Ζητήµατα Ασφάλειας στις Ηλεκτρονικές Υπηρεσίες Υγείας

Transcript

1 Ζητήµατα Ασφάλειας στις Ηλεκτρονικές Υπηρεσίες Υγείας Σωκράτης Κ. Κάτσικας

2 Ασφάλεια σηµαίνει Προστασία της εµπιστευτικότητας (confidentiality) των πληροφοριών Προστασία της ακεραιότητας (integrity) των πληροφοριών Προστασία της διαθεσιµότητας (availability) των πληροφοριών

3 Υπάρχουν ζητήµατα ασφάλειας στην e-υγεία;

4 ελτίο Τύπου της ΑΠ ΠΧ Η Αρχή, στο πλαίσιο άσκησης των αρµοδιοτήτων της, διενήργησε δέκα (10) διοικητικούς ελέγχους σε δηµόσια και ιδιωτικά νοσοκοµεία και κλινικές. Σκοπός των ελέγχων ήταν η αξιολόγηση του επιπέδου ασφαλείας και προστασίας προσωπικών δεδοµένων των πληροφοριακών συστηµάτων τους και η συµβουλευτική υποστήριξή για την αντιµετώπιση των κινδύνων ασφαλείας. Έµφαση δόθηκε στη χρήση ηλεκτρονικών δικτύων και επικοινωνιών για τη διαχείριση των δεδοµένων υγείας των ασθενών, καθώς και στη λειτουργία ειδικευµένων ηλεκτρονικών εφαρµογών, όπως ο ηλεκτρονικός ιατρικός φάκελος ασθενή.

5 ελτίο Τύπου της ΑΠ ΠΧ Τα συµπεράσµατα από την ανάλυση των ευρηµάτων δείχνουν ότι το επίπεδο ασφάλειας ιδίως στα δηµόσια νοσοκοµεία είναι γενικά ανεπαρκές και οφείλεται κυρίως στην έλλειψη οργάνωσης και διαδικασιών παρά σε αµιγώς τεχνικές ελλείψεις. Χαρακτηριστικά παραδείγµατα αποτελούν οι ανύπαρκτες ή ανεπαρκείς πολιτικές και σχέδια ασφάλειας, οι ελλείψεις κατά τη διαχείριση των πληροφοριακών αγαθών, των χρηστών των πληροφοριακών συστηµάτων, του φυσικού αρχείου ιατρικών φακέλων. ιαπιστώθηκε επίσης πως αν και τα περισσότερα πληροφοριακά συστήµατα νοσοκοµείων που ελέγχθηκαν διαθέτουν δυνατότητες ασφαλείας, αυτές δεν είχαν ενεργοποιηθεί επαρκώς.

6 Υπάρχουν κίνδυνοι;

7 ENISA report: Being Diabetic in 2011 Αστοχία συµµόρφωσης µε τη νοµοθεσία περί συγκατάθεσης Αστοχία συµµόρφωσης µε τη νοµοθεσία περί προσωπικών δεδοµένων Παραβίαση ασφάλειας δεδοµένων ευτερεύουσα χρήση δεδοµένων Αστοχία αυθεντικοποίησης χρήστη και άρνηση παροχής υπηρεσίας

8 ENISA report: Being Diabetic in 2011 Καταστροφή εξοπλισµού ιακοπή υπηρεσίας Κλοπή Ανεπαρκής παροχή ή διαθεσιµότητα της ιατρικής υπηρεσίας Ανθρώπινο λάθος σε περίπτωση ανάγκης Ο ασθενής µπορεί να παρερµηνεύσει τα δεδοµένα

9 ENISA report: Being Diabetic in 2011 Το ιατρικό προσωπικό µπορεί να παρερµηνεύσει, να τροποποιήσει ή να διαγράψει τα δεδοµένα ασθενών Οι χρήστες µπορεί να µην ακολουθήσουν τις οδηγίες Επιτήρηση δεδοµένων και profiling

10 Τι (πρέπει να) προσπαθούµε να κάνουµε;

11 Ο βασικός µας στόχος: Η προστασία των αγαθών (assets) Υγεία και ζωή Ανθρώπινα δικαιώµατα και κοινωνικές αξίες Αυτονοµία του ασθενή Εθνικό σύστηµα υγείας Κινητικότητα του ασθενή Προσωπικά δεδοµένα Κάρτες υγείας Ιατρικές συσκευές Εξοπλισµός πληροφορικής Κέντρα δεδοµένων και τηλεφωνικά κέντρα Ηλεκτρονικός φάκελος υγείας Ηλεκτρονικές συνταγές Ερευνητικά δεδοµένα δηµόσιας υγείας ΠΣΥ ίκτυα

12 Πώς θα το πετύχουµε;

13 Ένα πλαίσιο ασφάλειας e-υγείας Νοµοθετικές δράσεις ιεθνές, Εθνικό, Τοπικό επίπεδο Τεχνικές και οργανωτικές δράσεις Επίπεδο οργανισµού ή οµάδων οργανισµών µε παρόµοια χαρακτηριστικά και σκοπούς Αναγνώριση γενικών αρχών σχεδίασης και λειτουργίας του συστήµατος ιαµόρφωση Πολιτικής Ασφάλειας Υψηλού επιπέδου ιαµόρφωση µέτρων ασφάλειας συµβατών µε την πολιτική ιαµόρφωση κώδικα δεοντολογίας Εκπαίδευση Κοινωνικές δράσεις ιεθνές, Εθνικό, Τοπικό επίπεδο Ευαισθητοποίηση κοινού

14 Η συνετή επιλογή στο σηµείο που βρισκόµαστε φαίνεται πως είναι να προχωρήσουµε µε προσοχή. Τα πλεονεκτήµατα είναι σαφή, αλλά κανείς δεν πρέπει να αγνοεί και τους ελλοχεύοντες κινδύνους