RODO: Co precyzuje kodeks postępowania dla branży medycznej

  • Sławomir Molęda
opublikowano: 04-07-2018, 10:10

Obowiązek wyznaczenia inspektora ochrony danych osobowych nie obejmie praktyk indywidualnych i placówek, które przyjmują niewielu pacjentów. Jednakże nawet te podmioty będą zobowiązane przeprowadzić analizę ryzyka i poddawać się szkoleniom. Wszystkie działania mają być dokumentowane. To tylko niektóre z rozstrzygnięć, jakie zawiera projekt kodeksu postępowania dla branży medycznej.

Ten artykuł czytasz w ramach płatnej subskrypcji. Twoja prenumerata jest aktywna

O roli, jaką ma odgrywać branżowy kodeks postępowania w ochronie danych osobowych, pisałem już szczegółowo w artykule „Potrzebny jest kodeks postępowania z danymi pacjentów”. Przypomnę więc tylko, że kodeks ma przede wszystkim służyć administratorom danych do wykazania należytego wywiązywania się ze swoich obowiązków, zgodnie z zasadą rozliczalności.

Zobacz więcej

Fot. iStock

Zastosowanie kodeksu jest wprawdzie dobrowolne, lecz wiąże się z obligatoryjnym, zewnętrznym monitoringiem w zakresie wdrożenia i dokumentowania zalecanych procedur. Natomiast rezygnacja ze stosowania kodeksu oznacza konieczność wypracowania własnych rozwiązań, które uczynią zadość wymaganiom RODO i zyskają akceptację prezesa Urzędu Ochrony Danych Osobowych (PUODO). A nie jest to zadanie łatwe i pozbawione ryzyka.

Istotna skala przetwarzania danych

Najważniejszym bodajże rozstrzygnięciem, jakie znajdzie się w kodeksie, będzie wyjaśnienie, co należy rozumieć pod pojęciem „przetwarzania na dużą skalę”. Wiążą się z nim bowiem dwa dodatkowe obowiązki: wyznaczenia inspektora ochrony danych (IOD) oraz przeprowadzenia oceny skutków planowanych operacji przetwarzania dla ochrony danych. Oba są dość uciążliwe, zwłaszcza dla praktyk prywatnych i małych placówek o nielicznym personelu.

W myśl projektu kodeksu, przetwarzanie nie jest prowadzone na dużą skalę, gdy dotyczy jednoosobowej działalności gospodarczej, prowadzonej przez osobę wykonującą zawód medyczny. Chodzi więc przede wszystkim o indywidualne praktyki lekarskie i pielęgniarskie, jak również o podmioty lecznicze prowadzone w formie jednoosobowej przez fizjoterapeutów, diagnostów, psychologów itd. Następnie kodeks wymienia podmioty udzielające ambulatoryjnych świadczeń zdrowotnych, w tym AOS, które zrealizowały świadczenia dla nie więcej niż 600 unikalnych pacjentów w ostatnich 3 miesiącach.

Na analogicznych zasadach określono limity dla szpitali (100) i pozostałych zakładów stacjonarnych (150). W przypadku placówek poz limit wynosi 2750, lecz odnosi się do pacjentów przypisanych, a nie przyjętych. W każdym przypadku liczy się średnia z poprzednich 3 miesięcy.

Do powyższych zapisów mam dwie uwagi. Pierwsza dotyczy obliczania limitu. Skoro limit dotyczy liczby pacjentów w ostatnich 3 miesiącach, to jaki sens ma liczenie średniej z poprzednich 3 miesięcy? Sensowniej byłoby wyliczać średnią z 3 okresów trzymiesięcznych (3 kwartałów) albo poprzestać na prostej liczbie z poprzednich 3 miesięcy. Korzystniej byłoby ponadto odwołać się do okresów kwartalnych, ponieważ nie sugerowałoby to konieczności dokonywania comiesięcznych obliczeń.

Kwestia określania limitów pacjentów

Druga uwaga ma charakter bardziej zasadniczy i opiera się na zapisach RODO. Otóż w projekcie kodeksu znajduje się zastrzeżenie, że działalność jednoosobowa nie przetwarza danych na dużą skalę, chyba że przekracza limity pacjentów określone dla AOS lub poz. Tymczasem motyw 91 preambuły RODO zawiera zdanie następujące: „Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych pacjentów lub klientów i jest dokonywane przez pojedynczego lekarza, innego pracownika służby zdrowia lub prawnika”.

Nie ma tu dodatkowych zastrzeżeń, więc wprowadzanie ich do kodeksu w odniesieniu do praktyk indywidualnych wydaje się bezzasadne. Oczywiście zastrzeżenia takie są uzasadnione w przypadku podmiotów leczniczych prowadzonych w formie jednoosobowej działalności gospodarczej, w których świadczenia zdrowotne nie są udzielane wyłącznie przez założyciela. Podmioty takie mogą bowiem zatrudniać liczny personel i udzielać świadczeń na dużą skalę. Jeżeli jednak działalność wykonywana jest osobiście, na zasadach analogicznych do indywidualnej praktyki (tzn. bez zatrudniania innych osób do udzielania świadczeń zdrowotnych), to w świetle RODO limitu pacjentów nie trzeba określać. Wyznaczają go bowiem indywidualne „moce przerobowe” danego medyka.

Utrzymanie ryzyka na poziomie akceptowalnym

W najtrudniejszym zakresie, jakim jest bezpieczeństwo przetwarzania danych, projekt kodeksu przewiduje dwa obowiązki niezależne od skali przetwarzania. Pierwszym jest wdrożenie podejścia opartego na ryzyku. Przyjmuje się, że właściwym sposobem jest stosowanie procedury analizy ryzyka określonej w załączniku do kodeksu bądź równoważnej. Procedura ta ma charakter ciągły, monitorujący adekwatność i skuteczność stosowanych zabezpieczeń. Jej celem jest utrzymanie ryzyka na akceptowalnym poziomie. Powinna być uruchamiana wraz z projektowaniem czynności przetwarzania, powtarzana w miarę wdrażania poszczególnych środków technicznych lub organizacyjnych oraz cyklicznie aktualizowana.

Ocena ryzyka składa się z następujących etapów:

  1. identyfikacja czynności przetwarzania (procesów);
  2. ocena zagrożeń;
  3. ocena skutków (konsekwencji);
  4. ocena prawdopodobieństwa wystąpienia zagrożeń;
  5. ocena powagi ryzyka.

Czynności przetwarzania to zespół powiązanych ze sobą działań, które można określić w sposób zbiorczy, w związku z celem, w jakim są podejmowane. Analiza czynności służy zidentyfikowaniu procesów, w których dane są przetwarzane. Procesy to powiązane wzajemnie działania, które przekształcają dane wejściowe w wyjściowe. Dla uproszczenia można przyjąć, że czynności zidentyfikowane na potrzeby rejestru czynności przetwarzania są równoważne z procesami. Procesy dzielą się na operacyjne (związane z obsługą pacjentów), takie jak diagnoza i leczenie, opieka szpitalna, przetwarzanie w celach marketingowych itp. oraz procesy wspomagające, np. przetwarzanie w celach rekrutacyjnych (kadry), finansowych (księgowość), bezpieczeństwa (monitoring) itd.

Listę procesów ustala się poprzez wykonanie następujących kroków: identyfikacja głównych usług (np. obsługa pacjenta), identyfikacja zadań realizowanych w ramach usługi głównej (np. rejestracja pacjenta, wydawanie dokumentacji, utrzymanie systemu informatycznego), identyfikacja zadań wspomagających.
W celu identyfikacji zagrożeń można posłużyć się pytaniami dotyczącymi przetwarzania danych (jaki jest sposób przetwarzania i źródło danych, kto jest odpowiedzialny itd.) oraz posiadanych aktywów (sprzętu, oprogramowania, sieci, kanały przesyłu informacji). Do oceny, oprócz własnych pracowników, można zaangażować podwykonawców, partnerów biznesowych itp.

Zagrożenie należy rozumieć jako potencjalną przyczynę incydentu (zniszczenie, utrata, zmodyfikowanie lub ujawnienie danych), który może wywołać naruszenie praw lub wolności osób fizycznych. Do zagrożeń należą: nieuprawniony dostęp lub wykorzystanie aplikacji, możliwość uszkodzenia sprzętu lub awarii systemu, różne błędy, kradzież, wirusy i złośliwe oprogramowanie. Szczegółowy katalog zagrożeń zostanie dołączony do kodeksu, a ich opis został zawarty w rekomendacjach Centrum Systemów Informacyjnych Ochrony Zdrowia (https://csioz.gov.pl/fileadmin/user_upload/rekomendacje_csioz_bezpieczenstwo_wrzesien2017_59cd1e951e9ba.pdf) oraz w normie  PN-EN ISO/IEC 27799:2016.

Ocena prawdopodobnego zagrożenia

Każdą zidentyfikowaną czynność przetwarzania należy rozważyć w kontekście możliwości wystąpienia każdego z zagrożeń (może wystąpić/nie występuje). Następnie dla każdej pary „czynność przetwarzania — zagrożenie” należy ocenić skutki zmaterializowania się zagrożeń. Skutkami mogą być: dyskryminacja, kradzież tożsamości (oszustwo), strata finansowa, naruszenie dobrego imienia, naruszenie poufności danych chronionych tajemnicą zawodową (naruszenie godności i prywatności), uszczerbek na zdrowiu lub śmierć, inna znacząca szkoda społeczna lub gospodarcza.

Oceny skutków dla pacjentów należy dokonać na podstawie czterostopniowej skali:

  • I. pomijalne — brak skutków lub niewielkie niedogodności, np. strata czasu, drobne nieprzyjemności; 
  • II. niskie — istotne niedogodności, które można przezwyciężyć, np. dodatkowe koszty, stres, niedogodności fizyczne;
  • III. średnie — istotne skutki, które z dużą trudnością będzie można odwrócić, np. strata pracy, pogorszenie stanu zdrowia, uszczerbek majątkowy;
  • IV. wysokie — istotne skutki, które mogą być nieodwracalne, np. śmierć, długotrwałe pogorszenie zdrowia, spirala długów, utrata zdolności do pracy.

Następnie dla każdego zestawienia „czynność przetwarzania — zagrożenia — skutek”, dokonuje się oceny prawdopodobieństwa wystąpienia zagrożeń umożliwiających urzeczywistnienie się danych skutków. Projekt kodeksu zaleca ocenę pięciostopniową:

  1. mało prawdopodobne — zagrożenie nigdy dotąd nie wystąpiło i raczej nie wystąpi;
  2. średnio prawdopodobne — zagrożenie materializowało się sporadycznie w ciągu ostatnich 3 lat i może wystąpić;
  3. bardzo prawdopodobne — zagrożenie materializowało się sporadycznie w ciągu ostatnich 2 lat i prawdopodobieństwo jego wystąpienia jest realne, lecz nie przekracza 50 proc.;
  4. wysoce prawdopodobne — zagrożenie materializowało się w ciągu ostatniego roku i prawdopodobieństwo jego wystąpienia przekracza 50 proc.;
  5. niemal pewne — zagrożenie zmaterializuje się w najbliższym czasie, prawie na 90 proc.

Wybór odpowiednich zabezpieczeń

Ocenę powagi ryzyka będzie się dokonywać na podstawie wartości otrzymanych z oceny skutków i oceny prawdopodobieństwa urzeczywistnienia się zagrożeń. Otrzymane wyniki przedstawia się w postaci rankingu ryzyka. Opracowanie oceny ryzyka powinno wiązać się z jego priorytetyzacją na podstawie stopnia akceptacji.

Poziom akceptacji ryzyka wskazuje, jaką wartość powagi ryzyka należy traktować jako wymagającą wdrożenia planu zaradzeniu ryzyku. Projekt kodeksu przedstawia 4 warianty postępowania z ryzykiem. Redukcję ryzyka osiąga się poprzez wybór odpowiednich zabezpieczeń organizacyjnych, systemowych i technicznych, uwzględniając ich koszt i dostępne technologie. Zatrzymanie ryzyka polega na jego akceptacji. Unikanie ryzyka to decyzja o wycofaniu się z zamiaru przetwarzania danych lub o zaprzestaniu przetwarzania. Przeniesienie ryzyka wiąże się z jego podziałem bądź całkowitym przeniesieniem na podmiot zewnętrzny, poprzez powierzenie przetwarzania bądź ubezpieczenie się od skutków naruszeń.

Wynikiem procedury analizy ryzyka jest więc wskazanie procesów przetwarzania, które wymagają zabezpieczeń. Dobór adekwatnych środków technicznych i organizacyjnych oraz ich właściwe wdrożenie jest drugim z obowiązków, jaki nakłada projekt kodeksu w zakresie bezpieczeństwa danych. W załącznikach zostały wskazane normy i zabezpieczenia systemów IT, spośród których można dokonać wyboru. Dopuszcza się zastosowanie również innych środków, o ile są adekwatne i zapewniają analogiczny poziom ochrony.

Przydatne wskazówki i wyjaśnienia

Poza tym projekt kodeksu zawiera liczne wskazówki i podpowiedzi, precyzujące przepisy RODO. Wskazuje podstawę prawną przetwarzania danych pacjentów w poszczególnych zakresach świadczeń. Z reguły jest nią art. 9 ust. 2 lit. h RODO oraz przepis właściwej ustawy (np. art. 24 ustawy o prawach pacjenta). Zaznacza, że adekwatne do celów zdrowotnych jest gromadzenie dodatkowych danych kontaktowych, takich jak adres e-mail bądź numer telefonu pacjenta. Wymienia cele przetwarzania, w których niezbędna jest zgoda pacjenta: marketing, badania kliniczne i inne badania naukowe, zautomatyzowane podejmowanie decyzji w indywidualnych sprawach, przekazywanie danych do państwa trzeciego. Przypomina, że zgody pisemne należy archiwizować, ustne — nagrywać lub odnotowywać, a internetowe — kopiować. Przykładowy wzór zgody zostanie dołączony do kodeksu.

Projekt rozstrzyga, że nie ma potrzeby zawierania umów powierzenia przetwarzania z podwykonawcami świadczeń zdrowotnych (np. diagnostyki) ani ze zleceniodawcami, takimi jak pracodawcy udostępniający dane pracowników, zakłady ubezpieczeń bądź innymi organizatorami opieki zdrowotnej. Zawarcie umowy powierzenia wymagane jest natomiast z innym podmiotem leczniczym, który udostępnia swój personel na potrzeby udzielania świadczeń. Projekt potwierdza, że praktyki prowadzone wyłącznie w zakładach leczniczych nie są administratorami danych.

W zakresie dostępu do danych pacjentów projekt wymienia elementy, jakie powinno zawierać upoważnienie pracownika do przetwarzania danych. Są nimi: jednoznaczna identyfikacja osoby upoważnianej, jednoznaczne określenie zakresu i celu przetwarzania w ramach upoważnienia, okres obowiązywania. Określenie zakresu i celu może nastąpić poprzez wskazanie umowy będącej podstawą zatrudnienia danego pracownika. Okres obowiązywania można wskazać przez oznaczenie konkretnego warunku lub terminu, np. poprzez odwołanie się do okresu obowiązywania umowy będącej podstawą zatrudnienia. Wydane upoważnienia powinny być rejestrowane z zaznaczeniem osoby je wydającej oraz daty wystawienia.

Natomiast upoważnienie do dostępu do dokumentacji, jakiego może udzielać pacjent innej osobie, powinno zawierać co najmniej jednoznaczne identyfikacje pacjenta, osoby udzielającej upoważnienia oraz osoby upoważnianej. W załączniku do projektu podano katalog danych jednoznacznie identyfikujących wraz ze wzorem upoważnienia. Projekt przewiduje ponadto szczególną możliwość udostępnienia informacji dotyczących pojedynczego świadczenia, np. wyników badań lub konsultacji. Takie informacje można udostępnić na podstawie indywidualnego numeru świadczenia, przekazanego wyłącznie pacjentowi i wystawcy skierowania. W ten sposób pacjent może odebrać wyniki za pośrednictwem innej osoby.

Ograniczenia praw pacjenta

W zakresie realizacji praw osób, których dane są przetwarzane, projekt wymienia ewidentnie nieuzasadnione lub nadmierne żądania, które uprawniają do pobrania dodatkowej opłaty bądź odmowy. Wymienia również sytuacje, w których należy zweryfikować tożsamość pacjenta oraz określa zasady tej weryfikacji (okazanie dokumentu urzędowego ze zdjęciem). Zaznacza, że weryfikacja tożsamości na odległość wymaga dodatkowych informacji lub działań, takich jak żądanie dodatkowych danych, wykorzystanie podpisu elektronicznego lub ePUAP, przelewu bankowego, okazanie dokumentu w trakcie wideotransmisji.

Projekt rozstrzyga ponadto, iż w odniesieniu do danych zawartych w dokumentacji medycznej pacjentom nie przysługują prawa do bycia zapomnianym, żądania ograniczenia przetwarzania, przenoszenia danych ani sprzeciwu.

 

PODSTAWA PRAWNA

projekt z 25 maja 2018 r. kodeksu postępowania dla podmiotów wykonujących działalność leczniczą (http://www.rodowzdrowiu.pl/).

Źródło: Puls Medycyny

Podpis: Sławomir Molęda, partner w Kancelarii Kondrat i Partnerzy

Najważniejsze dzisiaj
× Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies. Możesz określić warunki przechowywania lub dostępu do plików cookies w Twojej przeglądarce.