Kada pacijent ode liječniku, on ne predaje samo zdravstvenu iskaznicu, nego i dio svoje privatnosti. U tom odnosu nalaze se podaci koje većina ljudi ne dijeli javno: pregled, nalaz, terapija, račun, osiguranje, ime specijalista ili razlog zbog kojeg je potražena pomoć. Zato krađa zdravstvenih podataka nije običan tehnički problem, nego ozbiljno pitanje povjerenja između građana i sustava.
Piše: Zoran Hardi, stručnjak za računalnu sigurnost i umjetnu inteligenciju
Nedavni slučaj iz Njemačke pokazao je koliko je taj rizik stvaran. Podaci velikog broja pacijenata kompromitirani su preko vanjskog pružatelja usluga koji je radio medicinsku naplatu. Prema dostupnim informacijama, liječenje nije bilo zaustavljeno i glavni bolnički sustavi nisu bili izravno pogođeni, ali su osobni, obračunski, a u dijelu slučajeva i zdravstveni podaci izašli iz sigurnog okruženja. Za pacijenta je to najvažniji dio priče, jer njemu nije presudno gdje je nastao propust, nego što se dogodilo s njegovim podacima.
Slična upozorenja u Njemačkoj viđali smo i ranijih godina. Bilo je slučajeva u kojima su cyber napadi remetili rad bolnica, dovodili do preusmjeravanja hitnih pacijenata ili prisiljavali ustanove da privremeno isključe dijelove svojih sustava. Najnoviji primjer pokazuje i drugu stranu problema: sustav može nastaviti raditi, a šteta se ipak može dogoditi kroz administraciju, obračune ili vanjske partnere koji obrađuju osjetljive informacije.
Upravo tu se nalazi najveći izazov digitalnog zdravstva. Pacijent vidi liječnika, bolnicu, osiguranje i račun, ali ne vidi cijeli put kojim njegovi podaci prolaze. Iza jednog pregleda često stoje softverske tvrtke, obračunske službe, arhive, laboratoriji i drugi partneri. Ako se zdravstveni podaci kreću kroz toliko ruku, onda zaštita mora biti jednako snažna na svakoj točki tog puta.
Zdravstveni podatak ne mora uvijek biti puna dijagnoza da bi bio osjetljiv. I račun može otkriti kod kojeg je specijalista osoba bila, kada je obavila pregled i koja je usluga naplaćena. Kada se takve informacije povežu s imenom, adresom, datumom rođenja ili podacima o plaćanju, dobiva se slika privatnog života koju nitko ne bi smio imati bez jasnog razloga.
Zato je potrebna jača zaštita i stroža zakonska regulativa za sve koji obrađuju senzibilne podatke.
Nije dovoljno da postoje opća pravila i ugovori između ustanova i vanjskih partnera. Mora se jasno znati tko ima pristup podacima, zašto ga ima, koliko se dugo podaci čuvaju, kada se brišu i kako se štite. Vanjski partner koji obrađuje zdravstvene podatke mora imati jednaku razinu odgovornosti kao i sustav za koji radi.
Neke države već su otišle korak dalje. U pojedinim sustavima pacijent može vidjeti tko je pristupao njegovim zdravstvenim podacima. Drugdje se tvrtke koje čuvaju takve podatke moraju posebno certificirati. U nekim zdravstvenim sustavima sigurnosne provjere nisu stvar dobre volje, nego uvjet za rad s podacima pacijenata. To su primjeri koji pokazuju da zaštita ne mora ostati samo na papiru.
Digitalno zdravstvo donosi brže nalaze, jednostavniju komunikaciju i manje papirologije, ali s tim mora doći i veća sigurnost. Ako se od građana očekuje da vjeruju digitalnim zdravstvenim uslugama, onda se od svih koji obrađuju njihove podatke mora tražiti najviša razina zaštite.
Zdravstveni podaci nisu obična administracija. Oni govore o čovjeku u trenucima kada je najosjetljiviji, i zato moraju biti čuvani pažljivije, strože i odgovornije nego većina drugih podataka u digitalnom sustavu.
Fenix-magazin/SČ/Zoran Hardi
