Len celkom nedávno malej ambulancii tak povediac „na jeden klik“ ukradol útočník všetky dáta o pacientoch. Dáta zašifroval a od lekára žiadal výkupné. Lekár nemal zálohované dáta a tak z minúty na minútu prišiel o všetko, čo mal v digitálnej podobe.

Možno aj tomuto lekárovi sa zdalo nereálne, že by práve o jeho pár stovák záznamov o ošetrených pacientov mohol mať záujem nejaký hacker. Veď čo by už mohlo byť na jeho pacientoch z vidieka pre útočníka zaujímavé? Predpokladáme, že ponuku na zakúpenie tzv. firewallu, aktualizáciu antivírusového programu, či školenie v téme kybernetickej bezpečnosti „hodil do koša“. Takto sa mu to vypomstilo. Dáta sú už možno na čiernom trhu. Ak ich aj útočník lekárovi vráti, ten nebude mať žiadnu istotu, či nedošlo k ich pozmeneniu a či náhodou nedôjde k poškodeniu zdravia pacientov, ak sa na ich „kvalitu“ bude slepo spoliehať.

Predstavte si, že by útočník dáta pozmenil, vy by ste mali alergiu na liek a lekár by vám napríklad po výmaze tejto poznámky útočníkom, práve taký liek predpísal. Digitalizáciou zdravotníctva sa nepochybne zrýchľuje a skvalitňuje jej dostupnosť, no ruka v ruke s tým vzrastajú aj popísané riziká.


Aj malá ambulancia je podľa GDPR legislatívy prevádzkovateľ pri spracúvaní osobných údajov

Každý lekár, aj v malej ambulancii, je z pohľadu Nariadenia EÚ č. 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov ( GDPR) prevádzkovateľom pri spracovaní osobných údajov. Je preto jeho povinnosťou osobné údaje chrániť. No rovnako platí, že niektoré povinnosti s ohľadom na svoju veľkosť či množstvo údajov o zdraví plniť nemusí (napr. mať menovanú osobu zodpovednú za ochranu osobných údajov alebo vykonávať posúdenie vplyvu). To však neznamená, že nemusí plniť vôbec nič. Je určite povinný prijať bezpečnostno-technické a organizačno-personálne opatrenia primerané množstvu a citlivosti spracúvaných dát. K prijímaniu týchto opatrení by mal pristupovať cez optiku možných rizík, ktoré môžu pri spracúvaní dát nastať a tiež toho, aký dopad by napríklad únik dát mohol mať na jeho pacientov.

V nami uvedenej situácii, ktorá sa naozaj stala, si lekár mal položiť aspoň otázku: „Aké opatrenia mám v počítači a na sieti implementované, aby sa k zdravotnej dokumentácii nedostala neoprávnená osoba?“ Možno by po jej objektívnom zodpovedaní vybral ponuku na bezpečnostné opatrenia naspäť z koša.

Minimálne vybavenie

Základom je mať prijatý aspoň minimálny štandard bezpečnosti. Od fyzickej bezpečnosti (mreže na oknách, guľa na dverách, papierová dokumentácia zamknutá v kartotéke bez prístupu neoprávnených osôb, ev. alarm, kamerové systémy a pod.), cez personálne opatrenia (poučenie zdravotníckeho personálu, vzdelávanie, povinnosť dôvernosti a mlčanlivosti) až po IT opatrenia (priebežne aktualizovaný a legálny softvér, pravidelná kontrola a nasadzovanie zmien, antivírusový program s čo najširším diapazómom ochrany, firewall). Predpokladáme, že poskytovatelia zdravotnej starostlivosti riešia tieto povinnosti prostredníctvom dodávateľov. Ruka v ruke preto ide aj uzavretie zmluvy s dodávateľmi, v ktorej nesmie chýbať tzv. sprostredkovateľská doložka, a to vždy keď dodávateľ v mene prevádzkovateľa spracúva osobné údaje pacientov.

Informačná povinnosť voči pacientom

Okrem vyššie uvedených opatrení je povinnosťou poskytovateľa zdravotnej starostlivosti informovať každého pacienta podľa GDPR o tom, že spracúva jeho osobné údaje, ktoré sú to, na aký účel a ako dlho ich bude spracúvať. Tieto informácie možno zverejniť na webovej stránke alebo na nástenke v čakárni, nemusí ich „verklíkovať“ každému pacientovi zvlášť.

Pozor, netreba si zamieňať túto informačnú povinnosť s poučením pacienta a informovaným súhlasom. Na splnenie tejto povinnosti je potrebné mať „upratané“. Vedieť, čo, kde, ako a prečo spracúvame. Popri ambulantnom softvéry netreba zabúdať na papierovú zdravotnú dokumentáciu a naopak. Napokon, ak by predsa len na počítač zaútočil hacker a zašifroval disk, je tu povinnosť do 72 hodín nahlásiť tento incident na Úrad na ochranu osobných údajov a rovnako to oznámiť každej jednej dotknutej osobe, t.j. každému jednému pacientovi.

Mne sa to nemôže stať

Je ten najhorší pohľad malej ambulancie na vec. Predmetom útoku dnes môže byť úplne každý. Aj lekár v malej ambulancii na vidieku. Rozumieme, že lekár sa má prioritne venovať starostlivosti o pacientov. Preto odporúčame, aby tak, ako sa pacienti chodia vo veciach svojho zdravia radiť s lekármi, aby sa aj lekári vo veciach tzv. kyberzdravia svojich ambulancií radili s odborníkmi v tejto oblasti.


Autorom článku je Dôvera zdravotná poisťovňa, a.s