Jak informatizovat zdravotnictví, sdílet i chránit data, a přitom nevytvořit "velkého bratra" Jiří Kofránek Univerzita Karlova Ondřej Felix, Jiří Polák, Jiří Borej

Ochrana senzitivních osobních dat Přenos zdravotnických dat (o pacientech, službách, ekonomických nákladech atd.) Ochrana senzitivních osobních dat Nezbytná podmínka funkčnosti zdravotnických informačních systémů Pokud jsou informace o pacientech, o zdravotnických výkonech, o ekonomických nákladech apod. předávány a uchovávány v bezpečném síťovém prostředí nemocničních informačních systémů, je ochrana osobních dat zajištěna vlastním síťovým prostředím nemocnice a o zabezpečení kompatibility ukládaných a přenášených formátů dat se stará výrobce příslušného nemocničního informačního systému. Složitější situace vzniká v případě, kdy chceme zdravotnické (a příslušné návazné ekonomické) informace přenášet mimo toto prostředí. Pak je kompatibilita datových formátů a především ochrana citlivých osobních dat ve zdravotnických informačních systémech nezbytnou podmínkou jejich funkčnosti. Nelze proto například bez odpovídajícího zabezpečení ochrany před neoprávněným přístupem sdílet lékařské informace na webových serverech.

Jak bezpečně propojit zdravotnické subsystémy Ochrana senzitivních osobních dat Jak bezpečně propojit zdravotnické subsystémy a nevybudovat přitom „velkého bratra“? Sdílení Nezbytné zajistit oba požadavky Ochrana To je možné pouze tehdy, když integrované informační systémy veřejné správy budou propojeny způsobem, který na jedné straně umožní, aby data jednou poskytnutá veřejné správě nebyla jiným úřadem znovu na občanovi vyžadována a zároveň byla zajištěna jejich spolehlivá ochrana před neoprávněným přístupem, zejména před tím, aby nebylo možno uložená data neoprávněně propojovat.

Zpřísnění ochrany osobních údajů v celé Evropské unii. V dubnu 2016 bylo přijato nařízení GDPR. Začíná platit od 25. května 2018. Týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů. Záměrem zákonodárců bylo dát evropským občanům větší kontrolu nad tím, co se s jejich daty děje. Proto GDPR zavádí astronomické pokuty za porušování nových, přísnějších pravidel.

Kdy jsou zapotřebí osobní údaje? AIFO(ZR) pacienta 145s84f5d373aef43aqrwq3fa31aar3 bezzvýznamový identifikátor pacienta statistická šetření, výzkum, ekonomické analýzy, výkaznictví…. 145s84f5d373aef43aqrwq3fa31aar3 AIFO(ZR) pacienta AIFO(ZR) lékaře Chráněná data: popis onemocnění a léčby… Chráněná data: popis onemocnění a léčby… Chráněná data: popis onemocnění a léčby… ZR - Agendový zdravotnický registr (např. onkologický registr)

Kdy jsou zapotřebí osobní údaje? RUIAN ROS RPP ROB Základní registry eGovernmentu 145s84f5d373aef43aqrwq3fa31aar3 jméno, příjmení, datum narození… bezzvýznamový identifikátor pacienta jednoznačný identifikátor pacienta ochrana a kontrolované sdílení dat Klinické vyšetření pacienta 145s84f5d373aef43aqrwq3fa31aar3 bezzvýznamový identifikátor pacienta jednoznačný identifikátor pacienta? rodné číslo? číslo pojištěnce? … AIFO(ZR) pacienta AIFO(ZR) pacienta AIFO(ZR) lékaře Chráněná data: popis onemocnění a léčby… Chráněná data: popis onemocnění a léčby… Chráněná data: popis onemocnění a léčby… ZR - Agendový zdravotnický registr (např. onkologický registr)

Jak základní registry eGovernentu umožňují zároveň sdílet a chránit data? RUIAN ROS RPP ROB Základní registry eGovernmentu

Jak základní registry eGovernentu umožňují zároveň sdílet a chránit data? Klíč pro každou fyzickou osobu Informační systém základních registrů ZIFO Zdrojový Identifikátor Fyzické Osoby IČO RUIAN Registr územní identifikace, adres a nemovitostí RO Registr osob Klíč ZIFO je ukryt v Org převodníku. Odnikud zvenčí není přístupný. Úřad pro ochranu osobních údajů AIS ORG převodník Agendové Informační Systémy RPP Registr práv a povinností ROB Registr obyvatel Základní registry eGovernmentu

Každá fyzická osoba dostane pro každý AIS různý klíč Jak základní registry eGovernentu umožňují zároveň sdílet a chránit data? Každá fyzická osoba dostane pro každý AIS různý klíč Informační systém základních registrů IČO RUIAN Registr územní identifikace, adres a nemovitostí RO Registr osob do března 2016 přiděleno 262 105 237 AIFO ! Úřad pro ochranu osobních údajů Agendový Identifikátor Fyzické Osoby Klíč k datům: AIFO AIS ORG převodník Agendové Informační Systémy RPP Registr práv a povinností ROB Registr obyvatel Základní registry eGovernmentu

Informační systém základních registrů Registr Obyvatel Ověření práv přístupu ke zdravotnickému registru a práv na převod AIFO Registr práv a povinností CRP - Centrální registr pojištěnců (AIS) AIFO(CRP) pacienta Základní údaje o občanech a cizincích s povolením k pobytu. jméno, příjmení, RČ pacienta jméno a příjmení ošetřujícího lékaře jméno a příjmení lékaře AIFO(RO) lékaře AIFO(RO) oš. lékaře AIFO(RO) pacienta ORG - převodník Převodník identifikátorů fyzických osob popis dalšího vyšetření a léčby… Chráněná data: další vyšetření a léčba… AIFO(ZR) lékaře Úřad pro ochranu osobních údajů AIFO(ZR) pacienta AIFO(ZR) lékaře AIFO(ZR) pacienta AIFO(ZR) oš. lékaře Národní registr zdravotnických pracovníků (AIS) NRZP ZR - Agendový zdravotnický registr (např. onkologický registr) AIFO(NRZP) lékaře AIFO(ZR) pacienta AIFO(ZR) oš. lékaře Chráněná data: popis onemocnění a léčby… AIFO(ZR) lékaře Chráněná data: popis onemocnění a léčby… Chráněná data: popis onemocnění a léčby… Národní identitní autorita ZR - Agendový zdravotnický registr (např. onkologický registr)

Legislativně ošetřeno RUIAN ROS RPP ROB IČO ORG Správa základních registrů (SZR) vznikla zákonem č. 111/2009 Sb. O základních registrech, ve znění pozdějších předpisů Legislativně ošetřeno Propojení na základní registry eGovernmentu umožňuje data zároveň chránit i kontrolovaně sdílet Základní registry eGovernmentu Bezzvýznamové identifikátory Technologicky vyřešeno, nutno upřesnit legislativu Zdravotnické informační systémy: 8q45swbhdf5ri7suoopfc484f5d3hztl 145s84f5d373aef43aqrwq3f5as53g Chráněná data: další vyšetření a léčba… AIFO(ZR) lékaře AIFO(ZR) pacienta Citlivá data bez identifikace fyzické osoby AIFO(ZR) pacienta AIFO(ZR) lékaře Chráněná data: popis onemocnění a léčby… ZR - Agendový zdravotnický registr (např. onkologický registr)

RUIAN ROS RPP ROB IČO ORG Napojení na základní registry eGovernmentu není jen pro státem vytvářený národní zdravotnický informační systém Projekt národního informačního systému počítá se službami pro soukromě budované zdravotnické informační systémy Základní registry eGovernmentu Technologicky vyřešeno, nutno upřesnit legislativu Zdravotnické informační systémy: Služeb správy základních registrů mohou využívat i soukromí budovatelé zdravotnických informačních systémů – jako poskytovatelé zdravotních služeb

Info: http://www.szrcr.cz/ RUIAN ROS RPP ROB IČO ORG Info: http://www.szrcr.cz/ Základní registry eGovernmentu Technologicky vyřešeno, nutno upřesnit legislativu Zdravotnické informační systémy:

Hlavní problém: mezioborová komunikace RUIAN ROS RPP ROB IČO ORG politici zdravotníci Základní registry eGovernmentu Technologicky vyřešeno, nutno upřesnit legislativu Zdravotnické informační systémy: informatici právníci Hlavní problém: mezioborová komunikace

SOUHRN Mozek: Základní registry veřejné správy Srdce: legislativa Oběh: Komunikační infrastruktura Prsty: kontaktní místa Základní struktura Governementu v ČR není jen koncept, ale fungující systém - lze ji proto rozšířit pro eHealth

SOUHRN Základní struktura Governementu v ČR není jen koncept, ale fungující systém – lze ji proto využít pro eHealth Rodné číslo Sada IFO klíčů (pro každý AIS jiný klíč) Rodné číslo nelze používat jako snadno získatelný univerzální klíč k osobním datům , je nutné ho nahradit sadou IFO klíčů

Monitorování transakcí SOUHRN Základní struktura Governementu v ČR není jen koncept, ale fungující systém – lze ji proto využít pro eHealth Rodné číslo nelze používat jako snadno získatelný univerzální klíč k osobním datům, je nutné ho nahradit sadou IFO klíčů Možnost dohledat zodpovědnost za úniky Úřad pro ochranu osobních údajů ORG převodník Monitorování transakcí Umožnění dohledání informací o zacházení s osobními údaji konkrétní fyzické osoby: „co, kdo, kdy, proč“ Informační systém základních registrů Přístup k osobním údajům je monitorován, proto zodpovědnost za úniky dat lze snadno dohledat a fyzická osoba (pacient) může snadno získat informace o zacházení se svými osobními údaji "co, kdo, kdy, proč"

SOUHRN Základní struktura Governementu v ČR není jen koncept, ale fungující systém – lze ji proto využít pro eHealth Rodné číslo nelze používat jako snadno získatelný univerzální klíč k osobním datům, je nutné ho nahradit sadou IFO klíčů Přístup k osobním údajům je monitorován, proto zodpovědnost za úniky dat lze snadno dohledat a fyzická osoba (pacient) může snadno získat informace o zacházení se svými osobními údaji "co, kdo, kdy, proč" RUIAN ROS RPP ROB IČO ORG Propojení eHealth se základní strukturou českého eGovernmentu umožní bez problémů realizovat požadavky GDPR Evropské unie

vzájemná komunikace a multidisciplinární porozumění SOUHRN Základní struktura Governementu v ČR není jen koncept, ale fungující systém – lze ji proto využít pro eHealth Rodné číslo nelze používat jako snadno získatelný univerzální klíč k osobním datům, je nutné ho nahradit sadou IFO klíčů Přístup k osobním údajům je monitorován, proto zodpovědnost za úniky dat lze snadno dohledat a fyzická osoba (pacient) může snadno získat informace o zacházení se svými osobními údaji "co, kdo, kdy, proč" Propojení eHealth se základní strukturou českého eGovernmentu umožní bez problémů realizovat požadavky GDPR Evropské unie zdravotníci legislativci vzájemná komunikace a multidisciplinární porozumění informatici

SOUHRN Základní struktura Governementu v ČR není jen koncept, ale fungující systém – lze ji proto využít pro eHealth Rodné číslo nelze používat jako snadno získatelný univerzální klíč k osobním datům, je nutné ho nahradit sadou IFO klíčů Přístup k osobním údajům je monitorován, proto zodpovědnost za úniky dat lze snadno dohledat a fyzická osoba (pacient) může snadno získat informace o zacházení se svými osobními údaji "co, kdo, kdy, proč" Propojení eHealth se základní strukturou českého eGovernmentu umožní bez problémů realizovat požadavky GDPR Evropské unie Při budování eHealth je důležitá vzájemná komunikace a multidisciplinární porozumění mezi informatiky, zdravotníky a legislativci. Proto jsou potřebná podobná setkání jako na této konferenci   Děkuji za pozornost