Het ENISA-verslag komt nu de Europese Commissie dit jaar vooruitgang boekt met het initiatief voor de Europese ruimte voor gezondheidsgegevens om de veilige uitwisseling van patiëntengegevens en de toegang tot gezondheidsgegevens te bevorderen.
De COVID-19-pandemie heeft duidelijk gemaakt dat er steeds meer behoefte is aan efficiënte en veilige digitale gezondheidsdiensten. Cloudoplossingen maken een flexibele en snelle uitrol mogelijk van de elektronische opslag van gegevens en van elektronische communicatie zoals telegeneeskunde. De complexiteit van rechtsstelsels en nieuwe technologieën en de bezorgdheid over de beveiliging van gevoelige patiëntgegevens hebben de zorgsector echter vertraagd bij de invoering van clouddiensten.
In het verslag worden deze problemen aangepakt door beveiligingsrichtsnoeren te verstrekken voor drie belangrijke gebieden waarop clouddiensten door de gezondheidszorgsector worden gebruikt, namelijk voor:
- Elektronisch gezondheidsregister (EMD), d.w.z. systemen die gericht zijn op het verzamelen, opslaan, beheren en doorgeven van gezondheidsgegevens, zoals patiënteninformatie en medische examenresultaten;
- Zorg op afstand, d.w.z. de subset van telegeneeskunde ter ondersteuning van patiënt- en doktersconsultaties op afstand;
- Medische hulpmiddelen, d.w.z. clouddiensten die de werking van medische hulpmiddelen ondersteunen, zoals het beschikbaar stellen van gegevens over medische hulpmiddelen aan verschillende belanghebbenden of voor de monitoring van hulpmiddelen.
Voor elk van deze gebruiksgevallen wordt in het verslag gewezen op de belangrijkste factoren waarmee rekening moet worden gehouden wanneer gezondheidszorgorganisaties de relevante risicobeoordeling uitvoeren — bijvoorbeeld wat betreft het risico voor gevoelige patiëntgegevens of de beschikbaarheid van een medische dienst. Deze richtsnoeren zijn echter slechts een eerste stap voor zorgaanbieders om zich veilig aan te passen aan de cloud. Er is meer steun nodig, zoals gevestigde industrienormen inzake cloudbeveiliging, specifieke richtsnoeren van nationale en EU-autoriteiten en verdere richtsnoeren van gegevensbeschermingsautoriteiten voor de overdracht van gezondheidsgegevens naar de cloud.
In het verslag wordt ook een reeks beveiligingsmaatregelen voorgesteld voor gezondheidszorgorganisaties die hun overschakeling naar clouddiensten plannen, zoals het vaststellen van processen voor incidentenbeheer, het vaststellen van vereisten voor gegevensversleuteling en het waarborgen van de overdraagbaarheid en interoperabiliteit van gegevens. Bij de voorgestelde maatregelen wordt rekening gehouden met het ontwerp van de potentiële EU-regeling voor cyberbeveiligingscertificering voor clouddiensten (EUCS) om de compatibiliteit en het in kaart brengen van de vereisten te waarborgen. De ontwerpregeling van het Agentschap maakt deel uit van het kader voor cyberbeveiligingscertificering dat het vertrouwen in ICT-producten, -diensten en -processen in heel Europa moet vergroten. De ontwerpregeling staat open voor openbare raadpleging tot en met 7 februari 2021.