Με την αυξανόμενη ψηφιοποίηση των εγγράφων, την έξαρση των κυβερνοεπιθέσεων και τις απαιτήσεις του ΓΚΠΔ, τα ιατρεία πρέπει να καταβάλλουν κάθε δυνατή προσπάθεια για να διασφαλίσουν την ασφάλεια και την εμπιστευτικότητα των προσωπικών δεδομένων που επεξεργάζονται.
Τα μέσα που διασφαλίζουν την ακεραιότητα των δεδομένων (σκληρός δίσκος, μνήμη flash κ.λπ.), επιτρέπουν την αποθήκευση αντιγράφων ασφαλείας εκτός σύνδεσης, προκειμένου να προστατεύονται από κάθε κίνδυνο κυβερνοεπίθεσης.
Ποιες είναι οι υποχρεώσεις;
Ο ευρωπαϊκός κανονισμός για την προστασία των προσωπικών δεδομένων της 27ης Απριλίου 2016 ή RGPD (σε συνέχεια του νόμου για την πληροφορική και τις ελευθερίες της 6ης Ιανουαρίου 1978), ενίσχυσε την ευθύνη των φορέων που τα επεξεργάζονται. Ως επεξεργασία νοείται κάθε πράξη που αφορά προσωπικά δεδομένα, ανεξάρτητα από τη διαδικασία (συλλογή, καταχώρηση, διατήρηση, τροποποίηση, διάδοση, διαγραφή κ.λπ.) και το μέσο (χαρτί, ηλεκτρονικά) που χρησιμοποιείται, ενώ η επεξεργασία αφορά όλους τους ασθενείς του ιατρείου, τους υπαλλήλους, τους προμηθευτές ή άλλους επαγγελματίες υγείας.
Σύμφωνα με τον ΓΚΠΔ, ο ιατρός πρέπει να λάβει όλα τα μέτρα για να εγγυηθεί την εμπιστευτικότητα και να διαφυλάξει την ασφάλεια των προσωπικών δεδομένων που επεξεργάζεται στο ιατρείο του. Πρέπει να λάβει όλες τις προφυλάξεις για να αποφευχθεί η τροποποίηση, η καταστροφή ή η πρόσβαση σε αυτά από μη εξουσιοδοτημένα τρίτα μέρη. Εάν αποδειχθεί ότι τα μέτρα αυτά δεν έχουν ληφθεί, ο υπεύθυνος ιατρός μπορεί να υποβληθεί σε πειθαρχικές κυρώσεις. Επιπλέον, ο ασθενής έχει δικαιώματα σε σχέση με τα προσωπικά δεδομένα που συλλέγονται (πληροφόρηση, δικαίωμα πρόσβασης, διόρθωση, αντίρρηση, διαγραφή).
Ποια δεδομένα αφορούν και ειδικά στο ιατρείο;
Κάθε πληροφορία που αφορά ένα ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (όνομα, επώνυμο, ημερομηνία γέννησης, αριθμός ταυτότητας, αριθμός τηλεφώνου, εικόνα κ.λπ.), θεωρείται δεδομένο προσωπικού χαρακτήρα. Κάθε πληροφορία που αφορά την παρούσα, παρελθούσα ή μελλοντική σωματική ή ψυχική υγεία ενός ατόμου, θεωρείται δεδομένο προσωπικού χαρακτήρα σχετικά με την υγεία, ανεξάρτητα από την πηγή προέλευσής της: πληροφορίες που σχετίζονται με την ταυτοποίηση του ασθενούς,
αποτελέσματα εξετάσεων, ιατρικές πληροφορίες (ασθένεια, αναπηρία, κλινικά, θεραπευτικά, φυσιολογικά, βιολογικά δεδομένα). Στο ιατρείο καθημερινά δεχόσαστε τέτοια προσωπικά δεδομένα με μορφή ηλεκτρονικών και χειρόγραφων συνταγών, αιτημάτων ασθενών και ιστορικό ασθενών στο σύστημα διαχείρισης του ιατρείου.
Ψηφιακό και έντυπο
Η τάση για την ψηφιοποίηση των δεδομένων έχει επιταχυνθεί. Οι συνταγές και τα παραπεμπτικά έχουν γίνει άυλα, οι ασθενείς επικοινωνούν και μέσω social media, οι ηλεκτρονικές αναφορές υπάρχουν ολοένα και περισσότερο. Η ανάγκη για προστασία των δεδομένων έχει πολλαπλασιαστεί και είναι απαραίτητη για να διασφαλιστούν τα προσωπικά ιατρικά απόρρητα των ασθενών.
Τα αδύνατα σημεία
Αν και τα συστήματα διαχείρισης πληροφορικής και ψηφιακής επικοινωνίας είναι γενικά καλά ασφαλισμένα στα ιατρεία, μπορεί να συμβούν ατυχήματα (βλάβη σκληρού δίσκου, πυρκαγιά) που καθιστούν απρόσιτα τα αρχεία των ασθενών, ενώ μπορεί να παραμένουν κενά ασφαλείας που απειλούν την ακεραιότητα των δεδομένων. Η ηλεκτρονική αλληλογραφία και τα μη ασφαλή εργαλεία πληροφορικής είναι, για παράδειγμα, συχνά η «είσοδος» των χάκερ. Αρκετά συχνά επίσης παρατηρείται το φαινόμενο «phishing» όπου φαινομενικά αληθή email και links κρύβουν κακόβουλο λογισμικό . Εάν το ιατρείο δεν έχει αποθηκεύσει τα δεδομένα του, μπορεί να χάσει περιεχόμενο που είναι απαραίτητο για τη λειτουργία του.
Προστασία των προσωπικών δεδομένων
Πρέπει να υιοθετηθούν διάφορες συνήθειες και να εφαρμοστούν ορθές πρακτικές: ασφάλεια της πρόσβασης σε ψηφιακά δεδομένα (ισχυρή πιστοποίηση με κωδικό πρόσβασης, ατομικοί κωδικοί πρόσβασης, έλεγχος πρόσβασης μέσω ιστορικού κ.λπ.), ασφάλεια του δικτύου (firewall, antivirus, ενημέρωση και εκπαίδευση των συνεργατών σχετικά με τους κανόνες προστασίας των δεδομένων), φύλαξη των δεδομένων σε έντυπη μορφή σε κλειδωμένο χώρο, δημιουργία αντιγράφων ασφαλείας των ψηφιακών δεδομένων προκειμένου να αποκατασταθεί το σύστημα σε περίπτωση συμβάντος και αρχειοθέτησή τους για μακροπρόθεσμη φύλαξη (καταστροφή των αρχείων μετά την υποχρεωτική περίοδο φύλαξης
Περιγραφή της διαδικασίας ασφάλειας
Το ιατρείο πρέπει να τεκμηριώνει όλες τις διαδικασίες ασφάλειας των δεδομένων για να αποδείξει τη συμμόρφωσή του με τον ΓΚΠΔ και τον νόμο περί πληροφορικής και ελευθεριών:
· Να προσδιορίσει τα προσωπικά δεδομένα που χρησιμοποιούνται στο πλαίσιο της δραστηριότητάς του και να καταρτίσει κατάλογο των επεξεργασιών τους (χαρτογράφηση),
· Να καταγράψει και να περιγράψει τις επεξεργασίες αυτών των δεδομένων σε ένα μητρώο,
· Να θεσπίσει μια διαδικασία που επιτρέπει στα άτομα να έχουν πρόσβαση στα δεδομένα τους,
· Να καθορίσει τη διάρκεια διατήρησης και αρχειοθέτησης των δεδομένων μέσα από έναν ορισμένο υπεύθυνο διατήρησης προσωπικών δεδομένων.
Αντιμετώπιση περιστατικών
Σε περίπτωση κυβερνοεπίθεσης ή οποιουδήποτε περιστατικού ασφάλειας πληροφορικής, συνιστάται να αποσυνδέσετε το καλώδιο δικτύου ή να απενεργοποιήσετε το Wi-Fi, να μην απενεργοποιήσετε τον υπολογιστή (ώστε να είναι δυνατή η ανάλυση της επίθεσης) και να τον απομονώσετε από το δίκτυο του ιατρείου. Έπειτα σε συνεννόηση με τον πάροχο σας θα πρέπει να δείτε αν και τι αρχεία επηρεάστηκαν.
Έγγραφα και ιστότοποι που πρέπει να συμβουλευτείτε
Σε περίπτωση που χακαριστούν έγγραφα στο λογισμικό του φαρμακείου σας, πρέπει να απευθυνθείτε στους εξής φορείς:
Άμεσες Ενέργειες
1. Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ)
· Είναι υποχρεωτική η γνωστοποίηση της παραβίασης εντός 72 ωρών · Ιστοσελίδα: www.dpa.gr
· Τηλέφωνο: 210 6475600 · Email: contact@dpa.gr
2. Εθνική Αρχή Κυβερνοασφάλειας (ΕΑΚ)
· Για αναφορά κυβερνοεπιθέσεων · Ιστοσελίδα: www.ncsa.gr · Email: incidentreport@ncsa.gr
3. Αστυνομία – Δίωξη Ηλεκτρονικού Εγκλήματος
· Για υποβολή μήνυσης
· Τηλέφωνο: 11188
Επιπλέον Ενημέρωση
4. Πανελλήνιος Ιατρικός Σύλλογος (ΠΙΣ)
· Για καθοδήγηση και υποστήριξη
5. Τον πάροχο του λογισμικού σας
· Για τεχνική υποστήριξη και αποκατάσταση
6. Ασφαλιστική εταιρεία
· Αν έχετε ασφάλιση κυβερνοασφάλειας
Σημαντικό
Η έγκαιρη ειδοποίηση της ΑΠΔΠΧ είναι κρίσιμη για την αποφυγή προστίμων που μπορεί να φτάσουν έως 20 εκατ. ευρώ ή το 4% του ετήσιου τζίρου σύμφωνα με τον GDPR.
