Tajemnica medyczna a outsourcing IT w branży medycznej

Z biura GIODO napływają informacje, iż finalizowane są prace nad zmianą przepisów prawnych umożliwiających podmiotom leczniczym przekazywanie danych medycznych firmom zewnętrznym, w związku ze świadczonymi przez te podmioty specjalistycznymi usługami np. w zakresie IT. W chwili obecnej nie ma odpowiedniej ku temu podstawy prawnej z uwagi na treść przepisów o tajemnicy zawodowej.

 Pacjent ma prawo do zachowania w tajemnicy przez osoby wykonujące zawód medyczny, w tym udzielające mu świadczeń zdrowotnych, informacji z nim związanych, a uzyskanych w związku z wykonywaniem zawodu medycznego.

I tutaj zaczyna się problem związany z korzystaniem przez placówki medyczne z usług zewnętrznych usługodawców, z którymi to usługami związane jest powierzenie przetwarzania danych osobowych. Aktualnie w świetle obowiązujących przepisów i stanowiska GIODO takiej podstawy prawnej nie ma. Jest to oczywiście duża uciążliwość w szczególności dla małych i średnich podmiotów leczniczych, które już dzisiaj z zewnętrznych usług korzystają.

Sprawa jest o tyle pilna, że jesteśmy w przeddzień wejścia w życie (2017 r.) przepisów wprowadzających obowiązek prowadzenia elektronicznej dokumentacji medycznej przez wszystkie podmioty udzielające świadczeń zdrowotnych. Będzie się to wiązało z wdrożeniem przez tysiące małych podmiotów systemów informatycznych umożliwiających elektroniczne prowadzenie dokumentacji.

Wiele z tych podmiotów w celu zaoszczędzenia kosztów zdecyduje się na wykupienie aplikacji dostępnej przez internet czyli na tzw. aplikację w chmurze. Będzie to oczywiście związane z powierzeniem danych osobowych do przetwarzania, co w chwili obecnej w świetle prawa nie znajduje podstawy prawnej.

 Aktualnie w Ministerstwie Zdrowia oraz Parlamencie procedowane są zmiany przepisów prawa w zakresie przekazywania przez podmioty lecznicze danych osobowych firmom zewnętrznym w związku ze świadczonymi przez nie usługami specjalistycznymi np.dotyczącymi przechowywania dokumentacji medycznej.

Obowiązek wdrożenia elektronicznej dokumentacji medycznej jest związany z szeroko zakrojoną akcją informatyzacji w ochronie zdrowia oraz wdrażaniem powszechnego systemu informacji medycznej, gromadzącego informacje o pacjentach pochodzące od z systemów informatycznych poszczególnych świadczeniodawców.

Podmioty lecznicze wdrażające  elektroniczną dokumentację medyczną muszą też pamiętać o spełnieniu wymagań prawnych w zakresie ochrony danych osobowych, między innymi o prowadzeniu wymaganej prawem dokumentacji  tj. polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym.

System e-WUŚ a ochrona danych osobowych

Udzielanie dostępu do systemu elektronicznej weryfikacji uprawnień świadczeniobiorców czyli systemu eWUŚ odbywa się na zasadach określonych prawem i jest związane z przestrzeganiem ustawy o ochronie danych osobowych.

System eWUŚ jest systemem informatycznym przetwarzającym dane osobowe osób fizycznych. Celem przetwarzania jest weryfikacja uprawnień świadczeniobiorców do korzystania ze świadczeń opieki zdrowotnej finansowanych ze środków publicznych.

Świdczeniodawca czyli na przykład lekarz prowadzący prywatną praktykę lekarską i udzielający świadczeń refundowanych przez NFZ, może wystąpić z wnioskiem do odpowiedniego oddziału NFZ o udzielenie mu dostępu do systemu informatycznego eWUŚ.

Po spełnieniu odpowiednich warunków m.in zaakceptowaniu regulaminu świadczenia usług drogą elektroniczną oraz podpisaniu oświadczeń dotyczących zobowiązania się do przestrzegania ustawy o ochronie danych osobowych, świadczeniodawca uzyskuje dostęp do systemu e-WUŚ.

NFZ w wydawanych oświadczeniach przypomina, iż upoważnienie do korzystania z systemu e-WUŚ musi być wykorzystywane wyłącznie w celu realizacji podstawowego celu, jakim jest weryfikacja uprawnienia konkretnego świadczeniobiorcy, który chce skorzystać ze świadczenia.

Wykorzystywanie dostępu w jakimkolwiek innym celu, czy umożliwienie dostępu osobom nieupoważnionym jest nieuprawnione i może skutkować cofnięciem upoważnienia dostępu do systemu, jak również innym konsekwencjami prawnymi.

Ponadto dostęp do systemu informatycznego eWUś przetwarzającego dane osobowe pacjentów powinien być uwzględniony w polityce bezpieczeństwa danych osobowych świadczeniodawcy czyli podmiotu udzielającego świadczeń.

System Informacji Medycznej nadciąga

System informacji medycznej (SIM) to ogromne przedsięwzięcie finansowe, organizacyjne, informatyczne, ale też i mentalne. Założę się, że przeciętny obywatel nie ma o nim pojęcia. I upłynie pewnie wiele czasu, gdy obywatele zrozumieją, że cyfryzacja w ochronie zdrowia to fakt i to fakt, który dotyczy ich bezpośrednio. Kampanię informacyjne, komunikaty przekazywane w przystępnej formie to jedna strona medalu. Druga to taka mniej wygodna dotycząca bezpieczeństwa danych medycznych przetwarzanych przez SIM.

Aktualnie trwa budowa systemu P1 („Elektroniczna Platforma Gromadzenia, Analizy i Udostępniania zasobów cyfrowych o Zdarzeniach Medycznych”). Platforma będzie sercem SIM, docelowo zintegrowana z systemami informatycznymi usługodawców, umożliwiająca organom administracji publicznej i obywatelom gromadzenie, analizę i udostępnianie zasobów cyfrowych o zdarzeniach medycznych, zgodnie z ustawą o systemie informacji w ochronie zdrowia.

W Systemie P1 będzie znajdowała się informacja o zdarzeniach medycznych wszystkich obywateli Polski niezależnie od płatnika, a także obywateli Unii Europejskiej i innych krajów, którzy skorzystają ze świadczeń zdrowotnych na terenie Polski.

Zaplanowane do wdrożenia w ramach Projektu P1 rozwiązania zakładają:

  • Tworzenie, gromadzenie, analizowanie i udostępnianie elektronicznej dokumentacji medycznej pacjentów.
  • Elektroniczną obsługę recept, skierowań oraz wsparcia rezerwacji na porady lekarskie.
  • Udostępnienie podmiotom nadzorującym i kontrolującym sektor ochrony zdrowia w Polsce wiarygodnych i aktualnych informacji statystycznych pozwalających monitorować i planować działania w tej dziedzinie.
  • Wymianę niezbędnych danych medycznych pomiędzy różnymi systemami poszczególnych krajów Unii Europejskiej.

Realizacja Projektu ma na celu utworzenie rozwiązań informatycznych, które umożliwią gromadzenie i przetwarzane wiarygodnych danych o zdarzeniach medycznych. Dane te będą mogły być dalej wykorzystywane do celów profilaktyki i leczenia pacjenta, jak również do celów planowania opieki zdrowotnej i zarządzania kryzysowego.

System ma przyczynić się do poprawy jakości obsługi pacjentów przez wzmocnienie jakości świadczeń zdrowotnych poprzez podniesienie jakości i dostępności informacji o stanie zdrowia pacjenta i jego danych medycznych.

Dodatkowo ma nastąpić usprawnienie obsługi pacjenta poprzez umożliwienie realizacji elektronicznych usług związanych ze świadczeniem usług medycznych i ich rozliczaniem (np. elektroniczna recepta, elektroniczne skierowanie czy elektroniczne zwolnienie lekarskie) oraz telemedycyną.

Z punktu widzenia, który mnie interesuje System Informacji Medycznej będzie przetwarzał dane i to dane te najbardziej wrażliwe, bo dotyczące zdrowia i udzielanych w związku z jego ochroną świadczeń. Informatyzacja w ochronie zdrowia oczywiście jest zgodna z duchem czasu i co do zasady dobra. Dla pacjentów może to oznaczać oszczędność czasu, szybki i zdalny dostęp do danych przetwarzanych w dokumentacji medycznej. Nie zapominajmy jednak, że przy tego rodzaju danych wrażliwych kluczową kwestią jest zapewnienie odpowiedniego poziomu bezpieczeństwa, zapewnienia środków technicznych i organizacyjnych do zapewnienia tego poziomu, ale także podniesienia świadomości w tym zakresie u wszystkich podmiotów, osób, które w procesie przetwarzania danych będą uczestniczyć.

Świadomość wagi przetwarzanych danych medycznych ważna jest u samych pacjentów, którzy powinni być bezpośrednio zainteresowani zapewnieniem odpowiedniego bezpieczeństwa dla ich wrażliwych danych medycznych. Tymczasem według danych przedstawionych przez GIODO polscy obywatele wyżej cenią sobie informacje na temat danych ich identyfikujących jak imię i nazwisko niż dotyczące ich stanu zdrowia. Wydaje się to nieprawdopodbne a jednak.

Usługodawcy usług medycznych, pracownicy medyczni przetwarzający dane medyczne w związku z udzielaniem pacjentom świadczeń również muszą znać zasady zgodnego z prawem przetwarzania danych medycznych w systemach informatycznych. Jest to o tyle istotne, że spoczywa na nich szeroko pojęta odpowiedzialność prawna za zgodne z prawem przetwarzanie.

Niniejszy artykuł ma na celu wprowadzenie w bardzo szeroki temat informatyzacji w ochronie zdrowia i związane z tym przetwarzanie wrażliwych danych medycznych wszystkich obywateli. Temat ten postaram się na łamach mojego bloga stopniowo zgłębiać.