Αναμενόμενη η απάντηση και αρχίζουν τα προβλήματα:
"Υπεύθυνος είναι ο ιατρός", σε κάτι που δεν το έχει παρά μόνο κατόπιν αίτησης, του οποίου δεν μπορεί να διασφαλίσει την ακεραιότητα καθώς βρίσκεται κάπου αλλού......
Η αρχή προστασίας προσωπικών δεδομένων δίνει άδειες γενικής αρχής και ειδική κατόπιν αίτησης.
Υπάρχει ήδη άδεια γενικής αρχής εφόσον ο υπεύθυνος επεξεργασίας διατηρεί ο ίδιος το αρχείο στην φυσική του εγκατάσταση.
Για την περίπτωση του cloud απαιτείται ειδική άδεια και αυτό ήταν και θέμα συζήτησης στo τελευταίο ελληνικό ehealth forum που έγινε πριν 2-3 μήνες.
Για να το θέσω πιο απλά:
Υπάρχουν δύο ειδών περιπτώσεις υποκλοπής στοιχείων προσωπικού χαρακτήρα:
α) Η υποκλοπή που διενεργείται μεταξύ των ματιών σου και του φυσικού μέσου που εμφανίζει την πληροφορία πχ έρχεται κάποιος και κλέβει το χαρτί με τις σημειώσεις σου, το δίσκο του υπολογιστή, ή φωτογραφίζει τη οθόνη σου που δείχνει τα στοιχεία του υπολογιστή
β) Όταν τα δεδομένα δεν είναι αποθηκευμένα στον "φυσικό" σου χώρο που εποπτεύεις, μπορεί να γίνει υποκλοπή στην επικοινωνία κατά την μεταφορά των δεδομένων από τον τοπικό σου χώρο μέχρι το σημείο αποθήκευσης.
Για την πρώτη περίπτωση υπάρχει γενική άδεια, που αξιοποιείται από όλους.... και δεν χρειάζεται να συρθείς μέχρι την ΑΔΑΕ.....για να αιτηθείς άδεια.
Στην δεύτερη περίπτωση πρέπει να περιγράψεις πως γίνεται η εξασφάλιση της επικοινωνίας και αυτό δεν έχει γενική άδεια......ακόμα.
Η πολιτική μεγάλων εταιριών πχ Google, Microsoft για να παρακάμψουν αυτό το πρόβλημα (ναι είναι ευρωπαϊκό θέμα πια), φτιάχνουν δικό τους τοπικό "λογισμικό" που κρυπτογραφεί τα δεδομένα τοπικά, με κλειδί που διαχειρίζεται ο ίδιος ο "υπεύθυνος επεξεργασίας" τοπικά και στέλνουν-αποθηκεύουν δεδομένα (με "σκουπιδόμορφη" εμφάνιση) στο cloud που είναι άχρηστα αν δεν έχεις το κλειδί καθώς δεν μπορείς να τα αποκρυπτογραφήσεις..... Αυτό όμως πρακτικά σημαίνει ότι το cloud δρα καθαρά σαν backup και όχι σαν εφαρμογή ή βάση δεδομένων.....
Ένα παράδειγμα cloud που δεν έχει ακόμη υλοποιηθεί (αλλά ίσως ξεκίνησε η δοκιμή) είναι το αποθετήριο αποτελεσμάτων εξετάσεων των νοσοκομείων του ΕΣΥ που αναμένεται να λειτουργήσει στους χώρους των παλαιών κτιρίων του Πανεπιστημίου Κρήτης. Απαιτεί άδεια από την ΑΔΑΕ φυσικά.
Το μοντέλο που είχα ακούσει να συζητιέται για να μπορέσει να πάρει άδεια ήταν, η κρυπτογράφηση στο server του νοσοκομείου των δεδομένων του αποτελέσματος μιας εξέτασης, η απόδοση ενός μοναδικού κωδικού για αυτό το "κρυπτογραφημένο σκουπίδι" και αποθήκευση του στο cloud. Για να ανακτήσεις την πληροφορία, θα πρέπει το ίδιο το νοσοκομείο που το κρυπτογράφησε να έχει δώσει από πριν σε κάποιο άλλο νοσοκομείο κάποιο "κλειδί" που να επιτρέπει την αποκρυπτογράφηση και να γίνει ανάκτηση του αποθηκευμένου κρυπτογραφημένου πακέτου και να πάλι να γίνει τοπικά η αποκρυπτογράφηση. Έτσι, αν αποκτήσεις πρόσβαση στο cloud σαφώς και δεν μπορείς να κάνεις καμιά αποκρυπτογράφηση και έτσι διασφαλίζεται ότι δεν μπορεί να γίνει υποκλοπή κατά την μετάφορά ή στον απομακρυσμένο χώρο αποθήκευσης.
Σήμερα τα περισσότερα προγράμματα τύπου cloud έχουν το λογισμικό που κάνει όλη τη δουλεία στον απομακρυσμένο server του cloud και εσύ στέλνεις το "κλειδί" σου (είτε αυτό είναι password είτε κάτι άλλο) σε αυτό το server για να γίνει όλη η δουλειά.... Αυτό σημαίνει ότι κάποιος ενδιάμεσος μπορεί να κλέψει κατά την μεταφορά το κλειδί σου και να συνδέεται και να κάνει ότι θέλει χωρίς να το πάρεις ποτέ χαμπάρι..... Αυτή η συλλογιστική δεν παίρνει άδεια από την ΑΔΑΕ για ευαίσθητα προσωπικά δεδομένα υγείας...