Agencja Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) o pseudonimizacji danych w sektorach medycznych

Szkocka organizacja zajmująca się ochroną zdrowia psychicznego (The Scottish Association for Mental Health) 21 marca 20222 r. poinformowała na swojej stronie internetowej o cyberataku, który uniemożliwił pracownikom między innymi korzystanie z poczty elektronicznej na terenie całego kraju i spowodował zakłócenia w działaniu sieci. Dyrektor organizacji Billy Watson poinformował w oświadczeniu, że w sprawie toczy się śledztwo we współpracy ze szkocką policją.

Raport ENISA z marca 2022 r. zwraca uwagę przede wszystkim na fakt, że ze względu na niezwykle szybki rozwój w branży technologicznej pseudonimizacja stała się kluczowym sposobem ochrony danych osobowych w internecie pozostawiając przy tym jednak możliwość przetwarzania tych danych w łatwy sposób. Agencja podkreśla znaczenie ochrony danych osobowych w sektorze ochrony zdrowia, który podążając za stale zwiększającymi się potrzebami pacjentów jest ściśle związany z nowymi technologiami. Dane dotyczące pacjentów ulegają przetwarzaniu i wymianie między ośrodkami, czasem nawet państwami, a informacje o stanie zdrowia niejednokrotnie zostają udostępnione osobom fizycznym. Dlatego właśnie tak ważna jest ich ochrona przed naruszeniami i wyciekami.

Definiując pseudonimizację Agencja odwołuje się do artykułu 4 RODO, który określa to zjawisko, jako „przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej”. Według raportu pseudonimizacja to zabieg mający na celu ukrycie tożsamości w zbiorze danych poprzez przypisanie konkretnej danej do pseudonimu i zastąpienie jej tym pseudonimem. Zabieg ten ma na celu uniemożliwienie identyfikacji osoby, której dane dotyczą. Dane oraz przypisane do nich pseudonimy są przechowywane w specjalnych tabelach, do których dostęp ma wyłącznie osoba, która pierwotnie ją przeprowadziła. Warto pamiętać, że RODO rozróżnia zjawisko pseudonimizacji od anonimizacji. Anonimizacja jest w przeciwieństwie do pseudonimizacji zjawiskiem nieodwracalnym, mającym za cel trwałe usunięcie wszystkich informacji, które pozwalałyby na identyfikację osoby, w związku z czym danych zanonimizowanych nie można uznawać za dane osobowe. Pseudonimizacja jest zaś zjawiskiem zwiększającym bezpieczeństwo danych osobowych.

Agencja w raporcie z marca 2022 r. za główną zaletę pseudonimizacji podaje utrudnienie identyfikacji osoby podczas wycieku danych czy innego naruszenia. Strona trzecia napotka w takim przypadku duże trudności z połączeniem pseudonimu z właściwą osobą i jej danymi, co znacznie zwiększa bezpieczeństwo w Internecie chroniąc przed wykorzystywaniem danych między innymi do celów marketingowych. Zdaniem Agencji dzięki pseudonimizacji można liczyć na wzrost zaufania do zgód internetowych na wykorzystywanie danych dotyczących zdrowia do celów badawczych. Należy jednak pamiętać, że sama pseudonimizacja danych osobowych nie jest gwarancją bezpieczeństwa. Jak podkreśla Andrew Patel, badacz z przedsiębiorstwa WithSecure, jeśli tylko część danych będzie poddana pseudonimizacji, w przypadku wycieku nie trudno będzie ustalić tożsamość pacjenta wykorzystując do tego dane niepoddane pseudonimizacji takie jak na przykład daty wizyt w przychodni.

Zgodnie ze stanowiskiem Agencji w raporcie nie istnieje jedna prawidłowa technika pseudonimizacji, bowiem różne rozwiązania mogą przynieść różne skutki w zależności od konkretnej sytuacji. Pseudonimizacja może się opierać na tokenach lub być dużo bardziej złożonym i skomplikowanym procesem, dlatego podstawowym zaleceniem dla organów krajowych jest przedstawianie i promowanie odpowiednich praktyk pseudonimizacji zgodnych z unijnym standardem ochrony danych osobowych. Jest to szczególnie istotne dla sektora medycznego dysponującego nierzadko bardzo osobistymi informacjami o stanie zdrowia pacjenta.

Źródła: https://www.samh.org.uk/about-us/news-and-blogs/samh-annoucenment-cybersecurity-attack

https://portswigger.net/daily-swig/scottish-mental-health-charity-disrupted-by-sophisticated-nbsp-cyber-attack

https://portswigger.net/daily-swig/enisa-urges-data-handling-innovation-amid-growing-tide-of-healthcare-breaches

https://www.enisa.europa.eu/publications/deploying-pseudonymisation-techniques




 

Wypróbuj System Legalis

 
Zadzwoń:
22 311 22 22
Koszt połączenia wg taryfy operatora.
lub zostaw swoje dane, a Doradca zbada Twoje potrzeby i uruchomi dostęp:

W polu numeru telefonu należy stosować wyłącznie cyfry (min. 9).


Uzyskaj dostęp

* Pola wymagane

Zasady przetwarzania danych osobowych: Administratorem danych osobowych jest Wydawnictwo C.H.Beck sp. z o.o., Warszawa, ul. Bonifraterska 17, kontakt: daneosobowe[at]beck.pl. Dane przetwarzamy w celu marketingu własnych produktów i usług, w celach wskazanych w treści zgód, jeśli były wyrażane, w celu realizacji obowiązków prawnych, oraz w celach statystycznych. W sytuacjach przewidzianych prawem, przysługują Ci prawa do: dostępu do swoich danych, otrzymania ich kopii, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia, cofnięcia zgody oraz wniesienia sprzeciwu wobec przetwarzania danych. Pełne informacje w Polityce prywatności.


Wydawnictwo C.H.Beck
ul. Bonifraterska 17
00-203 Warszawa
Tel: 22 311 22 22
E-mail: [email protected]
NIP: 522-010-50-28, KRS: 0000155734
Sąd Rejonowy dla miasta stołecznego Warszawy
w Warszawie Kapitał Spółki: 88 000 zł

Polityka prywatności