Umowy z NFZ a ochrona danych osobowych

Podmioty lecznicze zawierają z NFZ umowy o udzielanie świadczeń opieki zdrowotnej finansowanych ze środków publicznych w trybie i na zasadach określonych przepisami prawa.

Umowa o udzielanie świadczeń zawarta przez Fundusz ze świadczeniodawcą (podmiot leczniczy) określa rodzaj świadczenia lub grupę świadczeń oraz kwotę finansowania.

Fundusz jest zobowiązany do finansowania świadczeń udzielonych w okresie rozliczeniowym do kwoty zobowiązania Funduszu wobec świadczeniodawcy określonej w umowie.

W związku z udzielaniem przez podmioty lecznicze świadczeń finansowanych ze środków publicznych mają one obowiązek rejestrowania informacji o pacjentach oraz udzielanych im świadczeniach w celu ich rozliczenia.

Odpowiednie przepisy określają zakres niezbędnych informacji gromadzonych przez podmioty lecznicze oraz sposób ich przekazywania do NFZ.

Podmioty lecznicze tworzą i prowadzą w formie elektronicznej rejestr świadczeń opieki . W rejestrze świadczeń gromadzone są dane charakteryzujące każde udzielone świadczenie opieki zdrowotnej, finansowane ze środków publicznych w tym dane osobowe.

W celu rejestrowania danych o pacjentach oraz udzielonych im świadczeniach podmioty lecznicze korzystają z dedykowanych aplikacji informatycznych umożliwiających sprawną rejestrację wymaganych informacji. Zadaniem aplikacji jest umożliwienie wprowadzenia danych, gromadzenie ich oraz generowanie raportów statycznych w postaci wyjściowych plików, przesyłanych do NFZ.

Wykonywanie zawartych z NFZ umów i obowiązkiem rejestracji danych o pacjentach i udzielanych im świadczeniach w formie elektronicznej implikuje oczywiście obowiązki w zakresie ochrony danych osobowych.

Każdy podmiot leczniczy, który posiada podpisaną z NFZ umowę o udzielanie świadczeń zdrowotnych oraz rejestrujący w związku z tym dane o pacjentach i udzielanych im świadczeniach w postaci elektronicznej zobowiązany jest do posiadania pełnej dokumentacji przetwarzania danych osobowych.

Ze stosowaniem przepisów o ochronie danych osobowych w placówkach medycznych bywa różnie. Pisałam o tym wielokrotnie. Niewielkie podmioty lecznicze pomimo ciążących na nich obowiązków w tym zakresie niechętnie je realizują. Poniekąd jest to usprawiedliwione charakterem pracy i wagą wykonywanych obowiązków. Nieliczni tylko lubują się w wykonywaniu obowiązków administracyjnych. Większość przedsiębiorców traktuje je jednak jako kolejny uciążliwy obowiązek.

Niemniej jednak należy pamiętać, że z uwagi na charakter przetwarzanych danych o pacjentach tych szczególnie wrażliwych, bo dotyczących stanu zdrowia oraz postępującą informatyzacją w ochronie zdrowia właściwie nie ma już ucieczki przed wykonaniem obowiązków w zakresie ochrony danych osobowych.

W przeddzień wejścia w życia restrykcyjnego rozporządzenia unijnego o ochronie danych osobowych osób fizycznych warto to sobie uświadomić i powoli zacząć porządkować tą nieco zapomnianą sferę obowiązków.

Prawa pacjenta

W pewnej rodzinie zmarł człowiek. Następnego dnia pod adresem, gdzie za życia zamieszkiwał zjawił się przedstawiciel firmy odszkodowawczej. Rodzinie przedstawił wizytówkę firmy odszkodowawczej. Jego wizyta miała związek ze śmiercią członka tejże rodziny i chęcią złożenia oferty dotyczącej dochodzenia odszkodowania w związku ze śmiercią pacjenta.

Jak się okazało dane osobowe osoby nieżyjącej zostały przekazane przez pielęgniarkę ze szpitala, w którym pacjent zmarł.

Oto krótka historia. Obrazuje ona, że wszystko jest na sprzedaż i na wszystkim można zarobić. Pielęgniarka ze szpitala przekazująca dane osobowe dotyczące pacjenta. Firma ubezpieczeniowa pozyskująca dane osobowe o pacjentach od osób, które zobowiązane są do zachowania w tajemnicy tych danych.

Pacjent ma prawo do zachowania w tajemnicy przez osoby wykonujące zawód medyczny, w tym udzielające mu świadczeń zdrowotnych, informacji z nim związanych, a uzyskanych w związku z wykonywaniem zawodu medycznego.

Osoby wykonujące zawód medyczny, z wyjątkiem przypadków są związane tajemnicą również po śmierci pacjenta.

Prawo przewiduje sankcje związane z niedochowaniem tajemnicy zawodowej osób wykonujących zawód medyczny. Osoby, które wbrew ciążącym na nich obowiązkach ujawniły dane osobowe pacjentów mogą być pociągnięte do odpowiedzialności zawodowej, cywilnej a także karnej.

Bez wątpienia w związku z  ujawnieniem informacji o pacjencie zostały naruszone dobra osobiste rodziny, jej prawo do uszanowania żałoby związanej ze śmiercią najbliżej osoby. Wizyta przedstawiciela firmy odszkodowawczej w tym czasie, gdy nawet  nie odbył się jeszcze pochówek zmarłego, w najwyższej mierze  dowodzi braku szacunku dla tej wyjątkowej sytuacji.

Rodzina zawiadomiła organy ścigania o popełnieniu przestępstwa. Bez wątpienia może dochodzić swoich praw związanych z naruszeniem dóbr osobistych przed sądem powszechnym w drodze powództwa cywilnego.

Tajemnica medyczna a outsourcing IT w branży medycznej

Z biura GIODO napływają informacje, iż finalizowane są prace nad zmianą przepisów prawnych umożliwiających podmiotom leczniczym przekazywanie danych medycznych firmom zewnętrznym, w związku ze świadczonymi przez te podmioty specjalistycznymi usługami np. w zakresie IT. W chwili obecnej nie ma odpowiedniej ku temu podstawy prawnej z uwagi na treść przepisów o tajemnicy zawodowej.

 Pacjent ma prawo do zachowania w tajemnicy przez osoby wykonujące zawód medyczny, w tym udzielające mu świadczeń zdrowotnych, informacji z nim związanych, a uzyskanych w związku z wykonywaniem zawodu medycznego.

I tutaj zaczyna się problem związany z korzystaniem przez placówki medyczne z usług zewnętrznych usługodawców, z którymi to usługami związane jest powierzenie przetwarzania danych osobowych. Aktualnie w świetle obowiązujących przepisów i stanowiska GIODO takiej podstawy prawnej nie ma. Jest to oczywiście duża uciążliwość w szczególności dla małych i średnich podmiotów leczniczych, które już dzisiaj z zewnętrznych usług korzystają.

Sprawa jest o tyle pilna, że jesteśmy w przeddzień wejścia w życie (2017 r.) przepisów wprowadzających obowiązek prowadzenia elektronicznej dokumentacji medycznej przez wszystkie podmioty udzielające świadczeń zdrowotnych. Będzie się to wiązało z wdrożeniem przez tysiące małych podmiotów systemów informatycznych umożliwiających elektroniczne prowadzenie dokumentacji.

Wiele z tych podmiotów w celu zaoszczędzenia kosztów zdecyduje się na wykupienie aplikacji dostępnej przez internet czyli na tzw. aplikację w chmurze. Będzie to oczywiście związane z powierzeniem danych osobowych do przetwarzania, co w chwili obecnej w świetle prawa nie znajduje podstawy prawnej.

 Aktualnie w Ministerstwie Zdrowia oraz Parlamencie procedowane są zmiany przepisów prawa w zakresie przekazywania przez podmioty lecznicze danych osobowych firmom zewnętrznym w związku ze świadczonymi przez nie usługami specjalistycznymi np.dotyczącymi przechowywania dokumentacji medycznej.

Obowiązek wdrożenia elektronicznej dokumentacji medycznej jest związany z szeroko zakrojoną akcją informatyzacji w ochronie zdrowia oraz wdrażaniem powszechnego systemu informacji medycznej, gromadzącego informacje o pacjentach pochodzące od z systemów informatycznych poszczególnych świadczeniodawców.

Podmioty lecznicze wdrażające  elektroniczną dokumentację medyczną muszą też pamiętać o spełnieniu wymagań prawnych w zakresie ochrony danych osobowych, między innymi o prowadzeniu wymaganej prawem dokumentacji  tj. polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym.

Prywatność pacjenta a karty gorączkowe

Większość z nas doskonale pamięta karty gorączkowe zawieszone na poręczach szpitalnych łóżek, na których widniały dane osobowe pacjenta a także dane medyczne dotyczące postawionej diagnozy czy stosowanego leczenia. Na kartach widniał również wykres z pomiarem temperatury.

Generalny Inspektor Danych Osobowych wydał sygnalizację, iż uwidacznianie danych medycznych na powszechnie dostępnej karcie gorączkowej jest niezgodne z obowiązującymi przepisami i zalecał zmianę praktyki w tym zakresie.

Jednym z podstawowych praw pacjenta i odpowiadającym mu obowiązkiem lekarza jest zachowanie w tajemnicy informacji o chorym, które lekarz powziął w związku z wykonywaniem zawodu.

Obowiązek tajemnicy zawodowej związany jest także z ochroną prywatności pacjenta. Przyjmuje się bowiem, że informacje dotyczące zdrowia i choroby należą do sfery tzw. prywatności, która stanowi jedno z dóbr osobistych.

Na straży ochrony tych dóbr stoją przepisy Konstytucji RP oraz przepisy prawa cywilnego dotyczące ochrony dóbr osobistych. Uznaje się, iż prywatność obejmuje m.in. informacje o stanie zdrowia. Tylko pacjent jest uprawniony do zdecydowania, czy chce ujawnienia określonych informacji. Lekarz zatem nie może dokonać za niego takiego rozstrzygnięcia. Jest tym bardziej istotne, że dane medyczne zostały zaliczone do tzw. danych wrażliwych (sensytywnych), o których mowa w przepisach ustawy o ochronie danych osobowych.

Rozpowszechnienie informacji o stanie zdrowia może wyrządzić osobie szczególnie dotkliwą krzywdę, dlatego względem takich informacji została wprowadzona silniejsza ochrona .

W ustawie o prawach pacjenta  i Rzeczniku Praw Pacjenta ustawodawca potraktował zachowanie tajemnicy lekarskiej jako podstawowe prawo pacjenta. Przepisy te mają zastosowanie nie tylko w stosunku do lekarzy, ale również do innych pracowników medycznych, udzielających świadczeń zdrowotnych (np. pielęgniarek, położonych, diagnostów laboratoryjnych, farmaceutów).

Z uwagi na obowiązującą tajemnicę lekarską oraz prawo pacjentów do prywatności ujawnianie danych medycznych na karatach gorączkowych nie powinno mieć miejsca. GIODO zalecał wdrażanie innych rozwiązań niż karty gorączkowe zawieszone na łóżkach pacjentów. Za ostateczność uznał odwracanie karty gorączkowej na drugą, niezapisaną stronę.

Jak widać respektowanie prywatności pacjenta oraz tajemnicy lekarskiej  dalekie jest od ideału. Poszanowanie tych praw wymaga bowiem zmiany świadomości społecznej w zakresie rangi prawa pacjenta do prywatności i tajemnicy lekarskiej. Dotyczy to samych lekarzy i personelu medycznego, ale i samych pacjentów, którzy powinni być świadomi swoich praw i domagać się ich przestrzegania.

System e-WUŚ a ochrona danych osobowych

Udzielanie dostępu do systemu elektronicznej weryfikacji uprawnień świadczeniobiorców czyli systemu eWUŚ odbywa się na zasadach określonych prawem i jest związane z przestrzeganiem ustawy o ochronie danych osobowych.

System eWUŚ jest systemem informatycznym przetwarzającym dane osobowe osób fizycznych. Celem przetwarzania jest weryfikacja uprawnień świadczeniobiorców do korzystania ze świadczeń opieki zdrowotnej finansowanych ze środków publicznych.

Świdczeniodawca czyli na przykład lekarz prowadzący prywatną praktykę lekarską i udzielający świadczeń refundowanych przez NFZ, może wystąpić z wnioskiem do odpowiedniego oddziału NFZ o udzielenie mu dostępu do systemu informatycznego eWUŚ.

Po spełnieniu odpowiednich warunków m.in zaakceptowaniu regulaminu świadczenia usług drogą elektroniczną oraz podpisaniu oświadczeń dotyczących zobowiązania się do przestrzegania ustawy o ochronie danych osobowych, świadczeniodawca uzyskuje dostęp do systemu e-WUŚ.

NFZ w wydawanych oświadczeniach przypomina, iż upoważnienie do korzystania z systemu e-WUŚ musi być wykorzystywane wyłącznie w celu realizacji podstawowego celu, jakim jest weryfikacja uprawnienia konkretnego świadczeniobiorcy, który chce skorzystać ze świadczenia.

Wykorzystywanie dostępu w jakimkolwiek innym celu, czy umożliwienie dostępu osobom nieupoważnionym jest nieuprawnione i może skutkować cofnięciem upoważnienia dostępu do systemu, jak również innym konsekwencjami prawnymi.

Ponadto dostęp do systemu informatycznego eWUś przetwarzającego dane osobowe pacjentów powinien być uwzględniony w polityce bezpieczeństwa danych osobowych świadczeniodawcy czyli podmiotu udzielającego świadczeń.

Elektroniczna dokumentacja medyczna

Czasy, w których dane medyczne zapisywane są na różnego rodzaju kartach papierowych niebawem staną się przeszłością. Dla większych placówek informatyzacja już stała się faktem. Całej branży medycznej pozostawiony został jednak czas na oswojenie się z jej wizją oraz odpowiednie przygotowanie, w szczególności w zakresie zapewnienia odpowiednich narzędzi informatycznych. Z dniem 1 sierpnia 2017 r. obowiązek prowadzenia dokumentacji medycznej w formie elektronicznej obejmie wszystkie podmioty udzielające świadczeń zdrowotnych.

Dane medyczne przetwarzane będą obowiązkowo w formie elektronicznej tworząc elektroniczną dokumentację medyczną w dużym szpitalu publicznym, prywatnej przychodni lekarskiej czy tworzonej w ramach prywatnej praktyki lekarskiej, w dużym mieście, małym miasteczku czy wiejskim ośrodku zdrowia, bez wyjątku.

Systemy informatyczne przeznaczone do przetwarzania danych medycznych powinny oczywiście umożliwiać tworzenie zgodnej z prawem dokumentacji medycznej. Muszą też uwzględniać wymagania prawa ochrony danych osobowych, o czym twórcy aplikacji przeznaczonej do przetwarzania danych medycznych, powinni pamiętać już na etapie projektowania.

W kontekście elektronicznej dokumentacji medycznej wyłania się problem, który dotyczy outsourcingu IT przez podmioty udzielające świadczeń zdrowotnych. Wprowadzenie obowiązku prowadzenia dokumentacji elektronicznej implikuje bowiem szereg problemów w sferze prawnej oraz czysto praktycznej.

Każdy podmiot udzielający świadczeń zdrowotnych tak prywatny, jak publiczny będzie musiał wyposażyć swoją placówkę w odpowiednią infrastrukturę oraz oprogramowanie IT. Duże podmioty z pewnością postawią na własne IT gwarantujące wysoki poziom bezpieczeństwa przetwarzanym danym medycznym. Małe podmioty, w ogromnej większości, rozważać będą skorzystanie z usług zewnętrznych podmiotów oferujących gotową aplikację do tworzenia dokumentacji medycznej.

Na dzień dzisiejszy jest z tym pewien problem, gdyż przepisy dotyczące tajemnicy medycznej nie uwzględniają możliwości outsourcingu. Niemniej jednak, jak wynika z oświadczeń Dyrektora CSIOZ trwają prace legislacyjne mające na celu niezbędną zmianę przepisów prawnych. Warto wspomnieć, iż GIODO Wojciech R. Wiewiórowski wielokrotnie monitował odpowiednie organy państwowe wskazując na potrzebę uregulowania tej ważnej kwestii i stworzenia podstaw prawnych dla outsourcingu IT w branży medycznej.

Miejmy nadzieję, że do czasu wejścia w życie przepisów wprowadzających obowiązek w zakresie elektronicznej dokumentacji medycznej zostaną również uchwalone przepisy dające prawne podstawy dla bezpiecznego korzystania z outsourcingu IT w branży medycznej.