W toku wieloletniego funkcjonowania na rynku dostawców oprogramowania dla przychodni i gabinetów nasi nowi klienci dzielili się z nami swoimi przykrymi doświadczeniami związanymi z utratą danych medycznych. Powody były różne, ale zawsze konsekwencją był brak dostępu do skrupulatnie prowadzonej dokumentacji medycznej pacjenta. Rodziło to przykre konsekwencje prawne spowodowane brakiem historii zdrowia i choroby pacjentów oraz także brakiem utrzymania ciągłości finansowej placówki, spowodowanej niemożliwością rozliczeń z NFZ lub płatnikami komercyjnymi.
Czym są dane medyczne?
Dane medyczne są związane ze stanem zdrowia i zaliczają się do szczególnej kategorii danych osobowych, które muszą być ściśle chronione. Danymi medycznymi są więc np. zdiagnozowane i przebyte choroby, wyniki badań, zdjęcia RTG. Powiązane są nierozerwalnie z prywatnością danej osoby. Gwarancję ochrony danych osobowych, w tym także właśnie danych medycznych, daje Konstytucja RP i przepisy RODO.
Kto odpowiada za ochronę danych medycznych i osobowych pacjentów?
Za bezpieczeństwo danych medycznych odpowiada podmiot leczniczy oraz gabinet (lekarski, pielęgniarski, położniczy, fizjoterapeutyczny, psychologiczny itp.). Dokumentacja medyczna musi podlegać stałej, ścisłej ochronie, w którą zaangażowani muszą być wszyscy pracownicy medyczni oraz pracownicy rejestracji i obsługi administracji, którzy np. rozliczają świadczenia zdrowotne.
Dlaczego nasi klienci wybrali gromadzenie i przechowywanie danych medycznych w chmurze?
Program Mediporta spełnia wszelkie prawne wymogi bezpieczeństwa. Profesjonalne podejście Spółki Mediporta do zagadnień związanych z bezpieczeństwem i ochroną danych pozwoliło uzyskać certyfikat zgodności z normą ISO/IEC 27001:2013, w zakresie projektowania i instalowania baz danych oraz produkcji, dostarczania, uruchamiania, szkolenia i wdrażania systemów informatycznych. Oprócz tego Spółka wprowadziła, utrzymuje i doskonali System Zarządzania Bezpieczeństwem Informacji (SZBI), zgodny z ww. normą.
Klienci wybierając system Mediporta, najczęściej wskazywali następujące korzyści, jakie odnieśli po wdrożeniu oprogramowania:
– brak opłaty związanej z zakupem i instalacją programu na każdym stanowisku komputerowym,
– brak kosztów związanych z inwestycją w serwerownie, (a jest to niebagatelny koszt od kilku do kilkunastu tysięcy złotych),
– samoczynne gromadzenie i przechowywanie danych medycznych pozwalające na oszczędność czasu i pieniędzy,
– zapewnione bezpieczeństwo, ponieważ dane pacjentów i cała elektroniczna dokumentacja medyczna placówki jest chroniona w najwyższych standardach bezpieczeństwa (w momencie kradzieży laptopa, zalania go kawą, lub uszkodzenia w wyniku uderzenia pioruna w budynek, dane są nadal bezpieczne w serwerowniach).
Dzięki temu klienci Mediporty mogą spać spokojnie, pewni że nie spotkają ich problemy związane z utratą danych, których ryzyko nie jest hipotetyczne, a bardzo realne. Poniżej przedstawiamy autentyczne przypadki i sytuacje utraty danych medycznych, opowiedziane nam podczas rozmów sprzedażowych, prezentacji oprogramowania czy wdrożeń oprogramowania Mediporta.
Kradzież i bezpowrotna utrata sprzętu
Najwięcej zdarzeń, w wyniku których placówki medyczne traciły dane medyczne było związanych z włamaniami do pomieszczeń i kradzieżą sprzętu komputerowego. Były to nierzadko komputery stanowiące jednocześnie jedyne serwery, na których składowano dane medyczne. Przykładem zuchwałej kradzieży była grabież laptopa z pomieszczenia rejestracji, kiedy osoba przebywająca blisko recepcji wykorzystała chwilę nieuwagi rejestratorki. Laptopa nigdy nie udało się odzyskać, a dane zostały utracone, w związku z brakiem kopii zapasowych. Dalszy los danych medycznych pacjentów nie jest znany.
Utrata danych, połączona z uzyskaniem do nich dostępu przez niepowołane osoby, to nie tylko ogromny praktyczny problem dla dalszego funkcjonowania przychodni, ale również istotne i zagrożone wysoki karami naruszenie przepisów RODO. Każdy taki przypadek wymaga zgłoszenia do UODO, które inicjuje postępowanie wyjaśniające. W jego trakcie należy wykazać stosowanie adekwatnych do zagrożeń środków ochrony danych, zarówno organizacyjnych, jak i technicznych. Ich właściwe zapewnienie jest bardzo trudne w budżecie, którym zazwyczaj dysponują placówki medyczne, szczególnie wobec obserwowanej pomysłowości i zuchwałości złodziei.
Dlatego nasi klienci zmieniają dotychczasowy system informatyczny na system Mediporta, który jest rozwiązaniem chmurowym. Dane nie są magazynowane na dyskach komputerów w placówkach medycznych, tylko na zewnętrznych serwerach, zlokalizowanych w centrach danych o wielopoziomowej kontroli dostępu, gdzie ryzyko kradzieży sprzętu jest praktycznie wyeliminowane.
Burza
Opisywany przypadek dotyczy braku ochrony danych osobowych i medycznych w gabinecie stomatologicznym. Gabinet stomatologiczny został zamknięty na okres urlopowy. Sprzęt komputerowy (dwa laptopy) pozostały w gabinecie i nie zostały odłączone od zasilania. Letnia, gwałtowna burza i towarzyszące jej wyładowania atmosferyczne spowodowały przepięcie prądu w sieci i w konsekwencji zniszczenie sprzętu. Wszystkie przechowywane dane zostały utracone. Wynajęta licencjonowana firma informatyczna nie zdołała odzyskać żadnych danych, pomimo bardzo wysokiej ceny takiej usługi.
Eksperci meteorologii są zgodni co do tego, że gwałtownych zjawisk pogodowych będzie w przyszłości coraz więcej, w związku z zachodzącymi zmianami klimatu.
Nasi klienci wybierają system Mediporta, zwracając szczególną uwagę na zabezpieczenia związane z serwerami. Aby zminimalizować praktycznie do zera groźbę utraty jakichkolwiek danych lub awarię serwera, nasze oprogramowanie gwarantuje równoległy zapis danych na dwóch różnych serwerach w dwóch różnych, niezależnych lokalizacjach. Oba centra danych wyposażone są w aktywne urządzenia zabezpieczające przed nieprawidłowym działaniem sieci energetycznej oraz zasilanie awaryjne na wypadek przerwy w dostawie prądu.
Awaria komputera
Niejednokrotnie gabinety lekarskie czy pielęgniarskie borykały się z awarią sprzętu komputerowego lub problemami związanymi ze zmianą sprzętu. Przykładem takiej sytuacji była poważna awaria komputera w gabinecie kardiologicznym, kiedy lekarz podczas intensywnego tygodnia przyjęć pacjentów utracił dostęp do swojego komputera, a co za tym idzie, nie miał wglądu do dokumentacji medycznej swoich pacjentów. Zdarzenie wywołało duże zamieszanie w funkcjonowaniu prywatnego gabinetu lekarza, a także naraziło jego samego na utratę reputacji i renomy.
Awarie konsumenckiego sprzętu komputerowego nie są czymś nietypowym, uszkodzeniu może ulec wiele wewnętrznych komponentów z powodów tak różnych, jak przegrzanie zużytego systemu chłodzenia, wstrząsy podczas transportu, wyładowania elektrostatyczne, przepięcia sieci energetycznej czy wirusy niszczące dane lub ransomware szyfrujący dane dla okupu.
Placówki medyczne cenią oprogramowanie Mediporta za dostęp do systemu z każdego urządzenia, które wystarczy, że obsługuje przeglądarkę internetową. To zapewnia, że dostęp do systemu i zgromadzonych w nim danych jest możliwy z każdej lokalizacji i jest nieograniczony w czasie. Lekarz może logować się zarówno z laptopa, jak i z komórki czy tabletu, dzięki czemu będąc w domu może np. szybko sprawdzić swój kalendarz przyjęć pacjentów. Wymagania sprzętowe nie są wygórowane, a system działa praktycznie na każdym urządzeniu z dostępem do Internetu.
Złe narzędzie do wykonywania backupów
Kolejne grono przychodni i gabinetów nie zwracało szczególnej uwagi na bezpieczeństwo gromadzenia i przetwarzania danych medycznych poprzez brak systematyczności w tworzeniu backupów. Backup to nic innego jak zapasowa kopia bezpieczeństwa danych dotychczas zgromadzonych przez placówkę medyczną. W dużej przychodni w Warszawie, pomimo posiadania narzędzia do backupu, kopie zapasowe wykonywano nieregularnie, w dodatku nie weryfikując ich poprawności i odtwarzalności. Po awarii serwera okazało się, że wykonywane backupy nie mają żadnej wartości. Niestety większości danych nie udało się odzyskać, ponieważ wytworzone kopie zapasowe były błędnie zapisywane przez wykorzystywane narzędzie do backupów.
Dokładne wykonywanie i weryfikowanie kopii bezpieczeństwa, zgodne z procedurami, przepisami i dobrymi praktykami, wymaga odpowiedniej wiedzy i sporego zaangażowania, na które zwykle nie ma czasu w codziennej intensywnej pracy placówek medycznych.
Oprogramowanie Mediporta nie wymaga ręcznej instalacji, aktualizacji i wykonywania backupów danych. Umowa na świadczenie usług gwarantuje cykliczne, z częstotliwością do 15 minut, wykonywanie kopii zapasowych, co w sytuacji awaryjnej zapewnia szybkie, wiarygodne i precyzyjne odtworzenie danych.
Mamy nadzieję, że przytoczone wyżej przypadki skłonią Państwo do refleksji nad bezpieczeństwem danych medycznych w Państwa placówkach. Wiemy jak wiele wysiłku, czasu i pieniędzy wymaga spełnienie wszystkich wymogów prawnych związanych z ochroną danych poprzez świadomą i skuteczną redukcję ryzyka ich utraty czy wycieku – tego typu działania prowadzimy nieustannie, utrzymując certyfikację ISO 27001.
W związku z tym proponujemy wdrożenie systemu Mediporta w Państwa placówce i skorzystanie z naszego doświadczenia oraz sprawdzonych rozwiązań, które jako zespół specjalistów IT wypracowaliśmy na przestrzeni wielu lat współpracy z naszymi klientami.
Jeśli macie Państwo jakiekolwiek wątpliwości czy system, z którego aktualnie korzystacie, zapewnia Wam właściwy poziom bezpieczeństwa – zapraszamy do kontaktu. Opowiemy o systemie Mediporta, dzięki któremu otrzymacie Państwo dostęp do bezpiecznego oprogramowania z dowolnego miejsca zamiast tradycyjnego systemu, instalowanego w komputerze.
Zapraszamy do niezobowiązującej prezentacji oprogramowania Mediporta, wysyłając e-maila na adres: kontakt@mediporta.pl