Hlavní navigace

Ochrana dat pacientů v ČR: pravidla jsou přísná, realita zatím pokulhává

Petr Kajzar

Naše nejcitlivější informace se prodírají do digitálního světa. A jsou lákavé: za první čtvrtletí tohoto roku v USA unikly záznamy cca 1,5 milionů pacientů. Jak jsme na tom aktuálně s ochranou dat pacientů v ČR?

Prakticky všechny nemocnice a velká část ambulantních lékařů vede svou zdravotní dokumentaci v kombinované podobě, tj. papírově i elektronicky. Na pevných discích lékařů tedy naleznete své zdravotní záznamy, předepsané léky, zdravotní potíže, záznamy o užívání drog a alkoholu a další pikantnosti. Elektronická dokumentace je bezesporu prostředek k mnohem bezpečnější a efektivnější péči o pacienty. Ale zároveň s významnými, nezpochybnitelnými a nenahraditelnými přínosy pro diagnostiku a léčbu s sebou elektronická zdravotní dokumentace nese i obrovská rizika pro naše soukromí.

Poskytnutí osobních údajů u lékaře probíhá úplně jinak, než jsme zvyklí z internetového prostředí. Na webu si obvykle prostudujete (nebo snad alespoň promyslíte) podmínky, komu, za jakým účelem a jaká data poskytujete. Pokud se vám podmínky nezamlouvají předem, žádné údaje neposkytnete. A pokud si své rozhodnutí založit si účet rozmyslíte, máte zákonnou možnost svůj souhlas změnit nebo odvolat.

V medicíně to funguje úplně jinak. Vztah s poskytovatelem zdravotní péče je tak trochu asymetrický: pokud chcete pomoci se svým zdravotním problémem, základní data poskytnout musíte. Pokud neprozradíte vše, nebo úmyslně některé informace pozměníte, riskujete nesprávný postup diagnostiky a nevyhovující léčbu. Svoji identitu také neschováte: u každého lékaře máte uvedeno své rodné číslo a základní osobní údaje. A svůj „digitální“ účet rozhodně nemáte pod kontrolou, nevíte, jak je zabezpečen, jestli je šifrován, kdo k němu má přístup, jestli není přístupný ze sítě a podobně.

Dokud se používala pouze papírová dokumentace, lékař musel zajistit fyzickou bezpečnost své kartotéky – zavíral okna a zamykal dveře. Jenže: předání důležitých údajů specialistům nebo nemocnicím, kontrola dokumentace nebo předepsaných léků, hlídání alergií a očkování, vykazování péče – vše v papírové podobě trpělo chybami, které se nepříznivě podepisovaly na kvalitě péče.

Elektronická dokumentace umožňuje pečlivější a bezpečnější vedení zdravotních záznamů. Nicméně její zabezpečení již běžný lékař a zdravotní sestra sami nezvládnou. Fyzickou bezpečnost mohou provozovat dále, ale kyberbezpečnost už bývá pro laiky tvrdý oříšek. Není možné po samotném zdravotnickém personálu požadovat absolutní bezpečnost našich dat, nicméně můžeme vyžadovat spolupráci s profesionály v oblasti IT bezpečnosti a tím ochranu svých dat vylepšit.

Důvody ochrany dat

Proč by se měla data pacientů chránit? Otázka vypadá jako řečnická a má jasnou odpověď, ale zkusíme prozkoumat reálné (rozumějte písemné) pilíře kyberbezpečnosti ve zdravotnictví. Základní důvody ochrany dat jsou dva, jednak etické a morální a jednak legislativní. Pojďme se podívat, odkud právo na ochranu pacientských dat vychází (pozor, nejsem právník, takže mé formulace můžete brát s rezervou).

Důvody etické a morální

Ochranu dat pacientů v elektronické podobě prezentuje již Etický kodex „Práva pacientů“ v bodě 6:

Pacient má právo očekávat, že veškeré zprávy a záznamy týkající se jeho léčby jsou považovány za důvěrné. Ochrana informací o nemocném musí být zajištěna i v případech počítačového zpracování.

Svůj bod o ochraně citlivých údajů má i Listina základních práv a svobod v článku 10, bod 3:

Každý má právo na ochranu před neoprávněným shromažďováním, zveřejňováním nebo jiným zneužíváním údajů o své osobě.

Česká lékařská komora zmiňuje ochranu dat jako povinnost lékaře ve Stavovském předpisu č. 10, §2, bod 11:

Lékař je povinen při výkonu povolání vést a uchovávat řádnou dokumentaci písemnou nebo jinou formou. Ve všech případech je nutná přiměřená ochrana znemožňující změnu, zničení nebo zneužití.

A nakonec zde máme Evropskou chartu práv pacientů – bod 6:

Každý jedinec má právo na ochranu osobních údajů včetně informací týkajících se jeho zdravotního stavu, možných diagnostických nebo léčebných metod, stejně jako na ochranu soukromí během výkonu diagnostických vyšetření, návštěvy u odborného lékaře, lékařského ošetření a chirurgického zákroku všeobecně.

Důvody legislativní

Legislativní smršť můžeme zahájit §28 zákona 372/2011 Sb. (zákon o zdravotních službách), který definuje právo na respektování soukromí při poskytování zdravotních služeb.

Samozřejmostí je zákon 101/2000 Sb. (zákon o ochraně osobních údajů), kde v §9 čteme:

Citlivé údaje je možné zpracovávat, jen jestliže: c) se jedná o zpracování při poskytování zdravotních služeb, ochrany veřejného zdraví, zdravotního pojištění a výkon státní správy v oblasti zdravotnictví podle zvláštního zákona nebo se jedná o posuzování zdravotního stavu v jiných případech stanovených zvláštním zákonem.

Paragraf §10 stejného zákona upozorňuje:

Při zpracování osobních údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů.

A předání údajů do jiných států se zabývá ještě §27 (volně upraveno):

Předání osobních údajů může být uskutečněno, jestliže správce prokáže, že je předání nezbytné pro ochranu práv nebo životně důležitých zájmů subjektu údajů, zejména pro záchranu života nebo pro poskytnutí zdravotních služeb. Před předáním osobních údajů do třetích zemí je správce povinen požádat Úřad o povolení k předání.

Evropská legislativa má takzvanou Data Protection Directive, směrnici Evropského parlamentu a rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. (Tedy než ji za rok v našich vodách zcela nahradí General Data Protection Regulation.) Všimněte si kromě jiného i úryvku z článku 17, který hezky definuje, že bezpečnost nemusí být absolutní (neboť absolutní bezpečnosti dat docílit z principu věci nelze), ale měli bychom se snažit dosáhnout alespoň přiměřené úrovně bezpečnosti dat.

Článek 8:
(1) Členské státy zakáží zpracování osobních údajů, které odhalují rasový či etnický původ, politické názory, náboženské nebo filozofické přesvědčení, odborovou příslušnost, jakož i zpracování údajů týkajících se zdraví a sexuálního života.
(3) Odstavec 1 se nepoužije, je-li zpracování údajů nezbytné pro účely zdravotní prevence, lékařských diagnóz, lékařské péče a ošetřování nebo správy zdravotnických služeb a pokud tyto údaje zpracovává odborný zdravotnický pracovník, který je na základě vnitrostátního práva nebo právních předpisů přijatých příslušnými vnitrostátními orgány vázán povinností zachovávat profesní tajemství, nebo jiná osoba rovněž podléhající obdobné povinnosti mlčenlivosti.
Článek 17 – Bezpečnost zpracování
(1) Členské státy stanoví, že správce musí přijmout vhodná technická a organizační opatření na ochranu osobních údajů proti náhodnému nebo nedovolenému zničení, náhodné ztrátě, úpravám, neoprávněnému sdělování nebo přístupu, zejména pokud zpracování zahrnuje předávání údajů v síti, jakož i proti jakékoli jiné podobě nedovoleného zpracování.
Tato opatření mají zajistit, s ohledem na stav techniky a na náklady na jejich provedení, přiměřenou úroveň bezpečnosti odpovídající rizikům vyplývajícím ze zpracování údajů a z povahy údajů, které mají být chráněny.

V ČR se ochranou dat v elektronicky vedené dokumentaci zabývá vyhláška 98/2012 Sb. o zdravotnické dokumentaci v paragrafu 6:

(2) Technické prostředky pro vedení zdravotnické dokumentace v elektronické podobě zaručí
a) zabezpečení výpočetní techniky softwarovými a hardwarovými prostředky před přístupem neoprávněných osob ke zdravotnické dokumentaci a
b) vedení evidence všech přístupů ke zdravotnické dokumentaci včetně jejich oprav, změn a mazání.

A hrůznými tresty vyhrožuje zákon 40/2009 Sb. (trestní zákoník) v paragrafu §180 – Neoprávněné nakládání s osobními údaji:

(2) Stejně (tj. odnětím svobody až na tři léta nebo zákazem činnosti) bude potrestán, kdo, byť i z nedbalosti, poruší státem uloženou nebo uznanou povinnost mlčenlivosti tím, že neoprávněně zveřejní, sdělí nebo zpřístupní třetí osobě osobní údaje získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce, a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají.

Stav v ČR: nová strategie

Loni byla schválena Nová strategie elektronického zdravotnictví, která má (kromě jiného) do bezpečnosti dat pacientů vnést trochu pořádku. Jde zatím jen o strategii, nikoli o realitu, nicméně můžeme se na její teze o bezpečnosti dat podívat podrobněji.

Na počátku celé infrastruktury musí být jasná identifikace, autentizace a autorizace zdravotnických pracovníků. Dosud jsou zdravotničtí pracovníci identifikováni uživatelským jménem a heslem ve svém vlastním informačním systému (a tam záleží, jak si to nastaví sami, nebo jak jim to nastaví IT pracovník). Zatím nefunguje centrální služba, která by na základě přihlašovacích údajů s dostatečnou bezpečností (např. ID karta, certifikát, USB token) dokázala jednoznačně identifikovat zdravotníka a stupeň jeho vzdělání a tím úroveň přístupu k údajům.

Základem je zprovoznění autoritativních zdrojů dat – Národního registru zdravotnických pracovníků (NRZP) a Národního registru poskytovatelů zdravotních služeb (NRPZS). Tím se umožní získat informace o konkrétním zdravotnickém pracovníkovi a poskytovateli zdravotních služeb a definovat mu na základě toho rozsah oprávnění v systému elektronického zdravotnictví. Nová strategie chce zajistit důvěryhodnou komunikaci pomocí eGovernmentu dle směrnice eIDAS.

Dalším bodem je komunikace. Spousta lékařů nyní komunikuje „nebezpečnými“ prostředky: nejčastěji poštou nebo mailem. Tyto komunikační kanály představují obrovské riziko úniku dat, koneckonců jsou známy případy úniků dat z e-mailových schránek nebo i z poštovních obálek (ano, to je realita i u nás v ČR).

Proto je podle nové strategie nutné vybudovat bezpečnou komunikační infrastrukturu zajišťující výměnu zdravotnických informací a využívání služeb elektronického zdravotnictví. Jednak umožní jednoznačnou identifikaci komunikujících stran, a jednak zajistí bezpečný přenos zpráv a souborů, včetně bezpečného přenosu obrazové dokumentace.

V úvodu jsme přirovnávali návštěvu lékaře k založení účtu u webové služby. Nová strategie chce i tuto oblast narovnat, aby vztah pacient-lékař nebyl v úrovni předávání osobních údajů tak asymetrický jako dosud.

Pacient by měl podle nové strategie mít svobodný přístup k zdravotnické dokumentaci o něm vedené, naopak poskytovatel zdravotních služeb by měl být za vedení zdravotnické dokumentace plně odpovědný. Pacient by měl mít právo se svobodně rozhodnout o rozsahu sdílení jeho elektronické zdravotnické dokumentace nad legislativní rámec a o vedení jeho sdíleného elektronického zdravotního záznamu. A každý by měl mít možnost volby, zda zpřístupnit svou zdravotnickou dokumentaci a elektronické zdravotní záznamy třetí osobě. Všechny tyto body vlastně přibližují vedení elektronické dokumentace tomu, co známe z webových služeb: alespoň částečná kontrola toho, kde se naše data pohybují a kdo k nim může mít přístup.

Víte, že…

  • všechny nemocnice v ČR již mají určitou část dokumentace v elektronické podobě?
  • vyčleněný specialista pro oblast IT bezpečnosti je v nemocnicích ojedinělou raritou?
  • data v nemocničních informačních systémech jsou v drtivé většině případů ukládána i přenášena v nešifrované podobě?
  • spolupracující lékaři si většinou části dokumentace zasílají mailem nebo poštou, což představuje obrovské riziko ztráty nebo zneužití dokumentace a údajů v ní uvedených?
  • do nemocniční sítě se hacker může dostat i přes špatně zabezpečený zdravotnický přístroj, který je připojen k internetu?
  • většina zdravotnických pracovníků nemá správně nastavená práva v systému, a proto dochází ke sdílení přihlašovacích údajů mezi lékaři a zdravotními sestrami?
  • se můžete svého lékaře zeptat, jak zabezpečil vaše data? Pravděpodobně vám neodpoví, ale můžete mu poradit, ať se poradí s odborníky a nenastavuje si počítač sám – pomůžete tím vylepšit bezpečnost dat.
  • pokud bude realizována nová strategie, umožní (kromě jiného) lépe zabezpečit vaše data? Stačí sledovat dění a třeba se to pokusit ovlivnit.
Našli jste v článku chybu?
3. 4. 2017 6:31

Byl jsem v stomatologické ambulanci v jedné nejmenované krajské nemocnici v ČR. Chtěli po mě rentgenový snímek, dle instrukcí mého zubního lékaře jsem jim ho dal na flashce. Docela by mě zajímalo, co by dělali, kdybych jim k tomu přibalil nějaký ransomware nebo jiný virus.

3. 4. 2017 12:20

ano, výsledek je stejný, ale třeba o tříštivé zlomenině by se nikdo nedozvěděl a ty bys mohl mít problémy s pohybem nadosmrti.

Chirurg na ambulanci je často ten stejný chirurg, který do tebe vrtá skalpelem a je to právě on, kdo snímky čte nejlépe. Není snadné přečíst rentgen a ta praxe se získává desítky let, měj trochu pochopení.