Захист персональних даних у сфері охорони здоров’я в ЄС: законодавчий ландшафт

Охорона здоров’я все більше покладається на інформаційні технології. Усе більше лікарень та закладів охорони здоров’я застосовують інформаційно-комунікаційні технології для підтримки та вдосконалення своєї роботи. Широко застосовуються цифрові технології в державному секторі охорони здоров’я — це й електронні рецепти, запис до сімейного лікаря, записи про надані послуги, госпіталізацію, виписку зі стаціонару та ін. У цьому контексті з’явився широкий спектр інструментів та послуг у сфері електронного здоров’я. Електрон­ні медичні записи створюються таким чином, щоб можна було передавати дані пацієнтів між різними медичними працівниками. Незважаючи на те що цифрові технології в галузі охорони здоров’я мають таку велику кількість важливих функцій, їх висока залежність від конфіденційної інформації щодо здоров’я пацієнтів може спричинити проблеми із захистом інформації. При цьому значну частину персональних даних щодо здоров’я часто збирають без інформування про це пацієнтів. Вони не можуть контролювати свої дані та не мають достатнього рівня обізнаності, щоб дати вільну та поінформовану згоду. Розробка складних алгоритмів ще більше поглибила цю проблему, оскільки створює серйозні ризики для захисту персональних даних про здоров’я. Ці потенційні ризики застосування цифрових технологій у галузі охорони здоров’я привернули увагу законодавців у ЄС. Як регулюються та яким чином здійснюються процеси захисту персональних даних у сфері охорони здоров’я в ЄС? І яким шляхом у цьому питанні варто рухатися Україні? Давайте розбиратися.

Законодавство ЄС у сфері захисту персональних даних охоплює різні ступені кібербезпеки від використання медичного обладнання та індивідуальних гаджетів до хмарних сервісів, де зберігаються дані пацієнтів лікарень. Крім того, поряд із законодавством на рівні ЄС у кожній країні-члені розроблено свої законодавчі акти, стратегії та ін. Деякі з найважливіших документів, що регламентують захист персональних даних у сфері охорони здоров’я, представлені нижче*:

1) Директива про мережеву та інформаційну безпеку (Network and Information Security Directive — NISD) 2016/1148/EU, яка набула чинності в травні 2018 р., має дві основні цілі: впровадження мінімальних вимог безпеки та встановлення обов’язковості повідомлення про стан кібербезпеки як для операторів життєво важливих послуг (Operators of Essential Services), так і для постачальників цифрових послуг. Постачальники медичних послуг, а саме лікарні, визначені операторами життєво важливих служб у більшості держав-членів. Директива надає повноваження контролюючим органам здійснювати аудит операторів життєво важливих послуг, щоб забезпечити прийнятний рівень кібербезпеки в організації відповідно до положень Директиви. Особливості лікарняної екосистеми поширюють зазначені вимоги щодо кібербезпеки на всі продукти та пристрої, що використовуються. Один вразливий пристрій/система/сервіс може мати значний вплив на кібербезпеку для лікарні як оператора життєво важливих послуг;

2) Регламент щодо медичних пристроїв (Medical Device Regulation — MDR) — це новий регламент, який включає конкретні положення, що стосуються ІТ-безпеки (обладнання, програмне забезпечення тощо) для всіх медичних виробів;

3) Загальний регламент про захист даних (General Data Protection Regulation — GDPR; Regulation (EU) 2018/1725) набув чинності 25 травня 2018 р. Він встановлює правила обробки та вільного руху персональних даних і застосовується до всіх доменів публічного та приватного секторів; однак для інформації, що стосується здоров’я, визначені деякі винятки, спрямовані на захист прав суб’єктів даних та конфіденційності їхніх персональних даних про здоров’я та одночасно збереження переваг обробки інформації для дослідницьких та громадських цілей. GDPR трактує дані про здоров’я як «особливу категорію» персональних даних, які за своєю природою вважаються «чутливими», і встановлює вищий рівень захисту їхньої обробки.

Таким чином, GDPR застосовується тільки в тому разі, якщо обробляються персональні дані. Відповідно до ст. 4 (1) GDPR персональні дані — будь-яка інформація, що стосується ідентифікованої або такої, що може бути ідентифікованою, фізичної (живої) особи. Прикладами є імена, дати народження, фотографії, відеозаписи, адреси електронної пошти, номери телефонів, кредитних карток та ін. Інші деталі, такі як IP-адреси, що стосуються або надаються кінцевими користувачами послуг зв’язку, також розглядаються як особисті дані. Суб’єктивна інформація, така як думки, судження чи оцінки, також може бути персональними даними. Таким чином, сюди входить, наприклад, оцінка кредитоспроможності особи. Захист персональних даних не поширюється на інформацію про юридичних осіб — корпорації, фонди та установи.

Спеціальні категорії персональних даних (також відомі як конфіденційні персональні дані), до яких належать дані про здоров’я, а також генетичні та біо­метричні дані підлягають вищому рівню захисту. Зазначається, що особисті дані, які за своєю природою є особливо «чутливими», оскільки контекст їх обробки може створювати значні ризики для основних прав і свобод, заслуговують на особливий захист.

Цифрові технології в галузі охорони здоров’я та виклики системи захисту персональних даних

Цифрові технології в галузі охорони здоров’я охоплюють цілий ряд електронних або цифрових процесів діагностики, моніторингу та лікування. Лікувально-профілактичні заклади створили різні платформи в інтернеті для забезпечення процесів, пов’язаних із охороною здоров’я. На базі цих платформ, як правило, можна створювати та зберігати індивідуальні електронні медичні записи. Крім того, ці сформовані особисті дані про здоров’я можуть бути використані для медичних досліджень та прогнозування стану здоров’я людей. Однак обмін персональними даними про здоров’я між постачальниками медичних послуг, інформаційними мережами охорони здоров’я, медичними працівниками та пацієнтами ускладнюється проблемою захисту так званих «чутливих» персональних даних, що мають підвищені вимоги щодо захисту згідно з відповідними законами. Порядок захисту даних ЄС встановлює спеціальний набір принципів та прав щодо захисту даних у сфері охорони здоров’я.

У законодавчих заходах щодо захисту приватного життя ЄС займає передові позиції і яскравий приклад цього — GDPR, останній підзаконний акт про захист даних. GDPR замінює попередні закони про захист даних у ЄС, що, як очікується, дозволить впоратися з новими проблемами у сфері захисту даних в епоху цифрових технологій. У фокусі цього закону — захист персональних даних про здоров’я під час використання цифрових технологій у ході надання медичної допомоги, коли межі та обов’язки є менш чіткими, ніж при традиційній медичній допомозі. GDPR передбачає фундаментальні зміни щодо контролю та володіння даними про здоров’я — вони переходять від лікарів, науковців, лікарень та закладів охорони здоров’я до пацієнтів. Тепер пацієнти повинні дати явну згоду на використання своїх даних про стан здоров’я та можуть відкликати її, коли це необхідно. Таким чином, у порівнянні з попередніми нормативними актами щодо захисту даних про здоров’я, GDPR приділяє набагато більше уваги задоволенню нових вимог, що виникли з підвищенням рівня цифровізації у сфері охорони здоров’я, і, отже, може сприяти посиленню захисту даних про здоров’я в ЄС.

GDPR вперше дає більш детальне визначення поняття «дані, що стосуються здоров’я», ніж раніше, посилаючись на особисті дані, пов’язані з фізичним або психічним здоров’ям фізичної особи, включаючи всі дані про стан її здоров’я в минулому, теперішньому або майбутньому, зібрані під час реєстрації або надання медичних послуг. Що ще важливіше, регламент встановлює нові стандарти захисту даних, що стосуються здоров’я, і посилює обов’язки контро­лерів та процесорів, що обробляють дані в галузі охорони здоров’я. У цьому контексті слід пояснити, що контролером даних є організація, відповідальна за збір та управління ними. Наприклад, лікарня, яка збирає інформацію, — це контролер. Процесор (обробник) даних — це організація, яка допомагає в наданні послуги з обробки даних. Власник програмного продукту, в якому зберігаються та обробляються дані, — процесор (обробник) даних.

GDPR встановлює вищі стандарти стосовно інформованої згоди та обов’язків щодо повідомлення. Як зазначається у ст. 7, пацієнта потрібно інформувати про можливі ризики збору даних «у зрозумілій та легкодоступній формі, чіткою та зрозумілою мовою». Крім того, оскільки надмірний збір даних може зробити згоду недійсною, контролер перед збором даних повинен вказати, чи вимагає надання персональних даних про здоров’я закон або контракт, чи це необхідна умова для укладення договору, чи зобов’язаний пацієнт надати персональні дані, а також потенційні наслідки, коли такі дані не буде надано (ст. 13).

Крім того, для подолання неефективності дов­гих та складних повідомлень про конфіденційність, GDPR виступає за використання короткого тексту зі стандартизованими піктограмами для негайного усвідомлення передбачуваної обробки даних (ст.ст. 12, 13, 14). GDPR також посилює захист права на доступ до персональних даних про здоров’я. Організації охорони здоров’я зобов’язані відповідати на запити про доступ пацієнтів у коротший термін, ніж раніше. Для підвищення прозорості між пацієнтами та постачальниками медичних послуг GDPR запроваджує обов’язкову оцінку впливу на захист даних (data protection impact assessment — DPIA). Контролери даних повинні виконувати DPIA перед обробкою конфіденційної інформації, що стосується стану здоров’я, щоб виявити можливі ризики обробки даних та знайти шляхи їх усунення. Крім того, деякі положення (ст.ст. 12, 13, 22, 29) мають на меті пояснити пацієнтам рішення, що прий­маються за допомогою автоматизованої обробки, включаючи профілювання, та логіку обробки даних, а також наслідки. Таким чином, ризики, пов’язані з використанням алгоритмів прийняття рішень, стають прозорими для пацієнтів, що дозволяє їм брати участь у прийнятті рішення.

Ст. 4 (12) GDPR визначає «виток персональних даних» як порушення безпеки, що призводить до випадкового або незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, що передаються, зберігаються або обробляються іншим способом. Слід зазначити, що якщо інцидент з витоком даних впливає і на безперервність роботи медичних служб, то про це слід повідомляти відповідно до Директиви NISD.

GDPR також вводить положення про кібербезпеку для підвищення рівня прозорості. Ст. 5 затверджує загальний принцип цілісності та конфіденційності. У разі витоку персональних даних ст.ст. 33 та 34 вимагають від контролерів даних інформувати контролюючий орган протягом 72 год, а якщо порушення безпеки даних несуть високі ризики, вони повинні інформувати пацієнтів. Враховуючи, що значний технічний розвиток у галузі охорони здоров’я може безпосередньо спричинити втрату «розбірливості» обробки даних про здоров’я, GDPR робить пацієнта «спільним контролером» власних даних про здоров’я, надаючи йому можливість брати участь у процесах, пов’язаних із обробкою персональних даних про здоров’я. У регламенті запропоновано пацієнтам нове право на перенесення даних, тобто вони мають право передавати дані, надані раніше контролеру, іншому контролеру даних без перешкод від попереднього (ст. 20). GDPR також розширює права пацієнтів — вони можуть вимагати від контролерів та процесорів даних видалення інформації про стан їхнього здоров’я. Крім того, найвищий рівень конфіденційності, за замовчуванням, має тепер автоматично застосовуватися до нового сервісного продукту для здоров’я.

У разі недотримання GDPR організаціям охорони здоров’я загрожуватимуть санкції. Адміністративні штрафи було суттєво збільшено — до 2% від загального річного доходу закладу або 10 млн євро у разі незначних порушень, а також до 4% від загального річного доходу або 20 млн євро у разі серйоз­них порушень (ст. 83).

Регуляторні та контролюючі органи у сфері захисту персональних даних

Європейський нагляд за захистом даних (European Data Protection Supervisor, EDPS) є незалежним наглядовим органом, заснованим відповідно до GDPR, що відповідає за моніторинг обробки персональних даних установами та органами ЄС, консультування щодо політики та законодавства, що впливають на конфіденційність, та співпрацю з подібними органами для забезпечення послідовного захисту даних. Його місія також полягає в підвищенні обізнаності щодо ризиків та захисті прав і свобод людей під час обробки їхніх персональних даних.

Європейська комісія призначила відповідального за захист даних (Data Protection Officer), який відповідає за моніторинг та застосування правил захисту даних в Європейській комісії. Службовець із захисту даних самостійно забезпечує внутрішнє застосування правил захисту даних у співпраці з EDPS.

Агентство Європейського Союзу з кібербезпеки (European Union Agency for Cybersecurity — ENISA) робить внесок у кіберполітику ЄС, підвищує надійність продуктів, послуг та процесів інформаційно-комунікаційних технологій за допомогою сертифікації кібербезпеки, співпрацює з державами-членами й органами ЄС та допомагає ЄС підготуватися до кібервикликів завтрашнього дня. ENISA зосереджується на впровадженні принципу конфіденційності та гарантій захисту даних як основи нових електронних продуктів та послуг, вивчає технології підвищення приватності, які можуть підтримувати інтеграцію конфіденційності в системи та сервіси. ENISA аналізує та пропонує заходи з безпеки для захисту персональних даних, застосовуючи підхід, заснований на оцінці ризику. Особ­лива увага приділяється криптографічним протоколам та інструментам, а також їх можливому впровадженню в реальні програми. Витоки персональних даних — це ще одна сфера уваги ENISA, яка стосується методів та інструментів звітності про порушення та управління ризиками.

Таким чином, у ЄС на законодавчому рівні прописані вимоги щодо захисту персональних даних на всіх рівнях їх збору та обробки, при цьому особ­ливо високі вимоги щодо надійності захисту висуваються стосовно такої чутливої категорії персональних даних, як інформація про здоров’я. Законодавство ЄС визначає контролюючі та регуляторні органи в цій сфері та відповідальність у разі порушення вимог чинного законодавства щодо захисту персональних даних, які стосуються здоров’я.

Пресслужба «Щотижневика АПТЕКА»,
за матеріалами ec.europa.eu, esilience.enisa.europa.eu, edps.europa.eu, gdpr-info.eu
*European Union Agency for Cybersecurity (ENISA) Procurement Guidelines for Cybersecurity in Hospitals. Good practices for the security of Healthcare services. February, 2020.

Коментарі

Коментарі до цього матеріалу відсутні. Прокоментуйте першим

Добавить свой

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

*

Останні новини та статті