Ochrona danych osobowych w elektronicznej dokumentacji medycznej

20-09-2017, 14:04

Polskie placówki ochrony zdrowia stoją przed poważnym wyzwaniem wprowadzenia elektronicznej dokumentacji medycznej (EDM). Jej wdrożenie oznacza konieczność informatyzacji całego procesu obsługi pacjentów, zastosowania odpowiedniego oprogramowania i poczynienia zmian organizacyjnych. Przedstawiciele placówek medycznych powinni mieć świadomość, że wdrażanie EDM łączy się ściśle z kwestią ochrony danych osobowych.

Ten artykuł czytasz w ramach płatnej subskrypcji. Twoja prenumerata jest aktywna

Każda jednostka medyczna gromadzi dane osobowe pacjentów oraz prowadzi inne operacje na tych danych, takie jak: przechowywanie, modyfikowanie czy udostępnianie, a zatem je przetwarza. Czynność ta musi odbywać się w zgodzie z sektorowymi aktami prawnymi w dziedzinie ochrony zdrowia, jak również z podstawowymi aktami prawnymi regulującymi to zagadnienie.

Od 25 maja 2018 r. niemal wszystkie jednostki organizacyjne przetwarzające dane osobowe na terytorium UE, w tym podmioty działające w służbie zdrowia, będą zobowiązane do stosowania przepisów rozporządzenia Parlamentu Europejskiego i Rady nr 2016/679. Jest to rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych — RODO), które zastąpi aktualnie obowiązującą ustawę o ochronie danych osobowych (UODO). 

RODO kreuje nowy model podejścia do ochrony danych osobowych i wprowadza bardzo istotne zmiany w tym obszarze. Dlatego przygotowania do implementacji EDM powinny jednocześnie pociągnąć za sobą rewizję funkcjonowania systemu ochrony danych w placówkach medycznych. Szpitale, przychodnie i inne jednostki sektora medycznego powinny zapoznać się z obowiązkami nałożonymi na nie przez RODO oraz dostosować się do nowych wymagań prawa. Poniżej wymieniamy najistotniejsze zmiany, które wprowadza RODO i które powinny zostać uwzględnione w związku z implementacją elektronicznej dokumentacji medycznej.

Poszerzony obowiązek informacyjny

Świadczeniodawcy jako administratorzy danych osobowych (tj. podmioty, które samodzielnie lub wspólnie z innymi ustalają cele i sposoby przetwarzania tych danych) powinni w chwili przyjęcia pacjenta do placówki przekazać mu pewien minimalny zasób informacji. Co prawda według UODO administrator ma obowiązek przekazania osobom, których dane dotyczą, pewnych podstawowych informacji, jednak RODO je poszerza (m.in. o cele i podstawę prawną przetwarzania danych, kontakt do inspektora ochrony danych, jeśli został wyznaczony, informację o nowych uprawnieniach osób, których dane dotyczą). Informacje te powinny być udzielone w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem.

Świadczeniodawcy nie powinni bagatelizować obowiązku informacyjnego, zasłaniając się trudnościami w jego spełnieniu. Przekazanie wskazanych informacji zapewni zainteresowanym możliwość właściwej oceny sytuacji i podjęcia decyzji co do ujawnienia i udostępnienia swoich danych oraz skorzystania z przyznanych im praw. Dodatkowo, przekazywanie pacjentom niezbędnych informacji dotyczących ich danych osobowych z pewnością pozytywnie wpłynie na odbiór usług oferowanych przez placówki medyczne. 

Wprowadzenie zmian organizacyjnych związanych z implementacją EDM powinno zatem objąć sprawdzenie, czy obowiązek informacyjny był dotychczas realizowany oraz uwzględnić dodatkowe informacje, które należy przekazać zainteresowanym zgodnie z RODO. 

Niepotrzebna pisemna zgoda na przetwarzanie 

Zarówno obecna regulacja o ochronie danych osobowych, jak i RODO wskazują przypadki lub zdarzenia (zwane przesłankami lub podstawami prawnymi przetwarzania), których spełnienie legalizuje proces przetwarzania informacji. Przesłanki zostały sformułowane odmiennie w odniesieniu do „danych zwykłych” oraz „danych wrażliwych”, dotyczących bezpośrednio sfery prywatności czy intymności, nazwanych w RODO „danymi szczególnej kategorii”. Wszelkie dane pacjentów zawarte w dokumentacji medycznej stanowią „dane szczególnej kategorii” i podlegają intensywniejszej ochronie niż dane niemające takiego charakteru. Zbieranie, przechowywanie, udostępnianie czy wykonywanie innych operacji na danych zawartych w dokumentacji medycznej może odbywać się po spełnieniu jednej z przesłanek przetwarzania „szczególnych kategorii danych”.

RODO, poza jednym wyjątkiem, nie wprowadza rewolucji w zakresie podstaw przetwarzania. Istotna zmiana dotyczy przesłanki dopuszczalności przetwarzania szczególnych kategorii danych na podstawie zgody zainteresowanego. Zgoda na przetwarzanie danych wrażliwych nie będzie już musiała być udzielona na piśmie. Wystarczające będzie wyraźnie działanie potwierdzające fakt udzielenia zgody, np. poprzez zaznaczenie checkboxa (pola wyboru) w serwisie lub aplikacji, za pomocą których pacjent przekazuje placówce swoje dane.

Wprawdzie podmioty działające w służbie zdrowia przetwarzają dane pacjentów przede wszystkim w związku zapewnieniem opieki medycznej i ich zgoda na to nie jest konieczna, jednak wykorzystywanie danych pacjentów w innych celach, np. marketingowych, wymaga pozyskania zgody zainteresowanych. Brak konieczności uzyskiwania zgody na piśmie może zatem okazać się sporym ułatwieniem dla placówek. Będą one mogły przetwarzać dane pacjentów w innych celach niż świadczenie usług medycznych, na podstawie zgody pozyskanej np. przy rejestracji w serwisie internetowym placówki bądź w rozmowie telefonicznej prowadzonej przez pacjenta z konsultantem infolinii.

Samodzielność w wyborze zabezpieczeń 

RODO wprowadza nowe podejście do zabezpieczenia danych osobowych. W przeciwieństwie do obecnej regulacji, RODO nie ustanawia sztywnych wymogów w zakresie zabezpieczenia danych. Każdy administrator — biorąc pod uwagę charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności podmiotów danych — będzie musiał samodzielnie zdecydować, jakie zabezpieczenia wdrożyć, a także kontrolować na bieżąco, czy są one adekwatne do zachodzących zmian technologicznych oraz rosnących zagrożeń.

Dodatkowo RODO wprowadza nowe zasady ochrony danych — „privacy by design” i „privacy by default”, które ustanawiają obowiązek uwzględnienia ochrony danych i prywatności na każdym etapie tworzenia oraz istnienia technologii obejmującej przetwarzanie danych. W praktyce oznacza to, że zasady ochrony prywatności powinny być uwzględniane podczas projektowania określonego systemu lub procesu zakładającego przetwarzanie danych osobowych — w taki sposób, aby od początku jego istnienia ochrona prywatności stanowiła jego część składową. Ponadto pierwotne ustawienia aplikacji czy systemów przetwarzających dane powinny zapewniać, aby przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Zasady te powinni uwzględniać przedstawiciele placówek medycznych stojący przed wyborem systemu służącego do prowadzenia EDM. 

Wyznaczenia inspektora 

Po dacie rozpoczęcia stosowania RODO świadczeniodawcy przetwarzający dane pacjentów na dużą skalę, np. szpitale, będą mieć obowiązek wyznaczenia inspektora ochrony danych (IOD). Jego zadaniem jest działanie na rzecz przetwarzania danych zgodnego z przepisami o ich ochronie. Warto rozważyć powołanie IOD przed 25 maja 2018 r. w celu ułatwienia placówkom medycznym dostosowania się do przepisów RODO. W szczególności chodzi o pomoc w wyborze właściwego systemu służącego do prowadzenia i przetwarzania EDM oraz wprowadzenie rozwiązań organizacyjnych i technicznych zgodnych z rozporządzeniem unijnym.

Biorąc pod uwagę ścisłe powiązanie pomiędzy zagadnieniem ochrony danych osobowych oraz dokumentacją medyczną prowadzoną w podmiotach leczniczych, implementacja EDM powinna uwzględniać wejście w życie rozporządzenia unijnego oraz zmiany, które wprowadza reforma ochrony danych osobowych. Warto już teraz rozpocząć przygotowania do stosowania RODO oraz zwrócić uwagę na to, czy dostawcy systemów służących do prowadzenia EDM uwzględniają nowe regulacje prawne.

 

Joanna Swaryczewska-Dede, radca prawny Olgierd Porębski, radca prawny Kancelaria prawna Porębski i Wspólnicy

Źródło: Puls Medycyny

Tematy
Puls Medycyny
Klinika / Ochrona danych osobowych w elektronicznej dokumentacji medycznej
× Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.