Aktualności
30 października 2020

RODO w aplikacjach zdrowotnych – wymogi dot. bezpieczeństwa danych pacjentów


Na początku października 2020 r. niemiecki Federalny Instytut Leków i Wyrobów Medycznych (BfArM) zatwierdził dwie mobilne aplikacje zdrowotne  i umieścił je w katalogu cyfrowych aplikacji zdrowotnych („Katalog DiGA”).

Na gruncie lokalnego, mającego zastosowanie prawa oznacza to, że koszty tych aplikacji zdrowotnych, o ile ich używanie zostało przepisane przez lekarza, mogą być refundowane ze środków publicznych. Warunkiem dla umieszczenia produktu w Katalogu DiGA jest między innymi spełnienie przez aplikację wymagań dot.  ochrony danych osobowych oraz zagwarantowanie bezpieczeństwa danych zgodnie z aktualnym stanem techniki. Okazało się jednak, że zostały wykryte poważne braki w ochronie danych w jednej z aplikacji, które służą do leczenia osób z zaburzeniami lękowymi. Wykorzystując luki w zabezpieczeniach, osoby atakujące mogły „ujawnić” dane pacjentów, a przejąć ich konta zawierające poufne dane.

Lokalny organ zajmujący się ochroną danych osobowych wskazał, że w przypadku aplikacji zdrowotnych ochrona danych i bezpieczeństwo są wyjątkowo istotne. Tego rodzaju urządzenia i aplikacje zbierają bardzo wrażliwe dane. Z tego powodu ważne jest, aby aplikacje, które zostały zatwierdzone przez BfArM, spełniały najwyższe wymagania w zakresie bezpieczeństwa i ochrony danych. Użytkownicy aplikacji zdrowotnych muszą mieć zaufanie, że ich dane są skutecznie chronione. Za niepokojące uznano, że jedna z pierwszych aplikacji zatwierdzonych w tym trybie ma luki w zabezpieczeniach.

W przeszłości organ ochrony danych dla Nadrenii-Palatynatu, wraz z innymi organami nadzorującymi ochronę danych, wielokrotnie ostrzegał o niedociągnięciach w opracowaniu przewidzianej prawem procedury testowej w celu umieszczenia aplikacji zdrowotnych w Katalogu DiGA. W szczególności skrytykował fakt, że aplikacje są umieszczane w katalogu wyłącznie na podstawie informacji producenta, bez sprawdzania ich zgodności z prawem o ochronie danych przez niezależne organy. Wskazuje się , że z technicznego punktu widzenia należy wziąć pod uwagę i sprawdzić, poprzez niezależne audyty,  następujące elementy aplikacji dotyczące prywatności danych jej użytkowników : poufność i integralność komunikacji (treść i metadane), bezpieczeństwo danych na urządzeniu lub w informacjach zdrowotnych przechowywanych w aplikacji, podwykonawcy wydawców aplikacji oraz inne podmioty zaangażowane w jej obsługę.

Pomimo, iż powyższe uwagi zostały wystosowane z związku z konkretną procedurą obowiązującą w Niemczech, to ich źródłem jest Ogólne Rozporządzenie o Ochronie Danych Osobowych, obowiązujące przecież w całej Unii Europejskiej. Także na polskim rynku pojawia się ostatnio coraz więcej mobilnych aplikacji medycznych, które mogą potencjalnie przetwarzać duże ilości danych dotyczących zdrowia. Zbyt lekceważące podejście do kwestii ochrony danych osobowych przetwarzanych w takich aplikacjach może doprowadzić do katastrofalnych skutków, zarówno dla użytkowników takiej aplikacji, jak i dla jej twórców – pomijając już kary administracyjne, należy pamiętać o ogromnych kosztach reputacyjnych. W wielu przypadkach tworzenia aplikacji przetwarzających dane dot. zdrowia wskazane byłoby przeprowadzenie oceny skutków  dla ochrony danych, która pozwala na ustrukturyzowanie sposobów przetwarzania danych, a także na dobrani odpowiednich środkó1) w celu zaradzenia temu ryzyku.

    Administratorem Twoich danych osobowych jest SSW Pragmatic Solutions Spaczyński, Szczepaniak, Okoń sp.k. z siedzibą przy ulicy Rondo ONZ 1, P. 12, 00-124 Warszawa. Twoje dane osobowe są przetwarzane w celu realizacji procesu rekrutacyjnego z Twoim udziałem. Szczegółowe informacje na temat tego, w jaki sposób przetwarzamy Twoje dane osobowe, w tym na temat przysługujących Ci praw wobec Twoich danych osobowych, znajdziesz w polityce prywatności znajdującej się pod tym linkiem Polityka prywatności.

    Jeżeli jesteś zainteresowany uzyskiwaniem ofert oraz materiałów o produktach i usługach SSW Pragmatic Solutions Spaczyński, Szczepaniak, Okoń sp.k. prosimy, wyraź zgodę na przesyłanie Ci takich materiałów:

    Katarzyna Szczudlik

    Katarzyna Szczudlik

    Partner

    Kontakt

    więcej