W minionym tygodniu miał miejsce 22. Międzynarodowy Kongres OSOZ „Innowacyjna Ochrona Zdrowia” (Innovative HealthCare Congress), który w dniach 4-5 kwietnia w Katowicach zgromadził kilkaset uczestników.
Miałam zaszczyt być jedną z prelegentek tego prestiżowego wydarzenia. W sesji Młodych Menadżerów Medycyny, Polskiej Federacji Szpitali oraz Polskiego Towarzystwa Koordynowanej Ochrony Zdrowia PTKOZ, poświęconej nowym technologiom w ochronie zdrowia, miałam przyjemność zabrać głos na temat cyberprzestępczości w ochronie zdrowia.
Cyberprzestępczość to nic innego jak przestępstwa komputerowe.
Specyfika przestępstw popełnianych za pomocą komputerów i Internetu zmienia się wraz z rozwojem technologii.
Haker
To osoba włamująca się do cudzych systemów komputerowych, po to by zdobyć dane, tajne informacje, wywołać chaos lub zakłócić działanie maszyny. Często przestępcy robią to dla żartu lub jest to forma protestu. Hakerzy mogą działać samodzielnie lub w zorganizowanych grupach.
Cyberprzestępczość w prawie karnym
Podstawowym aktem prawnym na którym opiera się walka z cyberprzestępczością w Polsce jest kodeks karny: rozdział XXXIII kodeksu karnego poświęcony jest przestępstwom przeciw informacji, np.:
- art. 190a§ 2 – podszywanie się pod inną osobę, fałszywe profile;
- art.267§ 1 – nieuprawnione uzyskanie informacji (hacking);
- art. 267§ 2 – podsłuch komputerowy (sniffing);
- art.268§ 2 – udaremnienie uzyskania informacji;
- art.269§ 1 i 2 – sabotaż komputerowy;
- art.269b – tzw. „narzędzia hackerskie”
- art.271 – handel fikcyjnymi kosztami
- art.268 – oszustwo popełniane za pośrednictwem internetu;
- art.287 – oszustwo komputerowe.
Warto, w tym miejscu również wspomnieć o ochronie praw autorskich i praw pokrewnych, które też w ramach zwalczania przestępczości gospodarczej wchodzą również w szeroko rozumianą przestępczość komputerową (ustawa o prawie autorskim i prawach pokrewnych).
e-dokumentacja e-recepty e-zwolnienia
Informatyzacja ochrony zdrowia, nie tylko zbliża nas do europejskich/światowych standardów, również ma charakter ułatwiający pracę i odbiurokratyzowanie czynności związanych z dokumentacją medyczną. Ale też niesie ze sobą walor ryzyka związanego z cyberprzestępczością.
Dane medyczne
Dane medyczne podlegają prawnej ochronie (ustawa o ochronie danych osobowych) i związane są z odpowiedzialnością prawną, zarówno podmiotów, które je gromadzą, udostępniają i przetwarzają oraz pracowników. Dokumentacja medyczna pacjenta zawiera szereg danych wrażliwych, nie tylko tych dotyczących historii choroby czy przebiegu procesu terapeutycznego. W przypadku pacjenta transplantacyjnego mogą to być także informacje o przebytych operacjach plastycznych, stosowanych preparatach typu botoks, czy nawet orientacja seksualna.
Rejestry w transplantologii
Poltransplant jest administratorem danych osobowych i prowadzi rejestry:
- Rejestr żywych dawców,
- Centralny rejestr sprzeciwów,
- Krajowa lista oczekujących na przeszczepienie,
- Centralny rejestr niespokrewnionych potencjalnych dawców szpiku i krwi pępowinowej,
- Rejestr przeszczepień.
Informacje zawarte w/w rejestrach niewątpliwie mogą stanowić zainteresowanie ze strony cyberprzestępców, którzy mogą działać pojedynczo lub w zorganizowanych grupach. Inwestowanie w bezpieczne systemy IT przez szpitale to nie tylko obowiązek, ale również minimalizowanie ryzyka, że szpital zostanie pozwany przez pacjenta bo nie zadbał o bezpieczeństwo jego danych medycznych, danych, które szpital przechowywał np. na gmailu. Niemniej śmiało można postawić tezę, iż poza zagrożeniem dla bezpieczeństwa danych medycznych są nie tylko cyberprzestępcy, ale pracownicy, którzy mają dostęp do tych danych, którzy świadomie lub nieświadomie mogą zawarte w nich informacje wykorzystać do celów nieuprawnionych.
Świadomość pacjentów
Żadne przepisy prawa nie nakładają na pacjentów obowiązku dbałości o informacje zawarte w dokumentacji medycznej. Niestety. Niestety bo wciąż zdecydowana większość pacjentów nie ma dostatecznej świadomości z zagrożeń i niekiedy nieodwracalnych konsekwencji, z powodu udostępniania np. skanów recept, historii choroby, opisów choroby w mediach społecznościowych do których ma dostęp każdy i nigdy nie wiemy, kto, jaki i kiedy zrobi użytek z informacji, które o sobie udostępniliśmy. Dlatego warto warto chronić swoją prywatność, zwłaszcza w obszarze sfery bardzo osobistej, a taką jest nasze zdrowie.
Niniejszy wpis, to tylko symboliczny zarys problematyki cyberprzestępczości w ochronie zdrowia, do której będę jeszcze wracać. Spragnionych wiedzy, zachęcam do lektury, której jestem współautorką: Ochrona danych medycznych osobowych, Wydawnictwo C.H. Beck, Warszawa 2016
{ 0 komentarze… dodaj teraz swój }