Skip to main content
Artykuł

Niewłaściwe wykorzystanie danych pacjentów: kolejne poważne zagrożenie cybernetyczne w ochronie zdrowia?

Cyber Risk Management
N/A

styczeń 31, 2022

Wiele warunków ubezpieczeń od ryzyk cybernetycznych nie obejmuje ochroną bezprawnego gromadzenia lub nadużyć w wykorzystaniu danych pacjentów. W sytuacji, gdy informacje medyczne są udostępniane częściej niż kiedykolwiek, może nadszedł czas na zmiany?

Czym jest ubezpieczenie cyber?

Większość polis cybernetycznych zapewnia kompleksową ochronę przed stratami i kosztami związanymi z naruszeniem bezpieczeństwa danych.

Zwykle oznacza to atak hakerski lub atak z użyciem złośliwego oprogramowania, którego skutkiem jest utrata, kradzież lub uszkodzenie wrażliwych informacji biznesowych lub danych osobowych.

Czym jest bezprawne gromadzenie lub nadużycia w wykorzystaniu danych?

Jeśli organizacje gromadzą dane bez uzyskania odpowiedniej zgody, może być to bezprawne gromadzenie.

Jeśli wykorzystują dane do celów niezgodnych z ich przeznaczeniem, może to być nadużycie.

W przeciwieństwie do typowego naruszenia ochrony danych, w tym przypadku nikt nie włamuje się do systemu informatycznego ani nie żąda okupu.

Nieprawidłowe gromadzenie lub nadużycia w wykorzystaniu danych zazwyczaj mają źródło w praktykach stosowanych przez samą organizację lub jej partnerów w zakresie przetwarzania danych.

Czy polisy cyber obejmują bezprawne gromadzenie i niewłaściwe wykorzystanie danych?

Polisy od ryzyk cybernetycznych zazwyczaj oferują dobre zabezpieczenie na wypadek naruszenia prywatności wynikające z ataków hakerskich i wprowadzenia złośliwego oprogramowania.

Polisy cyber zazwyczaj oferują dobre zabezpieczenie na wypadek naruszenia prywatności wynikające z ataków hakerskich i złośliwego oprogramowania.”

Robert Barberi | Director, FINEX Cybersecurity and Professional Risk, WTW

Jednakże niektóre polisy będą wymagały wyraźnego rozszerzenia zakresu ochrony o nadużycia w wykorzystywaniu lub bezprawne gromadzenie danych.

Na obecnym trudnym rynku ubezpieczyciele mają tendencję do wycofywania się z szerokich definicji i są bardziej skłonni przyjmować konserwatywne podejście do nowych obszarów ochrony ubezpieczeniowej, niż wprowadzać innowacje.

Dlaczego organizacje z sektora opieki zdrowotnej mają powód do niepokoju?

Pandemia przyspieszyła proces cyfryzacji opieki zdrowotnej.

W jurysdykcjach wiodących prym w ochronie danych, takich jak UE i Kalifornia, już istnieją rygorystyczne przepisy regulujące sposób gromadzenia, udostępniania i wykorzystywania danych.

W innych porządkach prawnych ochrona danych jest słabsza, ale w wyniku niedawnych skandali i ujawnionych nadużyć presja opinii publicznej stale rośnie.

Jeśli chodzi o dane dotyczące zdrowia, wielu pacjentów chętnie udostępniałoby je na potrzeby badań medycznych, ale mogą być mniej skłonni do wyrażenia zgody, jeśli uznają, że firmy mogą czerpać zyski z tej działalności.

Inne potencjalne obawy obejmują:

  • wykorzystywanie danych przez firmy farmaceutyczne, by kierować do pacjentów działania marketingowe
  • profilowanie pacjentów w oparciu o zagregowane dane, co skutkowałoby wyższymi składkami ubezpieczeniowymi lub ograniczeniem usług
  • zmiany w opcjach terapeutycznych na podstawie algorytmów opartych na danych, co stwarza ryzyko pogorszenia oferowanego pacjentom leczenia w wyniku wykorzystania ich danych.

Ramy prawne

Europa

Ogólne rozporządzenie o ochronie danych (RODO)1, które weszło w życie w 2018 r., nakłada na organizacje rygorystyczne obowiązki w zakresie gromadzenia danych osobowych w sposób zgodny z prawem, za wyraźną zgodą, oraz ich ochrony przed niewłaściwym użyciem.

USA

Kalifornijska ustawa o ochronie prywatności konsumentów (2018)2 tworzy najbardziej restrykcyjny system ochrony danych w USA; dane mogą być gromadzone wyłącznie za świadomą zgodą i w ściśle ograniczonych celach.

Ameryka Południowa

Brazylijska ustawa Lei Geral de Proteção de Dados3, która weszła w życie w 2020 r., jest pierwszą istotną ustawą o ochronie danych w Ameryce Łacińskiej. Nakłada ona obowiązek informowania obywateli o celu, w jakim gromadzone są ich dane.

Co muszą wziąć pod uwagę organizacje z sektora opieki zdrowotnej?

Czy mamy właściwą zgodę?

Świadczeniodawcy powinni w sposób przejrzysty współpracować z pacjentami i wyjaśniać, na co pacjenci wyrażają zgodę, jak ich dane będą wykorzystywane oraz w jaki sposób będą one przepływać przez systemy i trafiać do organizacji partnerskich.

Świadczeniodawcy powinni w sposób przejrzysty współpracować z pacjentami i wyjaśniać, na co pacjenci wyrażają zgodę, jak ich dane będą wykorzystywane oraz w jaki sposób będą one przepływać przez systemy i trafiać do organizacji partnerskich.”

Kirsten Beasley | Head of Healthcare Broking, North America, WTW

Konsekwencje zaniechań w tym obszarze mogą być poważne, jeśli pacjenci odkryją, że ich dane są wykorzystywane do celów, których nie rozumieli.

Dzięki przedstawieniu rzetelnych wyjaśnień pacjenci będą w stanie zrozumieć korzyści, jakie płyną z wykorzystania ich danych.

Warto rozważyć standardy, jakie w zakresie wyrażania zgody ustanawia RODO. Artykuł 4 rozporządzenia definiuje zgodę jako:

  • dobrowolną: nie wolno jej wymuszać pod naciskiem i nie może być żadnych negatywnych konsekwencji w razie odmowy
  • konkretną: należy uzyskać zgodę na konkretny rodzaj przetwarzania danych
  • świadomą: osoba, której dane dotyczą musi być poinformowana, na co wyraża zgodę
  • jednoznaczną: należy używać jednoznacznego i przystępnego języka.
  • w formie wyraźnego działania potwierdzającego: zgoda musi zostać wyrażona poprzez oświadczenie lub działanie.

Czy dane pozwalają na identyfikację?

W wielu jurysdykcjach do udostępniania danych nie jest wymagana wyraźna zgoda, jeżeli dane są pozbawione cech umożliwiających identyfikację osoby, której dotyczą.

Coraz większy nacisk kładzie się na fakt, że niektórym danym można przywrócić cechy umożliwiające identyfikację poprzez zestawienie ich z innymi źródłami danych.”

Robert Barberi
Director, FINEX Cybersecurity and Professional Risk, WTW

Ostatnio jednak, coraz większy nacisk kładzie się na fakt, że niektórym danym można przywrócić cechy umożliwiające identyfikację poprzez zestawienie ich z innymi źródłami danych, w tym dostępnymi publicznie.

Legalność takiego działania nie została jednoznacznie potwierdzona, co dodatkowo przemawia za unikaniem ryzyka poprzez uzyskanie wyraźnej, bezspornej zgody, jak opisano powyżej.

Jakie mamy procedury?

Niektóre organizacje mogą nie zdawać sobie sprawy z potencjalnie niewłaściwego gromadzenia lub wykorzystania danych.

Na przykład, uzyskały zgodę, ale może ona nie być adekwatna do celu lub mogą nie w pełni rozumieć, w jaki sposób ich partnerzy planują wykorzystywać dane pacjentów.

Istotne jest poważne podejście do tej kwestii i upewnienie się, że dysponujemy solidnymi mechanizmami kontroli.

Czas na zmiany

Wraz z postępującą cyfryzacją ochrony zdrowia będziemy prawdopodobnie świadkami rosnącego zainteresowania ze strony organów regulacyjnych i opinii publicznej przypadkami bezprawnego gromadzenia i nadużyć w korzystaniu z danych pacjentów.

Głośne sprawy pokazały skalę naruszeń prywatności i roszczeń z tego tytułu.

Istnieje jednak rozdźwięk pomiędzy ryzykiem a zakresem ochrony oferowanym przez większość ubezpieczeń cybernetycznych.

Potrzebne są polisy od ryzyk cybernetycznych, które będą stanowić adekwatną odpowiedź i zapewnią pewien stopień ochrony podmiotom świadczącym usługi medyczne, zaangażowanym w gromadzenie, przetwarzanie i udostępnianie danych.

Biorąc pod uwagę znaczne straty, jakie mogą wyniknąć z roszczeń dotyczących bezprawnego gromadzenia lub wykorzystywania danych, konieczne jest, aby organizacje z sektora opieki zdrowotnej starały się nadać swoim polisom cybernetycznym jak najszerszy zakres.

Zastrzeżenie

WTW oferuje usługi związane z ubezpieczeniami za pośrednictwem spółek posiadających odpowiednie licencje i zezwolenia w poszczególnych krajach, w których WTW prowadzi działalność. W celu uzyskania dalszych informacji na temat zezwoleń oraz szczegółów regulacyjnych dotyczących podmiotów prawnych WTW, działających w danym kraju, prosimy o zapoznanie się z naszą stroną internetową. Uwzględnianie lokalnych wymogów w zakresie licencji jest naszym prawnym obowiązkiem.

Źródła

1 General Data Protection Regulation (GDPR) Compliance Guidelines

2 California Consumer Privacy Act (CCPA) | State of California - Department of Justice - Office of the Attorney General

3 ANPD — Português (Brasil)

4 Artykuł 4 RODO. Definicje

Kontakty

Director, FINEX Cybersecurity and Professional Risk,
WTW

Head of Healthcare Broking, North America,
WTW

Contact Us