»Digitalizacija v zdravstvu prinaša številne koristi, če je izvedena pravilno. Njen namen ni le prenos papirnih procesov v digitalno obliko, temveč tudi optimizacija podatkov ter vzpostavitev boljših načinov obravnave pacientov,« razlagajo na Ministrstvu za zdravje.
Strukturirani podatki omogočajo zdravstvenim delavcem hiter in enostaven vpogled v podatke pacienta, prihranijo čas, hkrati pa širši nabor podatkov omogoča uporabo naprednih tehnologij, v uporabi v personalizirani medicini in umetni inteligenci. Centralni register podatkov o pacientih (CRPP), ki se razširja z laboratorijskimi izvidi, slikovnim gradivom ter odpustnimi pismi, je ključen za izpolnjevanje zahtev evropske zakonodaje glede omogočanja čezmejno izmenjavo zdravstvenih podatkov.
Omogočanje storitev na daljavo
»Digitalizacija omogoča tudi izvajanje zdravstvenih storitev na daljavo,« pravijo na Ministrstvu za zdravje. Varna in zanesljiva komunikacija omogoča video posvete in spremljanje stanja pacientov s senzorji. Dobro zasnovana arhitektura dolgoročno znižuje stroške vzdrževanja s poenotenimi standardi in manjšo administrativno obremenitvijo zdravstvenih delavcev.
Kmalu obvestila o napotnicah in receptih
Na portalu zVEM bo kmalu mogoče prejemati obvestila o napotnicah in receptih. Z oddajo pooblastila (pri izvajalcu ali območni enoti ZZZS) bo lahko pacient omogočal pooblaščeni osebi izvajanje storitev eZdravja in dostop do podatkov v svojem imenu. Poleg tega bo možno potrditi svoje kontaktne podatke, kar bo povečalo njihovo zanesljivost in olajšalo obveščanje vseh izvajalcev zdravstvenih storitev ob morebitnih spremembah.
Dobro zasnovana arhitektura dolgoročno znižuje stroške vzdrževanja s poenotenimi standardi in manjšo administrativno obremenitvijo zdravstvenih delavcev.
Informacijska varnost
Slovenski zdravstveni informacijski sistem sestavlja centralni sistem eZdravja in več kot 1.000 sistemov pri različnih zdravstvenih izvajalcih. Država upravlja in vlaga v sisteme, ki jih nadzoruje NIJZ, pri čemer zagotavlja informacijsko varnost z nadzornimi sistemi in Varnostno operativnim centrom.
Glede varnosti v sklopu e-zdravja je več informacij na voljo na povezavi. Na njej je zapisano, da je pri uporabi določenih storitev eZdravja nujno potrebno, da se uporabnik identificira s kvalificiranim digitalnim potrdilom. To je lahko shranjeno na profesionalni kartici ali na drugem mestu, npr. če uporabnik ima SIGEN-CA ali drugi certifikat. Pri tem je uporabnik sam odgovoren za ustrezno varovanje potrdila, ki služi za dokazovanje njegove identitete. Rešitve eZdravja ne delajo razlik med različnimi kvalificiranimi digitalnimi potrdili, ki so v uporabi v Sloveniji, in jih uporabljajo kot orodje za dokazovanje identitete uporabnika in za preverjanje ustreznih pooblastil.
Uporabniki so osebno odgovorni za uporabo svojih profesionalnih kartic, digitalnih potrdil in gesel oziroma PIN kod. Če svoje potrdilo, profesionalno kartico, geslo ali PIN kodo predajo drugi osebi, ji s tem predajo svojo digitalno identiteto in ravnajo malomarno. S takim dejanjem so odgovorni za morebitne zlorabe svoje identitete (npr. predpis receptov s strani nepooblaščene osebe ipd.)
Odgovornost uporabnikov (oz. ustanove) je, da uporablja posodobljene različice opreme, tako programske kot strojne, saj s tem zmanjša varnostna tveganja. Prav tako je odgovornost uporabnika oz. ustanove, da uporablja programsko opremo, ki upošteva predmetno zakonodajo, predpise in dobre prakse.
»Zaposleni v zdravstvu svojo odgovornost varovanja zasebnosti jemljejo zelo resno,« poudarja Primož Govekar, tehnični direktor Info hiše.
Foto: osebni arhiv
Beleženje dostopa do podatkov
»Vsak dostop do podatkov pacienta v CRPP se beleži na ravni posameznega uporabnika, kar zagotavlja celovito sledljivost dostopov. Pacient lahko preko portala zVEM kadarkoli preveri, kateri izvajalec je vpogledal v njegove podatke v CRPP, eReceptu in eNaročanju,« razlagajo na Ministrstvu za zdravje.
Pri vsakem dostopu zdravstvenih delavcev v CRPP se preverja, ali ima uporabnik pooblastilo za dostop do dokumentov v skladu s Pravilnikom. Pravilnik je bil nedavno prenovljen, nova določila bodo začela veljati septembra. Ključna sprememba je, da je omogočen dostop do pacientovih dokumentov tudi zdravstvenim delavcem in sodelavcem, ki jih pooblastijo nosilci zdravstvenih timov (večinoma zdravniki). To v praksi omogoča večji prenos pooblastil med zdravstvenimi profili in enostavnejše sodelovanje znotraj timov.
Pacient ima v skladu s Pravilnikom o prepovedi vpogleda v povzetek podatkov o pacientu v CRPP možnost prepovedati vpogled v povzetek podatkov o pacientu.
Več informacij je na voljo na povezavi https://ezdrav.si/wp-content/uploads/2022/09/eZdravje-CRPP-Uporabniska-navodila-v-5.4.1.pdf.
Tako sistem eZdravje, kot tudi informacijski sistemi znotraj zdravstvenih ustanov, imajo zagotovljeno sledenje dejavnosti uporabnikov, ki omogoča kasnejši pregled, kdo je, recimo, vpogled(ov)al v osebne podatke nekega pacienta.
Za varnost podatkov lahko največ naredimo sami
Na Ministrstvu za zdravje pravijo, da za varnost svojih podatkov lahko poskrbimo z doslednim varovanjem svojih gesel in nosilcev digitalne identifikacije, s previdnim ravnanjem pri spletnih straneh, ki od nas zahtevajo gesla, s posodabljanjem opreme, ki varuje naše naprave, in z upoštevanjem ostalih nasvetov, kako se varno digitalno obnašati.
Z varnostjo podatkov in s koordinacijo razreševanja incidentov se ukvarja nacionalni odzivni center za kibernetsko varnost SI-CERT.
Varovano informacijsko okolje
Primož Govekar, tehnični direktor Info hiše, ki deluje na področju varstva osebnih podatkov in informacijske varnosti, pravi, da so zdravstveni sistemi, ki v zdravstvenih ustanovah hranijo podatke o pacientih, običajno postavljeni v lokalnih okoljih in praviloma niso neposredno dostopni iz internetnega okolja. Dostop do informacijskega znotraj lokalnega okolja je varovan z uporabniškimi imeni in gesli, nekatere naprednejše organizacije pa že uporabljajo tudi mehanizme večfaktorske avtentikacije. Slednja se – v obliki zdravniške kartice – uporablja tudi za potrjevanje zdravnikovih akcij v povezavi z recimo izdajo e-receptov.
»Vsakemu uporabniku so deljeni svoji podatki oziroma poverilnice, ki jih sme in mora uporabiti za vstop v uporabniški sistem. Na osnovi poverilnic in nalog, ki jih zdravstveno osebje opravlja, pa se vsakemu od njih dodelijo tudi pravice. Izbrani osebni zdravnik bo tako recimo imel dostop do vseh pacientovih podatkov, medtem, ko bo laboratorijski tehnik v laboratoriju videl zgolj nujne podatke za izvedbo preiskave,« razlaga Govekar.
Primož Govekar razlaga, da je glavni namen zdravstvenega sistema skrb za zdravje in dobro počutje pacientov, kar je tudi primarna skrb zdravstvenega osebja.
Lokalni zdravstveni sistemi podatke o pacientih posredujejo tudi v nacionalni zdravstveni sistem, ki ga poznamo pod skupnim imenom eZdravje, z namenom, da so dosegljivi tudi zdravnikom v drugih ustanovah. »Ključno pri eZdravju je, da so zelo natančno postavljeni pogoji, pod katerimi sme neki zdravnik dostopati do podatkov. Izbrani osebni zdravnik in zdravnik, ki dežura na urgenci, bosta tako, na primer, še vedno lahko prišla do vseh podatkov, zdravnik specialist pa samo do tistih, ki so povezani z njegovo specializacijo in vrsto napotne listine pacienta,« poudarja sogovornik.
Tako sistem eZdravje, kot tudi informacijski sistemi znotraj zdravstvenih ustanov, imajo zagotovljeno sledenje dejavnosti uporabnikov, ki omogoča kasnejši pregled, kdo je, recimo, vpogled(ov)al v osebne podatke nekega pacienta.
Raven varovanja odvisna tudi od velikosti ustanove
Kako visoko stopnjo varnosti zagotavlja zdravstveni sistem? »V praksi opažamo, da se nekatere zdravstvene ustanove bolj trudijo zavarovati podatke tako s tehničnimi, kot organizacijskimi ukrepi, druge pa pri tem morda niso tako uspešne. Opazili smo že (predvsem manjše) zdravstvene ustanove, ki za obravnavo svojih pacientov uporabljajo kar katero od brezplačnih oblačnih storitev. Digitalno okolje zVem, v katerem deluje celotno eZdravje, je na drugi strani, recimo. varovano z ukrepi, ki zajemajo vse od posebne fizične opreme do osebnih digitalnih potrdil, ki so predpogoj za dostop. Sistem je zavarovan pred nepooblaščenimi dostopi, napadi in drugimi varnostnimi grožnjami. Ampak noben sistem ni neprebojen,« razlaga Primož Govekar.
Sogovornik poudarja, da največjo ranljivost vseh digitalnih sistemov predstavljamo ljudje, ki dostopamo do podatkov v teh sistemih. Skorajda ne mine dan, ko ne bi doživeli vsaj enega napada s t.i. ribarjenjem (oz. phishingom). Če nepazljiv uporabnik odpre vrata, so to lahko tudi vrata najmočnejšega trezorja, pa bo tat z lahkoto prišel do vrednosti v njem. Zato je stalno izobraževanje zaposlenih, poleg rednih nadgradenj tehničnih varovalnih ukrepov, najboljše zagotovilo, da sistemi in podatki v njih ostanejo varni.
Varovanje osebnih podatkov je veščina
Primož Govekar razlaga, da je glavni namen zdravstvenega sistema skrb za zdravje in dobro počutje pacientov, kar je tudi primarna skrb zdravstvenega osebja. »Varstvo osebnih podatkov, s katerimi se osebje seznani v okviru zdravstvene obravnave, praviloma ni v prvem planu, nikakor pa ne bi bilo pošteno trditi, da je zanemarjeno. Zdravstveni delavci so namreč že zaradi različnih zakonov, kodeksov ravnanja, pogodb o zaposlitvah in nenazadnje Hipokratove prisege, zavezani strogim določilom glede zaupnosti podatkov pacientov. Zatorej bi težko rekli, da s pomenom varovanja osebnih podatkov niso vsaj seznanjeni. Tudi moje izkušnje večinoma kažejo, da zaposleni v zdravstvu svojo odgovornost varovanja zasebnosti jemljejo zelo resno,« poudarja Govekar.
Nikakor pa po njegovem mnenju to področje ni brez priložnosti za izboljšave. Prav gotovo bo več pozornosti potrebno posvetiti obvladovanju osebnih podatkov, ko se jih zaradi različnih razlogov izvaža iz zdravstvenih informacijskih sistemov. »Prav bi bilo tudi pojasniti specialistu, da ni narobe, če lečečemu zdravniku zaupa podrobnosti, potrebne za zdravljenje pacienta. Hkrati pa graditi zavedanje, da ni potrebno obveščati medijev o obiskih slavnih oseb v zdravstveni ustanovi. Nenazadnje pa ne smemo pozabiti, da je varstvo osebnih podatkov veščina, katere znanje in zavedanje je potrebno redno obnavljati,« še pravi sogovornik.