Megaportal danych musi lepiej ochronić dane
23 czerwca 2022

Megaportal danych musi lepiej ochronić dane

Proces zakładania i wykorzystywania konta użytkownika na portalu danych, który planuje utworzyć rząd, nie spełnia aktualnych wymagań cyberbezpieczeństwa i może posłużyć do przejęcia tożsamości użytkownika – ostrzega Konfederacja Lewiatan.

Rozporządzenie Rady Ministrów, które jest konsultowane, ma uregulować utworzenie gigantycznej bazy danych, łączącej informacje z prawie wszystkich możliwych rejestrów. Korzystanie z nowego portalu danych ma być łatwiejsze niż z działającego dzisiaj centralnego repozytorium informacji publicznej.

– Przy zakładaniu i wykorzystywaniu konta użytkownika portalu danych powinno stosować się metody bezpiecznego uwierzytelniania. Brak wieloskładnikowego uwierzytelnienia był przyczyną wielu problemów np. wycieków e-maili z poczty elektronicznej, a także podstawą do nakładania kar przez prezesa UODO. Proces bezpiecznego uwierzytelnienia użytkownika powinien być stosowany nie tylko przy zakładaniu, ale także dalszej eksploatacji konta – mówi dr Aleksandra Musielak, dyrektorka departamentu rynku cyfrowego Konfederacji Lewiatan.

Otwarte dane znajdujące się na portalu mogą być wykorzystywane dla różnych celów, w tym także związanych z prowadzeniem działalności gospodarczej, i mieć znaczenie prawne, a nawet istotne dla bezpieczeństwa państwa. Przykładem takich danych mogą być ogłaszane przez NBP kursy walut lub informacja o stopniach zasilania podawana przez Polskie Sieci Elektroenergetyczne. Wykorzystanie takich danych znajdujących się na portalu może mieć później znaczenie prawne, np. podczas rozliczeń lub ze względu na podejmowane decyzje i odpowiedzialność z tym związaną. Dlatego niezbędne jest bezpieczne uwierzytelnienie użytkownika, który w imieniu dostawcy będzie dokonywał czynności na danych. Jednak to nie jest wystarczające.

Wprowadzone powinny też być mechanizmy nakazujące np. wspólne działanie przynajmniej trzech użytkowników po stronie dostawcy tj. użytkownika dokonującego czynności na danych, użytkownika sprawdzającego prawidłowość tych czynności oraz użytkownika zatwierdzającego te czynności. Oczywiście dopuszczalne są inne mechanizmy weryfikacji, ale wymagają one, aby złamanie jednej tożsamości nie niosło za sobą dalszych konsekwencji – dodaje Aleksandra Musielak.

Konfederacja Lewiatan

Europejska przestrzeń danych dotyczących zdrowia – nowe RODO dla ochrony zdrowia?
22 kwietnia 2022

Europejska przestrzeń danych dotyczących zdrowia – nowe RODO dla ochrony zdrowia?

fot. National Cancer Institute / Unsplash

W 2018 roku Unia Europejska wprowadziła rewolucję w zakresie ochrony danych osobowych. Na terenie całej Unii zaczęto stosować RODO. Była to duża zmiana dla wielu sektorów gospodarki, w tym dla ochrony zdrowia i przemysłu Life Sciences.

RODO wprowadziło nowe obowiązki dotyczące przetwarzania danych osobowych i nowe definicje, w tym np. definicje danych genetycznych czy danych dotyczących zdrowia.

Jednocześnie pomimo celu jakim była harmonizacja tej gałęzi prawa, wiele aspektów przetwarzania danych osobowych w zakresie ochrony zdrowia i przemysłu Life Sciences nie zostało ujednoliconych, w niektórych obszarach nawet umożliwiając Państwom Członkowskim przyjmowanie własnych regulacji. Dotyczy aspektów to istotnych z punktu widzenia nowoczesnej medycyny – danych genetycznych czy badań biomedycznych.

W świetle doświadczeń pandemii COVID – 19 i ogromnego znaczenia danych medycznych dla badań naukowych Unia Europejska zdecydowała o stworzeniu przepisów regulujących szczegółowo przetwarzanie danych dotyczących zdrowia, żeby w ten sposób usunąć luki jakie pozostawiło RODO.

Europejska Przestrzeń Danych Dotyczących Zdrowia – jakie ma cele?

Europejska przestrzeń danych dotyczących zdrowia wspierać będzie lepszą wymianę różnych rodzajów danych dotyczących zdrowia (elektroniczna dokumentacja medyczna, dane genomowe, dane z rejestrów pacjentów itp.), nie tylko do celów związanych z opieką zdrowotną (tak zwane pierwotne wykorzystanie danych), ale także do celów badań naukowych i kształtowania polityki zdrowotnej (tak zwane wtórne wykorzystanie danych).

Komisja Europejska planowała przedstawienie projektu aktu legislacyjnego w kwietniu tego roku. Do tej pory jeszcze się to nie stało, ale pewne informacje dotyczące kształtu rozwiązań legislacyjnych krążą po Brukseli, m.in.:

  • Komisja Europejska planuje powołać Europejską Radę Danych Cyfrowych i Zdrowotnych, aby zapewnić współpracę między właściwymi organami krajowymi, w szczególności w zakresie związku między pierwotnym i wtórnym wykorzystaniem elektronicznych danych zdrowotnych;
  • Regulacja będzie określać prawa i obowiązki: pacjentów, pracowników służby zdrowia, aptek i dostawców systemów elektronicznych dla elektronicznej dokumentacji medycznej; pracownicy służby zdrowia i apteki korzystające z systemów elektronicznej dokumentacji medycznej będą musieli ustanowić plany zarządzania ryzykiem i bezpieczeństwa.

Konfederacja Lewiatan czeka na oficjalne zaprezentowanie projektu aktu legislacyjnego. Będziemy bacznie śledzić ten temat i informować o zmianach, które mogą mieć wpływ na funkcjonowanie ochrony zdrowia i biznesu z nią związanego.


Kacper Olejniczak, ekspert ds. life sciences

Artykuł dla kwietniowego wydania newslettera Brussels Headlines

Data Act szansą na duże zmiany dot. funkcjonowania internetu rzeczy oraz chmury
22 kwietnia 2022

Data Act szansą na duże zmiany dot. funkcjonowania internetu rzeczy oraz chmury

fot. Joseph Frank / Unsplash

Komisja Europejska pod koniec lutego br. opublikowała projekt Aktu w sprawie danych (Data Act). Celem Brukseli jest zapewnienie użytkownikom biznesowym i konsumentom dostępu do danych, które współtworzą, i dzielenia się nimi podczas korzystania z podłączonych urządzeń (IoT) lub odpowiednich usług, takich jak np. wirtualni asystenci.

Dotychczas dane te były w posiadaniu producentów urządzeń lub twórców usług.

Dzięki nowej regulacji możliwe będzie dzielenie się danymi z podmiotami trzecim (głównie mniejszymi podmiotami działającymi na rynku unijnym) w celu świadczenia usług posprzedażowych czy naprawczych lub innych innowacyjnych usług opartych na danych. Dodatkowo, małe i średnie przedsiębiorstwa będą mogły liczyć na ochronę przed nieuczciwymi postanowieniami umownymi zawartymi w umowach dot. udostępniania danych.

Data Act pozwoli klientom biznesowym i konsumentom łatwiej zmienić dostawcę usług chmurowych, ograniczając bądź niwelując problemy techniczne, prawne oraz kontraktowe związane z taką zmianą.

Lewiatan włączył się w konsultacje stanowiska rządu do projektu Aktu w sprawie danych, wskazując na potrzebę doprecyzowania typu usług (related services), które mają być objęte zakresem nowej regulacji, sposobów ochrony tajemnic handlowych użytkowników, czy potrzebę przeprowadzenia szczegółowszej analizy rozwiązań dotyczących zmiany dostawców chmury z uwzględnieniem różnorodności usług w chmurze, ilości i złożoności danych gromadzonych przez firmy „chmurowe”.

Zobacz projekt Aktu w sprawie danych >>


Aleksandra Musielak, dyrektorka Departamentu Rynku Cyfrowego

Artykuł dla kwietniowego wydania Brussels Headlines, newslettera europejskiego Konfederacji Lewiatan