Jak chronić cenne dane?
| Tagi: | Konstantinos Limniotis, anonimizacja danych, szyfrowanie polimorficzne, szyfrowanie homomorficzne, EDHS, Europejska Przestrzeń Danych Medycznych, UODO, Urząd Ochrony Danych Osobowych |
Z założenia Europejska Przestrzeń Danych Medycznych ma służyć pacjentom, naukowcom, instytutom badawczym, a także koncernom farmaceutycznym czy innowacyjnym firmom w sektorze zdrowia. Jak chronić te dane?
Mówił o tym Konstantinos Limniotis, specjalista IT i szef działu badań Greckiego Organu Ochrony Danych, nauczyciel akademicki i badacz w zakresie informacji w zakresie bezpieczeństwa informacji i kryptografii, reprezentujący Grecję w pracach eksperckich Europejskiej Rady Ochrony Danych i Agencji Unii Europejskiej do spraw Cyberbezpieczeństwa (ENISA), która zajmuje się bezpieczeństwem danych – podczas w konferencji naukowej „Europejska przestrzeń danych dotyczących zdrowia – wyzwanie dla Europy”, zorganizowanej przez Wydział Prawa i Administracji oraz Wydział Medyczny Uniwersytetu Warszawskiego, Instytut Nauk Prawnych Polskiej Akademii Nauk, Naczelną Izbę Lekarską oraz Urząd Ochrony Danych Osobowych.
Pośrednictwo w przekazywaniu danych
– Kiedy odnosimy się do celów wykorzystania danych, mamy scenariusz, w którym ich posiadacz dostarcza je dzięki usłudze pośrednictwa ich użytkownikom, którzy z kolei nie powinni być w stanie ponownie zidentyfikować osoby fizycznej, której one dotyczą. To oznacza, że dane te muszą być pseudoniminizowane. Dlatego bardzo ważna jest inżynieria ochrony danych, która odgrywa niezbędną rolę w przypadku EDHS – wyjaśnił ekspert.
Jak podkreślił, wszystkie cele, które zakładają wykorzystanie danych EDHS, nie wymagają identyfikacji osoby, której dotyczą, a uprawniony użytkownik danych nie powinien być w stanie zidentyfikować osoby fizycznej, ale musi mieć dostęp do danych zanonimizowanych lub pseudonimizowanych.
– Usługi pośrednictwa danych jako definicja są wprowadzane w aspekcie zarządzania danymi, a taka usługa ma na celu ustanowienie relacji handlowych w celu udostępnienia danych między posiadaczami danych z jednej strony a ich użytkownikiem, za pomocą różnych środków, które mogą również zapewniać pewne zabezpieczenia ochrony danych, takie jak anonimizacja lub pseudonimizacja. Przepisy jednak niewiele mówią, jaką rolę w EHDS odgrywają usługi pośrednictwa danych. Prawdopodobnie dlatego, że nie są one obowiązkowe lub dlatego, że szczególnie w przypadku celów wtórnych EHDS upoważnia organ dostępu do danych dotyczących zdrowia, który odgrywa bardzo istotną rolę – zaznaczył Limniotis.
– Jak wiemy, każde państwo członkowskie powinno wyznaczyć jeden lub więcej organów do spraw dostępu do danych dotyczących zdrowia, posiadających zadania takie, jak podejmowanie decyzji w sprawie wniosków o dostęp do danych dotyczących zdrowia i wydawanie pozwoleń na dostęp do nich – dodał.
Bezpieczne środowisko przetwarzania
W regulacji EDHS nie ma definicji bezpiecznego środowiska przetwarzania danych. Jak wyjaśnił ekspert, została ona wprowadzona już wcześniej, w Akcie w sprawie zarządzania danymi.
– Bezpieczne środowisko przetwarzania to środowisko fizyczne lub wirtualne, które zapewnia zgodność z prawem Unii, w tym z RODO, w szczególności w odniesieniu do praw osób, których dane dotyczą, i umożliwia zapewnienie tego środowiska w celu określenia i nadzorowania wszystkich działań związanych z przetwarzaniem danym, w tym udostępnienia, przechowywania, pobierania. Jest to zatem bardzo ważny element w ogólnej koncepcji udostępnienia danych – podkreślił Limniotis.
Jak wskazał, niezależnie od znaczenia bezpiecznego środowiska przetwarzania istotne jest stwierdzenie, że osoba fizyczna ma prawo do rezygnacji w dowolnym momencie i bez podania przyczyny z przetwarzania elektronicznych jej danych osobowych dotyczących zdrowia.
– Środowisko przetwarzania danych, zgodnie z EDHS, powinno zmniejszać ryzyko dla prywatności związane z czynnościami przetwarzania, a tylko nieosobowe elektroniczne dane dotyczące zdrowia powinny być wykorzystywane. Zgodnie z regulacją znane technologie bezpieczeństwa i prywatności, bez haszowania, wydają się tu niezbędne – zaznaczył.
– Mówimy o mechanizmach kontroli dostępu, bezpiecznej komunikacji i tym podobnych. Jednak począwszy od faktu, że sama definicja wyraźnie opisuje, że środowisko bezpiecznego przetwarzania musi być zgodne z przepisami o ochronie danych, oznacza to bezpośrednio, że zasady ochrony danych, takich jak minimalizacja danych i ograniczenie celu, powinny być również tu obecne – mówił ekspert, dodając, że bezpieczne środowisko przetwarzania to nie tylko kwestia wyższych progów bezpieczeństwa. To coś więcej. Musi być zaimplementowane wykorzystanie zaawansowanej kryptografii.
Techniki kryptograficzne
Zaawansowane techniki kryptograficzne mogą dotyczyć bardziej złożonej sytuacji, na przykład gdy bezpieczne środowisko przetwarzania, zgodnie ze swoją definicją, jest silnie związane z tym, co nazywa się bezpiecznymi obliczeniami, a kryptografia zapewnia środki do wdrażania bezpiecznych obliczeń.
Jak wyjaśnił ekspert, podając przykłady różnych technik kryptograficznych, szyfrowanie homomorficzne to specyficzny rodzaj szyfrowania, który umożliwia wykonywanie obliczeń na zaszyfrowanych danych.
– Podmiot wykonujący takie obliczenia nie ma dostępu do oryginalnych danych i nie może ich odczytać. Możemy rozważyć scenariusz, w którym posiadacze danych mogą wysyłać zaszyfrowane dane do usługi pośrednictwa, np. organu do spraw dostępu do danych dotyczących zdrowia. Ma więc do nich dostęp tylko użytkownik posiadający pozwolenie, a pośrednik nie ma dostępu do oryginalnych danych. Jednocześnie pośrednik może wykonywać obliczenia na zaszyfrowanych danych, a wyniki tych obliczeń mogą być następnie wysyłane do uprawnionych użytkowników danych – tłumaczył Limniotis.
– Takie obliczenia mogą wdrożyć obliczenia istotne dla modelu regresywnego, które są wykorzystywane w monitorowaniu pacjentów. Użytkownik danych otrzyma zawsze zaszyfrowany wynik obliczeń, nie dowiaduje się niczego o oryginalnych wartościach danych – dodał.
Jak wyjaśnił Konstantinos Limniotis, innym przykładem jest szyfrowanie polimorficzne, dzięki któremu można przechowywać zaszyfrowane dane bez wiedzy, kto żąda ich odszyfrowania, kto będzie ich użytkownikiem, który otrzyma pozwolenie na dostęp do danych. Jeśli zatem użytkownik danych żąda dostępu i zostanie mu udzielone na to pozwolenie, wówczas dane zostaną odpowiednio ponownie zaszyfrowane, aby umożliwić użytkownikowi ich odszyfrowanie.
– Są również synchronizowane w taki sposób, że dla każdego użytkownika dane generowane są odrębnie. Bardzo interesującą właściwością tego jest fakt, że podmiot wykonujący to zadanie, czyli ponownie zaszyfrowanie i synchronizację, wykonuje te zadania na ślepo. Ten podmiot nazywany jest transkryptorem w kontekście szyfrowania polimorficznego – wyjaśniał ekspert.
Mówiąc o koncepcji anonimizacji danych, Limniotis tłumaczył, że w tym przypadku mamy do czynienia z jednostką zwaną konwerterem, która generuje pseudonimy z oryginalnych danych w niezwykły sposób, opierając się na zaawansowanych technikach kryptograficznych.
– Konwerter nie uzyskuje dostępu do oryginalnych identyfikatorów, ale nadal może tworzyć pseudonimy, które są przechowywane w usłudze pośredniczącej, ale w postaci tabel, bez możliwości ponownej identyfikacji osób dostarczających dane. Zatem ten centralny punkt – usługa pośrednictwa danych – nie może uzyskać dostępu do oryginalnego identyfikatora. Na uzasadniony wniosek o wykorzystanie danych mogą być one łączone z różnych tabel i ponownie pseudonimizowane w celu przesyłania ich uprawnionemu użytkownikowi – wyjaśnił ekspert.
Jak przekonywał, istnieje konieczność stworzenia mapy dla zharmonizowanego rozwoju bezpiecznych środowisk przetwarzania danych w Unii Europejskiej w której kontekście zaawansowane techniki kryptograficzne. jako szczególny przykład inżynierii ochrony danych są bardzo ważne.
Przeczytaj także: „Medycyna XXI wieku oparta na danych – czy w Polsce także?”.
