Sistemul medical si farmaceutic, vulnerabile din punctul de vedere al sigurantei datelor

In timp ce oficialii din sanatate sustin ca avem un sistem informatic sigur, medicii, farmacistii, organizatiile de pacienti si specialistii in investigarea fraudelor informatice sustin contrariul.

Maria Maxim – EY Romania

Incepand cu luna mai 2018 devine aplicabil, pentru toate tarile europene, Regulamentul General privind Protectia Datelor. In cadrul unui eveniment organizat special pentru a analiza acest regulament, la care au participat antreprenori si profesionisti din mai multe domenii, EY Romania, unul dintre cele mai puternice companii de cercetare si asistenta in afaceri din Romania, a aratat ca incepand cu luna mai 2018, companiile care vor incalca acest Regulament risca sanctiuni drastice.

 „Industria serviciilor medicale este cea mai afectata, din punctul de vedere al securizarii datelor. Regulamentul general pentru protectia datelor, adoptat de Uniunea Europeana, va intra in vigoare in mai 2018, iar pana atunci, companiile vor trebui sa se alinieze acestor prevederi. Posibilele sanctiuni financiare sunt importante: 10-20 milioane de euro”, a explicat Maria Maxim, senior manager in cadrul echipei de investigare a fraudelor EY Romania. Aceasta a explicat ca, anul trecut, in Statele Unite, peste 110 milioane de persoane au fost afectate de incidentele legate de datele personale, iar 27% dintre cazuri apartine sectorului serviciilor medicale. „Cauzele principale au fost pierderea mediilor de stocare (60% din cazuri) si atacurile externe (7%),” a mai spus Maria Maxim, mentionand ca domeniul farmaceutic este unul dintre sectoarele cele mai vulnerabile din punctul de vedere al sigurantei datelor.

Razvan Prisada – Colegiul Farmacistilor

Participant la dezbatere, farmacistul buzoian Razvan Prisada, vicepresedintele Colegiului Farmacistilor din Romania, a arat insa ca, de multe ori, responsabile de pierderea informatiilor sunt chiar persoanele private, mai putin companiile autorizate care lucreaza cu datele lor. Acesta a punctat ca problema sigurantei datelor personale poate fi privita din doua puncte de vedere, cea a farmacistului si cea a pacientului : „Din pacate, aici avem de-a face cu problema constientizarii importantei securizarii propriilor date personale. Un farmacist intra in contact cu doua tipuri de date. Pe de o parte cu numele, prenumele, codul numeric personal. Pe de alta parte, cu diagnosticul si medicatia. Introducerea sistemului electronic a rezolvat o parte din problemele securizarii datelor. Nu se mai foloseste CNP-ul, iar diagnosticul este codificat. Cand sistemul functioneaza, cardul de sanatate este modul de autentificare, deci nu mai e nevoie de buletin. Problema este insa ca sistemul nu functioneaza, de multe ori, asa cum s-a intamplat in ultimele doua luni, cand cel putin o treime din timp am fost nevoiti sa acordam servicii off-line. Pe hartie, lucrurile stau bine din punctul de vedere al autoritatilor. In realitate, insa, opt din zece pacienti vin la farmacie cu PIN-ul notat, cu cifre mari, pe cardul de sanatate, sau chiar cu datele scrise pe o hartie…”, a precizat Razvan Prisada, pentru SanatateaBuzoiana.ro.

Parerea unanima a participantilor la eveniment a fost ca in Romania, multe dintre pierderile sau furturile de date se datoreaza lipsei de informare a cetatenilor. Legile in vigoare stipuleaza drepturile cetatenilor, dar foarte putini le cunosc. In primul rand, cu titlu de principiu, prelucarea datelor personale nu este permisa in lipsa acordului persoanei vizate, exceptiile fiind de stricta interpretare. In al doilea rand, este interzisa prelucrarea datelor sensibile, precum apartenenta politica, viata sexuala, starea de sanatate.

Exceptiile de la aceste reguli cuprind, de exemplu, situatiile cand datele personale sunt necesare in medicina preventiva, pentru realizarea actului medical sau pentru respectarea unei prevederi legale.

In plus, cetatenii trebuie informati, in prealabil, de procesarea datelor lor si pot cere accesul la aceste date, depunand o cerere la companiile de servicii medicale, acestea fiind obligate sa raspunda in 15 zile. Noul regulament al Uniunii Europene impune masuri de asigurare a protectiei datelor din momentul conceperii unui sistem de prelucrare a datelor, fiind necesara evaluarea riscurilor si a impactului asupra vietii private a persoanelor vizate.

In plus, in organigrama companiilor va trebui sa fie desemnata o persoana responsabila cu protectia datelor. „Perioada de tranzitie la noul regulament e destul de scurta, daca avem in vedere toate masurile pe care o companie trebuie sa le adopte. Exista un termen foarte scurt de raportare a incidentului de securitate (72 de ore), ceea ce inseamna ca majoritatea companiilor trebuie sa se orienteze spre preventie, spre crearea sistemelor de recuperare a datelor. Consecintele unui asemenea incident sunt atat de ordin moral, reputatia companiei putand fi serios afectata, dar si financiar, fiind prevazute sanctiuni administrative de pana la 4% din cifra de afaceri,” a adaugat Maria Maxim.

Reprezentantii industriei farmaceutice si cei ai companiilor de acordare a serviciilor medicale prezenti la eveniment au concluzionat ca desi ei sunt direct interesati de constientizarea riscurilor si a demersurilor necesare pentru asigurarea protectiei datelor personale, pentru ca sunt preocupati de pastrarea confidentialitatii starii de sanatate a pacientilor, in mod special, dar si a datelor lor personale, in general, va fi necesar ca atat ei cat si statul sa se implice mai mult in informarea populatieio cu privire la aceste riscuri.