Enisas rapport läggs fram när Europeiska kommissionen i år går vidare med det europeiska hälsodataområdet för att främja ett säkert utbyte av patientuppgifter och tillgång till hälsodata.
Covid-19-pandemin har visat på ett ökat behov av effektiva – och säkra – digitala hälso- och sjukvårdstjänster. Molnlösningar möjliggör ett flexibelt och snabbt införande av elektronisk lagring av data och av elektronisk kommunikation såsom telemedicin. Komplexiteten i rättssystemen och den nya tekniken, liksom oron över säkerheten för känsliga patientuppgifter, har dock bromsat hälso- och sjukvårdssektorn när det gäller att införa molntjänster.
Rapporten tar upp dessa farhågor genom att tillhandahålla säkerhetsriktlinjer för tre huvudområden där molntjänster används av hälso- och sjukvårdssektorn, nämligen
- Elektroniska patientjournaler, dvs. system som fokuserar på insamling, lagring, hantering och överföring av hälsodata, såsom patientinformation och resultat av läkarprov.
- Distansvård, dvs. den undergrupp av telemedicin som stöder läkarbesök på distans mellan patienter och läkare.
- Medicintekniska produkter, dvs. molntjänster som stöder driften av medicintekniska produkter, såsom att göra data om medicintekniska produkter tillgängliga för olika intressenter eller för produktövervakning.
För vart och ett av dessa användningsfall belyser rapporten de viktigaste faktorer som ska beaktas när hälso- och sjukvårdsorganisationer genomför den relevanta riskbedömningen – till exempel när det gäller risken för känsliga patientuppgifter eller tillgången till en medicinsk tjänst. Dessa riktlinjer är dock bara ett första steg för vårdgivarna att på ett säkert sätt anpassa sig till molnet. Det behövs mer stöd, såsom etablerade branschstandarder för molnsäkerhet, särskild vägledning från nationella myndigheter och EU-myndigheter och ytterligare riktlinjer från dataskyddsmyndigheter om överföring av hälso- och sjukvårdsuppgifter till molnet.
I rapporten föreslås också en uppsättning säkerhetsåtgärder som hälso- och sjukvårdsorganisationer ska vidta när de planerar sin övergång till molntjänster, såsom att inrätta processer för incidenthantering, fastställa datakrypteringskrav och säkerställa dataportabilitet och interoperabilitet. Åtgärderna föreslås med beaktande av utkastet till EU:s system för cybersäkerhetscertifiering för molntjänster (EUCS) för att säkerställa kompatibilitet och kartläggning av krav. Byråns förslag till system är en del av ramen för cybersäkerhetscertifiering som syftar till att öka förtroendet för IKT-produkter, IKT-tjänster och IKT-processer i hela Europa. Förslaget är öppet för offentligt samråd till och med den 7 februari 2021.