„Tajemnica medyczna. Praktyczne dylematy ochrony danych pacjentów” to tytuł drugiej konferencji zorganizowanej przez Zespół ds. Studiów Strategicznych Okręgowej Izby Lekarskiej w Warszawie. Izbowy think tank podejmuje ważne, aktualne zagadnienia związane z funkcjonowaniem systemu ochrony zdrowia.
W związku ze zbliżającym się terminem wejścia w życie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, tzw. RODO) placówki ochrony zdrowia stanęły przed prawdziwym wyzwaniem, którym jest dostosowanie baz danych i systemów informatycznych do nowych regulacji. Konferencja była okazją do omówienia najważniejszych zagadnień związanych z ochroną danych pacjentów, do spojrzenia na problematykę zachowania tajemnicy medycznej z punktu widzenia przedstawicieli zawodów medycznych oraz pacjentów, a także określenia zadań informatycznych, jakie wiążą się z wprowadzeniem RODO. Nowe regulacje, które zaczną obowiązywać od 25 maja 2018 r., rodzą liczne obawy operatorów systemu ochrony zdrowia i pytania dotyczące codziennej praktyki związanej z pracą z pacjentem. Ale zdaniem ekspertów zajmujących się systemowo ochroną danych stwarzają też okazję do głębokiej analizy celowości dotychczas zbieranych i przetwarzanych informacji oraz wyboru opcji, które pozwolą na przygotowanie się do nowych zadań.
Wątpliwości związane z prawidłowym operowaniem danymi osobowymi pacjenta mają zarówno lekarze, pielęgniarki, położne, jak i menedżerowie ochrony zdrowia. Uczestnicy konferencji debatowali o aspektach ochrony danych i prawie do prywatności pacjenta w kontekście ogólnych założeń związanych z zachowaniem tajemnicy medycznej i na bazie konkretnych przykładów. Dr n. praw. Adam Bodnar, rzecznik praw obywatelskich, odniósł się do interwencji, które podejmował w sprawie monitoringu wizyjnego na szpitalnych oddziałach ratunkowych oraz ujawnienia danych z systemów informatycznych placówek medycznych. Zwrócił też uwagę, podobnie jak sędzia TK prof. Marek Zubik, na zagrożenia związane z cyberprzestępczością. Dr n. praw. Edyta Bielak-Jomaa, generalny inspektor ochrony danych osobowych, podkreśliła, że warto zastanowić się, jakie dane są potrzebne do zrealizowania celu, dla którego są zbierane. Wskazała również, że konieczne jest stosowanie zabezpieczeń technicznych i organizacyjnych, gdyż z praktyki GIODO wynika, że najczęściej za błąd w ochronie danych odpowiada człowiek. Andrzej Sawoni, prezes ORL w Warszawie, zwracał uwagę na problem związany z ochroną dokumentacji medycznej pacjentów zmarłego lekarza. Pytał, czy samorząd lekarski powinien przyjmować postawę aktywną i poszukiwać spadkobierców zmarłego lekarza, który prowadził własną praktykę, w celu przejęcia dokumentacji, czy czekać, aż rodzina przekaże dokumenty do izby. Malina Wieczorek z fundacji SM Walcz o Siebie mówiła, że lekarze często rozmawiają o diagnozie z pacjentem w obecności obcych osób, że informacje dotyczące spraw osobistych, związanych z leczeniem, przekazywane są bez zachowania wymaganej intymności. Na problem braku intymności pacjenta zwróciła uwagę również Zofia Małas, prezes Naczelnej Izby Pielęgniarek i Położnych. Bartłomiej Chmielowiec, rzecznik praw pacjenta, podał, że wśród skarg, które wpłynęły w 2016 r. do jego biura, 7 proc. związanych było z naruszenia godności i intymności. Dotyczyły m.in. przyjmowania wielu pacjentów w jednym pomieszczeniu i monitoringu wizyjnego w miejscu świadczeń medycznych.
Dyskutujący wskazywali również zagrożenia ochrony danych i tajemnicy medycznej związane z wykorzystywaniem mediów elektronicznych. Dr n. med. Jarosław Pinkas, sekretarz stanu w KPRM, podkreślał, że dawna relacja pacjenta z lekarzem uległa zachwianiu, gdyż często pacjenci sprawdzają diagnozy w Internecie, na portalach społecznościowych omawiają swoje dolegliwości, a tym samym sami upubliczniają informacje o stanie swojego zdrowia.
Na praktyczny aspekt przygotowywania się do przyjęcia nowych regulacji zwróciła uwagę Monika Krasińska, dyrektor Departamentu Orzecznictwa, Legislacji i Skarg w Biurze GIODO. Przekonywała, że zespół ds. RODO powinien dokonać oceny, jakie dane są przetwarzane, a procedury dotyczące ochrony danych należy sformułować tak, by były zrozumiałe dla pracowników.
Eksperci podkreślali znaczenie edukacji społeczeństwa w zakresie praw pacjenta i ochrony jego danych. Zrozumienie znaczenia tajemnicy medycznej i wiedza o regulacjach związanych z udzielaniem zgody na udostępnianie danych oraz celowości tego działania ułatwi ochronę informacji zgromadzonych w procesie leczenia. Uczestnicy konferencji pytali, jak postępować w przypadku przekazywania dokumentacji medycznej, udostępniania jej po śmierci pacjenta, a także w sytuacji, gdy pacjent odmawia podania danych.
O prywatności pacjenta jako dobru osobistemu mówiła dr hab. Dorota Karkowska, prof. UŁ, przewodnicząca Zespołu ds. Studiów Strategicznych OIL w Warszawie. Eksperci zwracali również uwagę, że wiedza o regulacjach dotyczących ochrony danych pacjentów i ich udostępniania ważna jest nie tylko dla administratorów baz danych, ale również dla osób wykonujących zawody medyczne. W przypadkach sporów między pacjentem a pracownikiem medycznym może być bardzo przydatna. Prokurator Ewa Kiec, doradca prezesa ORL w Warszawie ds. biegłych, omawiała zagadnienie ochrony danych pacjenta w postępowaniu karnym, a Bartłomiej Chmielowiec wyjaśniał kwestię ich udostępniania w postępowaniu cywilnym.
Jak mówił Łukasz Chmielowiec, skargi, które wpłynęły do biura Rzecznika Praw Pacjenta, dotyczyły głównie obecności monitoringu wizyjnego w miejscach przyjmowania pacjentów oraz dostępności tych miejsc dla osób spoza personelu medycznego, a także przyjmowania pacjentów i przekazywania informacji o ich zdrowiu w obecności innych osób.
„To są najczęstsze sygnały, jakie trafiają do biura rzecznika związane z naruszeniem godności i intymności pacjenta” – podkreślił Chmielowiec.
Dodał, że w związku ze zbliżaniem się terminu rozpoczęcia obowiązywania RODO branża medyczna pracuje nad kodeksem branżowym dotyczącym praktycznego stosowania przepisów rozporządzenia. W pracach uczestniczy także Rzecznik Praw Pacjenta. „To jest ogrom prac. Wyzwanie, przed jakim stoimy, to interpretacja przepisów RODO w praktyce” – powiedział Chmielowiec.
Jako przykład podał zapisy, które znajdują się w art. 15 RODO dotyczące nieodpłatnego przekazania kopii danych osobowych komuś, kogo dane są przetwarzane.
„Powstaje pytanie, jak to się ma do dokumentacji medycznej i przepisów, które mówią o możliwości pobierania opłaty za udostępnianie tej dokumentacji. Czy to są pojęcia tożsame? Czy możemy mówić, że dokumentacja medyczna zawiera w sobie dane osobowe, bo ona zawiera oczywiście dane osobowe, ale zawiera także inne dane. Czy w związku z tym należy przekazywać nieodpłatnie dane osobowe, a za dane medyczne pobierać opłaty?” – pytał Chmielowiec.
Rzecznik zwrócił też uwagę na kwestię przekazywania dokumentacji medycznej drogą elektroniczną. „Czy ta dokumentacja powinna być przekazywana normalną drogą bez żadnego szyfrowania? Czy też jednak ta dokumentacja powinna być szyfrowana, a np. pacjent powinien otrzymać hasło do ich odszyfrowania?” – wymieniał różne możliwości. Podkreślił, że bardzo ważna jest kwestia zabezpieczenia danych przetwarzanych przez podmioty medyczne przed cyberprzestępcami.
„Sami nie wiemy tak naprawdę, bo to nie jest ściśle doregulowane, w jaki sposób w aspekcie koordynowanej opieki zdrowotnej będziemy mogli przetwarzać dane pacjentów” – mówiła Zofia Małas. Jak oceniła, wyzwaniem jest – z jednej strony – zachowanie ciągłości leczenia, a z drugiej – zapewnienie, aby dane osobowe pacjenta były bezpieczne.
Małas zwróciła uwagę, że nie w każdym przypadku udaje się zachować intymność pacjenta, np. podczas obchodu lekarskiego w szpitalu, w którym uczestniczy czasami kilkanaście osób – ordynator, lekarze, pielęgniarki, czasami studenci.
„Często zbiera się te informacje przy innych pacjentach i ich rodzinach” – dodała.
Generalny inspektor ochrony danych osobowych Edyta Bielak-Jomaa wskazała, że RODO do danych osobowych w dziedzinie zdrowia zalicza te informacje, które mówią o przeszłym, obecnym i przyszłym stanie fizycznym lub psychicznym danej osoby.
Chodzi m.in. o dane, które są zbierane podczas rejestracji osoby do usług medycznych, w trakcie świadczenia takich usług, informacje pochodzące z badań laboratoryjnych, lekarskich, danych genetycznych, badań płynów ustrojowych, próbek biologicznych, wszelkie informacje dotyczące ryzyka chorób, historii chorób, leczenia klinicznego.
„To jest ogromna ilość danych, która jest przetwarzana w związku z procesami medycznymi, procesem leczenia. Trzeba pamiętać, że dane te mogą być przetwarzane w celu ochrony zdrowia, czy świadczenia usług medycznych” – dodała.
Zwróciła uwagę, że ważne są nie tylko zabezpieczenia techniczne przetwarzanych danych osobowych, lecz także zabezpieczenia organizacyjne. „Zawsze najsłabszym ogniwem jest człowiek” – podkreśliła, dodając, że – jak wynika z doświadczenia GIODO – „w znakomitej liczbie przypadków to nie urządzenia, system zawiódł, tylko człowiek który nie miał wiedzy, nie miał świadomości albo zrobił to celowo”.
Poinformowała, że do biura GIODO wpływają skargi dotyczące przetwarzania danych osobowych w służbie zdrowie, które np. dotyczą braku poufności, bo rejestracja przyszłych pacjentów jest tak zorganizowana, że wszyscy słyszą nie tylko imię, nazwisko i adres, lecz także PESEL czy rodzaj badania, na jakie dana osoba się zapisuje. Skargi dotyczyły również tego, że monitory komputerów były tak ustawione, iż „w zasadzie były dostępne dla nieograniczonego kręgu osób”
Konferencja została objęta honorowym patronatem Generalnego Inspektora Ochrony Danych Osobowych. Razem z OIL w Warszawie organizowali ją: Naczelna Izba Lekarska, Naczelna Rada Pielęgniarek i Położnych, Warszawska Okręgowa Izba Pielęgniarek i Położnych, Okręgowa Izba Pielęgniarek i Położnych w Radomiu oraz Instytut Praw Pacjenta i Edukacji Zdrowotnej.
ach, (PAP)