Sprawozdanie ENISA pojawia się wraz z postępem Komisji Europejskiej w tym roku w ramach europejskiej przestrzeni danych dotyczących zdrowia w celu promowania bezpiecznej wymiany danych pacjentów i dostępu do danych dotyczących zdrowia.
Pandemia COVID-19 uwypukliła rosnące zapotrzebowanie na wydajne i bezpieczne cyfrowe usługi opieki zdrowotnej. Rozwiązania w chmurze umożliwiają elastyczne i szybkie wdrożenie elektronicznego przechowywania danych i łączności elektronicznej, np. telemedycyny. Złożoność systemów prawnych i nowych technologii, a także obawy dotyczące bezpieczeństwa wrażliwych danych pacjentów spowolniły jednak sektor opieki zdrowotnej w przyjmowaniu usług w chmurze.
W sprawozdaniu uwzględniono te obawy, przedstawiając wytyczne dotyczące bezpieczeństwa dla trzech głównych obszarów, w których sektor opieki zdrowotnej korzysta z usług w chmurze, a mianowicie w odniesieniu do:
- Elektroniczna dokumentacja medyczna (EHR), tj. systemy skupiające się na gromadzeniu i przechowywaniu danych dotyczących zdrowia, zarządzaniu nimi i ich przekazywaniu, takie jak informacje dla pacjentów i wyniki badań lekarskich;
- Opieka zdalna, tj. podzbiór telemedycyny wspierającej zdalne konsultacje między pacjentem a lekarzem;
- Wyroby medyczne, tj. usługi w chmurze wspierające działanie wyrobów medycznych, takie jak udostępnianie danych dotyczących wyrobów medycznych różnym zainteresowanym stronom lub monitorowanie wyrobów.
W odniesieniu do każdego z tych przypadków użycia w sprawozdaniu podkreślono główne czynniki, które należy wziąć pod uwagę przy przeprowadzaniu przez instytucje opieki zdrowotnej odpowiedniej oceny ryzyka – na przykład pod względem ryzyka dla wrażliwych danych pacjentów lub dostępności służby medycznej. Wytyczne te stanowią jednak dla świadczeniodawców tylko pierwszy krok w kierunku bezpiecznego dostosowania się do chmury obliczeniowej. Potrzebne jest większe wsparcie, takie jak ustalone normy branżowe w zakresie bezpieczeństwa przetwarzania w chmurze, konkretne wytyczne ze strony organów krajowych i unijnych oraz dalsze wytyczne organów ochrony danych dotyczące przekazywania danych dotyczących opieki zdrowotnej do chmury obliczeniowej.
W sprawozdaniu zaproponowano również zestaw środków bezpieczeństwa, które organizacje opieki zdrowotnej powinny wdrożyć podczas planowania przejścia na usługi w chmurze, takie jak ustanowienie procesów zarządzania incydentami, określenie wymogów dotyczących szyfrowania danych oraz zapewnienie możliwości przenoszenia i interoperacyjności danych. Środki te proponuje się z uwzględnieniem projektu kandydującego unijnego systemu certyfikacji cyberbezpieczeństwa w zakresie usług w chmurze (EUCS) w celu zapewnienia zgodności i mapowania wymogów. Projekt programu Agencji stanowi część ram certyfikacji cyberbezpieczeństwa mających na celu zwiększenie zaufania do produktów, usług i procesów ICT w całej Europie. Projekt programu jest przedmiotem konsultacji publicznych do dnia 7 lutego 2021 r.