ISSN:1896Ǧ382X|www.wnus.edu.pl/epu DOI:10.18276/epu.2018.131/1Ǧ19|strony:193–201
MateuszKuczabski
AkademiaSztukiWojennej WydziaÏBezpieczeÑstwaNarodowego InstytutStudiówStrategicznych KatedraBezpieczeÑstwaInformacyjnegoiKomunikacji mateusz.kuczabski@piastunzoz.plAdaptacjaarchitekturysystemówbezpieczeÑstwa
wsektorzeochronyzdrowiadonowychwymagaÑRODO
Kod JEL: I 11Sáowa kluczowe: bezpieczeĔstwo, ochrona danych, system informatyczny, zdrowie, GDPR Streszczenie. Wprowadzenie przez Parlament Europejski nowych przepisów dotyczących ochro-ny osób fizyczochro-nych w związku z przetwarzaniem daochro-nych osobowych oraz swobodnego przepáywu takich danych, zmusza sektor ochrony zdrowia do podjĊcia dziaáaĔ auditowych z nastĊpowym wprowadzenia zmian w istniejących systemach informatycznych. Nowe przepisy okreĞlają ko-niecznoĞü wbudowania funkcji ochrony prywatnoĞci na kaĪdym etapie projektowania systemu, a wysoki poziom bezpieczeĔstwa musi byü narzucony domyĞlnie dla kaĪego uĪytkownika. Arty-kuá poĞwiĊcono analizie wprowadzanych rozwiązaĔ, by na tej podstawie sformuáowaü przypusz-czalne konsekwencje i realne moĪliwoĞci adaptacji podmiotów ochrony zdrowia do implementa-cji wymagaĔ.
Wprowadzenie
Rozwiązania IT, funkcjonujące w podmiotach ochrony zdrowia, stanowią jeden z kluczowych elementów jakoĞci opieki nad pacjentami. Poprawiają komunikacjĊ, usprawniają wzajemne relacje miĊdzy interesariuszami systemu, a jednoczeĞnie mają zapewniaü bezpieczeĔstwo danych wykorzystywanych w systemie. Natomiast samą cyfryzacjĊ, tzw. e-zdrowie, moĪna analizowaü w dwóch wymiarach: na poziomie ogól-nopolskiego systemu ochrony zdrowia oraz samych podmiotów – placówek medycz-nych do niego naleĪących (Kuczabski, 2009). Niestety, istniejące w tym zakresie roz-wiązania są niezadowalające i plasują PolskĊ wĞród krajów europejskich, wedáug Euro-pejskiego Konsumenckiego Indeksu Zdrowia 2016, uwzglĊdniającego takĪe i inne
ana-lizowane czynniki, na dalekiej 31. pozycji, tym samym wyprzedzając jedynie RumuniĊ, CzarnogórĊ, BuágariĊ i AlbaniĊ. Do lidera, którym jest Holandia, brakuje 363 punktów (EHCI, 2017). Autor opracowania, oceniając cyfryzacjĊ, uwzglĊdniá m.in. takie wskaĨ-niki, jak internetowe lub dostĊpne telefonicznie caáą dobĊ interaktywne Ĩródáa informa-cji o systemie opieki zdrowotnej (1.7), dostĊp pacjentów do internetowych systemów umawiania wizyt (1.11), e-recepty (1.12), ale – co szczególnie istotne w kontekĞcie bezpieczeĔstwa informacji – rozpowszechnianie elektronicznej dokumentacji medycz-nej (1.10).
Jak z tego wynika, aktualnie na obu wymienionych wczeĞniej poziomach, sektor ochrony zdrowia nie dysponuje jednolitym i kompleksowym rozwiązaniem, które po-zwoliáoby sprostaü wszystkim wprowadzanym wymaganiom okreĞlonym w rozporzą-dzeniu unijnym dotyczącym ochrony danych osobowych (rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobod-nego przepáywu takich danych oraz uchylenia dyrektywy 95/46/WE), które zacznie obowiązywaü w poáowie 2018 roku. Wydaje siĊ wiĊc celowym poddaü ocenie i wska-zaü najwaĪniejsze elementy, które wpáywają na brak optymalnych rozwiązaĔ adaptacyj-nych sektora ochrony zdrowia. Po pierwsze, przyczyny tego stanu naleĪy dopatrywaü w fakcie, Īe dotychczas na gruncie prawa europejskiego nie istniaáy zasady odnoszące siĊ do prywatnoĞci i bezpieczeĔstwa danych, które byáyby tak silnie osadzone w kon-cepcji modelu cyklu Īycia systemu informatycznego. Po drugie, wynika to takĪe ze zróĪnicowania poszczególnych sposobów przechowywania dokumentacji medycznej, jakie funkcjonują w podmiotach sektora ochrony zdrowia. ZróĪnicowanie to powoduje rozdrobnienie odpowiedzialnoĞci za system ochrony i bezpieczeĔstwa przetwarzanych danych.
Model cyklu Īycia systemu informatycznego (oprogramowania) to szereg wza-jemnie zaleĪnych od siebie etapów, czynnoĞci rozáoĪonych w czasie odbywających siĊ podczas pracy nad opracowaniem i wyprodukowaniem systemu okreĞlonego typu oraz jego eksploatacji. Cykl ten obejmuje okres od powstania u uĪytkownika potrzeby bu-dowy systemu informatycznego, przez prezentacjĊ jego idei, konstrukcjĊ, uĪytkowanie, przystosowanie do ewentualnych zmian funkcjonowania, na wycofaniu z eksploatacji koĔcząc (Makuchowski, 2016).
Obserwowane w sektorze ochrony zdrowia zróĪnicowanie sposobów przechowy-wania dokumentacji medycznej wpáywa bezpoĞrednio na podziaá kontroli i odpowie-dzialnoĞci pomiĊdzy usáugodawcą a podmiotem zewnĊtrznym. Obecnie w znacznym stopniu utrudnia to administratorowi danych zagwarantowanie bezpieczeĔstwa danych osobowych, a zmiana przepisów dotyczących ochrony danych osobowych wprowadzo-na GDPR, wáaĞnie wprowadzo-na administratorów danych wprowadzo-nakáada szereg nowych obowiązków.
1.Ochronadanychosobowych
Przetwarzanie informacji przez podmioty sektora ochrony zdrowia jest ĞciĞle związane z istniejącymi moĪliwoĞciami dostĊpu pacjentów do wáasnej dokumentacji medycznej. Mimo jasnych w tym zakresie zapisów wynikających z dyrektywy UE o ochronie danych osobowych, która stanowi jednoznacznie, Īe pacjentowi takie uprawnienie powinno przysáugiwaü z mocy prawa, to w niektórych podmiotach dane osobowe i integralnoĞü pacjenta juĪ teraz są tak bardzo „chronione”, Īe nie ma on do-stĊpu do wáasnej dokumentacji medycznej. Zdarza siĊ, Īe pacjenci są informowani o braku dostĊpu wynikającego z troski o ich wáasne dobro, są to bowiem dane szczegól-nie wraĪliwe. Obserwowany jest takĪe bardzo niski poziom wiedzy pacjentów w tym zakresie, co z kolei prowadzi w podmiotach sektora zdrowia do bagatelizowania zagad-nienia i báĊdnego wniosku, Īe problem adaptacji do nowych wymagaĔ w Polsce nie istnieje. Poáączenie tych dwóch elementów: niewiedzy ze strony pacjentów i bagateli-zowania ze strony podmiotów sektora moĪemy nazwaü barierą dostatecznej Ğwiadomo-Ğci interesariuszy systemu. Wpáywa ona bezpoĞrednio na wdroĪenie zmian wynikają-cych z nowych przepisów GDPR.
Skonkretyzowana dostĊpnoĞü do danych osobowych w systemie związana jest takĪe z dostĊpnoĞcią do internetowych systemów umawiania wizyt i wystawiania tzw. e-recept. WĞród podmiotów sektora, odsetek gabinetów lekarzy pierwszego kontaktu wykorzystujących komputery osobiste do przechowywania danych medycznych pacjen-tów oraz do komunikowania siĊ z innymi segmentami systemu opieki zdrowotnej, w tym z páatnikiem (Narodowy Fundusz Zdrowia), stanowi 100%, ale tylko 31% gabi-netów lekarzy pierwszego kontaktu korzysta z internetowego umawiana wizyt, a 62% z wystawiania e-recept. Oceniając dostĊp do internetowych systemów umawiania wizyt, zauwaĪono, Īe stosunek podaĪy do popytu w przypadku wizyt u lekarzy specjalistów czy powaĪnych zabiegów operacyjnych jest bardzo zbliĪony do tego istniejącego dla pokoi hotelowych czy wakacji organizowanych przez biura podróĪy. Nie ma powodów, dla których pacjenci nie mogliby rezerwowaü wolnych „miejsc” w dogodnym dla siebie momencie. Nie jest to jednak spotykana praktyka i to nie tylko w Polsce, ale w innych krajach Europy. W 2016 roku tylko trzynaĞcie krajów udostĊpniáo tĊ usáugĊ znaczącym grupom obywateli, co jest duĪym krokiem naprzód (w 2013 r. byáo to tylko 9 krajów) (EHCI, 2017). Ta dynamika, choü powolna, bĊdzie dodatkowym czynnikiem nakáadają-cym na podmioty systemu obowiązek ochrony danych wraĪliwych.
WĞród zakáadów opieki zdrowotnej prowadzących leczenie stacjonarne – szpitalne oraz zakáadach Ğwiadczących specjalistyczne usáugi medyczne, przechowywanie da-nych wraĪliwych prowadzone jest za pomocą serwerów, w które wyposaĪone jest 100% placówek. Wynika to z koniecznoĞci zabezpieczenia i przetwarzania znacznie szerszego zakresu informacji w porównaniu do gabinetów lekarzy pierwszego kontaktu. Niestety tu równieĪ dostĊp do elektronicznego umawiania wizyt i wystawiania e-recept nie jest praktyką powszechną. Jednak na przykáadzie tych podmiotów w najbardziej przejrzysty sposób widaü zróĪnicowanie odpowiedzialnoĞci za przechowywanie dokumentacji.
Tabela 1. Podziaá kontroli i odpowiedzialnoĞci pomiĊdzy usáugodawcą a podmiotem zewnĊtrznym w zaleĪnoĞci od modelu przechowywania elektronicznej dokumentacji medycznej
ħródáo: CSIOZ (2016).
2.BezpieczeÑstwodanych
Model klasyczny to rozwiązanie, w którym serwer, aplikacja i wszystkie elementy są umieszczone u klienta (typowy przykáad to system KS-Somed). Zalety – caáa baza i system jest w placówce ochrony zdrowia i ona jest jej wáaĞcicielem. Braki Internetu czy inne awarie prądu poza lokalizacją nie wpáywają na ciągáoĞü pracy w jednostce. Wady to wyĪsze koszty uruchomienia z uwagi na zakup i utrzymanie serwerów oraz wyĪsze koszty zakupu oprogramowania.
Kolokacja stanowi rozwiązanie, w którym serwery jednostki stoją w wynajĊtych serwerowniach. Zaletą tego rozwiązania jest wyĪsze bezpieczeĔstwo dostĊpu do serwe-rów (firmy prowadzące tego typu usáugi mają przewaĪnie duĪo wyĪsze zabezpieczenia, kontrole dostĊpu itp. niĪ pojedynczy podmiot moĪe zrealizowaü w jednostce). Zazwy-czaj mają teĪ dwa niezaleĪne Ĩródáa zasilania oraz przynajmniej 2–3 áącza internetowe od róĪnych dostawców. W takim przypadku moĪna na serwerach umieĞciü klasyczne oprogramowanie bądĨ stworzyü np. prywatną chmurĊ.
Hosting zaĞ to rozwiązanie, w którym podmiot nie kupuje serwerów, a jedynie wynajmuje przestrzeĔ i zasoby od usáugodawcy wymagane do zaspokojenia swoich potrzeb w zakresie konkretnego rozwiązania. W takim przypadku najczĊĞciej jednostka korzysta z tzw. rozwiązaĔ chmurowych (moĪna wydzieliü równieĪ chmurĊ prywatną, jeĪeli usáugodawca zapewnia takie rozwiązania). NajwiĊkszą zaletą są najniĪsze koszty uruchomienia systemu, który nie wymaga zakupu i konfiguracji serwerów, czĊsto opáa-ty za uĪytkowanie systemów są równieĪ miesiĊczne, co pozwala obniĪyü jednorazowe koszty wdroĪenia takiego systemu.
Tabela 2. Przykáadowe rozwiązania w omawianych technologiach
Aplikacja Chmura Chmura prywatna
KS-SOMED (KAMSOFT) KS-PPS (KAMSOFT
SERUM (Kamsoft) SERUM (Kamsoft)
Mediporta (MEDIPORTA)
Eurosoft (EUROSOFT)
M-MEDICA (ASSECO)
OPTIMED24 (COMARCH) OPTIMED24 (COMARCH)
AXON (AXON) Dr Eryk (Erikpol Sp. z o.o.)
ħródáo: opracowanie wáasne na podstawie rozwiązaĔ systemów ambulatoryjnych (bez systemów szpitalnych).
Obecnie na rynku dostĊpne są systemy medyczne napisane w stylu klasycznych aplikacji klient–serwer, rozwiązaĔ chmurowych (pracujących najczĊĞciej jako aplikacje sieci www) oraz chmury prywatnej – rozwiązanie chmurowe pozwalające na umiesz-czenie chmury na serwerach klienta bądĨ wydzielenie jej jako prywatny obszar w prze-strzeni roboczej dostawcy.
Z uwagi na wprowadzenie przez GDPR po raz pierwszy zasad odnoszących siĊ do prywatnoĞci i bezpieczeĔstwa danych o tak silnym umocowaniu w koncepcji modelu cyklu Īycia systemu informatycznego, naleĪy zauwaĪyü, Īe najczĊĞciej wymienianym procesem wytwarzania oprogramowania jest model kaskadowy (zwany równieĪ mode-lem wodospadu – Waterfall) i model iteracyjny. Wybór procesu zaleĪy od charakteru projektu; w praktyce najlepiej radzą sobie modele, które są hybrydami procesów pod-stawowych. Sam proces iteracyjny stanowi swego rodzaju modyfikacjĊ procesu kaska-dowego, zaĞ inne znane i popularne modele cyklu Īycia oprogramowania to model spiralny, model V, prototypowanie i wiele innych (Kasprzyk, 2006).
Rysunek 1. Kaskadowy model wytwarzania oprogramowania ħródáo: opracowanie wáasne.
Analizując zagadnienie bezpieczeĔstwa danych osobowych w sektorze ochrony zdrowia w oparciu o model cyklu Īycia systemu informatycznego, za istotną naleĪy uznaü wprowadzaną zasadĊ uwzglĊdniania ochrony danych osobowych – prywatnoĞci w fazie projektowania, tzw. data protection by design (w skrócie privacy by design) oraz privacy by default na róĪnych etapach cyklu Īycia systemu. ZaáoĪeniem koncepcji privacy by design na etapie projektowania jest wbudowanie funkcji ochrony prywatno-Ğci w kaĪdy projekt przetwarzający dane osobowe, tak aby byáy one jego integralną czĊĞcią. W tym celu administrator danych musi zebraü wymagania dotyczące bezpie-czeĔstwa przetwarzania danych, zaprojektowaü oraz zaimplementowaü odpowiednie Ğrodki ochrony (Karg, 2016).
Przepisy GDPR nie zawierają definicji privacy by design. Zakres zastosowania zasady naleĪy zatem wprowadziü z charakteru, celu i funkcji normy ustalonej w art. 25 ust. 1 GDPR. Zgodnie z tym przepisem administrator danych: „uwzglĊdniając stan wiedzy technicznej, koszt wdraĪania oraz charakter, zakres, kontekst i cele przetwarza-nia oraz ryzyko naruszeprzetwarza-nia praw lub wolnoĞci osób fizycznych o róĪnym podobieĔstwie wystąpienia i wadze zagroĪenia wynikające z przetwarzania, administrator – zarówno przy okreĞlaniu sposobów przetwarzania, jak i w czasie samego przetwarzania – wdraĪa odpowiednie Ğrodki techniczne i organizacyjne, zaprojektowane w celu skutecznej re-alizacji zasad ochrony danych” (Rozporządzenie UE 2016/679, 2016). Przykáadami Ğrodków sáuĪących do realizacji tego obowiązku mogą byü:
pseudonimizacja danych osobowych,
minimalizacja zakresu przetwarzania danych osobowych, przejrzystoĞü funkcji przetwarzania danych osobowych,
umoĪliwienie osobom, których dane dotyczą, monitorowania przetwarzania danych.
Filozofia privacy by design nie ogranicza siĊ jedynie do pierwszego etapu cyklu, obejmuje takĪe regularny przegląd funkcjonowania procesu przetwarzania danych oraz jego skáadowych elementów (systemów informatycznych, sposobu zbierania zgód, wypeániania obowiązków informacyjnych itp.) w kolejnych etapach cyklu Īycia syste-mu. W związku z tym, Īe proces przetwarzania danych w podmiotach systemu ochrony zdrowia nie koĔczy siĊ w momencie zakoĔczenia jednej czynnoĞci np. rejestracji chore-go, dane osobowe bĊdą przetwarzane o wiele dáuĪej niĪ do samego momentu zapisu.
2.Nowezasady
Privacy by default, jako jedna z zasad podstawowych skáadających siĊ na koncep-cjĊ privacy by design, zakáada ochronĊ prywatnoĞci jako domyĞlne ustawienie kaĪdego systemu, którego zmiana moĪe nastąpiü wyáącznie przez celowe dziaáanie uĪytkującego go podmiotu ochrony zdrowia. Bez wątpienia ustawienia domyĞlne systemu nie są mo-dyfikowane przez wiĊkszą czĊĞü uĪytkujących podmiotów, dlatego tak kluczowe jest zapewnienie wysokiego poziomu bezpieczeĔstwa w ustawieniach domyĞlnych
syste-mów. Podmioty, które Ğwiadomie chcą zrezygnowaü z ochrony wáasnej prywatnoĞci, bĊdą musiaáy podjąü dziaáania w tym kierunku – zmieniü ustawienia domyĞlne systemu. Zasada ta ma zastosowanie szczególnie w chwili przyáączania siĊ podmiotów do syste-mów. Celem wprowadzenia opisanych regulacji jest podniesienie standardów ochrony danych osobowych i prywatnoĞci uĪytkowników poprzez wprowadzenie elementów ochrony proaktywnej w miejsce reaktywnej. Takie podejĞcie jest próbą uwspóáczeĞnie-nia strategii ochrony danych osobowych oraz wyjĞciem naprzeciw aktualnym zagroĪe-niom prywatnoĞci podmiotów przetwarzających dane informatyczne.
Jak wspomniano wyĪej, kluczowym elementem tego podejĞcia jest wkompono-wanie problemu ochrony danych osobowych w dziaáania administratora, począwszy od etapu planowania procesu (Karg, 2016). Przykáadowo, podmiot sektora opieki zdrowot-nej planujący przeprowadzenie konkursu na wyáonienie podwykonawców usáug me-dycznych np. lekarzy specjalistów, bĊdzie zobowiązany do przeprowadzenia oceny, czy zakáadane w trakcie konkursu operacje na danych osobowych oraz sposoby ich zabez-pieczenia bĊdą zgodne z obowiązującymi przepisami GDPR. Zatem juĪ na tym etapie podmiot sektora powinien rozwaĪyü, na jakiej przesáance zostanie oparty proces prze-twarzania danych (jeĞli bĊdzie to zgoda, naleĪy przygotowaü odpowiednio wczeĞniej jej treĞü oraz ustaliü sposób jej zbierania). Podobnie rzecz bĊdzie siĊ miaáa z przygotowa-niem klauzul obowiązków informacyjnych, zapewnieprzygotowa-niem adekwatnoĞci przetwarza-nych daprzetwarza-nych oraz ich zabezpieczeniem. W przypadku privacy by design chodzi o to, by nie tyle odpowiadaü na pojawiające siĊ problemy, co juĪ wczeĞniej przewidywaü naj-waĪniejsze z nich i im przeciwdziaáaü (Wiewiórski, 2014).
Zrozumienie zasad privacy by design gwarantuje podmiotom sektora ochrony zdrowia wáaĞciwe wdroĪenie i prowadzenie procesu przetwarzania danych osobowych z wprowadzanymi przepisami. W tym celu pomocna moĪe byü Rezolucja w sprawie prywatnoĞci w fazie projektowania przyjĊta przez 32. MiĊdzynarodową KonferencjĊ Rzeczników Ochrony Danych i PrywatnoĞci juĪ w 2010 roku (www.giodo.gov.pl). PrywatnoĞü w fazie projektowania opiera siĊ na:
podejĞciu proaktywnym, nie reaktywnym, zaradczym, nie naprawczym, prywatnoĞci jako ustawienia domyĞlnego (tzw. privacy by default), prywatnoĞci wáączonej w projekt (tzw. privacy embedded into design), peánej funkcjonalnoĞci (suma dodatnia, nie suma zerowa),
ochronie od początku do koĔca cyklu Īycia informacji, widocznoĞci i przejrzystoĞci,
poszanowaniu prywatnoĞci uĪytkowników.
Podsumowanie
Wprowadzana przez GRDP zmiana przepisów zmusza podmioty sektora zdrowia do wbudowanie ochrony w architekturĊ systemu, co poza wyĪej opisanymi korzyĞciami dodatkowo moĪe byü bodĨcem dla organizacji do zbudowania architektury
bezpieczeĔ-stwa systemów rozumianej jako próba caáoĞciowego podejĞcia do zabezpieczenia sys-temów, które obecnie jest niewystarczające. W praktyce realizacja zasady privacy by design moĪe byü prowadzona poprzez dokonywanie oceny w oparciu o listĊ kontrolną (checklist). Warto przy tym pamiĊtaü, Īe zasada ta dotyczy zarówno projektowania, jak i realizacji procesu. Sama koncepcja privacy by design funkcjonuje obecnie w wielu pod-miotach sektora zdrowia, jako mniej lub bardziej sformalizowana dobra praktyka. KaĪdy z nich przetwarza dane osobowe, po wejĞciu w Īycie bĊdzie to dla nich powszechny obowiązek, którego realizacja znajdzie oparcie w przepisach prawa, przewidujących za uchylanie siĊ od privacy by design sankcjĊ w postaci kary do 10 000 000 euro (www.giodo.gov.pl). Wprowadzenie zaĞ tej zasady do dziaáalnoĞci podmiotów sektora zdrowia i ich adaptacjĊ do nowych rozwiązaĔ naleĪy oceniü pozytywnie – jako praktykĊ zmierzającą do rzeczywistego przestrzegania przez administratorów zasad przetwarza-nia danych osobowych, przesuwającą ocenĊ ochrony danych osobowych do najwaĪniej-szych obowiązków kaĪdego z podmiotów.
Literatura
EHCI (2017). A. Bjornberg (red.), Europejski Konsumencki Indeks Zdrowia Raport 2016. Health Consumer Powerhouse Ltd.
Karg, M. (2016). Referent bei der Dienststelle des Hamburgischen Beauftragten für Datenschutz
und Informationsfreiheit 2016. Pobrano z: www.privacy-conference.com.
Kasprzak, R. (2006). Przegląd modeli cyklu Īycia oprogramowania. InĪynieria oprogramowania.
Software Developer’s Journal, 10.
Kuczabski, M. (2009). Medyczne determinanty jakoĞci Īycia. BezpieczeĔstwo obywateli RP jako
czynnik jakoĞci Īycia. Warszawa: Akademia Obrony Narodowej, Wydziaá
BezpieczeĔ-stwa Narodowego.
Makuchowski, M. (2016). Komputerowe wspomaganie zarządzania. Cykl Īycia systemu
informa-tycznego. Wykáady Politechnika Wrocáawska. Pobrano z: mariusz.makuchowski.staff.
iiar.pwr.wroc.pl. OSOZ (2016).
Rezolucja w sprawie prywatnoĞci w fazie projektowania przyjĊta przez 32. MiĊdzynarodową KonferencjĊ Rzeczników Ochrony Danych i PrywatnoĞci (2010). Pobrano z: www.giodo.gov.pl/plik/id_p/2104/j/pl.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. EUR-Lex-32016R0679-EN-EUR-Lex.
Wiewiórski, W. Wywiad z GIODO przeprowadzony przez FundacjĊ Panoptykon. Pobrano z: www.giodo.gov.pl/plik/id_p/2162/j/pl.
IT SYSTEM A HEALTH SECTOR OPERATORS ADAPTATION TO THE NEW UE GENERAL DATA PRIVACY REGULATION
Keywords: security, data protection, privacy law, computer system, health, GDPR
Summary. Introduction of the new European Parliament restrictions concerning data protection of privacy law and free movement of data enforces health sector organizations to implement audit procedures followed by the necessary solutions in the existing computer systems. The new law regulations determine necessity of internal data protection at every stage of system designing process, and the high security level must be imposed on every user as a default rule. This article analyses current solutions to formulate possible consequences and viable adaptation possibilities of health system operators to the expected regulations.
Translated by Mateusz Kuczabski
Cytowanie
Kuczabski, M. (2018). Adaptacja architektury systemów bezpieczeĔstwa w sektorze ochrony zdrowia do nowych wymagaĔ RODO. Ekonomiczne Problemy Usáug, 2 (131/1), 193–201. DOI: 10.18276/epu.2018.131/1-19.