súhlasov navyše. V praxi sa stratil pôvodný zámer Nariadenia - ochrániť osobné údaje v maximálnej možnej miere.  

 

Kroky v roku 2018

My, podobne ako väčšina softvérových firiem, sme reagovali vydaním verzií, ktoré pokrývali prísnejšie požiadavky Nariadenia. Lekári si pravdepodobne zaktualizovali bezpečnostnú dokumentáciu, predtým známu pod názvom Bezpečnostný projekt. To však nie je všetko.  

 

Čo ďalej?

Aby bola ochrana dát zabezpečená na najvyššej možnej úrovni, treba sa jej venovať kontinuálne. Od mája 2018 prešlo viac ako 3 a pol roka. Medzitým sa veľa vecí zmenilo: zastaral pôvodný hardvér a softvér, k niektorým softvérom sa už prestali vydávať aktualizácie, boli vydané aktuálnejšie verzie softvérov vrátane nových operačných systémov, kyberzločinci používajú pokročilejšie nástroje, zvýšil sa dopyt po elektronickej komunikácii, obmenil sa kmeň pacientov a možno aj personál so znalosťou pôvodných prístupových hesiel. Toto všetko má vplyv na úroveň ochrany údajov pacientov.

My, ako dodávatelia kľúčového softvéru, ktorý spravuje dáta pacientov, si svoju časť povinností plníme. Každú novú funkcionalitu, ktorú do programu pridávame posudzujeme aj z pohľadu požiadaviek na ochranu osobných údajov v súlade s Nariadením. A mysleli sme na lekárov hneď od začiatku: vyššie spomínané verzie programov neboli vybavené iba jednorazovými opatreniami, ale priniesli aj množinu Auditných služieb a konfiguračných nastavení, pomocou ktorých je ochrana dát pod kontrolou.

 

Auditné služby - na čo sú?  

Auditné služby nájdete v každom našom programe v menu Iné - Funkcie GDPR - Auditné služby. Väčšina z nich bola k dispozícii už v máji 2018 a na ich použitie sme lekárov upozornili v zmenovom liste k novým verziám. Nasledujúci text je z väčšej miery iba opakovanie. Auditné služby vyhodnotia jednotlivé riziká a dajú lekárovi podklady pre vykonanie nápravy, alebo ju rovno ponúknu. Aké riziká dokážeme kontrolovať?

 

Slabo zabezpečený prístup k údajom

Ak získa niekto neoprávnený prístup k prihlasovacím údajom do lekárskych softvérov, získa tým aj prístup k dátam, ktoré sú v nich uchovávané. Kombinácia prihlasovacieho mena a hesla je považovaná za primeraný spôsob zabezpečenia prístupu. Ponechať aktívne konto bez zadaného hesla, alebo s heslom totožným, ako je prihlasovacie meno je porušením bezpečnosti. Služby Heslá používateľov a Kontá na SQL serveri umožnia vyhľadať takéto prístupy. Na základe zoznamu nevyhovujúcich prístupov je môžno jednotlivých používateľov požiadať o nápravu. Následne sa dá zakázať úplne prihlasovanie bez hesiel v menu Správca - Úrovne zabezpečenia.

 

Evidencia nesprávnych údajov

Každá osoba má právo na spracovávanie správnych údajov. Ak sú v databáze duplicitné záznamy k tej istej osobe, je pravdepodobné, že jeden zo záznamov obsahuje nesprávne údaje. Funkcia Duplicity vyhľadá záznamy, ktoré by mohli byť duplicitné. Program Adam má viacero možností, ako sa s duplicitami vysporiadať. 

 

Neoprávnená evidencia údajov

Údaje sa majú spracovávať iba po nevyhnutnú dobu, po jej uplynutí musia byť skartované. V oblasti zdravotníctva sú definované tzv. retenčné doby na 20 rokov po smrti pacienta, alebo po poslednom poskytnutí zdravotnej starostlivosti. Funkcia Retenčná doba pomôže vyhľadať záznamy, ktoré by už vsoftvéri nemali byť. Následne je možné využiť hromadné odstraňovanie pacientov pomocou služby Iné - Funkcie GDPR - Mazanie pacientov po retenčnej dobe.

 

Uchovávanie údajov mimo informačného systému

Verzie programov spred mája 2018 ukladali niektoré údaje na disku v nešifrovanej podobe, to bolo v súlade s vtedajšími pravidlami. Išlo o uložené obrázky a výsledkové listy z laboratórií. Tieto údaje mohli obsahovať resp. obsahovali základné identifikačné údaje pacientov a boli dostupné pre hocikoho, kto sa mohol prihlásiť do operačného systému počítača. GDPR verzia priniesla služby na ich zašifrovanie. Ak ich lekári nespustili na základe pokynov zo zmenového listu vtedy, je potrebné overiť ich stav pomocou služieb Uložené obrázky a Lab. výsledky teraz.

 

Zabudnuté údaje

Je možné, že na počítači je viacero inštalácii programov ADAM a každá pravdepodobne obsahuje osobné údaje. Tento stav mohol vzniknúť pri povýšení, riešení poruchy, preberaní dát, alebo skúšaní demoverzie. Služba Staré inštalácie skontroluje disk počítača a na takéto prípady upozorní.  

 

Riziková alebo nevhodná konfigurácia

Vo funkciách, kde je  výmena osobných údajov s tretími stranami možná alebo nevyhnutná dávame lekárom možnosť prevziať zodpovednosť nad kontrolou ochrany dát resp. povoliť nevyhnutnú mieru komunikácie. Aby mali prehľad, ktoré nastavenia sú rizikové služba Konfigurácia ich vyhľadá a dá im o nich vedieť. Tieto nastavenia nie sú nebezpečné samé o sebe, treba ich posudzovať v kontexte využívania daných služieb.  

 

Zastaranosť infraštruktúry

Softvéry, ktoré už ich výrobcovia nepodporujú lekárov vystavujú riziku. Tým že už nie sú podporované, nie sú k ním vydávané ani bezpečnostné záplaty. Sú teda náchylnejšie na kybernetické útoky. Z pohľadu programu ADAM 3.0 sú kľúčové dva softvéry tretích strán: operačný systém a MS SQL Server. Služba Bezpečnosť OS a SQL ukáže, ako je na tom lekárov počítač. V prípade nevhodného operačného systému odporúčame jeho aktualizáciu, alebo zakúpenie nového PC s najnovším OS. Toto je agenda nad rámec našej bežnej podpory. V prípade nevyhovujúceho MS SQL Servera máme bezplatnú službu Migrácie na vyššiu verziu SQL servera, ktorá sa lekárom rovno ponúkne.

 

Ďalšie možnosti ochrany dát

Do Auditných služieb sme zahrnuli kontroly, pri ktorých vieme rozhodnúť či je situácia v poriadku, alebo nie. Okrem tejto kolekcie služieb sú k dispozícii aj ďalšie možnosti.

Overenie prístupových práv

V menu Správca - Práva používateľov je k dispozícii tlačová zostava. Z nej môžete posúdiť tri veci:

  1. Akí používatelia majú právo na prihlásenie. Overte či v zozname nie sú prihlasovacie mená bývalých zamestnancov, alebo bývalých IT technikov. Ak tam takéto nájdete, môžete ho rovno v dialógovom okne označiť ako [x] Neplatný účet. Takýto používateľ sa už nebude vedieť do ADAMa prihlásiť.
  2. Akí používatelia majú prístupný konkrétny podsystém. Téma sa týka iba inštalácií s viacerými podsystémami. Skontrolujte, či sa do daného podsystému dostanú iba tí používatelia, ktorí tam majú čo robiť. Ostatným práva odoberte.
  3. Kto môže robiť aké typy operácií. Táto téma sa týka režimu, ak máte v programe Adam zapnuté vyhodnocovanie práv. V tomto prípade viete obmedziť jednotlivým používateľom práva na konkrétne typy činností. V zostave uvidíte ich zoznam.  

 

Prispôsobenie bezpečnosti

V menu Správca - Úrovne bezpečnosti je možné si prispôsobiť akú úroveň bezpečnosti si zvolíte. Napríklad: zložitejšie heslo je lepšie ako jednoduché, pravidelná zmena hesla je odporučený spôsob zvýšenia ochrany, Vaše zálohy by mali byť tiež zabezpečené heslom. Tieto možnosti môžeme lekárom iba ponúknuť, nechceme nikoho nútiť do ich používania. 

 

Na záver

Ochrana osobných údajov nespočíva vo formálnom splnení požiadaviek Nariadenia. Správne pochopená ochrana osobných údajov znamená, že rozumiete rizikám ktorým sú údaje vystavené, že ste si vedomí, ako sa tieto riziká vyvíjajú v čase, poznáte nástroje, pomocou ktorých môžete tieto riziká priebežne odhaľovať a odstraňovať, a samozrejme tak aj budete v pravidelných intervaloch robiť. Program ADAM 3.0 lekárom v tomto poskytuje dostatočnú oporu a náš portál CGMSvet priebežne poskytuje užitočné informácie aj z tejto oblasti. 

Súvisiace články
Chráňte svoje údaje šifrovaním
Chráňte svoje údaje šifrovaním

Čo všetko sa môže stať, keď stratíte USB kľúč so zálohami dát z programu, ...

Biometrický podpis
Biometrický podpis a zdravotná dokumentácia

Sporadicky sa nás lekári pýtajú, či je možné začať využívať podpisové ...