Ściszonym głosem do pacjenta

Czy poszanowanie godności pacjenta ma coś wspólnego z RODO, czy RODO nakazuje szanować godność pacjenta czy może tylko chronić dane osobowe tego pacjenta. Czy są to różne czy zbieżne zagadnienia.

Prawo do poszanowania godności i intymności pacjenta wynika z przepisów ustawy o prawach pacjenta i Rzeczniku Praw Pacjenta. Natomiast prawo do ochrony danych osobowych wynika z przepisów Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO). Prawa te mogą się krzyżówać i w przypadku, gdy zostaną naruszone prawa pacjenta w związku z przetwarzaniem jego danych osobowych prawie zawsze zostanie też naruszone prawo do poszanowania godności i intymności pacjenta.

Poszanowanie godności pacjenta oraz przetwarzanie danych pacjentów zgodne z wymogami prawa to kwestia fundamentalna w sektorze zdrowia. Podmioty udzielające świadczeń zdrowotnych mające dostęp do najbardziej wrażliwych danych, bo dotyczących stanu zdrowia powinny dochować najwyższej staranności, aby przetwarzać dane pacjentów zgodnie z przepisami prawa. Czytaj więcej

W tym roku GIODO zbada zgodność przetwarzania danych w branży medycznej

Na stronie GIODO czytamy:

“Konieczność podawania wielu, nieraz intymnych danych, podczas rejestracji w przychodni lub poradni lekarskiej, bez zapewnienia ich poufności i poszanowania prywatności, to sytuacje, na które do Generalnego Inspektora Ochrony Danych Osobowych (GIODO) wciąż skarżą się pacjenci.”

Stąd w planie kontroli przeprowadzanych przez inspektorów GIODO ujęto ten właśnie sektor.

Dzięki temu możliwe będzie dokonanie oceny przetwarzania danych osobowych w większej liczbie placówek opieki zdrowotnej, niezależnie od tego, czy są prowadzone przez podmioty publiczne, czy prywatne.

W mojej opinii w branży medycznej jest wiele do zrobienia w zakresie zapewnienia zgodności przetwarzania danych osobowych. Ochrona danych medycznych rozpoczyna się od realnego zrozumienia i świadomości dotyczacej tajemnicy zawodowej zobowiązującej do zachowania w tajemnicy wszelkich informacji dotyczących pacjenta.

Tajemnica danych medycznych dotyczy nie tylko osób wykonujących zawody medyczne, ale także osób z nimi współpracujących na przykład w zakresie wsparcia IT dla systemów informatycznych funkcjonujących w placówkach medycznych.

Dane o stanie zdrowia jako wrażliwe dane osobowe podlegają dodatkowo ochronie w świetle ustawy o ochronie danych osobowych. Zgodnie z nimi administrator danych zobowiązany jest zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych i zabezpieczyć je przed udostępnieniem osobom nieupoważnionym, utratą, uszkodzeniem lub zniszczeniem.

Na koniec krótki przypadek z życia. Ostanio znajoma opowiadała mi, że z łatwością mogła zapoznać się z dokumentacją medyczną osoby, która w tym samym, co ona dniu korzystała z usług medycyny estetycznej w renomowanym gabinecie lekarskim. Pan doktor zapraszając kolejną osobę nie schował karty leczenia poprzedniej pacjentki a pozostawił ją na biurku umożlwiając swobodne zapoznanie się z nią kolejnym pacjentom.

Moja znajoma jako radca prawny zwróciła uwagę na ten fakt bedąc już świadomą, że wobec takich zasad, kolejna pacjentka będzie miała możliwość zapoznania się z jej kartą leczenia.

Taki sposób postępowania oznacza brak należytego zabezpieczenia danych przed dostępem osób do tego nieupoważnionych ale to tylko wierzchołek góry lodowej, jeśli chodzi o braki w tym obszarze.

Kontrole GIODO w branży medycznej zaplanowane na rok 2017 być miejmy nadzieję przyczynią się do lepszej ochrony naszych wrażliwych danych osobowych przez tę branżę.

A dla samej branży będzie to też okazja do rozpoczęcia wdrażania wymogów ogólnego rozporządzenia unijnego w zakresie ochrony danych osobowych , co zważywszy na dotkliwe sankcje pieniężne, będzie miało swój pozytywny wymiar.

Outsourcing IT w branży medycznej cz. I

Korzystanie z usług IT w branży medycznej stało się powszechne. Przychodnie medyczne coraz  częściej wykorzystują systemy informatyczne w swojej pracy. Przy obsłudze tychże systemów korzystają z pomocy zewnętrznych informatyków. Systemy informatyczne służą podmiotom leczniczym do rejestrowania różnych informacji medycznych dotyczących tak pacjentów jak i udzielanych im świadczeń.

Obowiązek prowadzenia elektronicznej dokumentacji medycznej co prawda został przesłunięty do 2018 r. Niemniej jednak nie jest to jedyny obowiązek podmiotów leczniczych, z którym może być związane wypełnienie obowiązków dotyczących ochrony danych osobowych.

Należy pamiętać, że już dostęp do systemu eWUŚ, z którego korzystają podmioty lecznicze, implikuje obowiązki w zakresie ochrony danych osobowych. Podmiot ubiegający się o dostęp do systemu eWUŚ składa do NFZ stosowny wniosek oraz zobowiązuje się do przestrzegania ustawy o ochronie danych osobowych. Wiele takich zobowiązań pozostaje bez pokrycia.

Do systemu eWUŚ mogą mieć dostęp wyłącznie osoby upoważnione, powinny posługiwać się swoim loginem oraz swoim hasłem. Należy prowadzić ewidencję osób upoważnionych. System eWUŚ powinien być wymieniony w polityce bezpieczeństwa danych osobowych jako system służący do przetwarzania danych osobowych.

Bardzo powszechnym wśród podmiotów udzielających świadczeń medycznych jest również korzystanie z oprogramowania, które służy rejestrowaniu danych związanych z udzielanymi świadczeniami a które podlegają rozliczeniu z NFZ. Dodatkowo NFZ udostępnia swoją aplikację służącą do przesyłania w celach rozliczeniowych specjalnych raportów. Właściciele podmiotów leczniczych najczęściej rejestrację danych związanych z rozliczaniem umów z NFZ zlecają na zewnątrz.

Outsourcing IT w branży medycznej dotyczy różnych czynności od rejestrowania danych w systemie po zapewnianie wsparcia technicznego dla systemów przetwarzajacych dane osobowe pacjentów. Najczęściej w związku z realizacją zleconych usług firma IT lub i jej pracownicy uzyskują dostęp do danych osobowych wrażliwych, bo dotyczących zdrowia.

W następnych wpisach napiszę jak wygląda praktyka w zakresie ochrony danych przy ousourcingu IT oraz jak się ona ma do wymagań prawnych.

 

Internetowe Konta Pacjenta a dane osobowe

lekarze internet

Cyfryzacja służby zdrowia, która dotyczy każdego z nas – gdyż wszyscy jesteśmy lub możemy zostać pacjentami – według przyjetych założeń ma zostać wprowadzona w przyszłym roku. W ramach cyfryzacji powstają Internetowe Konta Pacjenta, IKP  to system, który gromadzi w jednym miejscu podstawowe dane medyczne na temat zdrowia pacjenta oraz wskazuje miejsce przechowywania rozszerzonych danych medycznych: zaświadczenia, orzeczenia lekarskie, opinie , skierowania, karty leczenia szpitalnego itd. Korzystając z systemu IKP  lekarz uzyska informacje gdzie znajduje się niezbędne w procesie leczenia badanie USG, dokumentację ze szpitala itd. Na szczęście to pacjent sam decyduje o zakresie udostępniania konkretnej placówce medycznej swoich danych medycznych. Jeżeli pacjent nie wyrazi zgody na dostęp do nich pracownikom danej placówki nie mają oni wówczas prawa.

Póki co poziom przetwarzania danych osobowych pacjentów w Polsce jest niewielki, jednakże ta sytuacja ma ulec zmianie począwszy od 1 sierpnia 2014 roku, jeśli oczywiście nie wsytąpią opóźnienienia. Od tego dnia wszystkie podmioty medyczne będą zobowiązane przechowywać dokumentacje w formie elektronicznej. Będzie to podstawa do tego żeby komletna dokumentacja medyczna każdego pacjenta bezpiecznie podążała za pacjentem do placówek medycznych, w których będzie się on leczyć. System umożliwi rónież umawianie wizyt u lekarzy danej specjalności, wypisywanie oraz obsługę skierowań i zwolnień. Wszystkie wymienione czynności będą wymagały zgody pacjenta, gdyż mówimy tutaj o danych wrażliwych.

 

Prywatność pacjenta

DLOBSWiększość z nas z pewnością spotkała się z sytuacją, gdy w przychodni lekarskiej została wywołana po nazwisku czy też nazwiska pacjentów zostały upublicznione na liście zawieszonej na drzwiach gabinetu lekarskiego. W świetle przepisów o ochronie danych osobowych taka praktyka jest niedozwolona jako, że narusza prawo pacjenta do prywatności. Generalny Inspektor Danych Osobowych uważa, że dane osobowe przetwarzane w sposób wskazany powyżej mogą chociażby pośrednio świadczyć o stanie zdrowia pacjenta  a dane dotyczące zdrowia należą do danych szczególnie przez prawo chronionych. GIODO radzi, aby przychodnie unikały takich praktyk wprowadzając na przykład numerki, zgodnie z którymi pacjenci są wywoływani.

Podobny problem dotyczy upubliczniania wokand sądowych poza sądem w internecie czy tworzenia ogólnodostępnych internetowych baz, na co GIODO kategorycznie nie wyraża zgody. GIODO nie jest zwolennikiem tworzenia systemów informacyjnych, w kórych znajdowałyby się wokandy z całej Polski. Inną sprawą oczywiście jest umieszczenie wewnątrz sądu informacji z czyim udziałem sprawa się toczy. Wokandy w tym przypadku bowiem są wyrazem jawności rozpraw sądowych.