Bu makalenin
- ilk bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 1 / Giriş
- ikinci bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 2 / Kapsam-Terimler&Tanımlar
- üçüncü bölümünü Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 3 / Hedefler – Bilgi Yönetişimi
başlıkları altında okuyabilirsiniz.
4.Korunması Gereken Sağlık Bilgileri
CIA’inin korunması gereken çok çeşitli bilgi söz konusudur:
- a) Kişisel sağlık bilgileri
b) Kişisel sağlık bilgilerinden türetilmiş takma ad verileri
c) Kişisel olarak belirlenebilir verilerin kişisel sağlık bilgilerinden çıkartılması yoluyla elde edilen anonim veriler de dahil olmak üzere isiatistiki ve araştırma verileri
d) Klinik karar destek verileri de (örneğin; ilaç etkileşim verisi gibi) dahil olmak üzere, spesifik bir tedavi öznesine ilişkin olmayan klinik/tıbbi bilgiler
e) Sağlık uzmanları, personele ve gönüllü çalışanlara ilişkin bilgiler
f) Kamu sağlığı gözetimine ilişkin bilgiler
g) Kişisel sağlık bilgilerini veya bu bilgilerden türetilen takma ad verileri veya kişisel sağlık bilgilerine ilişkin olarak kullanıcı eylemlerine ait bilgileri ihtiva eden sağlık bilgi sistemleri tarafından oluşturulan işlem geçmişi verileri
h) Erişim kontrol verileri ve sağlık bilgi sistemleri için güvenlikle ilgili diğer sistem konfigürasyon verileri de dahil olmak üzere, sağlık bilgi sistemleri için sistem güvenliği verileri
CIA’in kapsamı korunma ihtiyacı olan bilginin niteliğine ve ortaya koyacağı risklere bağlıdır. Örneğin; yukarıda (c)’de belirtilen istatistiki veriler gizli değildir, ancak bütünlüğünün korunması son derece önemli olabilecektir.
5.Sağlık Bilgi Güvenliğinde Tehditler ve Zayıflıklar
Bilgi güvenliği risk ve zayıflıklarının çeşitleri, tanımlarına bağlı olarak oldukça farklı olabilmektedir. Bunlardan hiçbiri sağlık bilgi güvenliğine tamamen özgü olmamakla birlikte, tehdit ve zayıflıkları değerlendirirken sağlık sistemi için özgün olan bir dizi faktörün gözönünde bulundurulması gerekir.
Nitelikleri gereği sağlık kuruluşları, hasta ziyaretçileri ve halkın tamamen hiçbir zaman dışlanamayacağı ortamlarda hizmet vermektedirler. Büyük sağlık kuruluşlarında, operasyonel alanlarda dolaşımda olan insan sayısı oldukça büyük hacimlere ulaşmaktadır. Bu faktörler sistemlerin fiziksel tehditlere karşı zayıf olması olasılığını artırmaktadır. Bu tehditlerin gerçekleşme olasılığı psikiyatrik tedavi gören hasta veya yakınları söz konusu olduğunda artabilmektedir.
Bazı sağlık kuruluşları kronik olarak yetersiz fonlarla çalışmakta ve personeli bazen önemli bir iş yoğunluğu altında çalışmaktadır. Bu durum çoğu zaman yanlış prosedür performansı da dahil olmak üzere, hata yapma oranlarını yükseltmektedir. Bu faktörler belirli tehdit çeşitlerinin gerçekleşme olasılığını artırmakta ve zayıflıkları aşırı ölçüde tetiklemektedir.
ISO 27799’un EK A[20] bölümünde sağlık kuruluşları tarafından kişisel sağlık bilgilerine ve bu bilgileri barındıran sistemlere ilişkin riskler CIA riskleri değerlendirilirken gözönünde bulundurulması gereken, bilgilendirici tehdit listesi içermektedir.
Bu makalenin devamını Kişisel Sağlık Verilerinin Korunması Açısından Önem Taşıyan Noktalar – 5 / Eylem Planı başlığı altında okuyabilirsiniz.
[20] Masquerade by insiders, Masquerade by service providers, Masquerade by outsiders, Unauthorized use of a health information application, Introduction of damaging or disruptive software, Misuse of system resources, Communications infiltration, Communications interception, Repudiation, Connection failure, Embedding of malicious code, Accidental misrouting, Technical failure of the host, storage facility or network infrastructure, Environmental support failure, System or network software failure, Application software failure, Operator error, Maintenance error, User error, Staff shortage, Theft by insiders, Theft by outsiders, Wilful damage by insiders, Wilful damage by outsiders, Terrorism
Kaynak : 