Tygodniowo odbywa się ponad 800 ataków na dane medyczne, liczba ta jednak wydaje się niedoszacowana, jak mówią eksperci. Ostatnie głośne przykłady wycieku danych medycznych ze szpitala i punktu badań diagnostycznych pokazują, że musimy być przygotowani i mieć narzędzia szybkiego reagowania.
Temat cyberbezpieczeństwa został poruszony na tegorocznym Kongresie Wyzwań Zdrowotnych. Zaproszeni goście debatowali na temat tego jak wzmocnić bezpieczeństwo danych pacjentów.
Największym zagrożeniem bezpośrednio dla pacjenta jest wyciek informacji takich jak numer PESEL, dowodu osobistego. Sporo osób obawia się także o udostępnienie danych o stanie zdrowia psychicznego. Już sama obawa, że dane mogły wycieknąć, może być powodem do ubiegania się o odszkodowanie.
Pojawia się więc pytanie, kto powinien ponieść konsekwencje wycieku danych i zapłacić odszkodowanie. Debatujący zauważyli, że najbardziej zagrożone są małe placówki, niemające tak rozbudowanej kultury organizacyjnej. Dodatkowo aplikacje gabinetowe są „dziurawe” i łatwo z nich z nich „wyciągnąć” dane, a dostawcy oprogramowania często są nieznani.
Zdaniem uczestników kongresu musimy przede wszystkim zwiększyć świadomość tego, jak ważne jest cyberbezpieczeństwo, zwłaszcza wśród kadr zarządzających. Każda placówka medyczna powinna mieć aktualny system. Ważne jest także przeprowadzanie systematycznych i aktywnych szkoleń.
Budowanie świadomości powinno odbywać się na zasadzie strategii, a nie odbycia jednego, nudnego szkolenia, które nic nie wnosi. Pierwszą kwestią, o którą warto zadbać, są na przykład hasła. Hasło: „marzec2025!” nie jest bezpiecznym hasłem, szczególnie jeśli ustawia je jednocześnie każdy z 3 pracowników rejestracji.
Warto wspomnieć także o EPDZ i nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa z dnia 7 lutego 2025 r.
Nowelizacja obejmuje szerszy zakres podmiotów, wprowadza bardziej rygorystyczne wymagania dotyczące zarządzania ryzykiem i zgłaszania incydentów, a także przewiduje surowsze sankcje za naruszenia. Przykładowo pomioty będą zobowiązane do dokumentowania i testowania planów awaryjnych oraz planów ciągłości działania.
Co ważne, nowe przepisy rozszerzają także odpowiedzialność kierownictwa organizacji – osoby zarządzające mogą zostać ukarane indywidualnie, a maksymalna kara może wynieść nawet 300% ich wynagrodzenia.
Z kolei o EPDZ więcej można przeczytać tutaj: https://hcp-news.pl/box/wejscie-w-zycie-rozporzadzenia-o-europejskiej-przestrzeni-danych-dotyczacych-zdrowia/
Uczestnicy kongresu zapytani o obawy związane z wprowadzenim EPDZ powiedzieli, że największym problemem może okazać się komunikacja z pacjentami. Jako przykład podali tutaj „rejestr ciąż”, który wywołał ogromne dyskusje. Pacjenci nie mogą mieć poczucia zagrożenia, że ich dane medyczne zostaną wykorzystane w złym celu.
źródło:
https://www.hccongress.pl/2025/pl/panel/7125.html
https://ratels.pl/blog/ustawa-o-krajowym-systemie-cyberbezpieczenstwa-2025/
