Securitatea datelor medicale și instruirea personalului
Autori:
Elena Marc – Consilier juridic în domeniul sanitar / Formator / Specialist protectia datelor / Membru ASCPD
Există întotdeauna riscuri implicate atunci când lucrați cu date cu caracter personal, dacă este vorba despre un dosar electronic al pacientului sau pe suport de hârtie. Acesta este motivul pentru care GDPR prevede dispoziții referitoare la securitatea datelor medicale și a celorlalte date cu caracter personal. Securitatea informațiilor acoperă trei aspecte:
- Confidenţial;
- Integritate;
- Disponibilitate.
Pentru a asigura un nivel adecvat de protecție și a contribui la securitatea datelor medicale, GDPR prevede că trebuie luate măsuri tehnice și organizatorice adecvate, cum ar fi anonimizarea, pseudonimizarea sau criptarea datelor, dar și politicile specifice organizației care abordează riscurile procesării respectivei organizații. Aceste politici sunt necesare, având în vedere că riscurile nu pot fi întotdeauna evitate.
Unul dintre riscurile implicate este accesul neautorizat. Dacă un fișier al unui pacient este accesat de cineva care nu este autorizat, din punct de vedere GDPR există o încălcare a datelor. Această încălcare trebuie notificată Autorității Naționale de Supraveghere și, în unele cazuri, comunicată pacientului.
O altă modalitate de a preveni încălcarea datelor este păstrarea datelor atat cât este necesar. Atunci când datele de sănătate nu mai sunt necesare pentru tratamentul pacientului, GDPR stabilește că pacientul are dreptul de a solicita ștergerea acestor date. În plus, legea prevede că datele sunt păstrate pentru o perioadă maximă de timp. Durata de păstrare a datelor depinde de scopul pentru care au fost colectate inițial datele personale, ceea ce înseamnă că este important ca acest scop este clar pentru persoana vizată. Dacă este necesar în scopuri de tratament, datele privind sănătatea pot fi păstrate mai mult de 15 ani. Dacă vorbim de cercetare medicală, ar putea fi importantă stocarea datelor pentru o perioadă mai lungă de timp.
O altă protecție importantă pe care GDPR o oferă persoanei vizate este desemnarea unui responsabil de protecție a datelor (DPO) ( articolul 37 GDPR ). GDPR cere ca, în anumite cazuri, inclusiv atunci când datele sensibile sunt prelucrate pe scară largă, trebuie să fie desemnat un DPO. Instituțiile mari de asistență medicală, cum ar fi spitalul, trebuie să desemneze un DPO, având în vedere că procesează datele de sănătate pe scară largă.
Tehnologiile moderne implică multe riscuri, cu toate acestea, există o mulțime de modalități de a proteja datele de sănătate și de îmbunătățire a tehnicilor. Ca atare va invitam sa urmati acest plan simplu pe care orice angajat il poate respecta pentru un grad de siguranța cibernetică la locul de munca:
- Numai încredere în https-URL-uri! Utilizați site-urile de încredere numai când furnizați informațiile personale. O regulă bună este să verificați adresa URL. Dacă site-ul include “https: //”, atunci este un site securizat. Dacă adresa URL include “http: //” – notați “s” lipsă – evitați introducerea informațiilor sensibile cum ar fi datele cărții de credit.
- Nu deschideți atașamente / link-uri necunoscute! Nu deschideți atașamentele de e-mail sau faceți clic pe link-uri din e-mailuri din surse necunoscute. Unul dintre cele mai frecvente moduri în care oamenii sunt atacați este prin e-mailuri deghizate ca fiind trimise de cineva în care aveți încredere.
- Păstrați-vă dispozitivele actualizate! Mențineți întotdeauna dispozitivele actualizate.Actualizările de software conțin update-uri importante pentru a remedia problemele de securitate. Cyber-attackerii se dezvoltă pe dispozitivele depășite, deoarece nu au cel mai actual software de securitate.
- Actualizați în mod regulat fișierele! Faceți copii de rezervă în mod regulat pentru a preveni atacurile de securitate cibernetică.
Pentru ca tinem la siguranta PC-ului d-voastra la locul de munca, va oferim cateva tips-uri orientative in plus privind securitatea datelor medicale:
- Investiti intr-un antivirus cu licenta actualizata. Cu totii ne amagim cand vine vorba de un program la care trebuie reinoita licenta anual, DAR totul raul inspre bine. ’’Da dar imi mananca din resurse.’’ Printr-o defragmentare periodica a unitatii de lucru (eliminati fisierele temporale si documentele de care nu aveti nevoie) este un ’’win’’ mult mai mare decat sa iti manance altii datele printr-un banal Keylogger sau KeySniffer doar pentru ca nu aveti un paravan de protectie.
- Parole mai puternice, si nu glumesc. Ionut1234 sau lipsa in totalitate a parolelor nu va va salva prea mult timp de un potential atac mai ales daca detineti informatii de mare pret pentru cel care le vrea. In caz ca aveti probleme in a va genera parole mai complexe, sau nu le puteti tine evidenta, folositi un Password Manager cum ar fi Password Generator, Dashlane, LastPass, Roboform.
- Software de criptare a datelor in momentul cand efectuati un back-up, astfel banala encriptie AES-256 byti va salveaza de multe peripetii. Va recomandam unele dintre cele mai uzuale la ora actuala: VeraCrypt, Bitlocker sau PGP (Pretty Good Privacy).
- Evident, procesul de educare privind noile ’’security threats’’ ce apar zi de zi nu tine doar de un sector anume, toate departamentele operatorului ar trebui implicate in training-uri periodice care sa ridice pragul de awareness in acest domeniu, si aici vorbim de marketing, front-end desk, etc. Investiti in educatia d-voastra sau a angajatilor!