MEDIX, God. 24 Br. 129  •  Osvrt  •  Medicinska informatika HR ENG

Dan D i EU uredba za zaštitu osobnih podataka 2016/679

Dražen Pomper, Sara Pomper

Upravljanje dokumentacijom uvijek je bio zahtjevan zadatak, pogotovo u zdravstvenoj djelatnosti. Radi se o važnoj medicinskoj dokumentaciji koja se odnosi na područje ljudskog zdravlja i života. Upravljanje medicinskim dokumentima koji po EU uredbi pripadaju u kategoriju posebno osjetljivih osobnih podataka zahtijeva i da se procese nadzora dizajnira s posebnom pozornošću. U organizaciji Odjela za informatiku Opće bolnice Varaždin počeo je ciklus predavanja o primjeni ili usklađenosti poslovanja s EU uredbom 2016/679, uz naglasak na početak primjene EU uredbe o zaštiti osobnih podataka u operativnom poslovanju od 25. svibnja 2018. Ozračje oko implementacije EU uredbe slično je onom iz 1999. (problem 2000. godine). No sve je stvar zdrave pameti, a ne krute i mistificirane birokratske logike. Mnogo toga je u informatičkoj domeni pravilno postavljeno, još samo treba uskladiti administrativnu dokumentaciju, koja jasno govori tko, kada, zašto i gdje obrađuje osobne podatke pacijenata u zdravstvenom prostoru. Pravo je pacijenata upravljati svojim osobnim podacima.


 

U organizaciji Odjela za informatiku Opće bolnice Varaždin, u okviru redovitog predavanja grupe za informatiku, Microsoft IT Pro Community Varaždin, počeo je ciklus o primjeni ili usklađenosti poslovanja s EU uredbom 2016/679, uz naglasak na početak primjene EU uredbe o zaštiti osobnih podataka u operativnom poslovanju od 25. svibnja 2018.

Ozračje oko implementacije i primjene EU uredbe za zaštitu osobnih podataka (General Data Protection Regulation) slično je onom iz 1999. (problem Y2K – problem 2000.).Riječ je o kratici za „2 ‚kilo‘ godinu“, odnosno 2000. godinu), a odnosi se na problem promjene stoljeća u zapisu datuma u dd/mm/yy (ili mm/dd/yy) formatu. Naime, u takvom zapisu koriste se svega dvije znamenke za identifikaciju godine, a bilo je situacija da su zbog uštede na diskovnom prostoru programeri i informatičari imali drastična strukovna rješenja. No sve je prošlo u redu, informatičari su uz novu tehnologiju bez trauma riješili problem. Tako će biti i s početkom primjene EU uredbe. U tom procesu sve ide dobrim smjerom.

Mi, informatičari iz zdravstvenog prostora, vidimo u EU uredbi odličan zakonodavni okvir, smjernicu da je sve što smo do sada napravili u procesu zaštite osobnih podataka temeljeno na našem znanju, stručnosti i poštivanju zakona. Informatičari u zdravstvu upravljaju podacima o pacijentima i zdravstvenom osoblju na pošten, logičan te smislen način. Ne događa se ništa spektakularno, zastrašujuće, aktualno stanje nije podložno strašnim kaznama zakona. Zato ćemo objasniti zašto je mnogo toga dobro pripremljeno te da predstoji fino podešavanje s postulatima EU uredbe. S vremenom ćemo se uskladiti sa svim zdravorazumskim preporukama EU uredbe.

Osmislili smo sustav predavanja i okupili govornike dokazane u praksi te obradili sljedeće teme: Opća uredba o zaštiti osobnih podataka, GDPR; Načela zaštite podataka; EU odredba globalnog dosega; Odgovornost; Službenik za zaštitu osobnih podataka; Izvještavanje o povredi osobnih podataka; Potpuna kontrola nad osobnim podacima; Suglasnost (privola); Pravo na pristup i prenosivost podataka; Pravo na zaborav; Transparentna komunikacija bez sitnog teksta; Od kuda krenuti? Predavanja su bila popraćena nizom stvarnih primjera iz dugogodišnje prakse upravljanja medicinskom dokumentacijom.

Optimalno upravljanje podacima

EU uredba definira kako i zašto optimalno upravljati osobnim podacima s aspekta vlasnika obrade podataka i izvršitelja obrade podataka. Informatički naglasak predavanja koncentriran je na stvaranje, dijeljenje, pohranjivanje, čuvanje podataka na primjeru jedne zdravstvene ustanove, Opće bolnice Varaždin. Što je Računski centar Opće bolnice učinio na području zaštite osobnih podataka do sada, a na temelju postojećih normativnih akata, zakona i s aspekta odgovornosti prema kvalitetno odrađenim poslovnim procesima rada? Odgovornost u procesu informatičkih djelatnosti je poslovna, moralna, materijalna i krivična. Osnovna ambicija je stvoriti ozračje u kojem zdravstveno osoblje i pacijenti imaju jamstvo da s njihovim poslovnim informacijama u bolnici postupamo tehnološki u skladu sa zakonom, zdravim razumom i poštenim poslovnim moralom. Zato smo na to odgovorili prvenstveno analizom tehnološko-operativne platforme, koja je aktivna u Općoj bolnici Varaždin.

Upravljanje dokumentacijom uvijek je bio zahtjevan zadatak, pogotovo u zdravstvenoj djelatnosti. Radi se o važnoj medicinskoj dokumentaciji koja se odnosi na područje ljudskog zdravlja i života. Upravljanje takvim medicinskim dokumentima, koji po EU uredbi pripadaju u kategoriju posebno osjetljivih osobnih podataka, zahtijeva da su  procesi nadzora dizajnirani s posebnom pozornošću.

U pravilu se radi o dugačkom roku pohrane dokumenata, a čim dulje se dokumentacija mora čuvati, time je to skuplji, složeniji, riskantniji i općenito zahtjevniji zadatak. Uz to, moguće je zamisliti situaciju u kojoj samo jedan izgubljeni (ili tek oštećeni, nedostupan ili prekasno dostupan) dokument može značiti razliku između uspjeha i neuspjeha u liječenju.

Zbog svega navedenog, zdravstvo u razvijenim zemljama često u upravljanje dokumentacijom uključuje specijalizirane vanjske partnere jer ne postoje interne snage za optimalno provođenje procesa digitalizacije poslovne građe. Time je drastično smanjen rizik u dugoročnom čuvanju važne zdravstvene dokumentacije, dokumentacija je dostupna u vrlo kratkom roku („na klik“), njeno kolanje je, uz korištenje inovativne tehnologije, neusporedivo brže, dostupna je ne samo odmah, nego bilo kada, s bilo kojeg mjesta, praćenje korištenja dokumentacije (tj. vođenje „revizijskog traga“) daleko je efikasnije te je onemogućena neregistrirana zloupotreba.

U svjetlu nove regulative o zaštiti osobnih podataka, zadnje navedena činjenica – nemoguće je neregistrirano doći do osobnih podataka – postaje od presudne važnosti. GDPR regulativi znatno je lakše udovoljiti ako se za upravljanje dokumentacijom angažira i ekspertnog partnera, visokospecijaliziranog za područje bolničke dokumentacije. Zbog toga je održano predavanje na temu EU uredba i vanjski partner koji može pružiti usluge digitaliziranja poslovne građe unutar zdravstvenih ustanova. Za predstavljanje je izabrana tvrtka specijalizirana samo za područje dokumentacije, s iznimnim iskustvom, više od 200 zaposlenih, aktivna u tri države te koja svake godine skenira, digitalno i/ili fizički arhivira oko 100 milijuna listova najrazličitije dokumentacije.

Za zdravstvenu je djelatnost važno naglasiti da nova EU uredba poznaje osjetljivu posebnu kategoriju osobnih podataka kojoj treba posvetiti dodatnu pozornost, a podaci koji se odnose na zdravlje apsolutno se ubrajaju u tu kategoriju. Ta okolnost stavlja pred zdravstvenu djelatnost dodatne strože zahtjeve u zaštiti osobnih podataka. Posebne kategorije osobnih podataka i zdravstvene informacije nikada nisu ni smjele biti javno dostupne u čekaonicama zdravstvenih ustanova.

Temeljem EU uredbe, preuzimanje medicinske dokumentacije od korisnika zdravstvene zaštite po principu samoposluge postaje apsolutno zabranjena djelatnost. Medicinske dokumente svojim pacijentima u ruke mora dati ovlašteno administrativno ili zdravstveno osoblje. Optimalno je digitalne dokumente proslijediti direktno profesionalnim djelatnicima u lancu zdravstvene zaštite.

Tijekom predavanja naglašene su ključne točke u procesu usklađivanja zdravstvenih ustanova s EU uredbom, i to točke koje treba riješiti prije prelaska na tehničko/informatičke mjere:

  • kako utvrditi u kojim se obradama radi o osobnim podacima, a u kojima ne?
  • treba li kreirati „evidencije aktivnosti obrade“?
  • radi li se o visokorizičnim obradama?
  • kada provesti procjenu učinka?
  • postoji li pravna osnova za obradu ili ne?
  • sadrži li pravna osnova sve potrebne elemente?

Pojavom nove EU uredbe, zahtjevi koji se postavljaju pred zdravstvenu ustanovu još su složeniji pa je angažman specijaliziranih vanjskih partnera smislen izbor.

Edukacija o EU uredbi, rješenje u oblaku

Predavanje o edukaciji i kvalitetnoj certifikaciji za proces primjene EU uredbe nosi naziv „Papir od 20 milijuna eura – pravilan odabir GDPR edukacije i certifikacije“. Zaštita osobnih podataka zahtijeva specifičan set znanja i iskustava, a pogrešan odabir službenika za zaštitu osobnih podataka i posljedice koje to može prouzročiti organizacije izlaže izrazito visokim kaznama. Kako odabrati pravu osobu, kako je educirati i kako provjeriti njezino znanje? Kako razlikovati sumnjive certifikacije od ispravnih?

 

Temeljem EU uredbe preuzimanje medicinske dokumentacije od korisnika zdravstvene zaštite po principu samoposluge postaje apsolutno zabranjena djelatnost

Praktično poslovno programsko rješenje koje prati temu EU uredba promovirano je kroz programsko rješenje upravljanja privolama Consent Lifecycle Manager, a riječ je o praktičnom poslovnom rješenju za sve organizacije koje se usklađuju s EU uredbom o zaštiti osobnih podataka. Omogućuje upravljanje privolama, korisničkim zahtjevima i svim osobnim podacima korisnika, neovisno o pravnim podlogama za prikupljanje podataka. Rješenje prati zahtjeve nove uredbe, plod je dizajna iskusnoga multidisciplinarnog tima stručnjaka, poziva se na primjere najbolje prakse upravljanja podacima (engl. Data Governance) i najčešće probleme. Odabirom jednostavnog rješenja koje se ugrađuje u postojeći sustav (engl. Easy-to-plug-in) značajno se ubrzava prilagodba IT infrastrukture novonastaloj zakonodavnoj platformi. Nakon instalirane aplikacije, mnoge procesne radnje postaju automatizirane, što omogućuje koncentraciju organizacije na osnovni posao (engl. Core business) koji donosi prihode. Proizvod je kompatibilan s terminologijom EU uredbe, osigurava se adekvatan način praćenja životnog ciklusa privola, omogućuje uspješan rad službenika za zaštitu osobnih podataka (DPO) i izbjegavanje potencijalne kazne. Jedna od značajki aplikacije Consent Lifecycle Manager za klijente koji su orijentirani na rješenja implementirana u oblak (Cloud) jest dostupnost kroz Microsoft Azure platformu.

Alat za nadzor usklađenosti, upravljanje incidentima

U slučajevima opasnosti od gubitka podataka, odnosno upravljanja incidentima, praktički aspekt je najvažniji. Kako pomoću specijaliziranih informatičkih alata napraviti audit baze podataka, utvrditi potencijalne slabosti baze, analizirati prava pristupa podacima, utvrditi slabe lozinke, pravila ponašanja poslužitelja te dobiti detaljne izvještaje koji mogu pomoći u pripremi i provjeri MS SQL i Azure poslužitelja? Ako usprkos svih poduzetih mjera ipak dođe do neovlaštenog pristupa ili gubitka podataka u bazi podataka, valja postojećim alatima utvrditi tko je i što radio, ali i upozoriti na sumnjive aktivnosti u realnom vremenu.

Pokretanje aktivnosti koje su potrebne za prevenciju incidenata i upravljanje eventualnim incidentima u domeni je posla informatičara koji brinu o sigurnosti zdravstvenog informacijskog sustava. Podatke strukturirano čuvamo u bazama podataka, intenzivno se vodi računa o potencijalnim slabostima baze, tko može pristupiti podacima, koriste li legalni korisnici nesigurne lozinke, kako vidjeti koja su pravila ponašanja na poslužitelju.

Sigurnosni softver

U praksi postoje specijalizirani alati (eng. softver) koji mogu na kvalitetan i siguran način organizirati poslužitelje na kojima su instalirane baze podataka. Alati na vrijeme identificiraju neuralgične točke poslovnog sustava. Otkrivaju potencijalne slabosti baze podataka – daju usporedbu sigurnosnih postavki svih SQL poslužitelja u organizaciji, provjeravaju definirane razine sigurnosti za zaštitu od upada, identificiraju najčešće sigurnosne ranjivosti te daju izvještaje o grupama kategorije rizika.

Evidencija prava pristupa na SQL Server i Azure SQL baze podataka, pregled i analiza SQL Server objekata od razine poslužitelja do razine uloga. Jasan pregled svih sigurnosnih svojstava i dopuštenja za sve objekte te povijesni pregled audita i usporedbu stanja (traženje promjena). Uključuje analizu provjere ponašanja kroz sedam kategorija, uparivanje i uvoz predložaka pravila ponašanja na temelju preporuka vodećih autoriteta na polju sigurnosti baza podataka.

U brzim i preglednim izvještajima vidljive su prijave na više poslužitelja, svi poslužitelji na koje je pristupio određeni korisnik, prava pristupa, uloge na bazama podataka.

Alat time izravno pomaže u zadovoljenju zahtjeva EU uredbe po točkama Data Protection by Design and Default. Ako usprkos svih poduzetih mjera zaštite ipak dođe do upada u bazu i pokušaja promjene, koristimo alat koji može otkriti tko je radio s podacima. Alat pruža dnevnik aktivnosti za forenzičku analizu incidenta i omogućuje stalno praćenje svih aktivnosti u bazama podataka.

Centralizirani audit baza podataka

Alat radi centralizirani audit svih SQL poslužitelja i baza podataka, prati sve aktivnosti korisnika i upozorava na promjene podataka u stvarnom vremenu. Definirani alarmi se oglašavaju prilikom pristupa osjetljivim podacima, a omogućeno je i praćenje trendova aktivnosti korisnika. Alat daje točne informacije o načinu pristupa (koje komande su izvršene) te kako su podaci izgledali prije i nakon pristupanja, čime je znatno olakšana forenzika u slučaju incidenta.

Alati nude mogućnost automatskog stvaranja izvještaja koji udovoljavaju zahtjevima svih značajnih aktualnih regulatora, nudi 25 gotovih predložaka audita. Time je omogućeno zadovoljenje zahtjeva EU uredbe Notification of Personal Data Breach to the Supervisory Authority, Records of Processing Activities, kao i Data Protection Impact Assessment.


Tekst je pripremljen iz sljedećih predavanja: „Informatičari optimalno upravljaju podacima u zdravstvenom prostoru“ (Sara Pomper, studentica III. godine FOI Varaždin, Dražen Pomper, dipl. oec., smjer organizacijsko-informatički, Voditelj odjela za informatiku Opće bolnice Varaždin), „U svjetlu sveprisutne GDPR regulative: zašto možemo koristiti partnera u upravljanju zdravstvenom dokumentacijom i dobiti optimalnu korist iz takvog odnosa“ (Ivica Metlikovec, mr. ekonomije, član upravnog savjeta Mikrocop grupe), „Poslovno rješenje u oblaku“ (Goran Marković, prodajni konzultant u odjelu Customer Success kompanije Poslovna inteligencija d.o.o.), „Alat za nadzor usklađenosti DB (Data Base) s GDPR-om“ (Mladen Kuzminski, mr. informatike, voditelj predstavništva kompanija Embarcadero Technologies i IDERA za regiju Adriatik – Balkan, nositelj IRCA Lead Auditor certifikata za ISO27001).