Συμμόρφωση με GDPR

Από την 25η Μαΐου 2018 τίθεται σε ισχύ ο Γενικός Κανονισμός Προστασίας Δεδομένων 2016/679, ή αλλιώς GDPR. Το νέο κανονιστικό πλαίσιο καθορίζει σε ποιες περιπτώσεις και με ποιον τρόπο επιτρέπεται ένας οργανισμός να συλλέγει, χρησιμοποιεί, αποθηκεύει και επεξεργάζεται δεδομένα τρίτων. Μάλιστα, τα ευαίσθητα προσωπικά δεδομένα (εδώ συμπεριλαμβάνονται και τα δεδομένα υγείας) χρήζουν ειδικής προστασίας καθότι σχετίζονται με τα θεμελιώδη δικαιώματα και τις ελευθερίες του ατόμου.

Όροι όπως κρυπτογράφηση, ψευδωνυμοποίηση και ομαλή λειτουργία συστήματος απαντώνται για πρώτη φορά στον Γενικό Κανονισμό Προστασίας Δεδομένων στα πλαίσια λήψης μέτρων ασφαλείας για την προστασία των προσωπικών δεδομένων. Η Ergobyte εφαρμόζει αξιόπιστες τεχνικές για τη διασφάλιση της ομαλής λειτουργίας του Γαληνός Office, την προστασία από κακόβουλες επιθέσεις και την κρυπτογράφηση των δεδομένων.

Zero Knowledge

Το Zero Knowledge αποτελεί μια από τις πιο πρόσφατες και σύγχρονες τεχνολογίες στην ασφάλεια δεδομένων. Εξασφαλίζει την κρυπτογράφηση των ευαίσθητων ιατρικών και προσωπικών δεδομένων χρησιμοποιώντας έναν κωδικό ο οποίος είναι γνωστός αποκλειστικά και μόνο στον χρήστη. Έτσι, όλες οι ευαίσθητες πληροφορίες αποθηκεύονται κρυπτογραφημένες (άρα και μη αναγνώσιμες) στους server.

Βασικές έννοιες:

  • Κωδικός κρυπτογράφησης: κωδικός ο οποίος εισάγεται από τον χρήστη κατά την αρχικοποίηση της εφαρμογής και απαιτείται για την είσοδό του σε αυτή.
  • Κλειδί κρυπτογράφησης: μοναδικός αριθμός ο οποίος παράγεται αυτόματα από τον κωδικό κρυπτογράφησης και χρησιμοποιείται για την κρυπτογράφηση και αποκρυπτογράφηση των δεδομένων από την τεχνολογία Zero Knowledge. Παραμένει πάντα στη συσκευή του χρήστη.

Πως λειτουργεί;

Όταν αποθηκεύεται ένα στοιχείο, τα δεδομένα κρυπτογραφούνται με τη χρήση του κλειδιού κρυπτογράφησης και στη συνέχεια μεταφέρονται προς αποθήκευση στον κεντρικό διακομιστή (server). Για το χρονικό διάστημα που τα δεδομένα δεν χρησιμοποιούνται, παραμένουν κρυπτογραφημένα και είναι αδύνατον να έχει οποιοσδήποτε πρόσβαση σε αυτά. Στην περίπτωση που ο χρήστης ζητήσει να τα προβάλει στον υπολογιστή του, και μόνο τότε, επιστρέφουν και αποκρυπτογραφούνται με τη χρήση του κλειδιού ώστε να μπορούν να είναι αναγνώσιμα.

Diagram

Παραλαβή/Εμφάνιση δεδομένων

Όταν ο χρήστης ζητήσει να προβάλει κάποια πληροφορία στον υπολογιστή του ακολουθείται η παρακάτω διαδικασία:

  1. Η πληροφορία εντοπίζεται στον server και αποστέλεται κρυπτογραφημένη στον υπολογιστή του χρήστη μέσα από ένα κανάλι ασφαλούς σύνδεσης HTTPS.
  2. Τα δεδομένα φτάνουν στον υπολογιστή του χρήστη και αποκρυπτογραφούνται από την τεχνολογία Zero Knowledge χρησιμοποιώντας το κλειδί κρυπτογράφησης.
  3. Οι αναγνώσιμες (πλέον) πληροφορίες παρουσιάζονται στην οθόνη του χρήστη.

Αποθήκευση/Αποστολή δεδομένων

Όταν ο χρήστης καταχωρήσει δεδομένα και τα αποθηκεύσει στο σύστημα, ακολουθείται η αντίστροφη διαδικασία:

  1. Τα δεδομένα εισάγονται στο πρόγραμμα και κρυπτογραφούνται από την τεχνολογία Zero Knowledge χρησιμοποιώντας το κλειδί κρυπτογράφησης.
  2. Τα κρυπτογραφημένα δεδομένα αποστέλονται στον server μέσα από ένα κανάλι ασφαλούς σύνδεσης HTTPS.
  3. Τα κρυπτογραφημένα δεδομένα αποθηκεύονται στον server.

Πλεονεκτήματα

  1. Ο κωδικός κρυπτογράφησης δεν γίνεται ποτέ και για κανέναν λόγο γνωστός στην Ergobyte. Ο κωδικός αυτός ναι μεν αποθηκεύεται από την εταιρεία αλλά δεν είναι αναγνώσιμος. Πως είναι δυνατόν αυτό; Ακόμα και ο κωδικός κρυπτογράφησης κρυπτογραφείται! Στον server λοιπόν αποθηκεύεται ο κρυπτογραφημένος κωδικός ο οποίος αποκρυπτογραφείται μόνο από το κλειδί που διαθέτει ο υπολογιστής του χρήστη. Με αυτόν τον τρόπο, τα αποθηκευμένα δεδομένα δεν μπορούν να διαβασθούν ούτε από την Ergobyte.
  2. Δύο επίπεδα ασφαλείας: πρωτόκολλο HTTPS και Zero Knowledge. Το πρωτόκολλο HTTPS διασφαλίζει πως οι πληροφορίες «ταξιδεύουν» με ασφάλεια στο διαδίκτυο καθώς τις προστατεύει από υποκλοπές. Η τεχνολογία Zero Knowledge εξασφαλίζει πως κανένας τρίτος δεν μπορεί να διαβάσει και να καταλάβει τις πληροφορίες.
  3. Τα πολλαπλά επίπεδα ασφαλείας προσφέρουν πλήρη εναρμόνιση με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) εξασφαλίζοντας και τη συμμόρφωση του ιατρείου με το νέο νομοθετικό πλαίσιο.
English