Szkocka organizacja zajmująca się ochroną zdrowia psychicznego (The Scottish Association for Mental Health) 21 marca 20222 r. poinformowała na swojej stronie internetowej o cyberataku, który uniemożliwił pracownikom między innymi korzystanie z poczty elektronicznej na terenie całego kraju i spowodował zakłócenia w działaniu sieci. Dyrektor organizacji Billy Watson poinformował w oświadczeniu, że w sprawie toczy się śledztwo we współpracy ze szkocką policją.
Raport ENISA z marca 2022 r. zwraca uwagę przede wszystkim na fakt, że ze względu na niezwykle szybki rozwój w branży technologicznej pseudonimizacja stała się kluczowym sposobem ochrony danych osobowych w internecie pozostawiając przy tym jednak możliwość przetwarzania tych danych w łatwy sposób. Agencja podkreśla znaczenie ochrony danych osobowych w sektorze ochrony zdrowia, który podążając za stale zwiększającymi się potrzebami pacjentów jest ściśle związany z nowymi technologiami. Dane dotyczące pacjentów ulegają przetwarzaniu i wymianie między ośrodkami, czasem nawet państwami, a informacje o stanie zdrowia niejednokrotnie zostają udostępnione osobom fizycznym. Dlatego właśnie tak ważna jest ich ochrona przed naruszeniami i wyciekami.
Definiując pseudonimizację Agencja odwołuje się do artykułu 4 RODO, który określa to zjawisko, jako „przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Według raportu pseudonimizacja to zabieg mający na celu ukrycie tożsamości w zbiorze danych poprzez przypisanie konkretnej danej do pseudonimu i zastąpienie jej tym pseudonimem. Zabieg ten ma na celu uniemożliwienie identyfikacji osoby, której dane dotyczą. Dane oraz przypisane do nich pseudonimy są przechowywane w specjalnych tabelach, do których dostęp ma wyłącznie osoba, która pierwotnie ją przeprowadziła. Warto pamiętać, że RODO rozróżnia zjawisko pseudonimizacji od anonimizacji. Anonimizacja jest w przeciwieństwie do pseudonimizacji zjawiskiem nieodwracalnym, mającym za cel trwałe usunięcie wszystkich informacji, które pozwalałyby na identyfikację osoby, w związku z czym danych zanonimizowanych nie można uznawać za dane osobowe. Pseudonimizacja jest zaś zjawiskiem zwiększającym bezpieczeństwo danych osobowych.
Agencja w raporcie z marca 2022 r. za główną zaletę pseudonimizacji podaje utrudnienie identyfikacji osoby podczas wycieku danych czy innego naruszenia. Strona trzecia napotka w takim przypadku duże trudności z połączeniem pseudonimu z właściwą osobą i jej danymi, co znacznie zwiększa bezpieczeństwo w Internecie chroniąc przed wykorzystywaniem danych między innymi do celów marketingowych. Zdaniem Agencji dzięki pseudonimizacji można liczyć na wzrost zaufania do zgód internetowych na wykorzystywanie danych dotyczących zdrowia do celów badawczych. Należy jednak pamiętać, że sama pseudonimizacja danych osobowych nie jest gwarancją bezpieczeństwa. Jak podkreśla Andrew Patel, badacz z przedsiębiorstwa WithSecure, jeśli tylko część danych będzie poddana pseudonimizacji, w przypadku wycieku nie trudno będzie ustalić tożsamość pacjenta wykorzystując do tego dane niepoddane pseudonimizacji takie jak na przykład daty wizyt w przychodni.
Zgodnie ze stanowiskiem Agencji w raporcie nie istnieje jedna prawidłowa technika pseudonimizacji, bowiem różne rozwiązania mogą przynieść różne skutki w zależności od konkretnej sytuacji. Pseudonimizacja może się opierać na tokenach lub być dużo bardziej złożonym i skomplikowanym procesem, dlatego podstawowym zaleceniem dla organów krajowych jest przedstawianie i promowanie odpowiednich praktyk pseudonimizacji zgodnych z unijnym standardem ochrony danych osobowych. Jest to szczególnie istotne dla sektora medycznego dysponującego nierzadko bardzo osobistymi informacjami o stanie zdrowia pacjenta.
Źródła: https://www.samh.org.uk/about-us/news-and-blogs/samh-annoucenment-cybersecurity-attack
https://portswigger.net/daily-swig/scottish-mental-health-charity-disrupted-by-sophisticated-nbsp-cyber-attack
https://portswigger.net/daily-swig/enisa-urges-data-handling-innovation-amid-growing-tide-of-healthcare-breaches
https://www.enisa.europa.eu/publications/deploying-pseudonymisation-techniques