Zagrożenia związane z naruszeniem prywatności i bezpieczeństwa danych medycznych są niezwykle poważne i mogą prowadzić do dotkliwych konsekwencji zarówno dla pacjentów, jak i podmiotów wykonujących działalność leczniczą. Z danych CERT z 2022 roku wynika, że w każdym miesiącu dochodzi do co najmniej 12 cyberataków na przychodnie czy szpitale. Mając to na uwadze warto zadbać, aby zawierając umowę z podmiotem zajmującym się stworzeniem, wdrożeniem oraz zabezpieczeniami systemów informatycznych dla podmiotów z branży medycznej, odpowiednio uregulować zakres obowiązków oraz kwestie odpowiedzialności za zapewnienie cyberbezpieczeństwa.
W niniejszym artykule skupimy się na obowiązkach nałożonych na podmioty wykonujące działalność medyczną, a zwłaszcza podmioty zakwalifikowane jako Operatorzy Usług Kluczowych, związanych z przetwarzaniem danych osobowych w systemach informatycznych służących do świadczenia usług. Wskażemy również, dlaczego umowa o wdrożenie i utrzymanie systemu ERP dla podmiotów wykonujących działalność leczniczą powinna zawierać specjalnie dopasowane postanowienia gwarantujące spełnienie wszystkich obowiązków nakładanych na te podmioty przez ustawodawcę oraz regulujące odpowiedzialność za ewentualne niespełnienie tych wymogów.
O
becnie znaczna część podmiotów na rynku korzysta z rozwiązań w postaci systemów ERP, które znacznie ułatwiają zarządzanie i prowadzenie działalności. Do zarządzania podmiotami leczniczymi wykorzystywane są systemy ERP klasy HIS, RIS, LIS, PACS, które umożliwiają m.in. zarządzanie danymi pacjentów, prowadzenie systemu rejestracji wizyt, przesyłanie informacji i wyników pomiędzy poszczególnymi jednostkami medycznymi. Jednocześnie warto zwrócić uwagę, że odpowiedzialność za ewentualne naruszenie bezpieczeństwa odpowiadają nie tylko administratorzy (tj.np. szpital), ale również procesorzy czyli wykonawcy lub dostawcy systemów IT, co potwierdzają kary nakładane przez UODO.
Jedną z kluczowych funkcji wyżej wskazanych systemów, jest zapewnienie odpowiedniego poziomu ochrony gromadzonych danych osobowych. Spełnienie wymogów określonych przepisami prawa jest niezbędne do stworzenia i zapewnienia właściwego poziomu cyberbezpieczeństwa.
Podstawa prawna obowiązków w zakresie ochrony danych - to nie tylko RODO, ale również m.in. ustawa o Krajowym Systemie Cyberbezpieczeństwa (KSC) wdrażająca do polskiego porządku prawnego dyrektywę NIS oraz rozporządzenie Rady Ministrów w sprawie Krajowych Ram Interoperacyjności (KRI) - o charakterze organizacyjno-technicznym.
Decydując się na wybór dostawcy oraz wdrożenie wybranego systemu ERP, należy zwrócić szczególną uwagę, czy oprócz głównych funkcjonalności związanych ze świadczonymi usługami, system zawiera cechy i możliwości pozwalające na spełnienie wymagań, których zapewnienie jest niezbędne w ramach obowiązujących norm prawnych. Warto również zweryfikować, czy wybrane oprogramowanie spełnia wymagania zawarte np. w normie ISO 270001. Dyrektywa NIS i KSC kładą szczególny nacisk na zapewnienie ciągłości działania systemów IT co jest przewidziane wyżej wskazaną normą. Jednocześnie konieczna jest również weryfikacja czy wybrany przez nas dostawca posiada wiedzę i doświadczenie w świadczeniu usług w zakresie cyberbezpieczeństwa. Powyższe kwestie są szczególnie istotne dla podmiotów które kwalifikowane są jako Operatorzy Usług Kluczowych. Podlegają one bowiem obowiązkom wynikającym z ustawy o Krajowym Systemie Cyberbezpieczeństwa, która implementuje europejską dyrektywę NIS stanowiącą pierwszy europejski akt prawny z zakresu cyberbezpieczeństwa, oraz pomniejsze akty wykonawcze wydane w związku ze wspomnianą ustawą.
1) Brak uregulowania w umowie podziału obowiązków związanych ze spełnieniem wymogów przewidzianych w obowiązujących przepisach tj.:
a) brak powołania wewnętrznej struktury odpowiedzialnej za cyberbezpieczeństwo lub nieskorzystanie z usług podmiotu zewnętrznego w tym zakresie (art. 14 KSC);
b) niewłaściwe lub brak wdrożenia systemu zarządzania bezpieczeństwem w systemie wykorzystywanym do świadczenia usług (art. 8 KSC);
c) brak opracowania, wdrożenia i aktualizacji dokumentacji dotyczącej cyberbezpieczeństwa (art. 10 KSC).
Wybierając podmiot dostarczający system ERP jako jedne z kryteriów warto ustalić kwestie przejęcia odpowiedzialności za cyberbezpieczeństwo w postaci wdrożenia i utrzymania systemu zarządzania bezpieczeństwem oraz opracowania stosownej dokumentacji. Część podmiotów leczniczych decyduje się na stworzenie odpowiedniej wewnętrznej struktury organizacyjnej, która będzie odpowiedzialna za powyższe kwestie. Jednak mając na uwadze, iż zagwarantowanie bezpieczeństwa przechowywanych i przetwarzanych danych, cechuje się wysokim poziomem odpowiedzialności, a mnogość wymogów i procedur nie ułatwia zadania ich spełnienia, dobrym pomysłem jest outsourcing tych obowiązków na podmiot zewnętrzny. Decydując się na zlecenie wyżej opisanych obowiązków podmiotowi trzeciemu, podczas ustalania istotnych elementów umowy powinniśmy zawrzeć w niej również postanowienia, które będą regulowały zakres obowiązków związanych z zapewnieniem cyberbezpieczeństwa ciążących na każdej ze stron oraz konsekwencje niewywiązywania się z tych obowiązków.
2) Niewyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa (art. 9 KSC).
Niezależnie od stworzenia i prowadzenia dokumentacji, wdrożenia odpowiedniej struktury oraz systemu zarządzania bezpieczeństwem danych, należy również w umowie z dostawcą oprogramowania określić oraz wskazać dane osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa. Istotnym jest, aby w umowie uregulować sposób działania, obowiązki oraz ewentualne kary umowne za niewywiązywanie się z obowiązków przez wyznaczoną osobę.
3) Nieprzeprowadzenie audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usług (art. 15 KSC).
Ustawa o Krajowym Systemie Cyberbezpieczeństwa nakłada również na Operatorów Usług Kluczowych obowiązek przeprowadzania audytów bezpieczeństwa wykorzystywanego systemu co najmniej raz na dwa lata przez uprawniony podmiot. W przypadku chęci zlecenia przeprowadzenia audytu podmiotowi, który wykonuje obsługę przedsiębiorstwa w zakresie cyberbezpieczeństwa, należy uprzednio zweryfikować oraz zastrzec w umowie, że podmiot ten spełnia wymagania określone w ustawie, uprawniające do przeprowadzenia audytu, bowiem w przeciwnym razie wykonanie audytu może zostać zakwestionowane.
4) Nieuregulowanie kwestii terminów wdrożenia poszczególnych obowiązków oraz konsekwencji ewentualnych opóźnień.
Wskazane w niniejszym artykule obowiązki muszą zostać wdrożone w odpowiednim, określonym ustawą czasie. Istotnym jest zatem, aby w przypadku przeniesienia części obowiązków na podmiot zewnętrzny uregulować w umowie terminy wdrożenia określonych obowiązków zgodnie z terminami przewidzianymi w ustawie. Należy również ustalić zasady ponoszenia odpowiedzialności za niedochowanie wskazanych w umowie terminów. Popularnym rozwiązaniem jest także zadbanie o zastrzeżenie w umowie kar umownych za przekroczenie ustalonych terminów.
Ryzyko wynikające z popełniania powyżej opisanych błędów to nie tylko utrata zaufania klientów, czy straty wizerunkowe, to niestety również możliwość nałożenia kary pieniężnej w wysokości do 200.000,00 zł, a w przypadku uporczywego naruszania przepisów - organ właściwy do spraw cyberbezpieczeństwa może nałożyć karę w wysokości do nawet 1.000.000,00 zł. Nie wspominając już o dotkliwych karach wynikających z naruszenia przepisów RODO.
Wskazane w niniejszym artykule informacje i przykładowe błędy popełniane przez podmioty, które są szczególnie zobowiązane do dbania o cyberbezpieczeństwo, stanowią jedynie niewielki wycinek nakładanych na Operatorów Usług Kluczowych obowiązków, jednak mamy nadzieję, że obrazują z jakim rodzajem wymogów borykać muszą się podmioty lecznicze. Co więcej, w najbliższym czasie mogą zostać nałożone na podmioty z branży medycznej nowe wymagania oraz wytyczne, bowiem Unia Europejska wprowadziła już nową dyrektywę dotyczącą cyberbezpieczeństwa zwaną powszechnie jako NIS 2. W związku z kolejnymi wytycznymi wprowadzonymi na szczeblu europejskim, przygotowana została nowelizacja ustawy o KSC, która została już skierowana do Sejmu. Przewiduje się, że po ustaleniu ostatecznej treści ustawy, nowe obowiązki nakładane ustawą mogą wejść w życie w pierwszej połowie 2024 r. o czym będziemy Państwa informować na bieżąco.
Podstawy prawne:
• Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. 2018 poz. 1000).
• Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. 2018 poz. 1560).
• Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/1148 z dnia 6 lipca 2016 r. w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii.
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Tekst mający znaczenie dla EOG) zwane dalej RODO.