Zpráva agentury ENISA přichází s tím, jak Evropská komise letos postupuje v rámci iniciativy „Evropský prostor pro data z oblasti veřejného zdraví“ s cílem podpořit bezpečnou výměnu údajů o pacientech a přístup k údajům o zdravotním stavu.
Pandemie COVID-19 zdůraznila zvýšenou potřebu účinných a bezpečných digitálních zdravotnických služeb. Cloudová řešení umožňují flexibilní a rychlé zavádění elektronického ukládání dat a elektronických komunikací, jako je telemedicína. Složitost právních systémů a nových technologií, jakož i obavy ohledně bezpečnosti citlivých údajů o pacientech však zpomalily odvětví zdravotní péče při přijímání cloudových služeb.
Zpráva se těmito obavami zabývá tím, že poskytuje bezpečnostní pokyny pro tři hlavní oblasti, v nichž jsou cloudové služby využívány ve zdravotnictví, a to pro:
- Elektronické zdravotní záznamy (EHR), tj. systémy zaměřené na shromažďování, uchovávání, správu a přenos zdravotních údajů, jako jsou informace o pacientech a výsledky lékařských zkoušek;
- Péče na dálku, tj. podmnožina telemedicíny podporující konzultace mezi pacientem a lékařem na dálku;
- Zdravotnické prostředky, tj. cloudové služby podporující provoz zdravotnických prostředků, jako je zpřístupňování údajů o zdravotnických prostředcích různým zúčastněným stranám nebo pro monitorování prostředků.
U každého z těchto případů použití zpráva zdůrazňuje hlavní faktory, které je třeba vzít v úvahu, když zdravotnické organizace provádějí příslušné posouzení rizik – například pokud jde o riziko pro citlivé údaje o pacientech nebo dostupnost lékařské služby. Tyto pokyny jsou však pouze prvním krokem k tomu, aby se poskytovatelé zdravotní péče bezpečně přizpůsobili cloudu. Je zapotřebí větší podpory, jako jsou zavedené odvětvové normy pro bezpečnost cloud computingu, konkrétní pokyny ze strany vnitrostátních orgánů a orgánů EU a další pokyny orgánů pro ochranu údajů týkající se předávání údajů o zdravotní péči do cloudu.
Zpráva rovněž navrhuje soubor bezpečnostních opatření, která by zdravotnické organizace měly zavést při plánování svého přechodu na cloudové služby, jako je zavedení postupů pro řízení incidentů, definování požadavků na šifrování údajů a zajištění přenositelnosti a interoperability údajů. Opatření jsou navržena s ohledem na návrh systému certifikace kybernetické bezpečnosti EU v oblasti cloudových služeb (EUCS) s cílem zajistit mapování kompatibility a požadavků. Návrh systému agentury je součástí rámce pro certifikaci kybernetické bezpečnosti, jehož cílem je posílit důvěru v produkty, služby a procesy IKT v celé Evropě. Návrh režimu je otevřen k veřejné konzultaci do 7. února 2021.