Model usług chmurowych może mieć, i coraz częściej ma, szerokie zastosowanie w usługach medycznych. Może on zostać przykładowo wykorzystany w związku zawarciem umowy powierzenia przetwarzania danych osobowych przez podmiot wykonujący działalność leczniczą a podmiot zewnętrzny (dostawca rozwiązań IT). Rozwiązanie chmurowe może również zostać potencjalnie wykorzystane bez zawierania umowy powierzenia przetwarzania danych osobowych – zgodnie ze stanowiskiem GIODO – „jeżeli podmiot udostępniający system (serwer) nie posiada wiedzy co do rodzaju danych przetwarzanych w tym systemie i nie powierzono mu danych w myśl art. 31 ustawy, to podlega on postanowieniom art. 14 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną i jego odpowiedzialność za przetwarzane dane jest ograniczona zgodnie z art. 12–15 tej ustawy”[1].
Do niedawna dopuszczalność powierzenia przetwarzania danych osobowych medycznych w szczególności tych zawartych w dokumentacji medycznej – była kwestionowana przez GIODO, który wskazywał, że powierzenie przetwarzania danych osobowych medycznych nie jest możliwe w świetle zapisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta, stanowi bowiem naruszenie tajemnicy zawodowej osób wykonujących zawód medyczny.
W dniu 9 października 2015 r. Sejm przyjął ustawę o zmianie ustawy o systemie informacji w ochronie zdrowia i niektórych innych ustaw, która wprost dopuściła możliwość powierzenia przetwarzania danych osobowych zgodnie z art. 31 ustawy o ochronie danych osobowych podmiotowi zewnętrznemu, wprowadzając jednocześnie następujące warunki (art. 24 ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta):
- zapewnienie ochrony danych osobowych;
- zapewnienie możliwości kontroli prawidłowego przetwarzania danych osobowych;
- realizacja umowy powierzenia przetwarzania danych osobowych nie może zakłócać udzielania świadczeń zdrowotnych, w szczególności w zakresie zapewnienia bez zbędnej zwłoki dostępu do danych zawartych w dokumentacji medycznej.
Ustawa o ochronie danych osobowych stanowi, iż warunkiem powierzenia przetwarzania jest m.in. spełnienie wymogów określonych w art. 36–39 ustawy oraz wymogów ustanowionych w rozporządzeniu wydanym na podstawie art. 39a ustawy.
Rozporządzenie, o którym mowa w punkcie poprzednim, zawiera wymogi istotne z punktu widzenia możliwości wykorzystania rozwiązań chmurowych – w szczególności administrator danych zobowiązany jest do przygotowania i posiadania dokumentu zawierającego politykę bezpieczeństwa, w której znajdować się powinien w szczególności wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe, wykorzystywane oprogramowanie, sposób przepływu danych itp.[2]
Rozporządzenie w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania jest aktem szczególnym, określającym zasady przetwarzania danych medycznych. Zgodnie z § 25.1. zakończoną historię choroby lub kartę noworodka przekazuje się do komórki organizacyjnej właściwej do spraw dokumentacji chorych i statystyki medycznej. § 25 może budzić wątpliwości w kontekście outsourcingu dokumentacji medycznej. Zawiera on bowiem odniesienie do fizycznych miejsc znajdujących się w podmiocie wykonującym działalność leczniczą. Zgodnie z literalnym brzmieniem przepisu, dokumentacja medyczna, w tym także EDM, powinna fizycznie znajdować się w komórkach organizacyjnych wskazanych w tym przepisie.
Przywołane wyżej przepisy nie są precyzyjne, jeśli chodzi o możliwość przetwarzania danych medycznych poza obszarem placówki ochrony zdrowia – wprawdzie nowelizacja z 9 października 2015 r. dopuściła wprost możliwość outsourcingu danych, lecz jednocześnie zapisy innych aktów prawnych wprowadzają istotne ograniczenia w tym zakresie. O ile rozporządzenie w sprawie rodzajów i zakresu dokumentacji medycznej oraz sposobu jej przetwarzania może być interpretowane w oparciu o wykładnie celowościową i systemową w sposób , który dopuszcza przetwarzanie danych medycznych poza placówką ochrony zdrowia, o tyle § 4 rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, wymaga bezwzględnie wskazania miejsca i zasobów wykorzystywanych do przetwarzania danych osobowych, co w przypadku chmury publicznej jest często niemożliwe.
Ze względu na wskazany wyżej wymóg, większą kontrolę nad przetwarzaniem danych osobowych i mniejsze ryzyko związane z ujawnieniem bądź utratą danych medycznych, chmura prywatna jest rozwiązaniem z prawnego punktu widzenia bezpieczniejszym i tym samym jest rozwiązaniem rekomendowanym do przetwarzania danych medycznych. Należy również pamiętać, że chmura publiczna może nie zapewnić realizacji podstawowego wymogu dopuszczalności powierzenia przetwarzania danych medycznych, jakim jest zapewnienie stałego dostępu do danych medycznych – w przypadku utraty dostępu do sieci Internet, placówka medyczna może potencjalnie utracić, przynajmniej czasowo, dostęp do danych. Problem ten może być dużo mniej dotkliwy w przypadku korzystania z chmury prywatnej, którą tworzą zasoby znajdujące się wewnątrz organizacji.
Normy ISO
Międzynarodowa Organizacja Normalizacyjna (ISO) opublikowała 1 sierpnia 2014 r. standard ISO/IEC, który ma na celu ujednolicenie standardu bezpieczeństwa usług w chmurach obliczeniowych. W publikacjach dotyczących wykorzystywania chmur obliczeniowych zwraca się uwagę na kilka elementów. Po pierwsze, na różnorodność usług dostarczanych na życzenie użytkownika. Usługi te mogą obejmować dostarczanie oprogramowania, wirtualnego środowiska pracy, sprzętu, świadczenia związane z przechowywaniem danych, tworzeniem ich kopii zapasowych czy kopii bezpieczeństwa. Jednocześnie zwraca się uwagę na kwestie bezpieczeństwa, użyteczności oraz zapewnienia rozliczalności i dostępności danych. Niejednokrotnie bowiem użytkownik usługi nie zna lokalizacji danych ani parametrów sprzętu wykorzystywanego przy przetwarzaniu danych osobowych. Właśnie obawy i ryzyko związane z przetwarzaniem danych w chmurach obliczeniowych legły u podstaw normy ISO/IEC 27018.
Przestrzeganie normy ISO 27018 daje pewność, że poufność danych będzie chroniona na kilka różnych sposobów:
- Zachowanie kontroli nad własnymi danymi. Standard ISO 27018 gwarantuje przetwarzanie danych zgodnie z instrukcją otrzymaną od klienta.
- Informacja o przetwarzaniu danych. Zapewnienie zasad zwrotu, przesyłania i usuwania danych osobowych przechowywanych w centrach danych. Informacja o lokalizacji przechowywania danych oraz wskazywanie podmiotów, które uzyskują prawo dostępu do danych. Informowanie o przypadkach dostępu osób nieupoważnionych do danych osobowych oraz obiektów i sprzętu używanego do przetwarzania danych, jeżeli skutkują one utratą, ujawnieniem lub modyfikacją tych danych.
- Skuteczna ochrona danych. Norma ISO 27018 zapewnia różne istotne środki ochrony. Poprzez ograniczenia sposobów postępowania z danymi osobowymi, w tym ograniczenia ich przesyłania w sieciach publicznych i przechowywania na nośnikach przenośnych. Określone procesy odzyskiwania i przywracania danych. Standard wyznacza również obowiązek poufności wszystkich osób, które mają styczność z danymi.
- Niewykorzystywanie danych osobowych do celów reklamowych. Wyłączenie możliwości wykorzystywania danych zgromadzonych w chmurze do celów reklamowych.
- Informacja o dostępie organów państwowych do danych. Norma ta, o ile prawo tego nie zabrania, wymaga informowania o wnioskach organów państwowych o ujawnienie danych osobowych.
Chmury obliczeniowe są niewątpliwie rozwiązaniem bardzo atrakcyjnym. Jednocześnie z rozwiązaniami chmurowymi wiąże się szereg ryzyk prawnych. Ze względu na wskazane ryzyka, rekomendowaną technologią do przetwarzania danych medycznych jest technologia chmury prywatnej. Podmiot wykonujący działalność leczniczą, decydujący się na korzystanie z rozwiązań chmurowych, powinien zwracać uwagę na renomę dostawy rozwiązania IT i posiadanie przez niego stosownych norm ISO.
[1] GIODO, ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych, Wydawnictwo Sejmowe, Warszawa 2007
[2] § 4 rozporządzenia w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.