Οι βασικότεροι κίνδυνοι κατά την μετάδοση ενός ηλεκτρονικού μηνύματος είναι: Υποκλοπή πληροφορίας κατά την μετάδοση του μηνύματος Μέσω e-mail δεν παρέχεται πιστοποίηση. Ακόμα και αν η αποστολή γίνεται με κρυπτογράφηση είναι αδύνατον να πιστοποιηθεί ασφάλεια της συσκευής του αποδέκτη (PC / Tablet / Smart Phone) Link δεν πραγματοποιείται αποθήκευση των δεδομένων στην συσκευή του χρήστη αλλά αυτά παραμένουν στη μνήμη. Τυχόν αποθήκευση τους μέσω εργαλείων (όπως πχ σάρωση) είναι καθαρά ευθύνη του χρήστη
Αλλοίωση της πληροφορίας Μέσω e-mail είναι υπαρκτός ο κίνδυνος προσβολής των επισυναπτόμενων αρχείων από ιούς και η πιθανή αλλοίωση τους από κακόβουλο λογισμικό Link ο κίνδυνος προσβολής από κακόβουλο λογισμικό είναι ασύγκριτα πιο περιορισμένος
Παραποίηση της ταυτότητας του παραλήπτη ή/και του αποστολέα Μέσω e-mail είναι υπαρκτός ο κίνδυνος λογικού λάθους και η αποστολή των δεδομένων σε άλλον αποδέκτη. Η ταυτότητα του αποστολέα δεν πιστοποιείται αυτόματα Link ο κίνδυνος παραποίησης της ταυτότητας του παραλήπτη και του αποστολέα είναι ανύπαρκτος.
Τα δεδομένα που αφορούν την υγεία του ατόμου, αποτελούν μέρος της προσωπικότητας του, και είναι απαραίτητη η συγκατάθεση του για κάθε ανάκτηση, καταγραφή, επεξεργασία ή μεταφορά τους. Μέσω e-mail είναι αδύνατον ο χρήστης να γνωρίζει την πιθανότητα προώθησης των δεδομένων του σε τρίτους, ακόμα και στην περίπτωση ρητής δέσμευσης του παραλήπτη. Link ο χρήστης γνωρίζει, γιατί ορίζει ο ίδιος, ποιοι έχουν πρόσβαση στα δεδομένα. Κάθε πρόσβαση σε αυτά από οποιονδήποτε, ακόμα και από τον ίδιο, καταγράφεται σε log file. Η πρόσβαση και η επεξεργασία των δεδομένων πρέπει να συνάδει με τις σχετικές διατάξεις για την προστασία των προσωπικών, ευαίσθητων δεδομένων και του ιατρικού απορρήτου.
Ο υπεύθυνος εργασίας πρέπει να διασφαλίσει το απόρρητο της επεξεργασίας και να λάβει όλα τα απαραίτητα τεχνικά και οργανωτικά μέτρα προστασίας των δεδομένων. Το θεσμικό πλαίσιο που ισχύει μέχρι 25/5/2018 στη χώρα μας είναι : Νόμος 2472/97 για την προστασία του ατόμου από την επεξεργασία δεδομένων προσωπικού χαρακτήρα Νόμος 2774/99 για την προστασία δεδομένων προσωπικού χαρακτήρα στο τηλεπικοινωνιακό τομέα Ιατρικό απόρρητο (άρθρο 371 του Ποινικού Κώδικα) Απόρρητος χαρακτήρας του ιατρικού φακέλου (άρθρο 47 του νόμου Ε.Σ.Υ.2071/92) Από 25/5/2018 ισχύει για όλη την Ευρώπη ο αυστηρότατος κανονισμός GDPR, που υπερισχύει των τοπικών νομοθεσιών κάθε κράτους μέλους. https://www.privacy-regulation.eu/el/
Οι κυριότερες πτυχές ασφάλειας είναι οι παρακάτω: Πιστοποίηση: Έλεγχος της αυθεντικότητας της ταυτότητας των μερών μιας ανταλλαγής δεδομένων Μέσω e-mail είναι πάντα υπαρκτή η πιθανότητα λογικού λάθους και δεν πιστοποιείται η ταυτότητα του αποστολέα και του αποδέκτη Link ο χρήστης είναι αυτός που μόνο γνωρίζει και διαχειρίζεται τους κωδικούς πρόσβασης του. Κανένας άλλος δεν μπορεί να έχει πρόσβαση χωρίς την έγκρισή του. Η σύνδεση του με τον επαγγελματία υγείας είναι μονοσήμαντη.
Εξουσιοδότηση: Η πρόσβαση πρέπει να είναι εξουσιοδοτημένη και να βασίζεται στα δικαιώματα πρόσβασης που παρέχει ο χρήστης. Η πρόσβαση πρέπει να απαγορεύεται σε μη εξουσιοδοτημένα άτομα Μέσω e-mail είναι πάντα υπαρκτή η πιθανότητα αποστολής δεδομένων σε τρίτους χωρίς να το γνωρίζει ο χρήστης Link ο χρήστης είναι αυτός ο οποίος ορίζει ποιοι και για πόσο χρονικό διάστημα έχουν πρόσβαση
Εμπιστευτικότητα: Η τήρηση του απορρήτου των δεδομένων η πληροφορία διατίθεται μόνο σε εκείνους τους χρήστες που είναι εξουσιοδοτημένοι Μέσω e-mail θα πρέπει να τηρείται αυστηρώς πρωτόκολλο καταστροφής των ιατρικών δεδομένων του χρήστη μετά την επεξεργασία τους. Link έχουν πρόσβαση μόνο όσοι είναι εξουσιοδοτημένοι από τον χρήστη και για όσο διάστημα αυτός επιθυμεί
Ακεραιότητα: Τα δεδομένα θα πρέπει να παραμείνουν ακέραια, δηλαδή να μην υποστούν αλλοίωση Μέσω e-mail μεταφέρεται αντίγραφο της ιατρικής πληροφορίας Link κάθε πρόσβαση σε ιατρικά δεδομένα πραγματοποιείται πάντα στην πηγή τους, εκεί που είναι αποθηκευμένα, και δεν αντιγράφονται ούτε μεταφέρονται.
Αδυναμία άρνησης συμμετοχής: Ο χρήστης δεν πρέπει να μπορεί να αρνηθεί την συμμετοχή του στην ανταλλαγή δεδομένων Μέσω e-mail δεν υπάρχει πιστοποίηση ανταλλαγής των δεδομένων του χρήστη χωρίς την έγκρισή του Link κάθε πρόσβαση σε ιατρικά δεδομένα πραγματοποιείται με την έγκριση του χρήστη, και κάθε ενέργεια καταγράφεται σε log file
Δυνατότητα ελέγχου: Κάθε τροποποίηση ή επεξεργασία των δεδομένων πρέπει να μπορεί να ελεγχθεί, δηλαδή από ποιον έγινε και πότε Μέσω e-mail δεν υπάρχει τρόπος ενημέρωσης του χρήστη για πιθανή τροποποίηση των δεδομένων Link κάθε πρόσβαση αντλεί δεδομένα πάντα από την πηγή τους, συνεπώς κάθε στιγμή η πληροφορία που παίρνει ο χρήστης είναι ενημερωμένη από το ΠΣ του επαγγελματία υγείας
Ευθύνη: Καθορισμός της ευθύνης για την εισαγωγή, πρόσβαση ή τροποποίηση κάθε δεδομένου Μέσω e-mail δεν υπάρχει τρόπος ελέγχου της τήρησης των κανόνων ευθύνης Link η πρόσβαση πραγματοποιείται μέσω σύνδεσης σε πραγματικό χρόνο με το ΠΣ που χρησιμοποιεί ο επαγγελματίας υγείας. Συνεπώς ισχύουν οι κανόνες ευθύνης που ισχύουν σε αυτό
Διαφάνεια: Τεκμηρίωση των διαδικασιών της επεξεργασίας ώστε να μπορούν να ελεγχθούν Μέσω e-mail δεν υπάρχει τρόπος ελέγχου της τήρησης των κανόνων επεξεργασίας Link η πρόσβαση πραγματοποιείται μέσω σύνδεσης σε πραγματικό χρόνο με το ΠΣ που χρησιμοποιεί ο επαγγελματίας υγείας. Συνεπώς ισχύουν οι κανόνες διαδικασιών επεξεργασίας που ισχύουν σε αυτό
Διαθεσιμότητα: Τα δεδομένα και οι υπηρεσίες πρέπει να είναι διαθέσιμα όταν χρειάζεται Μέσω e-mail δεν υπάρχει τρόπος συνεχούς πρόσβασης στα ιατρικά δεδομένα που τηρούνται στους επαγγελματίες υγείας, παρά μόνο μετά από αίτηση Link τα δεδομένα είναι διαθέσιμα 365 ημέρες * 24 ώρες, όπου και όποτε απαιτηθεί, από όλους όσους είναι εξουσιοδοτημένοι από τον χρήστη
Ποινικές διατάξεις Μέχρι 25/5/2018, όποιος με οποιοδήποτε τρόπο και χωρίς να έχει κανένα δικαίωμα λαμβάνει γνώση του περιεχομένου του ηλεκτρονικού Ιατρικού φακέλου ή αλλοιώνει ή καταστρέφει δεδομένα ή πληροφορίες που έχουν καταχωρηθεί σε αυτόν ή ανακοινώνει σε τρίτους στοιχεία ή μέρος από το περιεχόμενο τους τιμωρείται με φυλάκιση τουλάχιστον δύο ετών, εκτός εάν η πράξη τιμωρείται βαρύτερα με βάση άλλη διάταξη. Όποιος υπεξάγει ηλεκτρονική κάρτα υγείας με σκοπό τη χρήση της χωρίς δικαίωμα, αλλοιώνει ή καταστρέφει στοιχεία της για οποιοδήποτε σκοπό ή καθιστά το περιεχόμενο της προσιτό σε μη δικαιούμενα πρόσωπα ή επιτρέπει σε αυτά να λαμβάνουν γνώση του περιεχομένου της ή εκμεταλλεύεται με οποιοδήποτε τρόπο το περιεχόμενο της τιμωρείται με φυλάκιση τουλάχιστον δύο ετών. Όποιος υπεξάγει ή πλαστογραφεί ηλεκτρονική κάρτα υγείας με σκοπό να αποκτήσει ο ίδιος πρόσβαση στο περιεχόμενου του ηλεκτρονικού ιατρικού φακέλου ασφαλισμένου τιμωρείται με φυλάκιση τουλάχιστον δύο ετών. Από 25/5/2018 ισχύουν αυστηρά πρόστιμα για την μη τήρηση του κανονισμού. Η συνεργασία με άλλους επαγγελματίες που δεν είναι εναρμονισμένοι δημιουργεί συνυπευθυνότητα και δεν απαλλάσσει κανέναν από την ευθύνη του.
Μέτρα προστασίας Μέχρι σήμερα, για την προστασία του απορρήτου του ιατρικού φακέλου είναι απαραίτητη η ύπαρξη ολοκληρωμένου σχεδίου ασφαλείας και σχέδιο έκτατης ανάγκης. Απαιτείται συχνός έλεγχος, επιθεώρηση και εποπτεία της ασφάλειας. Για την καλύτερη δυνατή ασφάλεια συνιστάται ο ορισμός ενός υπεύθυνου υλοποίησης και ενός υπεύθυνου εποπτείας ασφάλειας. Οφείλεται ο καθορισμός διαδικασίας καταγραφής και αντιμετώπισης προβλημάτων ασφαλείας. Τέλος ο ορισμός εφεδρικών αντιγράφων ασφαλείας είναι απαραίτητος σε περίπτωση που για κάποιο λόγο το πρωτεύων σύστημα ασφαλείας παραβιαστεί. Από 25/5/2018 όχι μόνο είναι απαιτητά τα μέτρα προστασίας, αλλά είναι συγκεκριμένα, ορίζονται από τον κανονισμό GDPR, και υπάρχει υπεύθυνος προστασίας (DPO) ο οποίος έχει συγκεκριμένο ρόλο, ευθύνη και υποχρεώσεις. Εξαίρεση αποτελούν οι ιδιώτες κλινικοί ιατροί και λοιποί επαγγελματίες υγείας για τους οποίους δεν απαιτείται ξεχωριστός DPO, δεν θα ελεγχθούν για «Εκτίμηση αντίκτυπου σχετικά με την προστασία δεδομένων», αλλά οφείλουν να είναι εναρμονισμένοι με το άρθρο 30 (Data Mapping)