TOP

KYBEZ

GDPR, Ochrana dat a narušení bezpečnosti

Datová komunikace ve zdravotnictví: Přenos zdravotních dat a telemedicína

Zveřejnil
716
Autor obsahu – Klára Dubovecká

Funkční a dalekosáhlá komunikace v rámci nemocnic i mezi nimi je nezbytná pro to, aby nemocnice mohly pacientům poskytovat co nejkvalitnější diagnostiku a léčbu. Nemocnice a zdravotnická zařízení k tomuto účelu využívají mnoho prostředků. K dosažení komplexního závěru pro jednoho pacienta je často nutné propojení mezi několika zdravotnickými pracovníky. Datová komunikace je klíčovou součástí procesu moderní zdravotní péče, protože umožňuje neustálý tok informací mezi spolupracovníky. Studie FierceHealth (2016) zveřejnila zjištění, že špatná komunikace způsobila v USA za pět let až 1 744 úmrtí pacientů. Tyto výsledky naznačují, že lepší komunikace pro poskytovatele zdravotní péče a pacienty je nezbytná. Datová komunikace by mohla zvýšit přístup zdravotníků ke zdravotnické dokumentaci, zrychlit diagnostiku a léčbu, zajistit vzdálené sledování pacientů, ale také umožnit léčbu většího počtu pacientů.

Lepší zdravotní péče od diagnózy po léčbu je základní lidskou potřebou. Kvalitní zdravotní péče by měla být dostupná všem a všude. V souvislosti s pandemií COVID-19 bylo rozšířeno poskytování virtuálních setkání mezi pacienty a zdravotnickými organizacemi. Takzvaná telemedicína, která umožňuje video nebo telefonické setkání pacienta s jeho lékařem, přináší zdravotní výhody a pohodlí.

Přenos zdravotních údajů

EHR

Elektronický zdravotní záznam (EHR) je digitální verze papírové karty pacienta. Tyto záznamy umožňují oprávněným uživatelům bezpečný přístup k informacím v reálném čase. EHR obsahují zdravotní a léčebnou historii pacientů, ale také poskytují širší pohled na péči o pacienty. EHR mohou obsahovat anamnézu pacienta, diagnózy, léky, léčebné plány, data očkování, alergie, radiologické snímky a výsledky laboratorních vyšetření a testů. Rovněž automatizují a zefektivňují pracovní postupy pro poskytovatele.

Jednou z klíčových vlastností EHR je, že zdravotní informace mohou vytvářet a spravovat oprávnění poskytovatelé v digitálním formátu, který lze sdílet s ostatními poskytovateli v rámci více zdravotnických organizací. EHR jsou navrženy tak, aby umožňovaly sdílení informací s ostatními poskytovateli zdravotní péče a organizacemi – například laboratořemi, specialisty, zdravotnickými zobrazovacími zařízeními, lékárnami, pohotovostními službami a školními a pracovními klinikami – takže obsahují informace od všech lékařů, kteří se podílejí na péči o pacienta.

Úplnější informace o pacientovi dostupné z EHR umožňují poskytovatelům rychle přijímat dobře informovaná rozhodnutí o péči, což přispívá ke zlepšení péče a snížení bezpečnostních rizik. Přestože EHR zefektivňuje vedení zdravotnické dokumentace v ordinacích, narůstají také obavy o bezpečnost a ochranu soukromí elektronických zdravotních záznamů.

EHR jsou dnes postaveny na robustních bezpečnostních opatřeních. Některé z těchto bezpečnostních prvků jsou:

  • Soulad s HIPAA a HITECH
  • Auditní záznamy
  • Šifrování dat
  • Ochrana heslem
  • Certifikace ONC-ATCB

Datové standardy

Datové standardy ve zdravotnických zařízeních zajišťují, aby byla při předávání dat usnadněna komunikace mezi zdravotnickými systémy. Standardizace zajišťuje výběr a standardizaci postupů a technologií. Tím se zefektivňuje využívání systému. Nejčastěji využívanou funkcí je hlášení do různých registrů (např. Národní onkologický registr,..). Vzhledem k tomu, že hlášení jsou standardizovaná, lze je rychle a efektivně přesouvat a zpracovávat pro požadované účely. Vzhledem k citlivosti informací je důležitá bezpečnost.

DASTA

V České republice vznikl v 90. letech 20. století národní datový standard Ministerstva zdravotnictví – DASTA, který se používá dodnes.

Z pacientských dat dnes DASTA umožňuje předávat informace jako:

  • identifikační data pacienta
  • základní informace o pacientovi (nacionále, r.č., adresy, výška, hmotnost atd.)
  • urgentní informace (k.s., alergie, dg.)
  • platební vztahy, pojišťovny, p.n.
  • anamnéza
  • léky
  • očkování
  • diagnózy trvalé a aktuální
  • klinické události mnoha typů – objednávky, výsledky, zprávy (např. laboratoře, RDG, dokumentace mnoha typů, speciální vyšetření dle číselníku klinických událostí atd.)
  • podklady pro vyúčtování a MIS

 

HL7

V rámci mezinárodních standardů je systém Health Level 7 nejrozšířenějším datovým systémem ve zdravotnictví. HL7 se používá k prodeji informací o pacientech, a to i mezi zdravotnickými zařízeními, zejména identifikačních údajů, informací pro pojišťovny a informací, které jsou klíčové pro zdravotní stav pacienta. Jedná se spíše o komunikační než datový standard.

DICOM

Digital Imaging and Communications in Medicine, v překladu digitální zobrazování a komunikace ve zdravotnictví, je standard pro zpracování, ukládání, tisk a přenos informací pocházejících ze zdravotnického zobrazování, tedy z vyšetření pomocí RTG, MRI, CT, ultrazvuku apod. V současné době je používán v mnoha nemocnicích i některých malých lékařských či např. zubařských ordinacích.

Standard zahrnuje definici souborových formátů a komunikačního protokolu, založeného na TCP/IP. Umožňuje integraci scannerů, serverů, pracovních stanic, tiskáren a síťových zařízení od různých výrobců do tzv. PACS (picture archiving and communication system) systému, tedy systému určenému k ukládání a zprostředkování zdravotnických obrazových dat. DICOM standard je rozdělen na dvacet souvisejících částí, které pokrývají jeho jednotlivé oblasti, jako je specifikace datových struktur, síťová komunikace, ukládání a formáty médií, způsoby zobrazování, bezpečnost či webový přístup.

GDPR

Obecné nařízení o ochraně osobních údajů (GDPR) bylo přijato v roce 2018 s cílem koordinovat tok dat mezi členskými státy EU. Všechny zdravotnické aplikace, které shromažďují údaje obyvatel EU, musí být v souladu s GDPR. Podnikatelé tak musí ve svých aplikacích zajistit bezpečnost a ochranu osobních údajů pacientů. Je nutné optimalizovat své služby a oblasti podle požadavků GDPR týkajících se bezpečnosti i v zdravotníckem sektoru.

FIHR

Fast Healthcare Interoperability Resources (FHIR) není bezpečnostní protokol ani nedefinuje žádné funkce související se zabezpečením. FHIR však definuje výměnné protokoly a modely obsahu, které je nutné používat s různými bezpečnostními protokoly definovanými jinde.

Za tímto účelem se zaměřuje na:

  • Udržování času – všechny hodiny by měly být synchronizovány pomocí NTP/SNTP a návrh systému by měl být odolný vůči systémovým hodinám s nesprávnými hodnotami.
  • Zabezpečení komunikace – veškerá výměna produkčních dat by měla být zabezpečena pomocí TLS (např. https).
  • Ověřování – uživatelé/klienti musí být ověřeni.
  • Autorizace/řízení přístupu – FHIR musí definovat infrastrukturu bezpečnostních značek pro podporu řízení přístupu. FHIR může také definovat sadu prostředků pro správu řízení přístupu, ale v současné době žádné nedefinuje.
  • Auditování – FHIR definuje zdroje provenience a auditních událostí vhodné pro sledování provenience, autorství, historie, stavu a přístupu ke zdrojům.
  • Digitální podpisy – FHIR obsahuje několik speciálně vyhrazených míst pro digitální podpisy.

Co znamená interoperabilita systémů?

Jedná se o schopnost různých systémů, aplikací a technologií spolupracovat a poskytovat si navzájem služby. Zajišťuje, aby aplikace v rámci různých (nejen) zdravotnických zařízení mohly vzájemně komunikovat. To přispívá ke správné interpretaci dat napříč systémy a organizačními jednotkami a výrazně snižuje chybovost. Interoperabilita informačních a komunikačních technologií může snížit počet lékařských chyb, zlepšit spolupráci mezi poskytovateli zdravotní péče, snížit náklady a zlepšit kvalitu a poskytování zdravotní péče. Pokud nejsou systémy vzájemně propojeny, nelze plně využít jejich potenciál.

Telemedicína

Jak bylo zmíněno v úvodu, v České republice v souvislosti s pandemií COVID-19 došlo k výraznému nárůstu využívání telemedicíny. V březnu 2020 byla spuštěna online služba pro přímé spojení – VideoDoktor.cz. Ta může sloužit jako skvělý nástroj pro komunikaci s lékařem v pohodlí a bezpečí pacientova domova. Virtuální návštěvy lze využít ke zjištění příznaků COVID-19, horečky, vyrážky, příznaků nachlazení a chřipky, bolestí a poranění pohybového aparátu, drobných infekcí a infekcí močových cest.  Přestože tato služba může poskytnout účinný nástroj pro léčbu pacientů, je nutné zmínit, jaké výhody a nevýhody jsou s ní spojeny.

Výhody a nevýhody telemedicíny

Klady:

  • Podle nedávné studie dává až 74 % pacientů přednost zjednodušenému přístupu k lékařským službám před osobní návštěvou. Nejenže zvyšuje pohodlí, ale může také pomoci těm, kteří žijí v hůře dostupných částech země.
  • Šetří čas – díky této službě se pacienti mohou na danou schůzku dostavit pouze s použitím svého mobilního zařízení, počítače, tabletu nebo notebooku. Není třeba kvůli tomu cestovat na velké vzdálenosti a pomáhá to také zkrátit dobu čekání v čekárně.
  • Snížení nákladů – díky telemedicíně je možné snížit počet pacientů, kteří se na vyšetření nedostaví, a tím snížit režijní náklady lékařů.
  • Umožňuje lepší přístup ke zdravotní péči – s rostoucím nedostatkem zdravotní péče může být obzvláště obtížné objednat se na osobní návštěvu. Virtuální návštěvy umožňují osobám, které se potýkají s fyzickými problémy, hovořit s odborníkem bez překážek. Kromě toho umožňuje pacientům hovořit se specialisty, kteří nemají v blízkosti ordinaci.
  • Může vést ke zlepšení kvality péče – umožňuje snadnější spolupráci s pacienty, a tedy i možnost sledovat jejich zdravotní stav na dálku pomocí monitorovacích systémů, což znamená, že lze pracovat na identifikaci problémů v okamžiku, kdy se objeví.

Nevýhody:

  • Fyzikální vyšetření, která mohou být nezbytná pro diagnostiku a léčbu pacienta, nelze provést prostřednictvím virtuální schůzky.
  • Bezpečnost – faktem zůstává, že kybernetičtí zločinci se mohou nabourat do telemedicínských systémů a získat důvěrné informace o zdravotní péči.
  • Lékaře nemusíte znát – na druhé straně hovoru může být neznámá osoba. Tito lékaři pravděpodobně neznají vás a vaši jedinečnou anamnézu, což může ovlivnit úroveň péče, kterou vám mohou poskytnout.
  • Náklady na školení a vybavení – reorganizace a školení IT za účelem vytvoření efektivního vybavení vyžaduje čas, ale také peníze.

Zabezpečení dat ve zdravotnictví

Zdravotnictví nelze digitalizovat bez dostatečné kybernetické bezpečnosti. Nemocnice i další zdravotnická zařízení musí dbát na ochranu citlivých zdravotnických údajů pacientů. Patří sem lékařské záznamy, finanční údaje a další osobní údaje. Zabezpečení údajů ve zdravotnictví vyžaduje kombinaci vzdělávání zaměstnanců, chytrého využívání technologií a fyzického zabezpečení budov.

V České republice jsme v poslední době zaznamenali řadu kybernetických útoků na nemocnice. Proč tomu tak je? Zabezpečení sítí zdravotnických zařízení často není prioritou a je podfinancováno. Dalším důvodem je nedostatek kvalifikovaného personálu. V těchto zařízeních kvalita zabezpečení zaostává za komerčním sektorem. Náklady na zabezpečení instituce jsou však ve většině případů mnohem nižší než potenciální škody způsobené útokem. Tento problém je však velmi závažný. Pokud jsou kyberzločinci úspěšní, mohou ochromit celou nemocnici. Může dojít ke ztrátě přístupu k rezervačním systémům, datům pacientů nebo dokonce ke ztrátě kontroly nad konkrétními technologiemi.

V roce 2021 vláda ČR schválila Akční plán k Národní strategii kybernetické bezpečnosti, jehož tvorbu koordinoval i NÚKIB. Mezi hlavní body tohoto plánu patří posílení kybernetické bezpečnosti ve zdravotnictví, hodnocení rizikovosti dodavatelů, omezení rizikových dodavatelů pro bezpečné nasazení telekomunikačních sítí nové generace a také efektivní strategická komunikace zaměřená na zvládání kybernetických bezpečnostních incidentů. Cíle byly stanoveny s termínem do roku 2025. Na řadě implementací se průběžně pracuje.

Výzvy z hlediska bezpečnosti

Svět se stává ve všech ohledech výrazně digitálnějším a s tím přicházejí i výzvy pro kybernetickou bezpečnost ve zdravotnictví, které uchovává naše nejdůvěrnější data. Níže nabízíme seznam některých nejzávažnějších výzev v oblasti zabezpečení dat pro moderní zdravotnictví:

  1. Uchovávání informací o uživatelích
  • Citlivé informace jsou snadno přístupné v rámci zdravotních záznamů (EHR), ale zároveň je pro hackery poměrně snadné se k nim tímto způsobem dostat, pokud ukládáte data do nešifrovaných cloudových složek nebo je sdělujete prostřednictvím e-mailu. Z tohoto důvodu je třeba zajistit dodržování osvědčených postupů pro uchovávání dat. Jako je například jejich šifrování, zejména v e-mailu.
  1. Hackeři
  • Útoky hackerů se stávají stále větší výzvou pro soukromé i státní zdravotnické organizace.
  1. Elektronické zdravotní záznamy a výměna informací
  • Zloděje dat přitahují sítě, v nichž je uloženo velké množství zdravotních údajů, které jsou sdíleny mezi více poskytovateli. Možnost získat přístup ke své zdravotní historii. Dříve to vyžadovalo vloupání do ordinace lékaře a fyzické prohledávání papírů. Nyní však stačí jen nedostatek morálních zábran a určité znalosti hackingu.  Řešením tohoto problému proto může být použití šifrování.
  1. Zastaralé technologie v nemocnicích
  • Systém, který je mimo podporu, znamená, že poskytovatel neopraví žádné bezpečnostní chyby. Útočníci se proto zaměří na starší systémy. Veškeré nalezené bezpečnostní díry budou přítomny po celou dobu životnosti systému.
  1. Mobilní aplikace
  • Nejoblíbenějšími mobilními zařízeními používanými ve zdravotnických zařízeních jsou tablety a chytré telefony. Mnohé z těchto hrozeb jsou obsluhovány pacientem. Pro uživatele, kteří nevidí hodnotu bezpečnostních opatření, jako je vícefaktorová autentizace. To zahrnuje i pobyt na veřejných sítích Wi-Fi, mohou vystavit své zdravotní údaje riziku. Aby se tomuto chování zabránilo, musí vývojáři aplikací a společnosti, které je používají, své aplikace šifrovat.

 

Závěrem    

Tajemstvím zabezpečení dat je vytvoření postupů zabezpečení dat založených na rizicích. Zdravotnictví má před sebou ještě dlouhou cestu, než bude bezpečné. Zabezpečení dat a dodržování předpisů můžete zlepšit identifikací a klasifikací dat. Zabezpečení lze dále zlepšit pochopením a snížením IT rizik a zároveň zavedením nezbytných kontrolních mechanismů.  Praxe musí držet krok s měnícím se prostředím zdravotnických dat tím, že bude rutinně vyhodnocovat systémy, zásady a procesy. Tím se ujistíte, že je vše aktuální a funguje efektivně. Mnohé z toho lze zvládnout investicí do vhodných řešení pro správu zdravotnické praxe a zabezpečení EHR. Nicméně aby údaje pacientů zůstaly soukromé a důvěrné, vyžadují osvědčené postupy, aby manažeři praxe neustále kontrolovali zabezpečení.

 


Jak na bezpečnost ve zdravotnictví?

Reference:
https://www.ncbi.nlm.nih.gov/pmc/articles/PMC5522514/, https://nasezdravotnictvi.cz/aktualita/stav-elektronizace-zdravotnictvi-na-pocatku-roku-2023, https://www.dastacr.cz/dasta/hypertext/MZAWF.htm, https://www.sbmabenefits.com/the-pros-and-cons-of-telemedicine/, https://www.nukib.cz/cs/infoservis/aktuality/1735-bezpecnejsi-zdravotnictvi-i-reseni-rizikovych-dodavatelu-vlada-schvalila-akcni-plan-ke-strategii-kyberneticke-bezpecnosti/, https://ncez.mzcr.cz/sites/default/files/media-documents/Ak%C4%8Dn%C3%AD%20pl%C3%A1n_Strategie%20kybernetick%C3%A9%20bezpe%C4%8Dnosti.pdf
Štítky:
, , , , , ,
Sdílet:

Mohlo by Vás zajímat

Mezinárodní kybernetická bezpečnost

Bezpečnostní řešení, GDPR, Vzdělávání a legislativa

GDPR, Mezinárodní kybernetická bezpečnost