Na Jesiennej Konferencji Programowej Polskiej Federacji Szpitali, która odbyła się 28 listopada 2024 roku w Warszawie, przedstawiciele Koalicji Cyberbezpieczeństwa w Ochronie Zdrowia (CyberC4HE) zaprezentowali kluczowe aspekty dotyczące elektronicznych zwolnień lekarskich (e-ZLA). Koalicja CyberC4HE jest inicjatywą skupiającą ekspertów z różnych dziedzin, w tym technologii, ochrony zdrowia oraz prawa, mającą na celu podniesienie poziomu cyberbezpieczeństwa w sektorze ochrony zdrowia w Polsce. Koalicja działa na rzecz zwiększenia bezpieczeństwa systemów teleinformatycznych wykorzystywanych w ochronie zdrowia, takich jak PUE ZUS, oraz przeciwdziałania zagrożeniom związanym z przetwarzaniem danych osobowych pacjentów.

Wystąpienie zostało poprowadzone przez Sławomira Wasielewskiego, Członka Zarządu ds. Operacji i Eksploatacji Systemów, oraz Agnieszkę Gębicką, Dyrektor Biura Ochrony Danych Osobowych i Inspektora Ochrony Danych. Tematem przewodnim było przedstawienie historii, zasad funkcjonowania oraz zabezpieczeń związanych z systemem e-ZLA, a także omówienie roli lekarzy jako administratorów danych osobowych pacjentów. Prezentacja miała na celu podkreślenie znaczenia odpowiednich zabezpieczeń technologicznych w kontekście rosnącej liczby naruszeń danych oraz roli lekarzy jako kluczowych uczestników systemu ochrony zdrowia.

Zakres Tematyczny Prezentacji

Zasady i Procesy e-ZLA
Omówiono obowiązki lekarzy i instytucji związane z e-ZLA, w tym rolę asystentów medycznych oraz dostępne narzędzia wspierające, takie jak PUE ZUS, aplikacje gabinetowe oraz mobilna aplikacja mZUS. Lekarze mają obowiązek wystawiania zwolnień wyłącznie w formie elektronicznej, a w przypadku problemów technicznych muszą je uzupełnić w terminie 3 dni.

Bezpieczeństwo i Ochrona Danych Osobowych
Przedstawiono zasady ochrony danych osobowych pacjentów, w tym wdrożenie dwuskładnikowej autoryzacji (2FA) oraz mechanizmy ograniczające nadmierne pobieranie danych w aplikacjach gabinetowych. Podkreślono odpowiedzialność lekarzy jako administratorów danych osobowych pacjentów, którzy odpowiadają za ich przetwarzanie zgodnie z przepisami RODO. ZUS wprowadził dodatkowe mechanizmy zapobiegające nadużyciom, takie jak blokady użytkowników nadmiernie pobierających dane.

Statystyki Naruszeń
W 2024 roku odnotowano 5 450 naruszeń związanych z ochroną danych w systemie e-ZLA. Zostały one poddane szczegółowej analizie przez Biuro Ochrony Danych Osobowych, co podkreśla wagę monitorowania zgodności z przepisami RODO.

Zabezpieczenia Technologiczne
Omówiono dostępne metody autoryzacji, takie jak certyfikaty cyfrowe, profil zaufany oraz kwalifikowany podpis elektroniczny. W kontekście zwiększenia poziomu bezpieczeństwa w systemach takich jak PUE ZUS, zaproponowano wprowadzenie fizycznych kluczy bezpieczeństwa (hardware security keys).

Prezentacja w załączeniu.