
Egészségügyi adatok és IT-selejtezés: a különleges kategória kötelezettségei
Az egészségügyi adatok megsemmisítése az IT-eszközök életciklusának végén szigorúbb elvárás alá esik, mint az általános üzleti adaté, mert az egészségügyi adat a GDPR szerint különleges kategóriájú személyes adat, amelynek kezelése kiemelt védelmet igényel. Az egészségügyi intézmények betegadatot nemcsak munkaállomásokon és szervereken tárolnak, hanem a képalkotó rendszerek, laboratóriumi analizátorok és más orvostechnikai eszközök beépített adathordozóin is, amelyek a selejtezéskor gyakran kimaradnak a nyilvántartásból. A megfelelő eljárás ezért az adathordozók teljes körű felmérésével kezdődik, eszközönként dokumentált törléssel vagy fizikai megsemmisítéssel folytatódik, és minden tételhez tartozó tanúsítvánnyal zárul.
- Az egészségügyi adat különleges kategóriájú személyes adat, ezért a selejtezéskori maradványkockázatot alacsonyabb szinten kell tartani, mint az általános üzleti adatnál.
- A legnagyobb rejtett kockázat nem a szerver, hanem az orvostechnikai eszközök és a raktározott, leselejtezett gépek beépített adathordozója, amely rendre kicsúszik a leltárból.
- Minden selejtezett adathordozóhoz tanúsítvány és visszakövethető átadási lánc tartozzon, függetlenül attól, hogy törlés vagy fizikai megsemmisítés történt.
Egy egészségügyi intézményben a betegadat nem ott van, ahol elsőre keresnénk. A háziorvosi vagy kórházi informatikus fejében a betegadat a központi rendszerben és a szervereken él, gondosan mentve és titkosítva. A valóságban ugyanaz az adat szétszóródik a szervezeten: a recepciós munkaállomás merevlemezén, a leselejtezett és a raktár sarkába tolt régi gépeken, a laptopon, amit egy főorvos évek óta hazavisz, és ami sokakat meglep, a képalkotó és laboratóriumi eszközök beépített tárolóin. Amikor ezek az eszközök életciklusuk végére érnek, a rajtuk maradt egészségügyi adat kezelése nem rutinszerű IT-selejtezés, hanem különleges kategóriájú személyes adat megsemmisítése, magasabb bizonyítási elvárással.
Miért szigorúbb az egészségügyi adat?
Az általános adatvédelmi rendelet az egészségügyi adatot a személyes adatok különleges kategóriájába sorolja, a faji vagy etnikai származásra, politikai véleményre és néhány más adattípusra vonatkozó adattal együtt.
Ennek a besorolásnak közvetlen következménye van a selejtezésre. A GDPR az adatkezelés biztonságáról szóló rendelkezése (32. cikk) a kockázattal arányos technikai és szervezési intézkedéseket ír elő, az adatkezelési alapelvek pedig (5. cikk) az integritás és bizalmas jelleg elvét rögzítik. A kockázatarányosság elvéből következik, hogy a betegadatot tartalmazó adathordozót jellemzően magasabb kockázatúként kell értékelni, mint egy általános üzleti dokumentumot. Védhető, auditálható gyakorlatként ilyenkor a hitelesített törlés vagy a fizikai megsemmisítés javasolt, és a folyamat bizonyíthatóságára is nagyobb súly esik.
A jogszabályi keretet erősíti, hogy az egészségügyi ellátás a kiberbiztonsági szabályozás által kiemelten kezelt ágazatok közé tartozik. A NIS2 a kiberbiztonsági kockázatkezelési intézkedéseket írja elő (21. cikk), a vezető testületek jóváhagyási és felügyeleti felelősségét pedig külön rögzíti. Az informatikai eszközök teljes életciklusa, beleértve a selejtezést, része a kezelendő kockázatoknak. Egy egészségügyi intézménynél tehát a selejtezési folyamat nem csupán adatvédelmi, hanem intézményvezetői felelősségi kérdés.
A rejtett adathordozók: ahol a betegadat tényleg van

Az egészségügyi szektor selejtezési kockázatának súlypontja eltér a többi ágazattól. Egy pénzügyi cégnél vagy egy gyártónál az adathordozók viszonylag jól ismert eszközkategóriákban élnek. Az egészségügyben ezzel szemben az adat gyakran ott van, ahová az IT-leltár ritkán néz be:
- Képalkotó rendszerek. A CT, MR, ultrahang és röntgen berendezéseknél a vizsgálati képek és a hozzájuk tartozó betegazonosítók gyakran a beépített vezérlőszámítógépen vagy a hozzá kapcsolt munkaállomáson maradnak, a rendszer felépítésétől függően. Ezek az eszközök 10-15 évig is szolgálatban vannak, és a cseréjükkor a helyi tároló sorsa gyakran tisztázatlan.
- Laboratóriumi analizátorok. Egyes laboratóriumi analizátorok és a hozzájuk kapcsolt vezérlőgépek vagy middleware rendszerek eredményeket, betegazonosítókat és mintaadatokat tárolhatnak. Ahol ez így van, az eszköz selejtezéskor éppúgy adathordozó, mint egy merevlemez.
- PACS és archiváló rendszerek szerverei. A képarchiváló rendszerek nagy tömegű, hosszú megőrzési idejű betegadatot tárolnak; ezek leselejtezésekor a szerverben lévő minden meghajtó érintett.
- Munkaállomások és raktározott tartalék. A recepciós, orvosi és adminisztratív munkaállomások, valamint a „majd lesz vele valami” alapon raktárba került régi gépek gyakran évekig őriznek elérhető betegadatot.
- Hordozható és magántulajdonú eszközök. Az orvosok által használt laptopok, tabletek és a betegadathoz hozzáférő magáneszközök a szervezet látóterén kívül eshetnek.
A selejtezés első lépése ezért nem a megsemmisítés, hanem a felmérés: melyik eszközön van vagy lehet betegadat. Amit a szervezet nem tart nyilván, azt nem is tudja bizonyíthatóan megsemmisíteni, és a nyilvántartásból kicsúszó eszköz az egyik legnehezebben bizonyítható kockázati pont.
Törlés vagy megsemmisítés: melyik mikor?
Az adathordozó életciklusának végén két megbízható eljárás létezik. A szoftveres törlés hitelesített felülírással teszi visszaállíthatatlanná az adatot úgy, hogy az eszköz fizikailag ép és tovább használható marad. A fizikai megsemmisítés néhány célzott vágással teszi az adathordozót olvashatatlanná. Az egészségügyi kontextusban a választást nem egy általános szabály, hanem az adott eszköz állapota és a benne rejlő érték dönti el:
- Egy értékes, működőképes munkaállomás vagy szerver esetében a hitelesített törlés rendszerint jobb választás, mert az eszköz megtartja az értékét, sőt továbbadható vagy beszámítható.
- Egy hibás, nem olvasható vagy kiszerelt adathordozónál a fizikai megsemmisítés az egyszerűbb és biztos út.
- A beépített tárolójú orvostechnikai eszközöknél gyakran a beszállítóval egyeztetett módszer kell, mert a garancia, a validáció és a gyártói támogatás is szerepet játszik.
Fontos tisztázni egy elterjedt tévhitet: a gyári visszaállítás vagy a formázás önmagában nem törlés. A modern adathordozók, különösen az SSD-k működése miatt a felszínesen „letöröltnek” tűnő adat helyreállítható maradhat. Betegadatnál ez a különbség nem elméleti kérdés.
Az sem igaz, hogy a két eljárás közül az egyik mindig olcsóbb. Az összköltséget a mennyiség, a helyszín, az eszközök állapota és a maradványérték együtt határozza meg. Éppen ezért egy egészségügyi intézménynél a selejtezés nem feltétlenül tiszta kiadás: a még értékes gépeknél a hitelesített törlés és a felvásárlásba beszámítás akár csökkentheti a projekt nettó költségét. Ez lehetőség, nem garancia, és mindig előzetes értékfelmérést igényel, de érdemes a döntésnél számolni vele.
Helyszínen vagy beszállítással?
Az egészségügyi környezet egy további döntést is felvet, amely más ágazatokban ritkábban éles: a selejtezés a helyszínen történjen, vagy az eszközök beszállításával. Mindkettőnek van létjogosultsága, és a választás itt sem árkérdés önmagában.
A helyszíni selejtezés előnye, hogy az adathordozó ki sem lép az intézmény falai közül, így a külső szállítás kockázata kiesik (a belső mozgatás és hozzáférés láncát természetesen ilyenkor is dokumentálni kell). Ez különösen érzékeny betegadatnál vagy nehezen mozgatható berendezéseknél lehet indokolt, például egy beépített tárolójú képalkotó rendszernél, amelyet nem egyszerű elszállítani. A helyszíni megoldás ára jellemzően magasabb, mert a vágáshoz szükséges eszközöket és az ellenőrzött személyzetet ki kell vonultatni; helyszíni törlésnél a helyiség mérete és az egyszerre kezelhető gépszám is befolyásolja a ráfordítást. A pontos költséget mindig az eszközszám, a helyszín és a logisztika együtt adja.
A beszállításos selejtezés logisztikailag egyszerűbb és nagyobb tételnél gazdaságosabb lehet, cserébe a szállítási szakasz dokumentált, lezárt láncot kíván: ki, mikor, milyen lezárt szállítóeszközben vette át az adathordozókat, és mikor történt a tényleges megsemmisítés. Egy egészségügyi intézménynél a döntést az adat érzékenysége, az eszközök mozgathatósága, a mennyiség és a földrajzi távolság együtt határozza meg. A gyakorlatban egy vegyes megoldás is elképzelhető: a nehezen mozgatható vagy legérzékenyebb eszközök helyben, a többi beszállítással.
A bizonyíték: tanúsítvány és átadási lánc
Egy adatvédelmi audit vagy egy incidenskivizsgálás során nem az számít, hogy a szervezet elvben megsemmisítette az adatot, hanem hogy ezt bizonyítani tudja. Az egészségügyi adat magas kockázati besorolása miatt a bizonyíthatóság itt még fontosabb, mint máshol.
Minden selejtezett adathordozóhoz tartozzon hiteles tanúsítvány, függetlenül attól, hogy törlés vagy fizikai megsemmisítés történt. A tanúsítvány alapja a nyomon követhetőség: az eszköz egyedi azonosítója (sorozatszám, leltári szám), a selejtezés módja, dátuma és felelőse, valamint a köztes időszak, amíg az eszköz átadástól a megsemmisítésig eljut. Ez az átadási lánc a leggyakrabban kifelejtett elem. Egy megsemmisítési tanúsítvány önmagában keveset ér, ha az átvétel és a tényleges megsemmisítés közötti napokat senki nem dokumentálta, hiszen éppen ebben az ablakban a legmagasabb a kockázat.
Ha az intézmény külső szolgáltatóval végezteti a selejtezést, és a szolgáltató személyes adatot tartalmazó eszközhöz hozzáférhet vagy azt kezelheti, adatfeldolgozói konstrukciót kell vizsgálni: a GDPR 28. cikke szerinti adatfeldolgozói szerződést és a világos felelősségi határokat előre rendezni kell. Az intézménynek joga van megismerni, ki, hol és milyen módszerrel fér hozzá az adathordozóihoz, és milyen bizonylat igazolja a folyamat lezárását.
Mit tegyen egy egészségügyi intézmény?
A gyakorlati sorrend négy lépés. Először teljes körű adathordozó-felmérés, amely kiterjed az orvostechnikai eszközök beépített tárolóira és a raktározott tartalékra is. Másodszor eszközönkénti döntés a megfelelő eljárásról, az adat érzékenységének és az eszköz értékének figyelembevételével. Harmadszor a selejtezés dokumentált végrehajtása, minden tételhez tanúsítvánnyal és lezárt átadási lánccal. Negyedszer a folyamat visszavezetése az eszköznyilvántartásba, hogy az audit bármely eszközt végig tudjon követni.
A cél nem a legdrágább, hanem a legoptimálisabb megoldás: az az eljárás, amely az adott adathordozónál a szükséges biztonsági szintet a lehető legkisebb ráfordítással, bizonyíthatóan éri el. Ha bizonytalan, mely eszközein maradhat betegadat, érdemes előzetes eszköz- és értékfelméréssel eldönteni, melyik gépnél a hitelesített törlés és a beszámítás, melyiknél a vágás az optimális; a datad szakértői ehhez adnak előzetes felmérést és ajánlatot.
Gyakori kérdések
Miért szigorúbb az egészségügyi adat megsemmisítése, mint az általános üzleti adaté?
Mert az egészségügyi adat a GDPR szerint különleges kategóriájú személyes adat, amelynek kezelése kiemelt védelmet igényel. A magasabb kockázati besorolás miatt a selejtezéskor a maradványkockázatot alacsonyabb szinten kell tartani, és a folyamat bizonyíthatóságára is nagyobb hangsúly esik.
Mely eszközökön maradhat betegadat egy intézményben?
Nem csak a szervereken és munkaállomásokon: a képalkotó rendszerek (CT, MR, ultrahang), a laboratóriumi analizátorok, a PACS archiváló szerverek, a raktározott régi gépek és az orvosok hordozható eszközei mind tárolhatnak betegadatot a beépített adathordozóikon. Ezek gyakran kimaradnak az IT-leltárból.
Elég-e a gyári visszaállítás vagy a formázás betegadat törléséhez?
Nem. A gyári visszaállítás és a formázás önmagában nem teszi visszaállíthatatlanná az adatot, különösen SSD-knél. Betegadatnál hitelesített szoftveres törlés vagy fizikai megsemmisítés az elvárt szint, dokumentált bizonyítékkal.
Kell-e tanúsítvány a szoftveres törlésről is, vagy csak a fizikai megsemmisítésről?
Mindkét eljáráshoz hiteles tanúsítvány jár. A tanúsítvány igazolja az eszköz azonosítóját, a selejtezés módját és dátumát, valamint a nyomon követhető átadási láncot, ami audit és incidenskivizsgálás során a bizonyíték alapja.
Adatfeldolgozó-e a selejtezést végző külső szolgáltató?
Ha a szolgáltató betegadatot tartalmazó eszközt kezel, akkor a folyamat során adatfeldolgozónak minősülhet, ezért a GDPR 28. cikke szerinti adatfeldolgozói szerződés és a felelősségi határok tisztázása szükséges. Az intézménynek joga van megismerni, ki és milyen módszerrel fér hozzá az adathordozóihoz.
Mindig kiadás a selejtezés, vagy lehet belőle bevétel?
Nem mindig tiszta kiadás. A még értékes, működőképes gépeknél a hitelesített törlés megőrzi az eszköz értékét, és a felvásárlásba beszámítás csökkentheti a projekt nettó költségét. Ez lehetőség, nem garancia, és előzetes értékfelmérést igényel.
Források
- Európai Parlament és Tanács (EU) 2016/679 rendelete (GDPR) — A 9. cikk az egészségügyi adatot különleges kategóriájú személyes adatként kezeli, az 5. és 32. cikk pedig az adatbiztonsági alapelveket és a kockázattal arányos intézkedéseket rögzíti.
- Európai Parlament és Tanács (EU) 2022/2555 irányelve (NIS2) — Az egészségügyi szolgáltatók a hatálya alá tartozó ágazatok között szerepelnek; a 21. cikk a kiberbiztonsági kockázatkezelési intézkedéseket rögzíti, a 20. cikk a vezető testületek jóváhagyási és felügyeleti felelősségét.
- Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) — A magyar adatvédelmi hatóság, amelynek általános gyakorlata és állásfoglalásai irányadók a személyes adatok biztonságos kezelésében.
- ENISA — az Európai Uniós Kiberbiztonsági Ügynökség — Az Európai Unió kiberbiztonsági ügynöksége, amely ágazati kiberbiztonsági elemzéseket és jó gyakorlatokat tesz közzé.