Poročilo agencije ENISA je predstavljeno, ko Evropska komisija letos napreduje s pobudo za evropski zdravstveni podatkovni prostor za spodbujanje varne izmenjave podatkov pacientov in dostopa do zdravstvenih podatkov.
Pandemija COVID-19 je pokazala povečano potrebo po učinkovitih in varnih digitalnih zdravstvenih storitvah. Rešitve v oblaku omogočajo prožno in hitro uvedbo elektronskega shranjevanja podatkov in elektronskih komunikacij, kot je telemedicina. Vendar se je zaradi zapletenosti pravnih sistemov in novih tehnologij ter pomislekov glede varnosti občutljivih podatkov o pacientih zdravstveni sektor upočasnil pri sprejemanju storitev v oblaku.
Poročilo obravnava te pomisleke z zagotavljanjem varnostnih smernic za tri glavna področja, na katerih se storitve v oblaku uporabljajo v zdravstvenem sektorju, in sicer za:
- Elektronski zdravstveni zapis (EHR), tj. sistemi, ki se osredotočajo na zbiranje, shranjevanje, upravljanje in prenos zdravstvenih podatkov, kot so informacije o pacientih in rezultati zdravniških izpitov;
- Oskrba na daljavo, tj. podskupina telemedicine, ki podpira posvetovanja med pacientom in zdravnikom na daljavo;
- Medicinske pripomočke, tj. storitve v oblaku, ki podpirajo delovanje medicinskih pripomočkov, kot je dajanje podatkov o medicinskih pripomočkih na voljo različnim deležnikom ali za spremljanje pripomočkov.
V poročilu so za vsakega od teh primerov uporabe poudarjeni glavni dejavniki, ki jih je treba upoštevati pri izvajanju ustrezne ocene tveganja, na primer v smislu tveganja za občutljive podatke o pacientih ali razpoložljivosti zdravstvene storitve. Vendar so te smernice le prvi korak za izvajalce zdravstvenih storitev, da se varno prilagodijo oblaku. Potrebna je večja podpora, kot so uveljavljeni industrijski standardi za varnost v oblaku, posebna usmeritev nacionalnih organov in organov EU ter nadaljnje smernice organov za varstvo podatkov o prenosu zdravstvenih podatkov v oblak.
V poročilu je predlagan tudi sklop varnostnih ukrepov, ki jih morajo zdravstvene organizacije izvajati pri načrtovanju prehoda na storitve v oblaku, kot so vzpostavitev postopkov za obvladovanje incidentov, opredelitev zahtev za šifriranje podatkov ter zagotavljanje prenosljivosti podatkov in interoperabilnosti. Ukrepi so predlagani ob upoštevanju osnutka predloga certifikacijske sheme EU za kibernetsko varnost za storitve v oblaku (EUCS), da se zagotovita združljivost in evidentiranje zahtev. Osnutek sheme Agencije je del certifikacijskega okvira za kibernetsko varnost, katerega cilj je okrepiti zaupanje v izdelke, storitve in postopke IKT po vsej Evropi. Osnutek sheme je na voljo za javno posvetovanje do 7. februarja 2021.