ENISAn raportti alkaa, kun Euroopan komissio edistää tänä vuonna eurooppalaista terveysdata-avaruutta koskevaa aloitetta, jolla edistetään potilastietojen turvallista vaihtoa ja terveystietojen saatavuutta.
Covid-19-pandemia on korostanut tehokkaiden ja turvallisten digitaalisten terveydenhuoltopalvelujen kasvavaa tarvetta. Pilvipalveluratkaisut mahdollistavat tietojen sähköisen tallentamisen ja sähköisen viestinnän, kuten etälääketieteen, joustavan ja nopean käyttöönoton. Oikeusjärjestelmien ja uusien teknologioiden monimutkaisuus sekä huoli arkaluonteisten potilastietojen turvallisuudesta ovat kuitenkin hidastaneet terveydenhuoltoalan pilvipalvelujen käyttöönottoa.
Kertomuksessa käsitellään näitä huolenaiheita antamalla turvallisuusohjeita kolmelle pääalalle, joilla terveydenhuoltoala käyttää pilvipalveluja:
- Sähköiset terveystiedot eli järjestelmät, joissa keskitytään terveystietojen, kuten potilastietojen ja lääketieteellisten kokeiden tulosten, keräämiseen, tallentamiseen, hallintaan ja siirtämiseen;
- Etähoito, ts. etälääketieteen osajoukko, joka tukee potilas-lääkärin etäkäyntiä;
- Lääkinnälliset laitteet eli pilvipalvelut, joilla tuetaan lääkinnällisten laitteiden toimintaa, kuten lääkinnällisiä laitteita koskevien tietojen asettaminen eri sidosryhmien saataville tai laitteiden seuranta.
Raportissa tuodaan esiin kunkin käyttötapauksen osalta tärkeimmät tekijät, jotka on otettava huomioon, kun terveydenhuollon organisaatiot tekevät asiaankuuluvan riskinarvioinnin, esimerkiksi arkaluonteisiin potilastietoihin kohdistuvan riskin tai terveyspalvelun saatavuuden osalta. Nämä ohjeet ovat kuitenkin vasta ensimmäinen askel, jotta terveydenhuollon tarjoajat voivat sopeutua turvallisesti pilvipalveluihin. Tarvitaan lisää tukea, kuten alan vakiintuneita standardeja pilvipalvelujen turvallisuudesta, kansallisten ja EU:n viranomaisten erityissuuntauksia sekä tietosuojaviranomaisten lisäohjeita terveydenhuoltotietojen siirtämisestä pilvipalveluihin.
Mietinnössä ehdotetaan myös joukkoa turvatoimia, joita terveydenhuollon organisaatiot voivat toteuttaa suunnitellessaan siirtymistä pilvipalveluihin. Tällaisia toimenpiteitä ovat esimerkiksi turvapoikkeamien hallintaprosessien käyttöönotto, tietojen salausvaatimusten määrittely sekä tietojen siirrettävyyden ja yhteentoimivuuden varmistaminen. Toimenpiteitä ehdotetaan ottaen huomioon ehdotetun pilvipalveluja koskevan EU:n kyberturvallisuuden sertifiointijärjestelmän luonnos yhteensopivuuden ja vaatimusten kartoituksen varmistamiseksi. Viraston järjestelmäluonnos on osa kyberturvallisuuden sertifiointikehystä, jolla pyritään lisäämään luottamusta tieto- ja viestintätekniikan tuotteisiin, palveluihin ja prosesseihin kaikkialla Euroopassa. Ohjelmaluonnos on avoin julkiseen kuulemiseen 7. helmikuuta 2021 asti.