Το ιατρικό ιστορικό κάθε Ευρωπαίου πολίτη μπορεί να αποδειχθεί κρίσιμο ακόμη και για τη ζωή του, ενώ και στις περιπτώσεις των πασχόντων από χρόνιες ασθένειες είναι απαραίτητο σε κάθε ιατρική εξέταση. Η ανταλλαγή ιατρικών δεδομένων ανάμεσα στις χώρες της Ευρωπαϊκής Ένωσης μπορεί να απαντήσει στην ανάγκη της ευρωπαϊκής ολοκλήρωσης στον χώρο της υγείας, δημιουργεί όμως και σύνθετα νομικά προβλήματα, που αφορούν την πρόσβαση στα πιο ευαίσθητα προσωπικά δεδομένα εκατομμυρίων πολιτών. Τι θα γίνει σε μία πιθανή κυβερνοεπίθεση, όπως του 2017, όταν οι χάκερς για να ξεκλειδώσουν τα δεδομένα μεγάλων νοσοκομείων ζητούσαν λύτρα σε bitcoins;
Ένα ερευνητικό πρόγραμμα με έντονο "ελληνικό χρώμα" σχεδιάζει να απαντήσει ταυτόχρονα και στις δύο προκλήσεις: Της διασυνοριακής πρόσβασης και της ασφάλειας. Το «H2020 KONFIDO» χρηματοδοτείται από την Ευρωπαϊκή Επιτροπή, ώστε να ενισχύσει την ασφάλεια κατά την ανταλλαγή ιατρικών δεδομένων ανάμεσα σε Ευρωπαϊκές χώρες. Το πρόγραμμα έχει διάρκεια 3 χρόνια και ξεκίνησε το Νοέμβριο του 2016. Η ομάδα του αποτελείται από 15 πανεπιστήμια, ερευνητικά ινστιτούτα και εταιρείες σε 7 χώρες, συμπεριλαμβανομένου του ερευνητικού ινστιτούτου ΕΚΕΤΑ στη Θεσσαλονίκη και της εταιρείας EULAMBIA στην Αθήνα.
«Σε κάθε Ευρωπαϊκή χώρα θα υπάρχει ένα κεντρικό σημείο πρόσβασης, που διαχειρίζεται από το Υπουργείο Υγείας της εκάστοτε χώρας, το οποίο θα λαμβάνει οποιοδήποτε αίτημα πρόσβασης σε ιατρικά δεδομένα και θα λειτουργεί ως μεσάζοντας με τα ιδρύματα υγείας της χώρας», εξηγεί σε συνέντευξη που παραχώρησε στο Αθηναϊκό Μακεδονικό Πρακτορείο Ειδήσεων ο συντονιστής του έργου KONFIDO (Project Coordinator), Senior Project Manager στην εταιρεία EXUS Software με έδρα το Λονδίνο, Γιάννης Κόμνιος.
«Οι Ευρωπαίοι πολίτες μιας χώρας θα μπορούν να ταξιδέψουν σε οποιαδήποτε Ευρωπαϊκή χώρα, γνωρίζοντας πως μπορούν να λάβουν ηλεκτρονικά τη συνταγογράφηση, που λαμβάνουν στη χώρα διαμονής τους από οποιοδήποτε φαρμακείο και να επισκεφθούν οποιοδήποτε ιατρό, στον οποίο μπορούν να παρέχουν πρόσβαση σε μια σύνοψη του ιατρικού τους ιστορικού», αναφέρει, ενώ περιγράφει τις έξι τεχνολογίες αιχμής του προγράμματος, που έχουν ως σκοπό να ενισχύσουν το επίπεδο ασφάλειας στη διασυνοριακή ανταλλαγή δεδομένων υγείας.
Ερώτηση:Τα νοσοκομεία είναι οι πλέον ευάλωτοι στόχοι των οργανωμένων κυβερνοεπιθέσεων παγκόσμιας κλίμακας, όπως φάνηκε και σε αυτή το 2017, όταν οι χάκερς για να ξεκλειδώσουν τα προγράμματα των θυμάτων ζητούσαν λύτρα σε bitcoins. Ένα σύστημα όπως αυτό που σχεδιάζει το KONFIDO και το οποίο θα έχει πρόσβαση σε ευαίσθητα δεδομένα εκατομμυρίων Ευρωπαίων πολιτών, δεν θα αποτελεί υπ αριθμόν ένα στόχο; Υπάρχουν σήμερα οι θεωρίες που να εγγυώνται 100% ότι είναι ασφαλή τα υπολογιστικά συστήματα;
Απάντηση: Φυσικά, ένα σύστημα που μεταφέρει ευαίσθητα δεδομένα εκατομμυρίων πολιτών είναι ένας πιθανός στόχος κυβερνοεπίθεσης. Δυστυχώς, είναι πρακτικά αδύνατο κάποιο υπολογιστικό σύστημα να είναι 100% ασφαλές. Οι τεχνολογίες συνεχώς εξελίσσονται και θα πρέπει να είμαστε πάντα σε ετοιμότητα και ένα βήμα μπροστά από τις τεχνολογίες αιχμής ώστε να είμαστε όσο το δυνατόν περισσότερο ασφαλείς. Αυτό ακριβώς προσπαθούμε να πετύχουμε και στο ερευνητικό έργο KONFIDO.
Το σύστημα ανταλλαγής ιατρικών δεδομένων ανάμεσα σε Ευρωπαϊκές χώρες ήδη αναπτύσσεται από την Ευρωπαϊκή Επιτροπή. Το KONFIDO ενισχύει την ασφάλεια του συστήματος χρησιμοποιώντας καινοτόμες τεχνολογίες που έχουν σκοπό να προστατεύσουν τα ευαίσθητα ιατρικά δεδομένα όχι μόνο από εξωτερικές απειλές, αλλά και από χρήστες του συστήματος που πιθανόν να προσπαθήσουν να αποκτήσουν πρόσβαση σε επιπλέον δεδομένα από αυτά που τους επιτρέπεται.
Ερ.: Το πρόγραμμα KONFIDO σχεδιάζεται για να προσφέρει ένα πλαίσιο που θα απαντήσει στα νομικά εμπόδια, που εύλογα υπάρχουν όσον αφορά την ανταλλαγή τόσο ευαίσθητων προσωπικών δεδομένων, όσο τα δεδομένα υγείας;
Απ.: Το νομικό πλαίσιο ανταλλαγής ευαίσθητων προσωπικών δεδομένων (συμπεριλαμβανομένων των δεδομένων υγείας) εξελίσσεται συνεχώς τόσο σε ευρωπαϊκό, όσο σε εθνικό επίπεδο. Η ανάγκη για την ανταλλαγή ιατρικών δεδομένων ανάμεσα σε διαφορετικές χώρες δημιουργεί νέες νομικές προκλήσεις που πρέπει να λυθούν. Το KONFIDO παρακολουθεί τις εξελίξεις στον τομέα αυτό και το σύστημα ασφάλειας σχεδιάζεται ώστε να συμβαδίζει με το πιο πρόσφατο νομικό πλαίσιο.
Ερ.:Σε ποιον βαθμό σχεδιάζεται να παρέχεται η πρόσβαση; Αν ένα νοσοκομείο αποκτήσει το ιατρικό ιστορικό ασθενούς που προέρχεται από άλλη χώρα, ο φάκελος του διατηρείται μετά στο νοσοκομειακό ίδρυμα της ξένης χώρας;
Απ: Αρχικά, δε θα προσφέρεται πρόσβαση σε ολόκληρο το ιατρικό ιστορικό του ασθενούς, αλλά θα προσφέρεται πρόσβαση μόνο σε μια σύνοψη του ιατρικού ιστορικού (Patient Summary) και σε ηλεκτρονική συνταγογράφηση (ePrescription). Αφού αποσταλούν, η σύνοψη και η συνταγογράφηση θα διατηρούνται από το νοσοκομειακό ίδρυμα της χώρας παραλαβής μόνο για συγκεκριμένο χρονικό διάστημα, το οποίο δεν έχει καθοριστεί επακριβώς ακόμη.
Ερ.: Η εφαρμογή του GDPR άλλαξε τον προσανατολισμό του προγράμματος; Συνιστά για το έργο ένα χρήσιμο εργαλείο ή αναγκαία προσαρμογή;
Απ.: Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) δεν επηρέασε σημαντικά την επεξεργασία δεδομένων υγείας στην Ευρώπη. Το άρθρο 9 του GDPR είναι παρόμοιο με το άρθρο 8 της νομοθεσίας του 1995 που αντικατέστησε. Και αναφέρει, μεταξύ άλλων, ότι οι χώρες έχουν τη δυνατότητα να επιβάλουν επιπλέον περιορισμούς στην επεξεργασία γενετικών, βιομετρικών ή, γενικά, δεδομένων υγείας.
Ερ.: Ποιες είναι νέες προσεγγίσεις και τεχνολογίες αιχμής που εισάγει το KONFIDO στη διασυνοριακή ανταλλαγή των δεδομένων υγείας;
Απ.: Το KONFIDO εισάγει έξι τεχνολογίες αιχμής που έχουν ως σκοπό να ενισχύσουν το επίπεδο ασφάλειας στη διασυνοριακή ανταλλαγή δεδομένων υγείας. Συγκεκριμένα:
-Μια hardware συσκευή που βασίζεται σε τεχνολογίες photonics και παρέχει έναν ασφαλή τρόπο δημιουργίας κλειδιών κρυπτογράφησης και αυθεντικοποίησης χρηστών. Σημειώνεται πως η καινοτόμα τεχνολογία προσφέρεται από την ελληνική start-up EULAMBIA.
-Η τεχνολογια blockchain χρησιμοποιείται για τον έλεγχο των χρηστών που έχουν πρόσβαση σε ευαίσθητα ιατρικά δεδομένα. Σημειώνεται πως στην τεχνολογία αυτή συνεργάζεται το ερευνητικό ινστιτούτο ΕΚΕΤΑ.
-Η εφαρμογή του ευρωπαϊκού κανονισμού eIDAS επιτρέπει την ηλεκτρονική ταυτοποίηση φυσικών και νομικών προσώπων.
-Η ομομορφική κρυπτογράφηση είναι μια νέα μέθοδος κρυπτογράφησης που επιτρέπει την επεξεργασία κρυπτογραφημένων δεδομένων χωρίς να χρειαστεί να αποκρυπτογραφηθούν, εξαλείφοντας το ενδεχόμενο κάποιος να τα διαβάσει.
-Η τεχνολογία Trusted Execution Environment που προσφέρεται από την τελευταία γενιά επεξεργαστών επιτρέπει την επεξεργασία ευαίσθητων δεδομένων σε ένα μέρος του επεξεργαστή όπου κανείς δεν έχει πρόσβαση, ούτε ο ιδιοκτήτης του συστήματος.
-Ένα εργαλείο SIEM παρακολουθεί συνεχώς τη συμπεριφορά του συστήματος και ενημερώνει άμεσα τους διαχειριστές σε περίπτωση ασυνήθιστης συμπεριφοράς.
Ερ: Πρακτικά τι αλλαγές μπορεί να επιφέρει η υλοποίηση ενός τέτοιου προγράμματος; Ποιες είναι οι προβλεπόμενες διαδικασίες σήμερα, όταν ένας ασθενής πάει με την μπλε κάρτα υγείας σε ένα νοσοκομείο της ΕΕ; Πώς αποκτούν οι γιατροί πρόσβαση στον φάκελο εφόσον είναι απαραίτητο το ιστορικό;
Απ.: Τα οφέλη που θα επιφέρει η υλοποίηση ενός τέτοιου συστήματος σε ευρωπαϊκό επίπεδο είναι πολλαπλά. Οι Ευρωπαίοι πολίτες μιας χώρας θα μπορούν να ταξιδέψουν σε οποιαδήποτε Ευρωπαϊκή χώρα γνωρίζοντας πως μπορούν να:
-Λάβουν ηλεκτρονικά τη συνταγογράφηση που λαμβάνουν στη χώρα διαμονής τους από οποιοδήποτε φαρμακείο και να
-Επισκεφθούν οποιοδήποτε ιατρό στον οποίο μπορούν να παρέχουν πρόσβαση σε μια σύνοψη του ιατρικού τους ιστορικού, ώστε να ελέγξει πιθανές αλλεργίες και παλαιότερες ασθένειες πριν χορηγήσει οποιαδήποτε αγωγή.
-Ακόμη σημαντικότερα είναι τα οφέλη σε περιπτώσεις ατυχημάτων όπου οι πρώτοι διασώστες μπορούν να λάβουν άμεσα πρόσβαση σε μια σύνοψη του ιατρικού τους ιστορικού των θυμάτων.
Ερ.: Το πρόγραμμα σχεδιάζεται για να συμπεριλάβει υπηρεσίες υγείας του δημόσιου όσο και του ιδιωτικού τομέα;
Απ.: Σε κάθε ευρωπαϊκή χώρα θα υπάρχει ένα κεντρικό σημείο πρόσβασης, που διαχειρίζεται από το υπουργείο Υγείας της εκάστοτε χώρας, το οποίο θα λαμβάνει οποιοδήποτε αίτημα πρόσβασης σε ιατρικά δεδομένα και θα λειτουργεί ως μεσάζοντας με τα ιδρύματα υγείας της χώρας. Το σημείο αυτό μπορεί να συνδεθεί τόσο με δημόσιους, όσο με ιδιωτικούς φορείς υγείας. Υπάρχει ήδη σε εξέλιξη ένα πλάνο ώστε το κεντρικό σημείο πρόσβασης σε κάθε ευρωπαϊκή χώρα να έχει υλοποιηθεί μέχρι το 2020.