С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОK
Вход | Регистрация
1 6 апр 2018, 11:27, 4114 прочитания

Има ли в здравеопазването нещо лично и нещо тайно

Лечебната система и аптеките в България все още не са готови да спазват GDPR

  • LinkedIn
  • Twitter
  • Email
  • Качествената журналистика е въпрос на принципи, професионализъм, но и средства. Ако искате да подкрепите стандартите на "Капитал", може да го направите тук. Благодарим.

    Дарение
    Плащането се осъществява чрез ePay.bg
Статията е част от специалното издание на Капитал GDPR, посветено на новите правила за личните данни. Повече информация за изданието можете да видите тук. Може да го поръчате тук.

Едва ли някой е пропуснал началото на шокиращата рекламна кампания срещу тютюнопушенето преди няколко години. Кутиите за цигари във всички европейски държави са повече от неприятна гледка, след като Европейският съюз наложи отпечатването на стряскащи изображения върху тях. Това правило обаче дойде с допълнителен неприятен привкус. В страни от целия ЕС, включително и в България, граждани разпознаха себе си или свои близки на шокиращите снимки. Никой от тях обаче не беше давал съгласие да бъде включен в кампанията. За хората, чието страдание беше тиражирано върху цигарените кутии, и за техните семейства, преживяното е травмиращо и накърняващо достойнството.


Този случай е ясен пример защо е важно личното ни пространство да остане неприкосновено. Той включва и конкретен тип лични данни – така наречената чувствителна здравна информация. Дали и как ще може да бъдат използвани тези данни след 25 май тази година зависи от новият Общ регламент за защита на личните данни (General Data Protection Regulation, или GDPR). Разпоредбата не може да гарантира предотвратяване на злоупотреби с лични данни, но със сигурност предвижда солени глоби за виновните в такива случаи.

Кои са чувствителните здравни данни?

Според сегашното българско законодателство могат да се обработват всякакви лични данни с изключение на здравната информация. Според Закона за здравето всичко, което се отнася до един пациент, до състоянието и лечението му, представлява здравна информация. Право на достъп до нея има само определена категория лица: Министерството на здравеопазването, Националната здравноосигурителна каса (НЗОК), Националният статистически институт, застрахователните компании, с които пациентът има сключен договор, както и упълномощени от него лица.



"С навлизането на регламента това ще са чувствителните здравни данни, които ще се обработват от администраторите – лечебни заведения, застрахователни компании, фармацевтичните компании (когато става дума за клинични изпитания). Всичко, което касае здравето на един човек и дотолкова, доколкото можем да го идентифицираме с тези данни, представлява чувствителна здравна информация. И това трябва да се подложи на много щателна регулация и сериозен подход от страна не само на болниците, а на всички, които ще ги администрират", обяснява адвокат д-р Мария Петрова от адвокатска кантора LexMedica BG. Лечебните заведения ще трябва стриктно да контролират процесите по получаване, обработване и съхранение на въпросната информация. Онези, които не могат да гарантират сигурността на данните, са изправени пред риск от огромни глоби.

GDPR влиза в сила от 25 май тази година, но специалистите са единодушни, че българското здравеопазване все още не е готово да го спазва. Какви са причините за това? "Има доста притеснителни практики с оглед опазването на личните данни... Липсата все още на електронно здравеопазване в най-добрите му форми – така както би трябвало да се случи, а не просто на дигитализация на определени документи – също е сериозен проблем. Проблем е и че всяко едно лечебно заведение има различни процеси, структура и начин за обмяната на тези данни", коментира Петрова.

Сигурност на (личната) информация

Лечебните заведения не могат да защитят личните данни адекватно, без да има цялостна информационна сигурност. "Когато се говори за GDPR, трябва да се говори за информационна сигурност... Тя се занимава с това информацията да е налична при вас по всяко време, когато ви потрябва, да е в нейната си цялост. Всеки проблем, свързан с това да не можете да достъпите една информация, е инцидент по информационна сигурност", коментира председателят на борда на директорите на КОНТРАКС Яко Пилософ.

Всъщност инцидентите по информационна сигурност обхващат всички ситуации от един развален компютър на служител (ниво 1), през спиране работата на счетоводната програма (ниво 2) и блокиране на болничната информационна система (ниво 3), до пожар в сървърното помещение (ниво 4). Международният стандарт ISO 27001 поставя изисквания как трябва да се управлява информационната сигурност, така че да се избегнат подобни инциденти, уточнява Пилософ. "За съжаление в България няма изискване лечебните заведения, да не говорим за здравната каса, да имат покрити нормите на ISO 27001", допълва той. Тук се крие и основният проблем – повечето институции в сферата на здравеопазването изобщо нямат политики и правила за съхраняване и сигурност на информацията.

"Много малко са болниците, които се грижат за тази информация по правилния начин, и това са частните болници. Голямата част от лечебните заведения, особено по-малките общински болници, изобщо не са подготвени. Не са подготвени за информационна сигурност като цяло и в частност на личните данни на пациентите си", категоричен е Пилософ.

В здравния сектор обаче попадат и редица други организации. Сред тях са и аптеките, които също съхраняват чувствителна здравна информация. Когато пациент представи рецепта в аптеката, фармацевтът получава информация за това кой е пациентът, какви лекарства пие, а оттам може да се заключи и каква е диагнозата и съответно неговото състояние. "Аптеките са толкова неподготвени, колкото и лечебните заведения", разкрива адв. Петрова. В същия сегмент попадат и фармацевтичните компании. При тях обаче ситуацията е доста по-различна - те са бизнес организации, разполагащи с много възможности. Специалистите са единодушни, че тези фармацевтични фирми са много по-добре подготвени за новия регламент, отколкото лечебните заведения. Друго предимство на компаниите е опитът им от международния пазар, който им дава достъп до практиките и стандартите при обработката на личните данни в други европейски държави.

Няма защита без бюджет

За съжаление дори и с добре разписани правила за това кой, кога и как ще влиза в сървърното помещение; колко сложни ще са паролите за достъп до болничните системи и какви процеси ще се задействат при спиране на тока информационната сигурност трудно може да се гарантира без достатъчно финансови средства. Защитата на данните обаче не е сред приоритетите на директорите на болници. За тях обикновено е по-важно да могат да платят на своите лекари и да запазят всички съществуващи отделения, отколкото да купят нов сървър или да наемат специалист, който да подобри защитата.

"Наше проучване показва, че 95% от лечебните заведения в публичния сектор работят с Word, който е хакнат. Те не си плащат за този софтуер", категорична е адв. Петрова. Нелегалният софтуер обаче е само един от проблемите. Често лекарите използват толкова стари компютри, че операционните системи, макар и купени, от много отдавна не се поддържат от доставчика. Тук не прави изключение и специализираното медицинско оборудване. "Докато работи, то ще се ползва в този си вид. Никой не се замисля, че това може да бъде място за пробив, защото системният софтуер на компютъра, който управлява специализираното оборудване, не е обновяван от години", посочва Пилософ. Добрата новина е всъщност малко странна - в България малка част от специализираната апаратура е свързана в мрежата, което донякъде гарантира сигурността на пациентските данни.

Ролята на опитен системен администратор, който е добре платен, също не трябва да бъде пренебрегвана. В повечето случаи обаче болниците нямат средства за това. Безжичните мрежи се изграждат с точки за достъп (access points), които са за домашна употреба и с ниски защитни характеристики. Всеки технически грамотен без проблем може да влезе в системите на дадена болница през безжичната мрежа с използваната обща парола, която не се сменя с години. "Достъпът до безжичната мрежа трябва да става персонализирано и да се управлява от едно общо място, най-често активна директория. И всеки път като се назначава служител, да му се създава акаунт, а ако служителят напусне, със същата процедура да му се отнема акаунтът. И всички негови права за достъп изчезват. Но за да се направи това, се изискват малко повече усилия" и повече средства, смята председателят на борда на директорите на КОНТРАКС.

Липсва култура по отношение на данните

Техническото оборудване, правилата за работа и финансовите средства са само едната страна на проблема за прилагането на GDPR в здравеопазването. Според Петрова българите нямат култура по отношение на данните, не осъзнават тяхната ценност и нужда от защита. "Най-подготвен е бизнесът, и то бизнесът, който има международно покритие, защото все пак трябва да се изпълнят европейски изисквания. На местно, на национално ниво за нас това е terra incognita (непозната земя)", смята адвокатът.

Напоследък хората като че ли стават по-мнителни, когато поради някаква причина им се поискат лични данни, като ЕГН или рождена дата. Най-вероятно обаче това се дължи по-скоро на широкото обществено обсъждане на новия регламент. В същото време тези граждани без проблем споделят във виртуалното пространство чувствителна здравна информация за себе си или за свои близки, включително кой, къде, кога, в каква болница и от какво се е лекувал. "Всички форуми, в които се коментират здравни тематики и се регистрират пациенти, както и всички медицински социални мрежи попадат в този обхват. Така че проблемът е сериозен", отбелязва Петрова.

Тя подчертава, че за да се промени това, трябва да се трансформира отношението на всеки гражданин към този тип данни. Едва тогава трябва да се премине към правна регулация на каквото и да е ниво, в който и да е сектор. "Докато не променим нивото на мислене, каквито и регистри да сложим, каквито и сървъри да имаме, ще е безпредметно", заключва Петрова.

Трудният регламент

Трудностите при прилагането на GDPR произтичат от неговата същност. Изискванията не включват събиране на определени документи или получаване на даден сертификат. Гарантирането сигурността на лични данни и особено на чувствителна здравна информация е продължаващ процес. Той не трябва да приключи на 25 май. Кибератаките и технологиите не спират да се развиват, а методите за защита трябва да се усъвършенстват със същата скорост. За тази цел всяка здравна институция трябва да познава механизма си на работа – откъде влиза и излиза информацията, през какви канали преминава и кой има достъп до нея.

"Предизвикателството е да обясним на лекари, фармацевти, застрахователи и на пациентите какво са личните данни, защо са ценни и защо не бива да подхождаме с лека ръка към тях. Мениджмънтът трябва да осъзнае, че всяка структура е сама за себе си. Всеки има различен начин на работа. Те трябва да познават структурата и след това да се опитват да спазват регламента. Това е най-сложното", убедена е Петрова. Проучване на КЗЛД още миналата година обаче показва, че секторът е крайно неподготвен. "Включително до степен, че най-висш мениджмънт в лечебните заведения не можеше да се справи с изпратените въпросници. Никой не можеше да разчете какво се има предвид там", допълва експертът.

Особено ключов момент в новата регулация е правото на пациентите здравната им информация да бъде забравена, тъй като тя е важна при следващи посещения в лечебни заведения или при оказване на медицинска помощ. "Ако няма ясно разписани правила коя информация, на кого, при какви условия може да бъде предоставена или кой в какви хипотези може да бъде забравен, това може да постави под риск здравето на пациента в бъдеще. Добре би било лечебните заведения и всички, които ще администрират такъв тип данни, да си поставят ясни срокове, възможни и изпълними, за да не страдат страните и за да няма санкции", съветва Петрова.

Друг е въпросът дали при поискване тези данни наистина могат да бъдат заличени. Например, ако съответната болница ги изтрие, дали същото ще направи и НЗОК или застрахователят, към които се изпраща информацията? В тази връзка не може да не се попита – а дали е морално и етично това да се прави? Ако един пациент с хронично заболяване поиска да бъде забравен, той ще бъде изключен от регистрите. Майка може да пожелае детето й да бъде изтрито от медицинските документи, за да бъде прието по-лесно в детска градина. Разумно ли е това да се случва дори от чисто медицинска гледна точка? "Министерството на здравеопазването нямаше достатъчно адекватна политика по този въпрос. Аз смятам, че трябваше да вземе отношение. Най-малкото защото е много важно да се променят срокове, да се регламентират с по-обща "шапка" ситуациите, в които не може да кажете – аз искам да бъда забравен", посочва Петрова. "Вече трябваше да имаме изградени правила за тези неща", допълва тя.

Какво ще се случи след старта на GDPR?

Налагането на новия регламент няма да промени особено досегашната ситуация в здравеопазването. На първо място, Комисията за защита на лични данни в момента няма достатъчно кадри, така че да проверява всички организации в различните сектори. Подобен механизъм на контрол не може да обхване дори само 400-те лечебни заведения в България. "От друга страна силно се притеснявам да не стане така, че защитата на лични данни да се превърне в един вид репресия. Конкурентите да започнат да си пускат жалби и сигнали точно във връзка с това. Безкрайно неподготвен е секторът и не вярвам до май месец да имаме грандиозни промени и развитие. Вероятно ще има санкционирани. Дали всички, които не спазват изискванията, ще бъдат – крайно се съмнявам", заявява Петрова.

След 25 май вероятно няма да има рязко повишаване на исковете за защита на чувствителна здравна информация. С времето обаче може да се стигне до увеличаване на потърсилите своите права с подходяща стимулация от страна на неправителствения сектор. Това вероятно ще бъде един от основните начини да се подобри спазването на регламента. "Те даже няма да разберат, че е имало инцидент или компрометиране на данни, освен ако някой пациент не ги подгони в съда, защото данните му са изтекли", уточнява Пилософ.

Единственият начин дадена болница да подобри информационната си система е да бъде отправено нареждане от по-високо ниво и то е обвързано с финансова санкция, смята той. "Ако няма финансова тояга, нищо няма да се случи", коментира специалистът. Той предлага болниците да бъдат задължени да спазват изискванията на ISO 27001, както и редовно да провеждат одити по информационна сигурност. В случай че не го направят, те трябва да бъдат изправени пред възможността да не могат да се отчетат пред здравната каса или да загубят лиценза си.

GDPR-ът тиктака

До въвеждането на GDPR остават два месеца, но все още не е късно за действия. От техническа гледна точка Пилософ препоръчва здравните организации на проведат т.нар. gap analysis, или одит на информационната сигурност. Процедурата включва дълъг списък за проверка на защитите на съответната институция, включително следене дали външните връзки през интернет към болницата имат някакви уязвимости; дали защитната стена е добре настроена и други.

От правна гледна точка Петрова изтъква, че е важно да се познава много добре нормативната уредба. Тя съветва организациите внимателно да разберат своите процеси - начинът на работа в болницата е един, а в училището, университета или ИТ компанията - съвсем друг. "Едва след предварителната подготовка трябва да започнат да обличат в правна форма всичко, което се случва. Категорично не ги съветвам да си свалят инструкции, документи, бланки от интернет, да сменят просто заглавието и да ги ползват. Идеята на защитата на лични данни не е просто да имаме едни хартии и работата ни да е сложна. Идеята е да си познаваме достатъчно добре процесите, да знаем кой отговаря за тях", допълва адвокатът.

Проблемите в сферата на здравеопазването са много и са сериозни, а на фона на всички тях въпросът за защитата на чувствителната здравна информация остава неглижиран. А дори постигането на по-добра отчетност на личните данни едва ли ще допринесе за разрешаването на останалите предизвикателства в сектора.

"Към момента в България няма нормативен акт, който да казва как се попълва медицинската документация. Всеки я пише, както намери за добре; всеки пише толкова, колкото намери за добре. И много често тя бива манипулирана с оглед да се отчетем пред здравната каса. Имайки проблем на такова базисно ниво, дали ще направим идеалните регистри, дали ще достигнем най-висока степен на защита, какви ще са сървърите, кой с колко ключа ще влиза и какви метални шкафове ще заключва е без значение", подчертава Петрова.

Изглежда, повечето институции в здравната индустрия все още виждат GDPR като пореден екзотичен нормативен документ, който затруднява тяхната работа и трябва да бъде спазван фиктивно. Надеждата остава в развитието на гражданско самосъзнание. Всеки сам трябва да извърви своя път към идеята за ценността и значението на личните данни, а впоследствие и към нуждата от тяхната качествена защита. На свой ред служителите, работещи като администратори на чувствителна информация, трябва да проумеят властта и отговорността, която им е дадена при събирането, съхраняването и обработването на данните. И нека не забравяме, че едни промени се налагат отгоре надолу. Но онези, които с времето се превръщат в неизбежни, се зараждат в най-ниските нива и бавно, но сигурно проправят своя път нагоре.
GDPR – какво трябва да знаят фирмите за новия регламент за личните данни:
Бизнес доклад на Капитал


- Какво е GDPR и за кого се отнася
- Как да се приложи стъпка по стъпка
- Колко ще струва на компаниите
- Какви са новите маркетинг правила
- Кога трябва да се назначи служител за защита на данните
Поръчайте изданието »
На хартия или PDF

  • Facebook
  • Twitter
  • Зарче
  • Email
  • Ако този материал Ви е харесал или желаете да изразите съпричастност с конкретната тема или кауза, можете да ни подкрепите с малко финансово дарение.

    Дарение
    Плащането се осъществява чрез ePay.bg

Прочетете и това

Речник на термините в GDPR 4 Речник на термините в GDPR

6 апр 2018, 11601 прочитания

GDPR като услуга GDPR като услуга

Облачните услуги са възможност за споделяне на отговорността по защита на личните данни

6 апр 2018, 7609 прочитания

24 часа 7 дни
 
Капитал

Абонирайте се и получавате повече

Капитал
  • Допълнителни издания
  • Остъпки за участие в събития
  • Ваучер за реклама
Още от "GDPR" Затваряне
GDPR

Какво трябва да знаят фирмите за новия регламент за личните данни

Сметищата на гнева в Русия

Боклукът се превръща в политически проблем, който канализира недоволството и обединява различни групи около една кауза

Българската реклама в чужбина

Българските рекламни агенции все повече се ориентират към обслужването на клиент на чужди пазари

"Агрия груп" купува производител на слънчогледово олио

Базираната в Лясковец "Кехлибар" ще е първата компания за преработка на слънчоглед в портфейла на холдинга

България изнася все повече машини и авточасти

Увеличението във външната търговия през 2015 г. идва основно от пазарите на ЕС. Спад има при суровините, но той е ценови

За нишките и хората

Чихару Шиота се завръща в Япония с първа голяма ретроспектива

Кино: "Имало едно време в... Холивуд"

Тарантино с филмово густо за носталгията и нихилизма