Ściszonym głosem do pacjenta

Czy poszanowanie godności pacjenta ma coś wspólnego z RODO, czy RODO nakazuje szanować godność pacjenta czy może tylko chronić dane osobowe tego pacjenta. Czy są to różne czy zbieżne zagadnienia.

Prawo do poszanowania godności i intymności pacjenta wynika z przepisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Natomiast prawo do ochrony danych osobowych wynika z przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Prawa te mogą się krzyżówać i w przypadku, gdy zostaną naruszone prawa pacjenta w związku z przetwarzaniem jego danych osobowych prawie zawsze zostanie też naruszone prawo do poszanowania godności i intymności pacjenta.

Poszanowanie godności pacjenta oraz przetwarzanie danych pacjentów zgodne z wymogami prawa to kwestia fundamentalna w sektorze zdrowia. Podmioty udzielające świadczeń zdrowotnych mające dostęp do najbardziej wrażliwych danych, bo dotyczących stanu zdrowia powinny dochować najwyższej staranności, aby przetwarzać dane pacjentów zgodnie z przepisami prawa. Czytaj więcej

W tym roku GIODO zbada zgodność przetwarzania danych w branży medycznej

Na stronie GIODO czytamy:

“Konieczność podawania wielu, nieraz intymnych danych, podczas rejestracji w przychodni lub poradni lekarskiej, bez zapewnienia ich poufności i poszanowania prywatności, to sytuacje, na które do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) wciąż skarżą się pacjenci.”

Stąd w planie kontroli przeprowadzanych przez inspektorów GIODO ujęto ten właśnie sektor.

Dzięki temu możliwe będzie dokonanie oceny przetwarzania danych osobowych w większej liczbie placówek opieki zdrowotnej, niezależnie od tego, czy są prowadzone przez podmioty publiczne, czy prywatne.

W mojej opinii w branży medycznej jest wiele do zrobienia w zakresie zapewnienia zgodności przetwarzania danych osobowych. Ochrona danych medycznych rozpoczyna się od realnego zrozumienia i świadomości dotyczacej tajemnicy zawodowej zobowiązującej do zachowania w tajemnicy wszelkich informacji dotyczących pacjenta.

Tajemnica danych medycznych dotyczy nie tylko osób wykonujących zawody medyczne, ale także osób z nimi współpracujących na przykład w zakresie wsparcia IT dla systemów informatycznych funkcjonujących w placówkach medycznych.

Dane o stanie zdrowia jako wrażliwe dane osobowe podlegają dodatkowo ochronie w świetle ustawy o ochronie danych osobowych. Zgodnie z nimi administrator danych zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych i zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem.

Na koniec krótki przypadek z życia. Ostanio znajoma opowiadała mi, że z łatwością mogła zapoznać się z dokumentacją medyczną osoby, która w tym samym, co ona dniu korzystała z usług medycyny estetycznej w renomowanym gabinecie lekarskim. Pan doktor zapraszając kolejną osobę nie schował karty leczenia poprzedniej pacjentki a pozostawił ją na biurku umożlwiając swobodne zapoznanie się z nią kolejnym pacjentom.

Moja znajoma jako radca prawny zwróciła uwagę na ten fakt bedąc już świadomą, że wobec takich zasad, kolejna pacjentka będzie miała możliwość zapoznania się z jej kartą leczenia.

Taki sposób postępowania oznacza brak należytego zabezpieczenia danych przed dostępem osób do tego nieupoważnionych ale to tylko wierzchołek góry lodowej, jeśli chodzi o braki w tym obszarze.

Kontrole GIODO w branży medycznej zaplanowane na rok 2017 być miejmy nadzieję przyczynią się do lepszej ochrony naszych wrażliwych danych osobowych przez tę branżę.

A dla samej branży będzie to też okazja do rozpoczęcia wdrażania wymogów ogólnego rozporządzenia unijnego w zakresie ochrony danych osobowych , co zważywszy na dotkliwe sankcje pieniężne, będzie miało swój pozytywny wymiar.

Outsourcing IT w branży medycznej cz. II

W ostatnim wpisie zasygnalizowałam problematykę w zakresie outsoursingu IT w branży medycznej. Cały artykuł znajduje się Tutaj.

Wiemy już, że korzystanie przez podmioty lecznicze z usług zewnątrznych usługodawców z branży IT jest powszechne. Rozwój informatyzacji w sektorze zdrowia, obowiązek prowadzenia elektronicznej dokumentacji medycznej, rozliczanie z NFZ, korzystanie z systemu eWUŚ to tylko niektóre obszary wymagające wsparcia IT.

Jak wiemy branża medyczna przetwarza specyficzny rodzaj danych, bo dane wrażliwe. Przetwarzanie takich danych jest dopuszczalne jedynie w przypadku istnienia odpowowiedniej podstawy prawnej, gdyż co do zasady przetwarzanie wrażliwych danych o stanie zdrowia jest zakazane.

Dodatkowo mamy tajemnicę zawodową, która zobowiązuje zawody medyczne do szczególnej poufności. Osoby wykonujące zawód medyczny są obowiązane zachować w tajemnicy informacje związane z pacjentem, w szczególności ze stanem zdrowia pacjenta.

Jeszcze do niedawna GIODO stał na stanowisku, iż korzystanie z zewnętrznych usługodawców w zakresie  IT przez podmioty lecznicze nie posiada wystarczających podstaw prawnych. Sytuacja to aktualnie została uregulowana w ustawie o prawach pacjenta, w której wyraźnie przewidziano możliwość powierzenia danych medycznych.

Korzystanie z usług zewnętrznych usługodawców przez podmioty lecznicze jest możliwe pod warunkiem zapewnienia ochrony danych osobowych. Podmiot leczniczy musi zapewnić sobie w umowie prawo do kontroli  zgodności przetwarzania danych osobowych  przez podmiot przyjmujący te dane czyli przez usługodawców.

Usługodawca IT, któremu powierzono przetwarzanie danych osobowych  jest obowiązany do zachowania w tajemnicy informacji związanych z pacjentem uzyskanych w związku z realizacją zleconej mu przez podmiot leczniczy usługi,  także po śmierci pacjenta.

Usługodawca IT tj.  procesor zobowiązany jest do przestrzegania przepisów prawa o ochronie danych osobowych. Podmiot ten przed rozpoczęciem przetwarzania danych powinien podjąć środki zabezpieczające zbiór danych. Obowiązana jest również do prowadzenia odpowiedniej dokumentacji w zakresie przetwarzania danych osobowych.

Na gruncie przepisów rozporządzenia unijnego w omawianym zakresie nie wprowadzono rewolucyjnych zmian. W dalszym ciągu wymagana będzie umowa pomiędzy administratorem danych a procesorem ookreślająca przedmiot powierzenia, zakres powierzenia, kategorie powierzanych danych.

Nowum i ciekawostką  na gruncie nowych przepisów będzie solidarna odpowiedzialność wszystkich podmiotów uczestniczącym w outsourcingu a więc administratora danych oraz wszystkich procesorów i subprocesorów.

W praktyce osoba, której prawa zostaną naruszone będzie mogła dochodzić całej szkody od wszystkich podmiotów lub jednego z niech niezleżnie od ich indywidualnej winy. Podmiot, który szkodę naprawi a nie dopuścił się uchybień będzie mógł dochodzić zwrotu zapłaconego odszkodowania na zasadzie regresu.

Już tylko z tego powodu precyzyjne określenie w umowie praw i obowiązków stron w zakresie przetwarzania danych osobowych jest niezbędne, aby uniknąć rozmycia odpowiedzialności w łańcuchu przetwarzająych i płacenia odszkodowania za nie swoje uchybienia.

Outsourcing IT w branży medycznej cz. I

Korzystanie z usług IT w branży medycznej stało się powszechne. Przychodnie medyczne coraz  częściej wykorzystują systemy informatyczne w swojej pracy. Przy obsłudze tychże systemów korzystają z pomocy zewnętrznych informatyków. Systemy informatyczne służą podmiotom leczniczym do rejestrowania różnych informacji medycznych dotyczących tak pacjentów jak i udzielanych im świadczeń.

Obowiązek prowadzenia elektronicznej dokumentacji medycznej co prawda został przesłunięty do 2018 r. Niemniej jednak nie jest to jedyny obowiązek podmiotów leczniczych, z którym może być związane wypełnienie obowiązków dotyczących ochrony danych osobowych.

Należy pamiętać, że już dostęp do systemu eWUŚ, z którego korzystają podmioty lecznicze, implikuje obowiązki w zakresie ochrony danych osobowych. Podmiot ubiegający się o dostęp do systemu eWUŚ składa do NFZ stosowny wniosek oraz zobowiązuje się do przestrzegania ustawy o ochronie danych osobowych. Wiele takich zobowiązań pozostaje bez pokrycia.

Do systemu eWUŚ mogą mieć dostęp wyłącznie osoby upoważnione, powinny posługiwać się swoim loginem oraz swoim hasłem. Należy prowadzić ewidencję osób upoważnionych. System eWUŚ powinien być wymieniony w polityce bezpieczeństwa danych osobowych jako system służący do przetwarzania danych osobowych.

Bardzo powszechnym wśród podmiotów udzielających świadczeń medycznych jest również korzystanie z oprogramowania, które służy rejestrowaniu danych związanych z udzielanymi świadczeniami a które podlegają rozliczeniu z NFZ. Dodatkowo NFZ udostępnia swoją aplikację służącą do przesyłania w celach rozliczeniowych specjalnych raportów. Właściciele podmiotów leczniczych najczęściej rejestrację danych związanych z rozliczaniem umów z NFZ zlecają na zewnątrz.

Outsourcing IT w branży medycznej dotyczy różnych czynności od rejestrowania danych w systemie po zapewnianie wsparcia technicznego dla systemów przetwarzajacych dane osobowe pacjentów. Najczęściej w związku z realizacją zleconych usług firma IT lub i jej pracownicy uzyskują dostęp do danych osobowych wrażliwych, bo dotyczących zdrowia.

W następnych wpisach napiszę jak wygląda praktyka w zakresie ochrony danych przy ousourcingu IT oraz jak się ona ma do wymagań prawnych.

 

Dane wrażliwe w salonie urody

IMG_6855

Branża urody przetwarza dane osobowe coraz częściej też dane wrażliwe. Związane jest to z szerokim wachlarzem świadczonych usług w szczególności zabiegów kosmetycznych. Prawidłowe wykonanie zabiegu wymaga pozyskiwania wielu informacji dotyczących stanu zdrowia, przebytych chorób, przyjmowanych leków, stwierdzonych alergii i innych.

Informacje te są to dane osobowe uznane przez ustawę o ochronie danych osobowych za wrażliwe. Przetwarzanie danych wrażliwych dopuszczalne jest wyłącznie, gdy istnieje odpowiednie do tego podstawa prawna. W działalności salonów urody tą podstawą może być wyłącznie pisemna zgoda klienta. W każdym innym przypadku dane przetwarzane są nielegalnie i w każdej chwili GIODO może nakazać zaprzestanie przetwarzania przez salon takich danych.

Dla salonów jest to o tyle ważne, że nakaz zaprzestania przetwarzania danych wrażliwych pozbawiłby je dokumentacji związanej z prawidłowością przeprowadzanych czynności, wykonywanych zabiegów. A w przypadku sprawy sądowej salon traci dowody w sprawie najczęściej na swoją obronę.

O tych i innych ważnych kwestiach mówiliśmy podczas ostatniego szkolenia, które dla branży Beauty, które miałam przyjemność prowadzić.

Umowy z NFZ a ochrona danych osobowych

Podmioty lecznicze zawierają z NFZ umowy o udzielanie świadczeń opieki zdrowotnej finansowanych ze środków publicznych w trybie i na zasadach określonych przepisami prawa.

Umowa o udzielanie świadczeń zawarta przez Fundusz ze świadczeniodawcą (podmiot leczniczy) określa rodzaj świadczenia lub grupę świadczeń oraz kwotę finansowania.

Fundusz jest zobowiązany do finansowania świadczeń udzielonych w okresie rozliczeniowym do kwoty zobowiązania Funduszu wobec świadczeniodawcy określonej w umowie.

W związku z udzielaniem przez podmioty lecznicze świadczeń finansowanych ze środków publicznych mają one obowiązek rejestrowania informacji o pacjentach oraz udzielanych im świadczeniach w celu ich rozliczenia.

Odpowiednie przepisy określają zakres niezbędnych informacji gromadzonych przez podmioty lecznicze oraz sposób ich przekazywania do NFZ.

Podmioty lecznicze tworzą i prowadzą w formie elektronicznej rejestr świadczeń opieki . W rejestrze świadczeń gromadzone są dane charakteryzujące każde udzielone świadczenie opieki zdrowotnej, finansowane ze środków publicznych w tym dane osobowe.

W celu rejestrowania danych o pacjentach oraz udzielonych im świadczeniach podmioty lecznicze korzystają z dedykowanych aplikacji informatycznych umożliwiających sprawną rejestrację wymaganych informacji. Zadaniem aplikacji jest umożliwienie wprowadzenia danych, gromadzenie ich oraz generowanie raportów statycznych w postaci wyjściowych plików, przesyłanych do NFZ.

Wykonywanie zawartych z NFZ umów i obowiązkiem rejestracji danych o pacjentach i udzielanych im świadczeniach w formie elektronicznej implikuje oczywiście obowiązki w zakresie ochrony danych osobowych.

Każdy podmiot leczniczy, który posiada podpisaną z NFZ umowę o udzielanie świadczeń zdrowotnych oraz rejestrujący w związku z tym dane o pacjentach i udzielanych im świadczeniach w postaci elektronicznej zobowiązany jest do posiadania pełnej dokumentacji przetwarzania danych osobowych.

Ze stosowaniem przepisów o ochronie danych osobowych w placówkach medycznych bywa różnie. Pisałam o tym wielokrotnie. Niewielkie podmioty lecznicze pomimo ciążących na nich obowiązków w tym zakresie niechętnie je realizują. Poniekąd jest to usprawiedliwione charakterem pracy i wagą wykonywanych obowiązków. Nieliczni tylko lubują się w wykonywaniu obowiązków administracyjnych. Większość przedsiębiorców traktuje je jednak jako kolejny uciążliwy obowiązek.

Niemniej jednak należy pamiętać, że z uwagi na charakter przetwarzanych danych o pacjentach tych szczególnie wrażliwych, bo dotyczących stanu zdrowia oraz postępującą informatyzacją w ochronie zdrowia właściwie nie ma już ucieczki przed wykonaniem obowiązków w zakresie ochrony danych osobowych.

W przeddzień wejścia w życia restrykcyjnego rozporządzenia unijnego o ochronie danych osobowych osób fizycznych warto to sobie uświadomić i powoli zacząć porządkować tą nieco zapomnianą sferę obowiązków.