„Dôvernosť vs. Dostupnosť“ v informatizácii zdravotníctva .
Vízia eHealth
Víziou eHealth je poskytnúť správne informácie, v správny čas, v správnej forme, na správnom mieste
vo všetkých etapách a procesoch starostlivosti o zdravie občanov.
Túto víziu si ale rôzne idealizujú zdravotníci a občania.
Predstava vízie z pohľadu zdravotníka Rýchlo a jednoducho mám všetky informácie: ► o každom mojom pacientovi, ► kdekoľvek som, ► na každom mnou používanom zariadení (počítač, tablet, mobil), ► pre mňa, aj celý zdravotný tím starajúci sa o pacienta. Technické naplnenie ideálu (čo najmenej obmedzení a zdržaní): ► Minimálne riadenie prístupu. ► Údaje sú v čitateľnej forme. ► Údaje sú centralizované na jednom mieste. ► Stačí kvalifikované poučenie pacienta. ► Všetci zdravotníci majú k celej databáze prístup. ► Odozva je okamžitá, dostupnosť je prvoradá, ...
Predstava vízie z pohľadu občana Všetky informácie o svojom zdraví mám pod kontrolou: ► Minimalizované zdravotné záznamy u lekárov. ► Nič nie je centralizované. ► Celkovú zdravotnú dokumentáciu mám len ja na svojom tokene (napr. čipovej karte), v šifrovanej podobe, so silnou autentizáciou. ► Ak lekár potrebuje moje zdravotné záznamy a ja to uznám za vhodné, vidí ich v čase poskytovania zdravotnej starostlivosti.
Technické naplnenie ideálu: ► Decentralizované riešenie. ► Dvojfaktorová autentizácia. ► Oddelenie klinických a identifikačných údajov. ► Silné riadenie prístupu, uplatňovaný princíp „Need to know“. ► Podrobné logovanie a nepretržitý bezpečnostný dohľad. ► Šifrovanie pri ukladaní aj prenose údajov, ... ► Odolnosť voči hackerom aj insiderom.
Je možný len jeden prístup k Dôvernosti?
Test na 3 prípadoch použitia (use cases)
■ 112 - pacient je v ohrození života, záchranár musí okamžite konať. Nemá čas a priestor na získavanie súhlasu pacienta na prístup k údajom, autentizovať sa kartou, čakať na siahodlhý zoznam zdravotných záznamov. Potrebuje okamžite len tzv. EDS (emergency data set), život zachraňujúce údaje. ■ Pacient má psychiatrické problémy, je dlhodobo liečený. Vie o tom celá nemocnica, potom to vie zamestnávateľ, celé mesto a nakoniec je to aj v bulvári. Nabudúce radšej k lekárovi nepôjde, jeho psychický stav sa výrazne zhoršil, nemocnicu čaká súdny spor. ■ Občan minimalizoval svoje zdravotné záznamy, ale má problém. Ide k lekárovi. Javí sa to byť komplikovaný zdravotný problém s možnými vážnymi dopadmi. Je znepokojený a má strach. Pre anamnézu a návrh ďalšieho postupu sú doterajšie zdravotné záznamy relevantné. Rád by ich poskytol, ale nemá čo poskytnúť. Ľutuje svoje minulé rozhodnutia.
Dôvernosť vs. Dostupnosť Východiská pri hľadaní kompromisu I.
■ Vážne obavy občanov o svoje zdravotné záznamy. ■ Bez adekvátnej bezpečnosti občan odmieta eHealth (pokiaľ nie je ■ ■
vážne chorý a eHealth mu môže naozaj pomôcť). Nechuť k centralizácii ľubovoľných osobných údajov. Veľké obmedzenia pri práci za účelom zachovania max. Dôvernosti môžu byť pre zdravotníka postačujúci dôvod na to, aby eHealth v svojej klinickej praxi odmietol.
Dôvernosť vs. Dostupnosť Východiská pri hľadaní kompromisu II.
■ Niektoré zdravotné záznamy sú aj dnes centralizované,
■ ■ ■
■
napr. v zdravotných poisťovniach, kde sú výkazy o poskytnutej ZS. IS poskytovateľov ZS sú väčšinou pripojené na internet s neznámou mierou zabezpečenia. Z pohľadu hackera je jednoduchšie viesť útok na dnešný IS ambulancie, ako na zabezpečené centrálne úložisko. Z pohľadu špičkového hackera - ak sú málo zabezpečené IS zdravotníkov pripojené na internet, ako keby už boli údaje centralizované. Bezpečnosť papierových zdravotných záznamov je na nízkej úrovni.
Bezpečnostné opatrenia pre Dôvernosť Východisko pre nastavenie úrovne „Dôvernosti“: navrhnúť riešenie tak, aby nebol možný únik zdravotných záznamov (z elektronických zdravotných knižiek občanov) ani v prípade komplotu administrátora s vonkajším útočníkom. Poznámka: ak lekár chce, vždy môže spôsobiť únik zdravotných záznamov ním ošetrovaných pacientov, to je zostatkové riziko.
Ako na to?
Koncept K+D Koncept K+D znamená striktné oddelenie klinických a identifikačných údajov (anglicky demographic data), ktoré sú naviac chránené šifrovaním aj pred administrátorom databázy. Dôsledky tohto rozdelenia: ►klinické údaje sami o sebe nie sú osobnými údajmi (nedajú sa priradiť ku konkrétnej osobe) a preto nie sú hrozbou pre občana. ►samotné identifikačné osobné údaje nepredstavujú zvýšené bezpečnostné riziko pre občana, nakoľko sú dostupné aj z iných zdrojov.
Požiadavky na implementáciu K+D (I.) Striktné oddelenie klinických a identifikačných údajov v čase ich zápisu do Národného zdravotníckeho IS, separátne databázy pre: ►Klinické – zdravotné údaje (K) ►Identifikačné osobné údaje - demographic (D) ►Prepojovaciu tabuľku Na prepojenie slúži sada bezvýznamových identifikátorov pridelených občanom ako prijímateľom zdravotnej starostlivosti (PrZS). Údaje potrebné na spojenie príslušných K a D sú chránené šifrovaním aj pred správcom databázy, šifrovacie kľúče sú v HSM.
Požiadavky na implementáciu K+D (II.) Minimalizácia miest výskytu spojených údajov (čo samozrejme predstavuje isté obmedzenie dostupnosti) Spojené údaje sú prístupné iba na oprávnené vyžiadanie, pričom: ►Vždy je šifrovaný identifikátor PrZS. ►Oprávnenosť je pred poskytnutím prepojovacej informácie verifikovaná voči digitálne podpísaným temporárnym bezpečnostným atribútom, viazaným na silnú autentizáciu koncového užívateľa. Silná autentizácia vyžaduje, aby mal užívateľ pri sebe token. Z hľadiska BCP je zaujímavá otázka, čo ak token nemá (stratil ho, zabudol, je poškodený).
Dôsledky implementácie K+D
■ Na ľubovoľnom komponente NZIS (v rámci projektu Elektronické služby zdravotníctva - ESZ) ► Nie je možné ani administrátorom daného komponentu získať prístup k zdravotným údajom určitého občana. ► Nenachádzajú sa, a to ani dočasne, spojené a čitateľné údaje.
■ Nikdy sa neprenášajú spojené a čitateľné údaje.
■ Je prakticky nemožné pri chybe komponentov poskytujúcich rozhranie ESZ získať neoprávnený prístup k údajom - vnútorné komponenty ESZ bez platných autorizačných údajov podpísaných oprávnenou koncovou osobou nesprístupnia mapovanie ani komponentom ESZ tvoriacim rozhranie (reluctance to trust).
Ďalšie bezpečnostné mechanizmy I.
■ Dodávateľ ■
od okamihu, kedy sa v databázach objavia osobné údaje, nemá prístup ku komponentom ESZ a ani ich neinštaluje. Striktne presadzovaná a pravidelne overovaná bezpečnostná politika, napr. ► Segregácia rolí. ► Pravidelné analýzy rizík. ► Plánovanie kontinuity činností. ► Manažment bezpečnostných incidentov.
■ Mechanizmy na prevenciu spúšťania neautorizovaných
■
programov. Automatická verifikácia stavu systému, vrátane použitia kryptografických odtlačkov.
Ďalšie bezpečnostné mechanizmy II.
■ Ochrana kryptografických kľúčov špeciálnymi HSM modulmi. ■ Kritické komponenty prechádzajú revíziou kódu a obsahujú mechanizmy na ochranu pred lokálnym administrátorom. ■ Pracoviská administrátorov sú na báze tenkých klientov. ■ Bezpečnostný monitoring v rámci bezpečnostného dohľadového centra NCZI nad všetkými vrstvami a komponentmi. ■ Používanie šifrovania pri prenose a ukladaní dát.
eHealth a odoberanie orgánov Obľúbená téma v diskusiách o eHealth. Ako je to naozaj?
■ Keď sa vyberá vhodný darca orgánov, je potrebné mať o ňom čo najviac
■
■ ■
špecifických informácií – príbuznosť s príjemcom, zdravotný stav a najmä údaje o znášanlivosti medzi darcom a príjemcom (histokompatibilita), prípadne genetické informácie o darcovi. Za neznášanlivosť orgánov pri transplantáciách zodpovedajú najmä antigény hlavného histokompatibilného systému (MHC = major histocompatibility complex). MHC tvorí skupina génov, ktorých produktami sú membránové glykoproteíny (MHC molekuly I. a II. triedy) charakteristické a jedinečné pre každého človeka (rozpoznávacie glykoproteíny, vlastné antigény). Čím sú menšie rozdiely v antigénoch MHC darcu a príjemcu, tým väčšia šanca na úspech transplantácie. V zdravotnej knižke nebudú žiadne údaje o MHC, ani ďalšie údaje, ktoré by ma mohli identifikovať ako vhodného darcu. V zdravotnej knižke sú údaje o chorobách, teda fakty znevýhodňujúce ma ako darcu.
Zhrnutie na záver
■ V rámci slovenského eHealth je kladený osobitný dôraz na zabezpečenie
■ ■
„Dôvernosti“ osobných údajov občanov (zdravotných záznamov), aj keď je to občas na úkor „Dostupnosti“ v rámci práce zdravotníka. ► Je to nutné pre akceptáciu eHealth občanmi, ktorí chcú mať vysokú mieru záruky, že ich zdravotné záznamy neuvidí neoprávnený subjekt. Navrhnuté a následne implementované bezpečnostné mechanizmy sú silnejšie ako v bankovom sektore alebo iných oblastiach eGovernmentu. Najslabším ohnivkom ostáva stále človek. Ak sa rozhodne oprávnená osoba (ošetrujúci lekár) narušiť dôvernosť zdravotných záznamov, tak to učiní. To môže aj teraz. ► Ale o prístupoch aj oprávnených osôb budú vedené logovacie záznamy, čo zvyšuje bezpečnosť oproti terajšiemu stavu. ► IS poskytovateľov ZS, ktoré budú zapájané do NZIS, prejdú procesom certifikácie.
