Zabezpieczenia danych medycznych w chmurze

Podziel się

I idąc za ciosem kolejny artykuł (żeby nie było, że nic nie publikuje ;)) Tym razem o sposobach zabezpieczeń danych medycznych na przykładzie konkretnych mechanizmów w Azure.

Przyglądamy się rozwiązaniom chmurowym pod kątem zabezpieczenia danych w sektorze medycznym w podziale na ogólnie przyjęte rodzaje platform chmurowych oraz mechanizmy, dzięki którym to bezpieczeństwo można zwiększyć, a także wykazać się zasadą rozliczalności, o której tak wiele mówi się w kontekście nowego unijnego rozporządzenia o ochronie danych osobowych.

Bardzo ważnym aspektem pojawiającym się u każdego managera IT, którego organizacja przetwarza dane o szczególnym priorytecie, jest kwestia zapewnienia bezpieczeństwa tych danych. Nie inaczej jest i w przypadku danych medycznych – ich bezpieczeństwo powinno być priorytetem. „No jak to, przecież się nie da”, „przecież muszę mieć możliwość fizycznego audytu danych, za które odpowiadam”, „trzymanie danych medycznych gdzieś za granicą jest niemożliwe i niebezpieczne” – często na konferencjach w oficjalnych pytaniach czy kuluarowych rozmowach słychać takie wątpliwości. Przyjrzyjmy się zatem w pierwszej kolejności temu, co mówią nam nowe regulacje odnośnie do wymagań, jakie trzeba spełnić z perspektywy podmiotu przetwarzającego dane osobowe w chmurze.

Zarówno przepisy uodo, jak i rodo regulują i dopuszczają powierzenie danych osobowych. Trzeba pamiętać o tym, że Komisja Europejska w motywie 81 preambuły rodo wskazuje na konieczność korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby, odpowiadających wymaganiom bezpieczeństwa przetwarzania, w tym wymaganiom określonym przez rodo. Najlepszą wskazówką w szukaniu odpowiedniego usługodawcy usług chmurowych (także zgodnie z dokumentem „Rekomendacje Centrum Systemów Informacyjnych Ochrony Zdrowia w zakresie bezpieczeństwa oraz rozwiązań technologicznych stosowanych podczas przetwarzania dokumentacji medycznej w postaci elektronicznej”) mogą być międzynarodowe standardy postępowania z danymi osobowymi, a zatem normy takie jak: ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 22301 oraz normy branżowe, np. ISO 13606-1, ISO 13606-4. Warto zwrócić też uwagę na normę ISO/IEC 27018.

Oczywiście trzeba zdawać sobie sprawę z możliwych incydentów bezpieczeństwa, które są nieco odmienne dla rozwiązań chmurowych w porównaniu z rozwiązaniami on premise. Rozważaniami na ten temat na poziomie europejskim zajęła się Grupa Robocza art. 29, która w opinii 5/2012 w sprawie przetwarzania danych w chmurze obliczeniowej przyjętej w dniu 1 lipca 2012 r. przeanalizowała kwestie istotne dla dostawców usług przetwarzania danych w chmurze działających w Europejskim Obszarze Gospodarczym (EOG) oraz ich klientów, określając wszystkie mające zastosowanie zasady z dyrektywy o ochronie danych UE (95/46/WE) oraz dyrektywy o prywatności i łączności elektronicznej 2002/58/WE (zrewidowanej dyrektywą 2009/136/WE). Wtedy nie było jeszcze mowy o rodo, ale specjaliści wskazują, że w tym zakresie nie zachodzą żadne zmiany w opinii.

Główne opisane zagrożenia obejmują brak kontroli oraz brak przejrzystości (różne aspekty, m.in.: brak dostępności, brak integralności, brak odizolowania). W ramach grupy roboczej opracowano także wytyczne dla klientów i dostawców usług przetwarzania danych w chmurze. To ważny aspekt związany z bezpieczeństwem przetwarzania danych osobowych i wrażliwych (a zatem także medycznych), ponieważ właśnie te wytyczne powinny być dla działów IT podstawą do opracowywania procedur ochrony danych przetwarzanych w środowiskach, za które odpowiadają. Są one także podstawą do zrozumienia, na jakich zasadach przetwarzać w chmurze dane swojej organizacji, aby zapewnić im bezpieczeństwo oraz sobie kontrolę nad nimi. Zgodnie ze wspominanym wcześniej dokumentem opracowanym przez CSIOZ najważniejsze z nich to:

  • Odpowiedzialność klienta usługi w chmurze jako administratora – klient powinien wybrać dostawcę usługi w chmurze, który gwarantuje zgodność z przepisami w zakresie ochrony danych, co odzwierciedlają odpowiednie zabezpieczenia umowne;
  • Zabezpieczenia w przypadku powierzenia – przepisy dla podmiotów, którym powierzono realizację usług, powinny być przewidziane w każdej umowie pomiędzy dostawcą usługi w chmurze i jego klientami;
  • Przestrzeganie podstawowych zasad ochrony danych – klientowi należy zapewnić zrozumiałe informacje na temat środków technicznych i organizacyjnych wdrożonych przez dostawcę; klient w ramach dobrych praktyk powinien przekazać osobom, których dane dotyczą, informacje na temat dostawcy usługi w chmurze, jak również dane na temat lokalizacji, w których dane mogą być przechowywane lub przetwarzane;
  • Określenie i ograniczenie celu – klient powinien zapewnić zgodność z zasadami określenia i ograniczenia celu przetwarzania danych oraz zadbać o to, aby żadne dane nie były przetwarzane do innych celów przez dostawcę;
  • Zatrzymywanie danych – klient jest odpowiedzialny za zapewnienie, aby dane osobowe zostały usunięte ze wszystkich miejsc, w których są przechowywane, w przypadku gdy ich przetwarzanie nie odbywa się lub realizowane jest prawo (do zapomnienia) osoby, której dane dotyczą;
  • Zabezpieczenia umowne – umowa z dostawcą powinna zapewniać wystarczające gwarancje pod względem technicznych środków bezpieczeństwa i środków organizacyjnych;
  • Dostęp do danych – tylko upoważnione osoby powinny mieć dostęp do danych. W umowie powinna być zawarta klauzula poufności w odniesieniu do dostawcy i jego pracowników;
  • Zobowiązania do współpracy – klient powinien zapewnić, aby dostawca był zobowiązany do współpracy w związku z prawem klienta do monitorowania operacji przetwarzania, do ułatwiania realizacji praw osób, których dane dotyczą, do dostępu do/poprawiania/usuwania ich danych oraz do powiadamiania klienta usługi w chmurze o wszelkich naruszeniach ochrony danych mających wpływ na dane klienta;

źródło:  Artykuł pochodzi z czasopisma „IT Professional” nr 04/2018.

(http://www.it-professional.pl/archiwum/art,7951,zabezpieczenia-danych-medycznych-w-chmurze.html)

1 Shares:
135 comments
  1. Pingback: viagra
  2. Pingback: levitra 20 mg
  3. Pingback: cialis online
  4. Pingback: viagra 100mg
  5. Pingback: best custom essay
  6. Pingback: psychology thesis
  7. Pingback: buy cialis online
  8. Pingback: viagra
  9. Pingback: generic viagra
  10. Pingback: how to get viagra
  11. Pingback: peoples pharmacy
  12. Pingback: european cialis
  13. Pingback: nnoyxmfl
  14. Pingback: buy cialis
  15. Pingback: buy viagra
  16. Pingback: furosemide 120 mg
  17. Pingback: clomid sale
  18. Pingback: paxil to prozac
  19. Pingback: plaquenil for fmf
  20. Pingback: where can u buy
  21. Pingback: buy online cheap
  22. Pingback: 20mg for sale
  23. Pingback: buy doctor
  24. Pingback: ativan 2mg buy
  25. Pingback: rx one pharmacy
  26. Pingback: cialis tablet
  27. Pingback: snorting viagra
  28. Pingback: fruit keto diet
  29. Pingback: types of keto diet
  30. Pingback: regcialist.com
  31. Pingback: viagra daily
  32. Pingback: generic for prozac
  33. Pingback: seroquel xr dosing
  34. Pingback: 1
  35. Pingback: omacillin 500 mg
  36. Pingback: d-dapoxetine hcl
Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

You May Also Like

W jaki sposób uruchomić darmowy system wideokonferencyjny w placówce medycznej? część 1

Podziel się

Ścieżek pewnie jest wiele, przedstawię jedną z nich. Na przykładzie bardzo ostatnio popularnego wśród placówek medycznych systemu typu Unified Communications3cx . A co to w ogóle jest i w jakim celu nam to jest potrzebne?

To bardzo dobre pytanie. Systemy tego typu to połączenie systemów VOiP (w dużym skrócie – telekomunikacyjnych) oraz wszystkich innych funkcjonalności związanych z poprawą komunikacji w organizacji. Jednolitą komunikację definiuje się jako proces, w którym wszystkie środki komunikacji, urządzenia i media są zintegrowane, pozwalając użytkownikom pozostawać ze sobą w kontakcie w czasie rzeczywistym bez względu na miejsce pobytu. Celem jednolitej komunikacji jest optymalizacja procedur biznesowych i ułatwienie komunikacji międzyludzkiej dzięki upraszczaniu procesów. A

le po co nam to w placówce medycznej ktoś zapyta? Jak to po co? 🙂 To idealne narzędzie zapewniające optymalizację wielu problemów z komunikacją na linii placówka-lekarz, rejestracja-pacjent, pacjent-lekarz . W dobie legislacji dążącej do ułatwień związanych z telekonsultacjami oraz tematami związanymi z opieką koordynowaną tego typu rozwiązania to idealne narzędzia do komunikacji. Tym bardziej, że umożliwiają także bezpieczną wymianę dokumentów, czy przeprowadzanie prezentacji.

Nie będę jednak w tym wpisie zajmował się roztrząsaniem wszystkich funkcjonalności tego typu systemów i możliwości wykorzystania w naszych placówkach, zostawię to na później. Dziś skupię się na pokazaniu w jaki sposób postawić sobie w pełni działający system.

Licencjonowanie i wymagania sprzętowe

Licencjonowanie produktu jest możliwe na dwa sposoby. Z jednej strony można wykupić licencję roczną, z drugiej licencje wieczystą. W tym drugim przypadku jednak darmowe wsparcie mamy na rok. Później trzeba je komercyjnie przedłużyć. W obu wspomnianych przypadkach cena  licencji jest zależna od dwóch rzeczy:

– liczby jednoczesnych połączeń – zarówno wewnętrznych jak i zewnętrzne

– wersji oprogramowania. Mamy do wyboru trzy. Standard, Professional oraz Enterprise. Do wideokonferencji wystarczy Standard i na ten moment na tym poprzestańmy. Jakby ktoś chciał więcej info o różnicach pomiędzy wersjami to może sobie poczytać tutaj: https://www.3cx.com/phone-system/edition-comparison/ .

Producent oprogramowania 3cx oferuje darmową licencje w wersji Standard do 16 jednoczesnych połączeń na 1 rok. Po roku licencja ta zostaje darmowa (w przypadku gdy nie opłacimy jej przedłużenia), zmienia się tylko ilość jednoczesnych połączeń – jest zmniejszana do 4. Co dla nas (biorąc pod uwagę temat wpisu) najważniejsze – w tym rodzaju licencji mamy funkcjonalność wideokonferencji do 25 jednoczesnych uczestników. Wykorzystajmy to zatem!

Aha.. jeszcze wymagania sprzętowe.. Tutaj mamy dwie drogi. Jedna z nich to instalacja naszego serwera 3cx na którejś z maszyn w naszej placówce. Dostępna jest wersja dla Windowsa i Linuxa. Wymagania nie są bardzo wyżyłowane. Zgodnie z dokumentację w wersji do 16 jednoczesnych połączeń to:

CPU Intel® Core™ i3-3210 Processor (3M Cache, 3.20 GHz)
Memory 2 GB
HDD SATA 30GB
Can be Virtualized Yes
NETWORK 100/1000 Mbit/s

Więcej szczegółów odnośnie wymagań sprzętowych i konkretnych wersji systemów operacyjnych, które są wpierane znajdziecie na https://www.3cx.com/docs/recommended-hardware-specifications-for-3cx/ oraz https://www.3cx.com/docs/supported-operating-systems/ .

System możemy zainstalować lokalnie lub wykorzystać swoje konto w chmurze publicznej. 3cx jest kompatybilny z następującymi dostawcami:

– Google Cloud

– OVH

– AWS

– 1&1

lub z każdym innym wspierającym protokół OpenStack API w wersji 2.0. Przez kompatybilność rozumiem, że cała potrzebna do utworzenia instancji serwera infrastruktura tworzy się automatycznie. Nasza rola ogranicza się do podania dostawcy chmury u którego mamy konto oraz do wybrania po jego stronie parametrów maszyn wirtualnych, które chcemy wykorzystać do instalacji.

Instalacja systemu

Instalację zaczynami od wejścia na stronę www.3cx.com do zakładki Try. Wypełniamy  tam swoje dane i klikamy Submit & Download . Number of extensions jest to orientacyjna liczba numerów wewnętrznych/użytkowników, których będziemy chcieli skonfigurować w systemie.

Po wypełnieniu formularza otrzymamy dostęp do strony z instalkami oraz dokumentacją systemu. Jeżeli chcemy instalować oprogramowanie na własnej maszynie to jest dobry moment aby pobrać pliki instalacyjne. Otrzymamy też na maila link potwierdzający aplikację o nową licencję. Po jego kliknięciu będziemy mieć dostępny nasz klucz licencyjny oraz możliwość wyboru rodzaju instalacji. My idziemy do chmury, wybieramy zatem Deploy in Your Cloud.

Otworzy nam się dokładnie to samo co dzieje się podczas instalacji systemu on-premise na własnym serwerze. Na początek konfigurujemy strefę czasową, numeracyjną oraz język.

W kolejnym kroku wybieramy swoją nazwę dla serwera oraz domenę. Podczas instalacji zostanie wygenerowany automatycznie darmowy na okres 1 roku certyfikat ssl.

oraz ilość znaków numeru wewnętrznego, których potrzebujemy. Uwaga – proponuje to dobrze przemyśleć, to co tutaj zaznaczymy zostaje już na zawsze 😉

Nadszedł czas na wybór dostawcy chmury.  Ja wybieram Azure. Wpisuję id swojej subskrypcji i w kolejnym kroku jestem proszony o podanie poświadczeń do swojego konta Azure i o akceptację dostępu do niego przez aplikację 3cxapp, która zrobi za nas całą robotę.

Później idąc tropem minimalnych wymagań przedstawionych wyżej wybieramy rodzaj maszyny na której chcemy postawić nasza instalację oraz wybieramy region. I to generalnie tyle.

UWAGA! Raz czy dwa po kroku wyboru  maszyny wirtualnej zdarzyło mi się, że system wrócił do kroku w którym należy podać strefę czasową, numeracyjną itp. Instalacja jednak się utworzyła. Temat zgłosiłem. Nie dzieje się tak dla Google Cloud. Podejrzewam, że może to być spowodowane tym, że 3cx spiął się z Azure w tamtym tygodniu jakoś i jeszcze nie wszystko jest w 100% dopracowane.

Czekamy cierpliwie aż nasza infrastruktura wirtualna zostanie utworzona. Zostaniemy o tym poinformowani komunikatem:

W przypadku Azure stworzona infrastruktura wygląda w ten sposób:

Po poprawnym zakończeniu instalacji otrzymujemy wiadomości mailowe. Jedną z danymi związanymi z dostępem do konsoli zarządzania oraz innymi rzeczami związanymi z administrowaniem systemem:

oraz drugi – z danymi potrzebnymi zwykłemu użytkownikowi systemu. Takiego maila otrzyma każdy, któremu utworzymy w systemie konto.

W ten dość prosty i szybki sposób mamy do pracy gotowy system.

W przypadku gdy instalację robiliśmy  na własnym serwerze pierwszą rzecz jaką polecam do zrobienia po zalogowaniu do konsoli to sprawdzenie FirewallCheckera. Biorąc pod uwagę, że system 3cx korzysta z zewnętrznych (z perspektywy naszej instalacji) serwerów do wideokonferencji musimy mieć do i z maszyny otwarty port 443:

W przypadku instalacji cloudowej wszystkie porty potrzebne do usług 3cx otwierają się automatycznie I nie musimy się tym przejmować (testowałem dla Azure, OVH oraz dla Google Cloud). Na wszelki wypadek jednak dobrze to zweryfikować.

Odsapnijmy teraz i w oczekiwaniu na część drugą w której omówimy funkcjonalności związane z tworzeniem, obsługą i możliwościami wideokonferencji cieszmy się piękną wiosną 🙂

Elektroniczne zwolnienia lekarskie – nowa metoda autoryzacji

Podziel się

ZUS nie próżnuje. Miesiąc temu udostępnił swój kanał autoryzacji do portalu umożliwiającego wystawianie lekarzom elektronicznych zwolnień lekarskich. Warto przypomnieć, że od 1 lipca 2018 roku  lekarze mają wystawiać zwolnienia tylko w formie elektronicznej. Biorąc pod uwagę to, że wielu lekarzy (chociażby w praktykach lekarskich) nie ma komputera, nie mówiąc już o systemie do elektronicznej dokumentacji jest to pewnie jakieś ułatwienie. Jedyne co trzeba zrobić to założyć sobie konto. Oficjalna instrukcja dostępna jest na YouTube . Sprawa jest prosta, podobnie jak w przypadku ePUAPu trzeba się pofatygować do urzędu. Po utworzeniu i weryfikacji konta generujemy sobie ważny 5 lat certyfikat, który zabezpieczamy hasłem i możemy go wykorzystywać do podpisywania zwolnień generowanych na portalu ZUS lub w aplikacji, której używamy w placówce (szczegóły tutaj).

Jakby ktoś nie wiedział (jest to niewykluczone biorąc pod uwagę, że w roku 2017 tylko około 3% zwolnień było wystawionych w formie elektronicznej) w skrócie obieg dokumentu wygląda tak, że lekarz przekazuje zaświadczenie lekarskie e-ZLA (po jego podpisaniu z wykorzystaniem certyfikatu z ZUS, kwalifikowanego certyfikatu lub profilu zaufanego ePUAP) elektronicznie do ZUS. ZUS udostępnia e-ZLA płatnikowi składek (np. pracodawcy) na jego profilu na PUE ZUS nie później niż w dniu następującym po dniu otrzymania e-ZLA (bez podawania numeru statystycznego choroby). Informacja ta jest przekazywana także ubezpieczonemu (m.in. pracownikowi) posiadającemu profil ubezpieczonego/świadczeniobiorcy na PUE ZUS. W przypadku gdy pracodawca nie posiada konta PUE ZUS niezbędne jest wydrukowanie zwolnienia dla pacjenta.

Dostawcy oprogramowania oczywiście udostępniają możliwość wystawiania zwolnień z poziomu swojego oprogramowywania (przynajmniej mają taką możliwość – szczegóły znajdują się tutaj).

Platforma daje także możliwość “elektronizacji” zwolnienia (nie lubię tego określenia) czyli wygenerowania sobie do druku formularzy zwolnień in blanco, żeby móc je wypisać np. w terenie gdzie nie ma Internetu. Dokumenty te można później uzupełnić na platformie ZUS.

Wszystkie filmy instruktażowe dotyczące “obsługi” elektronicznych zwolnień można znaleźć tutaj:

Generalnie kierunek myślenia jest dobry. Małymi kroczkami (zwolnienia, recepty) trzeba iść do przodu. Nie wiem czy akurat mnogość opcji autoryzacji jest dobrym pomysłem, chyba nie. W każdym razie trzeba zwrócić uwagę na jeden, najważniejszy w tym momencie fakt. Wszystkie te czynności, oczywiście potrzebne i wymagane, dostarczą dużo dodatkowej pracy lekarzom. Dla wprawnego “komputerowca” będzie to chwila ale rzesza środowiska nie jest aż tak “za pan brat” z technikaliami. To trochę błędne koło, bo teoretycznie systemy EDM mają te rzeczy automatyzować swoimi mechanizmami ale z drugiej strony jak ktoś ich (jeszcze?) nie używa to pewnie pójdzie ścieżką korzystania chociażby z portalu ZUS. Trochę się boję, że to wszystko będzie odbywało się kosztem czasu poświęcanego pacjentom. Jaki jest na to ratunek? Jeden – równoczesne prace nad automatyzacją pracy tych systemów. Tak aby lekarze poświęcali jak najmniej czasu ale jednocześnie robili także w tej materii to, co jest niezbędne. Niemożliwe? Oczywiście, że możliwe. Wzorców w innych krajach jest mnóstwo. Nic, tylko korzystać!

Widzę w tym wszystkim także jeszcze jeden problem. Mianowicie wszystkie te systemy cały czas nie są nastawione na bycie pro-pacjenckimi. Po co te zwolnienia? W dużej mierze po to, żeby była po prostu kontrola nad ich zasadnością itp. Pewnie to także jest potrzebne ale widzę trochę zatracenie w tym. Bo te wszystkie mechanizmy powinny służyć też pacjentom. A tutaj pacjent będzie miał z tego tyle, że nie będzie brał odpowiedzialności za niedostarczenie zwolnienia, którego dostarczanie przez niego jest przecież ogromnym absurdem..

Rusza dofinansowanie opieki koordynowanej w projekcie POZ Plus – czy jest to szansa na rozwój IT w placówkach?

Podziel się

Pomijając zupełnie warunki finansowe podmiotów, które będą mogły ubiegać się o udział w pilotażu (małe placówki z małych miast, miasteczek lub wsi) pierwszą rzeczą, która rzuca się w oczy to wymagania techniczne jakie są przed nimi stawiane i punktowane przy wniosku o dofinansowanie. To szereg mało precyzyjnych wymagań dotyczących systemów informatycznych do przetwarzania dokumentacji medycznej oraz dotyczących bezpieczeństwa przetwarzania danych osobowych i medycznych, które można w obecnym kształcie dość mocno interpretować. Bez jasno określonych wytycznych można spodziewać się nieścisłości w procesie oceny wniosków – na ten moment punkty przyznawane podczas „audytu ex-ante”  będą mogły być przyznawane na podstawie „widzi mi się” członków komisji. Warto także zaznaczyć, że przynajmniej jeden z punktów jest niekoniecznie możliwy do spełnienia. Chodzi o to „Czy świadczeniodawca prowadzi elektroniczną dokumentację medyczną (EDM w rozumieniu przepisów ustawy o systemie w ochronie zdrowia, zgodnie z art. 11 ust. 1 tej ustawy)”. Istnieją bowiem poważne wątpliwości co do tego, czy którykolwiek z istniejących na rynku systemów spełnia to wymaganie biorąc pod uwagę brak centralnego Systemu Informacji Medycznej.

Kolejną sprawą jest to, że dużo i nośnie mówi się o opiece koordynowanej w kontekście projektu POZ Plus w tematach związanych z ułatwieniami komunikacji na styku lekarz-pacjent chociażby poprzez wykorzystanie nowoczesnych narzędzi telemedycznych czy telediagnostycznych. Można było wręcz odnieść wrażenie, że projekt to umożliwi i pozwoli właśnie tym mniejszym podmiotom korzystać z dobrodziejstw telekonsultacji czy telediagnostyki a pacjenci dostaną szansę na korzystanie z różnego rodzaju narzędzi edukujących i wspierających w związku z chorobami przewlekłymi z którymi się borykają. Rzeczywistość jednak wygląda inaczej. Tzw. „grant technologiczny” przyznawany w maksymalnej wersji w kwocie 50 000 zł w trzech na cztery obszary w których można go dostać dotyczy sprawozdawczości związanej z projektem POZ Plus. W czwartym punkcie można będzie otrzymać dofinansowanie na integrację „…z systemami: Zintegrowany Informator Pacjenta (ZIP) i System Informatyczny Monitorowania Profilaktyki (SIMP) w celu pobierania informacji o świadczeniach udzielonych pacjentom objętym opieką koordynowaną”. Tutaj problemy są dwa – po pierwsze nie wiadomo w jakim konkretnie zakresie a po drugie brak jest w tych systemach mechanizmów (tzw. API programistyczne), które umożliwiałyby jakąkolwiek integracje.

Biorąc pod uwagę powyższe oraz inne problemy o których mówi się po pojawieniu się dokumentacji należałoby się zastanowić czy obecny kształt projektu jest właściwym kierunkiem. Na szczęście to tylko pilotaż z którego będzie można wyciągnąć wnioski. I oby finał był szczęśliwy zarówno dla placówek jak i dla pacjentów bo chyba o to w ochronie zdrowia chodzi.

Najciekawsze wydarzenia – marzec 2018

Podziel się

Na początku mały wstęp o aktualnej sytuacji. Dużo się dzieje. Dużo ostatnio mówię i myślę o chmurze, o czym świadczą chociażby spotkania – m.in z Piotrem Marczukiem z Microsoft w ramach Młodych Menadżerów Medycyny, konferencja Centrum Promocji Informatyki i tam prelekcja o chmurze, do tego artykuły na temat wykorzystania chmury w IT Professional oraz dla Menadżera Zdrowia. Obydwa ukażą się w marcu, jeden z nich mam już wydrukowany u siebie!

Myślę, że te wszystkie działania i wydarzenia potwierdzają, że chmura jest dobrym kierunkiem rozwoju placówek związanych z ochroną zdrowia. Tym bardziej w kontekście RODO ale o tym więcej będzie już niebawem – w ramach kodeksu RODO dla branży medycznej. Właśnie a propos i miękko przechodząc do tematu wpisu –

14 marca, Uczelnia Łazarskiego, ul. Świeradowska 43, Warszawa – konferencja RODO w Zdrowiu

na której zaprezentowana zostanie cześć kodeksu oraz stan prac nad nim. Zapisy na http://www.rodowzdrowiu.pl/

Oprócz tego mamy między innymi:

27 marca 2017 r. Auditorium Maximum Uniwersytetu Jagiellońskiego, Kraków – Międzynarodowe Forum Medycyny Personalizowanej

zapisy na: http://www.medycynapersonalizowana.pl/

8-10.03.2018, Katowice, II edycja Kongresu Wyzwań Zdrowotnych – Health Challenges Congress (HCC)

zapisy na: http://www.hccongress.pl/pl/

 

zapisy: https://www.termedia.pl/Konferencje?intro&e=724&p=4623

 

23.03.2018, Warszawa ,Kongres Innova Med Management

 

Jeszcze z tematów chmurowych jakby ktoś był zainteresowany. 15 marca Public Cloud User Group robi Meetup w Warszawie. Jest jeszcze kilka miejsc: https://www.meetup.com/pl-PL/publiccloudpl/events/247707928/ . Jednym z prelegentów będzie kolega z branży – Vladimir Alekseichenko – Architect w GE Healthcare. Ja będę 🙂

 

W agendach troszkę o telemedycynie pod katem prawnym i technologicznym i dużo o bezpieczeństwie i RODO. Warto zerknąć bo pojawić wszędzie to się z pewnością nie da 🙂

Zintegrowany Informator (Pacjenta?)

Podziel się

Witam,

dzisiejszy wpis miał dotyczyć czegoś innego, jednak o zaistniałej sytuacji warto wspomnieć.

Dawno już, bo zaraz na początku wdrożenia w 2013 roku, nosiłem się z zamiarem założenia konta w Zintegrowanym Informatorze Pacjenta dostępnym na stronie https://zip.nfz.gov.pl . Nazwa nasuwa dość dużo i brzmi zachęcająco. Wtedy jednak sobie to darowałem z braku czasu – w celu założenia konta wymagana była wizyta w oddziale NFZ (do najbliższego miałem wtedy 60 km).

Nasunęła mi się gdzieś kilka dni temu informacja o tym, że uruchomiono integrację z ePUAPem. Widać to popularne teraz (patrz chociażby poprzedni wpis o e-ZLA). To akurat dobrze.

Od uruchomienia systemu upłynęło około 5 lat można przypuszczać, że teraz to dopiero warto tam zajrzeć! Tak właśnie pomyślałem a biorąc pod uwagę, ze ePUAP mam postanowiłem to wykorzystać z premedytacją. Założyłem sobie konto na ZIP. Następnie cierpliwie czekałem około 24 godzin na synchronizację danych i w końcu  jest! I to  nawet z historią od 2008 roku.

Kilka tych usług typu “świadczenie medyczne” miałem od tego czasu jak się okazuje 🙂 Suma kosztów pokaźna jednak nie jest. Podejrzewam, że to dlatego, że tak naprawdę nie znam dokładnych kosztów większości tych usług. Co ma pacjentowi mówić koszt świadczenia “ryczałt/kapitalizacja” ?

Zakładka Deklaracje POZ potwierdziła mi, że jestem zapisany do danego lekarza (12,40 zł to koszt miesięczny). I nawet mam jakąś Panią pielęgniarkę za którą płacę 13,13 zł miesięcznie.

Jedyna jeszcze zakładka z której mógłbym skorzystać to Leki refundowane. Biorąc pod uwagę, że leczę się przewlekle cyklicznie biorę leki refundowane. Historia realizacji tych recept jest. Tyle, że kończy się na maju 2011 roku, zatem 7 lat temu. Ładnych parę razy później korzystałem z nawet tych samych leków na tych samych zasadach refundacji. Nie widzę tego jednak na swoim koncie, zatem suma refundacji także nie odpowiada wartości faktycznej. Z innych zakładek nie korzystałem bo brak tam moich danych. Co jest zgodne ze stanem faktycznym. Są to Uzdrowiska, Kolejki oczekujących, Zaopatrzenie ortopedyczne, Endoprotezo-plastyka.

W systemie możemy też odnaleźć ostatnie zarejestrowane składki w ZUS (zdrowotne jak rozumiem). Tutaj sytuacja się zgadza jednakże integracja odbywa się chyba rzadko – ostatnia zarejestrowana składka jest z listopada 2017.

W temacie integracji jeszcze – 9.01.2018 byłem na wizycie u lekarza POZ. Informacji o tym w systemie nie ma do tej pory..

Reasumując z perspektywy pacjenta. Informator to delikatnie mówiąc średni, zintegrowany też nie za dobrze. Co i rusz słyszy się, że ludzie mają wizyty czy leki, których nie mieli. Nie wnikałem (ale postaram się to zrobić) jak ma sprawa wyglądać w kontekście jego integracji z P1, chociażby w zakresie recept. Może po uruchomieniu P1 recepty znowu zaczną mi wskakiwać? 🙂 A tak poważnie to trochę się boję tego, że NFZ chce zmieniać swój system do rozliczeń. Zaczynam też uważać, że chyba pacjenci powinni się bardziej zainteresować swoim losem i informacjami o swoim leczeniu w kontekście dostępu do informacji oraz samego procesu przetwarzania ich danych w tym zakresie. Bo w tym momencie do jakiegokolwiek zintegrowanego systemu informacji dla pacjenta jest nam jeszcze bardzo daleko.

Chmura w praktyce część 2 – bezpieczeństwo danych w chmurze (na przykładzie SQL databases w Azure)

Podziel się

 

We wpisie

Co to jest chmura i czy może nam się przydać?

jako jeden ze sposobów wykorzystania chmury w naszym środowisku informatycznym podałem wykorzystanie jej dość szeroko pojętej funkcjonalności nazwanej “baza danych”. Wpis ten jednak nie będzie roztrząsał rodzajów tego typu mechanizmów w poszczególnych typach chmury czy mechanizmów rozliczania. Uznajmy, że tego typu aspekty są do przedyskutowania na konkretnym przykładzie biznesowym. Tym wpisem chciałem zwrócić uwagę na bezpieczeństwo danych przechowywanych w mechanizmach chmurowych na przykładzie bazy danych. Wiadomo, rozwiązań chmurowych jest wiele i generalnie dostawcy radzą sobie z aspektami bezpieczeństwa na różne sposoby.

Na co warto zwrócić uwagę z punktu widzenia administratora danych osobowych i/lub pracowników działu IT w placówce medycznej?

Przepisy RODO regulują i dopuszczają powierzenie danych osobowych podmiotom trzecim, także w kontekście uwarunkowań formalno-prawnych przetwarzanie danych placówki ochrony zdrowia w chmurze nie jest wykluczone. Komisja Europejska w motywie 81 preambuły RODO wskazuje na konieczność korzystania wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych w szczególności jeżeli chodzi o wiedzę fachową, wiarygodność i zasoby, odpowiadających wymaganiom bezpieczeństwa przetwarzania, w tym wymaganiom określonym przez RODO.

Najlepszą wskazówką w szukaniu odpowiedniego usługodawcy usług chmurowych (także zgodnie z zaleceniami CZIOZ) mogą być międzynarodowe standardy postępowania z danymi osobowymi a zatem normy takie jak ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 22301 oraz normy „branżowe” np. ISO 13606-1, ISO 13606-4.

Warto zwrócić też uwagę na normę ISO/IEC 27018, która nakłada następujące wymagania względem dostawców rozwiązań chmurowych:

  • Dane osobowe mogą być przetwarzane tylko i wyłącznie za wyrażeniem zgody przez klienta oraz wyłącznie do celów nieosobistych, oprócz sytuacji wyrażenia zgody przez klienta na tego rodzaju działanie.
  •  Należy zdefiniować procesy określające: zwrot, przekazanie, zniszczenie danych osobowych.
  •  Przed zakończeniem umowy należy ujawnić wszelkie podzlecenia usług przetwarzania oraz wszystkie kraje, w których występuje przetwarzanie danych.
  • Każdego rodzaju naruszenie ochrony danych należy udokumentować – łącznie z ustalonymi krokami rozwiązywania problemów i możliwymi następstwami.
  • Naruszenie ochrony danych należy niezwłocznie zgłosić klientowi
  • Należy wspierać klientów w zakresie postrzegania swoich praw: klientom, których dane przetwarzane są w chmurze należy oferować narzędzia, pozwalające by końcowi użytkownicy mogli uzyskać dostęp do swoich danych osobowych, w celu ich zmiany, usunięcia lub korekcji.
  • Przekazanie danych osobowych organom ścigania może nastąpić tylko i wyłącznie w przypadku istnienia prawnych zobowiązań w tym zakresie. Należy poinformować klienta, objętego takim postępowaniem, o ile informacja ta nie została utajniona.
  • Oferowane usługi „danych w chmurze” należy poddać regularnym kontrolom przez osoby trzecie.

Praktyka

Normy można sprawdzić i to istotne. Warto jednak wiedzieć jak to wygląda w praktyce. Aby od tego zacząć umieszczam poniżej do obejrzenia krótki filmik Microsoftu o tym w jaki sposób wygląda fizyczne i proceduralne zabezpieczenie do centrów danych będących częścią platformy Azure. Czy w szpitalu też tak macie? 🙂

Z ciekawostek – trwają ostre przygotowania do uruchomienia w Polsce platformy Azure Stack ( https://itreseller.com.pl/wspolna-oferta-microsoft-i-beyond-pl-w-oparciu-o-azure-stack-polscy-klienci-z-mozliwoscia-przetwarzania-danych-w-chmurze-z-lokalnego-polskiego-centrum-danych/ ). W centrum danych Beyond w Poznaniu powstanie zatem nasza “lokalna” platforma Azure`owa – gdyby ktoś się uparł na trzymanie danych u nas w kraju to idealne rozwiązanie. Ja jednak takiej potrzeby nie widzę, chociaż chętnie zmigruję kogoś do PL 🙂

Dlaczego Azure?

Działam na platformie Azure po pierwsze dlatego, że ją znam i wiem w jaki sposób wykorzystać niezliczone funkcjonalności do spełnienia naszych wymagań biznesowych w szeroko pojętym świecie medycyny. Po drugie dlatego, że bogactwo funkcjonalności i tempo rozwoju platformy jest ogromne. Świadczą o tym chociażby funkcjonalności, które poniżej zaprezentuję – jeszcze niedawno ich po prostu nie było. Po trzecie dlatego, że uważam, że to jest dobry wybór. I wcale nie oznacza to, że ograniczam się w swoich rozważaniach z klientami tylko do tej platformy. Znam wiele rozwiązań (OVH, Aruba Cloud, 3s DataCenter, Infomex DC) i w większym lub mniejszym stopniu z nich korzystam. Biorąc jednak pod uwagę funkcjonalności typowo usługowe – zwłaszcza mechanizmy PaaS Azure i AWS przodują i z pewnością będą.

Meritum

Wracając jednak do tematu. Jedną z przynajmniej kilku możliwości utworzenia bazy danych w Azure jest skorzystanie z usługi SQL database. Utwórzmy zatem nową instancję. W “Select source” wybrałem “Sample” – aby jakieś dane już były. Załóżmy, że to nasza baza pacjentów (a, że w tym przykładzie dane osobowe są to dobry przykład).

Po utworzeniu bazy możemy wejść w jej Dashboard:

Pragnę skupić się na następujących aspektach:

  • Set server firewall
  • Auditing and Threat Detection
  • Vulnerability Assesment
  • Data discovery and classifications
  • Dynamic Data Masking
  • Transparent data encryption.

Set server firewall – prosta funkcjonalność pozwalająca ustalić sobie zasady dostępu do bazy danych. W ustawieniach defaultowych mając server name (his1.database.windows.net) oraz użytkownika i hasło z bazą się po prostu połączymy. Można to okroić – do konkretnych adresów IP lub do konkretnych sieci wirtualnych. W tym wypadku prosta droga do skorzystania z mechanizmów opisanych we wpisie:

Chmura w praktyce – część 1 – VPN

Auditing and Threat Detection

Opcja inspekcji i wykrywania zagrożeń może zostać uruchomiona na poziomie pojedynczej instancji bazy danych lub na poziomie całego serwera. Domyślnie opcja Server-level jest wyłączona zarówno dla audytowania jak i wykrywania zagrożeń. Przy uruchamianiu tej opcji można podać także adres e-mail, na który będą przychodzić powiadomienia z alertami. Możemy wybrać tez wybrane zagrożenia, które mają być monitorowane.

Aha.. oto tabele w naszej bazie danych. Jak wcześniej wspomniałem to przykładowa baza, wypełniona danymi.

Po konfiguracji możemy sobie wyklinać pierwszy raport. Zawiera on wszystkie monitorowane przez nas aktywności wraz ze szczegółami – czyli. np który użytkownik jaką instrukcję lub operację na bazie danych wykonał lub chciał wykonać, z jakiego adresu ip itp. Dane możemy dowolnie filtrować a w przypadku gdy chcemy skorzystać z tych danych możemy podłączyć się do mechanizmu poprzez REST API.

Vulnerability Assesment

Ocena luk w zabezpieczeniach czy jak kto woli po prostu ocena podatności pozwala na automatyczny skan konfiguracji serwera bazy danych oraz danych zawartych w bazie. Wynikiem takiego skanowania jest rozbudowany raport zabezpieczeń bazy danych w następujących obszarach:

  • inspekcja i rejestrowanie
  • uwierzytelnianie i autoryzacja
  • zmniejszenie obszaru powierzchni
  • ochrona danych.

Jak widać na zrzucie powyżej mamy wyszczególnione wszystkie zadeklarowane i przeprowadzone kontrole oraz finalny status ich wykonania a także podsumowanie ryzyk wg. statusów (wysokie, niskie średnie). Szczegółowy raport rodzaju sprawdzanego zabezpieczenia, jego kategorii, instancji której dotyczy pozwala przyjrzeć się dokładnie wszystkim obszarom ryzyka. Mało tego – klikając na dane ryzyko otrzymujemy szczegółowy opis problemu a także zalecenie jego rozwiązania. Dla naszej bazy na przykład mamy informację, że niektóre kolumny w tabelach mogą zwierać dane wrażliwe (w rozumieniu Azure – mogą to być zatem dane osobowe lub inne). Dzięki temu możemy zareagować dokładając należytej staranności w opiece nad swoimi danymi. W opisanym przypadku w celu skorygowania tego problemu zostaniemy przeniesieni do Dynamic Data Masking, którą opisałem poniżej.

Data discovery and classifications

Kolejnym obszarem do analizy pod kątem bezpieczeństwa naszych danych w bazie jest mechanizm odnajdowania i klasyfikacji danych. Jest to narzędzie pozwalające nam na oznaczenie wszystkich kolumn w tabelach typem informacji która jest w danej kolumnie zawarta (np. Contact Info, Name, CreditCard) oraz nadania etykiet poufności. Dostępne na ten moment etykiety to:

Dodatkowo system sam rozpoznaje nam według swoich algorytmów typy danych i daje propozycje konfiguracji, którą możemy zaakceptować w całości lub częściowo wykorzystać. W razie konieczności system podpowiada nam także zalecenia do wykonania dla skonfigurowanej klasyfikacji danych.

Po zapisaniu klasyfikacji otrzymujemy rozkład przydzielonych etykiet oraz rozkład typu informacji w naszej bazie danych w przystępnej, graficznej formie. Raport ten możemy wyeksportować do Excela i dołączyć do swojej dokumentacji związanej z RODO.

Dynamic Data Masking

W skrócie dynamiczne maskowanie danych pomaga zapobiegać nieautoryzowanemu dostępowi do poufnych danych, umożliwiając klientom określenie, jak wiele wrażliwych danych ma się ujawnić przy minimalnym wpływie na warstwę aplikacji. Funkcja ta pozwala przykładowo wyświetlenie tylko części danych osobowych w recepcji placówki. W celu weryfikacji rozmówcy telefonicznego w systemie osobie obsługującej zgłoszenie mogą pojawić się wybrane dane osoby dzwoniącej – np. nazwisko, miejscowość zamieszkania oraz pierwsza i trzy ostatnie cyfry numeru PESEL. Myślę, że biznesowych zastosowań tej funkcjonalności w obliczu RODO czy po prostu mając świadomość wrażliwości tego typu danych (także proceduralną) można znaleźć wiele.

Transparent data encryption

Funkcjonalność ta wykonuje w czasie rzeczywistym szyfrowanie i deszyfrowanie bazy danych, powiązanych kopii zapasowych i plików dziennika transakcji bez konieczności wprowadzania zmian w aplikacji. Do realizacji tego zadania możemy wykorzystać zdefiniowane samodzielnie klucze znajdujące się w Key Picker. Dzięki wykorzystaniu tego mechanizmy mamy pewność, że wszystkie aplikacje i sposoby komunikowania się z naszą bazą danych otrzymują i wysyłają do niej dane zaszyfrowane.


Podsumowanie

Mam nadzieję, że opisane powyżej możliwości konfiguracji i dostosowania bazy danych do swoich restrykcyjnych potrzeb odnośnie przetwarzania danych rzucą nowe światło na ten temat. Zaznaczam, że wzięta na tapetę została tutaj tylko jedna z funkcjonalności – baza danych. Mechanizmów tych, dla różnych typów usług jest dużo więcej i postaram się o nich sukcesywnie pisać. Gdyby ktoś chciał poklikać sobie na żywo zapraszam do kontaktu – udostępnię subskrypcje testową bez konieczności podawania namiarów na swoją kartę kredytową 😉