Przyglądamy się rozwiązaniom chmurowym pod kątem zabezpieczenia danych w sektorze medycznym w podziale na ogólnie przyjęte rodzaje platform chmurowych oraz mechanizmy, dzięki którym to bezpieczeństwo można zwiększyć, a także wykazać się zasadą rozliczalności, o której tak wiele mówi się w kontekście nowego unijnego rozporządzenia o ochronie danych osobowych.

Bardzo ważnym aspektem pojawiającym się u każdego managera IT, którego organizacja przetwarza dane o szczególnym priorytecie, jest kwestia zapewnienia bezpieczeństwa tych danych. Nie inaczej jest i w przypadku danych medycznych – ich bezpieczeństwo powinno być priorytetem. „No jak to, przecież się nie da”, „przecież muszę mieć możliwość fizycznego audytu danych, za które odpowiadam”, „trzymanie danych medycznych gdzieś za granicą jest niemożliwe i niebezpieczne” – często na konferencjach w oficjalnych pytaniach czy kuluarowych rozmowach słychać takie wątpliwości. Przyjrzyjmy się zatem w pierwszej kolejności temu, co mówią nam nowe regulacje odnośnie do wymagań, jakie trzeba spełnić z perspektywy podmiotu przetwarzającego dane osobowe w chmurze.

Zarówno przepisy uodo, jak i rodo regulują i dopuszczają powierzenie danych osobowych. Trzeba pamiętać o tym, że Komisja Europejska w motywie 81 preambuły rodo wskazuje na konieczność korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby, odpowiadających wymaganiom bezpieczeństwa przetwarzania, w tym wymaganiom określonym przez rodo. Najlepszą wskazówką w szukaniu odpowiedniego usługodawcy usług chmurowych (także zgodnie z dokumentem „Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej”) mogą być międzynarodowe standardy postępowania z danymi osobowymi, a zatem normy takie jak: ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 22301 oraz normy branżowe, np. ISO 13606-1, ISO 13606-4. Warto zwrócić też uwagę na normę ISO/IEC 27018.

Oczywiście trzeba zdawać sobie sprawę z możliwych incydentów bezpieczeństwa, które są nieco odmienne dla rozwiązań chmurowych w porównaniu z rozwiązaniami on premise. Rozważaniami na ten temat na poziomie europejskim zajęła się Grupa Robocza art. 29, która w opinii 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej przyjętej w dniu 1 lipca 2012 r. przeanalizowała kwestie istotne dla dostawców usług przetwarzania danych w chmurze działających w Europejskim Obszarze Gospodarczym (EOG) oraz ich klientów, określając wszystkie mające zastosowanie zasady z dyrektywy o ochronie danych UE (95/46/WE) oraz dyrektywy o prywatności i łączności elektronicznej 2002/58/WE (zrewidowanej dyrektywą 2009/136/WE). Wtedy nie było jeszcze mowy o rodo, ale specjaliści wskazują, że w tym zakresie nie zachodzą żadne zmiany w opinii.

Główne opisane zagrożenia obejmują brak kontroli oraz brak przejrzystości (różne aspekty, m.in.: brak dostępności, brak integralności, brak odizolowania). W ramach grupy roboczej opracowano także wytyczne dla klientów i dostawców usług przetwarzania danych w chmurze. To ważny aspekt związany z bezpieczeństwem przetwarzania danych osobowych i wrażliwych (a zatem także medycznych), ponieważ właśnie te wytyczne powinny być dla działów IT podstawą do opracowywania procedur ochrony danych przetwarzanych w środowiskach, za które odpowiadają. Są one także podstawą do zrozumienia, na jakich zasadach przetwarzać w chmurze dane swojej organizacji, aby zapewnić im bezpieczeństwo oraz sobie kontrolę nad nimi. Zgodnie ze wspominanym wcześniej dokumentem opracowanym przez CSIOZ najważniejsze z nich to:

• Odpowiedzialność klienta usługi w chmurze jako administratora – klient powinien wybrać dostawcę usługi w chmurze, który gwarantuje zgodność z przepisami w zakresie ochrony danych, co odzwierciedlają odpowiednie zabezpieczenia umowne;
• Zabezpieczenia w przypadku powierzenia – przepisy dla podmiotów, którym powierzono realizację usług, powinny być przewidziane w każdej umowie pomiędzy dostawcą usługi w chmurze i jego klientami;
• Przestrzeganie podstawowych zasad ochrony danych – klientowi należy zapewnić zrozumiałe informacje na temat środków technicznych i organizacyjnych wdrożonych przez dostawcę; klient w ramach dobrych praktyk powinien przekazać osobom, których dane dotyczą, informacje na temat dostawcy usługi w chmurze, jak również dane na temat lokalizacji, w których dane mogą być przechowywane lub przetwarzane;
• Określenie i ograniczenie celu – klient powinien zapewnić zgodność z zasadami określenia i ograniczenia celu przetwarzania danych oraz zadbać o to, aby żadne dane nie były przetwarzane do innych celów przez dostawcę;
• Zatrzymywanie danych – klient jest odpowiedzialny za zapewnienie, aby dane osobowe zostały usunięte ze wszystkich miejsc, w których są przechowywane, w przypadku gdy ich przetwarzanie nie odbywa się lub realizowane jest prawo (do zapomnienia) osoby, której dane dotyczą;
• Zabezpieczenia umowne – umowa z dostawcą powinna zapewniać wystarczające gwarancje pod względem technicznych środków bezpieczeństwa i środków organizacyjnych;
• Dostęp do danych – tylko upoważnione osoby powinny mieć dostęp do danych. W umowie powinna być zawarta klauzula poufności w odniesieniu do dostawcy i jego pracowników;
• Zobowiązania do współpracy – klient powinien zapewnić, aby dostawca był zobowiązany do współpracy w związku z prawem klienta do monitorowania operacji przetwarzania, do ułatwiania realizacji praw osób, których dane dotyczą, do dostępu do/poprawiania/usuwania ich danych oraz do powiadamiania klienta usługi w chmurze o wszelkich naruszeniach ochrony danych mających wpływ na dane klienta;

[...]

Autor jest członkiem zespołu Młodych Menedżerów Medycyny, konsultantem IT i ekspertem ds. bezpieczeństwa teleinformatycznego. Prowadzi blog poświęcony IT w medycynie.